Большинство утечек персональных данных происходят не из-за хакеров, а из-за обычных сотрудников. Ошибки администраторов, менеджеров, HR и медицинского персонала становятся причиной штрафов, жалоб клиентов и серьёзных репутационных потерь.
Разберём, какие ошибки сотрудники допускают чаще всего, почему они возникают и как организация может их предотвратить с помощью обучения.
Почему человеческий фактор — главный риск
Контроль соблюдения требований по защите персональных данных осуществляет Роскомнадзор.
По результатам проверок и расследований именно «человеческий фактор» чаще всего фигурирует в актах нарушений:
· неправильная передача данных,
· несанкционированный доступ,
· утечки по электронной почте и мессенджерам,
· работа с документами без регламентов.
ТОП-10 ошибок сотрудников при работе с персональными данными
1️. Передача персональных данных через мессенджеры
Одна из самых распространённых ошибок.
Сотрудники пересылают:
· ФИО клиентов,
· номера телефонов,
· документы,
· медицинские данные.
Почему это опасно:
❌ нет защиты канала
❌ нет контроля доступа
❌ сложно доказать безопасность передачи
2️. Использование личных устройств для работы
Работа с базами данных:
· с личного ноутбука,
· с домашнего телефона,
· через личную почту
создаёт прямую угрозу утечки.
3️. Оставленные без присмотра документы
Типичные ситуации:
· анкеты на ресепшн,
· медицинские карты,
· договоры в зоне доступа посетителей.
Это прямое нарушение требований ФЗ-152.
4️. Обсуждение данных клиентов при посторонних
Сотрудники:
· обсуждают пациентов в коридорах,
· называют ФИО вслух при очередях,
· передают информацию устно без идентификации.
Для медицинских организаций это особенно критично.
5️. Неправильная идентификация клиента
Передача информации без проверки личности:
· по телефону,
· по email,
· через мессенджеры.
Это частая причина жалоб.
6️. Хранение паролей на бумаге
Записанные логины и пароли:
· на стикерах,
· в блокнотах,
· под клавиатурой.
Это грубое нарушение требований безопасности.
7️. Общие учетные записи
Когда несколько сотрудников работают:
· под одним логином,
· без разграничения прав доступа.
В результате невозможно установить виновного при инциденте.
8️. Установка сторонних программ без согласования
Неконтролируемое ПО:
· может передавать данные третьим лицам,
· создавать уязвимости.
9️. Отсутствие удаления данных при увольнении сотрудников
Уволенный сотрудник:
· сохраняет доступы,
· имеет копии данных.
Это серьёзный риск.
10. Незнание своих обязанностей
Самая распространённая причина нарушений — сотрудники просто не знают, что делают что-то неправильно.
Почему возникают эти ошибки
❌ Отсутствие обучения
Персонал не знает требований ФЗ-152.
❌ Нет регламентов
Сотрудники действуют «по привычке».
❌ Нет контроля со стороны руководства
Процессы не отслеживаются.
❌ Формальный подход к защите данных
Документы есть, но правила не внедрены.
Чем грозят ошибки сотрудников
⚠ Административные штрафы
Ответственность несёт:
· организация,
· руководитель,
· ответственные лица.
⚠ Утечки и жалобы клиентов
Это прямой удар по репутации.
⚠ Внеплановые проверки
После инцидентов организация попадает под усиленный контроль.
⚠ Финансовые потери
Компенсации, судебные издержки, восстановление репутации.
Как предотвратить ошибки сотрудников
Шаг 1️. Внедрить обучение персонала
Обучение позволяет:
✔ сформировать базовые знания
✔ объяснить ответственность
✔ отработать практические кейсы
✔ снизить количество нарушений
Шаг 2️. Ввести регламенты работы с ПДн
Сотрудники должны иметь:
· инструкции,
· чек-листы,
· понятные алгоритмы действий.
Шаг 3️. Разграничить доступы
Каждый сотрудник должен:
· иметь только необходимые права,
· работать под личной учетной записью.
Шаг 4️. Контролировать процессы
Регулярные внутренние проверки снижают риски.
Почему обучение — самый эффективный инструмент защиты
Обучение:
✔ дешевле штрафов
✔ снижает риск утечек
✔ повышает дисциплину
✔ защищает бизнес
✔ формирует культуру безопасности
Что включает качественное обучение персонала
✔ основы ФЗ-152
✔ реальные кейсы нарушений
✔ правила работы с сайтами и CRM
✔ требования к медицинским данным (для клиник)
✔ действия при инцидентах
✔ ответственность сотрудников
Запишитесь на обучение персонала по персональным данным
Если вы хотите:
· снизить риск утечек,
· защитить бизнес от штрафов,
· подготовить сотрудников к проверкам,
· выстроить культуру безопасности,