... или где тонко — там и рвется
📁 HR-служба — один из главных «сборщиков» и «хранителей» персональных данных.
Резюме, СНИЛС, паспорта, справки, медданные, сведения о судимости, сканы дипломов, ИНН, контакты родственников — все это проходит через руки одного или двух человек.
А теперь вопрос: что будет, если этот человек уволится, заболеет или решит воспользоваться доступом?
Где чаще всего возникают проблемы:
🔹 Папки с общим доступом
На сервере лежит каталог «Сотрудники» и в нем Excel-файл с графиком отпусков, сканами паспортов, расчетными листами.
Открыт по сети — весь офис может посмотреть. Иногда и подрядчики
🔹 Личные накопители и облака
Резюме в Telegram, скан паспорта в WhatsApp, анкета кандидата — на Google Диске бывшего HR.
Вроде бы для удобства, но по факту — неконтролируемая обработка ПДн
🔹 Неубранные доступы после увольнения
Бывший HR или кадровик полгода после увольнения всё ещё может зайти в кадровую систему, посмотреть переписку с соискателями или скачать файл с табелем
🔹 Отсутствие формализованных процессов
— нет актов о передаче дел;
— нет перечня ПДн, с которыми работает HR;
— нет регламентов хранения, уничтожения, передачи данных;
— нет согласий на передачу данных внутри группы компаний или подрядчикам (например, в бухгалтерию)
К чему это может привести:
↖️ Нарушение требований локализации и безопасности ПДн — если первичный сбор осуществляется в зарубежное облако или мессенджер
↖️ Нарушение принципов обработки — сбор “на всякий случай”, передача без оснований, хранение дольше срока
↖️ Инциденты и утечки — по вине не злоумышленника, а из-за банального «забыли отключить доступ»
↖️ Ответственность по 152-ФЗ, КоАП и ТК РФ
Роскомнадзор не делает скидку на «не знали».
А если утечка повлечет вред человеку, это уже ответственность и не только гражданско-правовая.
ЧТО ДЕЛАТЬ HR И БИЗНЕСУ
✅ Разграничить доступы
Доступ к ПДн только по необходимости. Назначьте ответственного, ограничьте видимость внутри департамента
✅ Оформить процессы передачи данных
Акты, регламенты, учетные записи, пересмотры прав. Увольнение HR не должно быть неожиданностью для ответственного за обработку персональных данных
✅ Использовать только контролируемые каналы
Нет Telegram и WhatsApp для обмена ПДн. Только защищенная корпоративная почта и проверенные хранилища
✅ Проверять исполнение требований
Проведите аудит HR-процессов с точки зрения ПДн. Желательно — внешними глазами
💬 HR — это один из самых чувствительных блоков с точки зрения конфиденциальности, поскольку, как правило, обрабатываются сведения работников о состоянии здоровья, о судимости, что требует более серьезного обеспечения безопасности персональных данных.
Если в безопасности дыра, утечка произойдет не от хакеров, а изнутри. Чтобы не стать героем кейса про «бывшего HR с флешкой», нужно действовать на опережение.
Хотите, покажем, как это устроено в типовом аудите? И где ваши риски, даже если все вроде бы хорошо.
