Нужно ли обучать сотрудников работе с ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, обучение сотрудников работе с персональными данными — обязательное требование для всех организаций-операторов. Даже если с ПДн работает только один человек (например, директор в маленькой компании), он обязан быть обучен и ознакомлен с правилами обращения с данными. Без этого невозможно обеспечить законность и безопасность обработки, а при проверке Роскомнадзор рассматривает отсутствие обучения как нарушение.

Зачем нужно обучение:

- сотрудники получают знания о том, что именно считается ПДн и как с ними обращаться;
- формируется понимание ответственности за утечку данных;
минимизируется риск нарушений «по незнанию»;
- оператор подтверждает выполнение организационных мер защиты ПДн, предусмотренных ФЗ-152.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан принять локальные акты и назначить ответственных лиц, что предполагает обучение и инструктаж персонала.
• Ст. 19 ФЗ-152 — требует организационных мер по защите ПДн, включая подготовку сотрудников.
• Ст. 90 ТК РФ — работники обязаны сохранять конфиденциальность ПДн, к которым получили доступ.
• Приказ ФСТЭК № 21 от 18.02.2013 — закрепляет необходимость инструктажа сотрудников, работающих с ПДн.

Практика проверок Роскомнадзора

• В одной компании сотрудники кадрового отдела не проходили обучение и не были ознакомлены с инструкциями. Проверка признала это нарушением и обязала провести инструктаж.
• В другой организации обучение проходило ежегодно с фиксацией в журнале. РКН отметил этот подход как соответствующий лучшим практикам.
• Роскомнадзор рекомендует проводить обучение не только при приёме на работу, но и регулярно — при изменении законодательства, внедрении новых ИТ-систем или процедур.

Важные моменты

• Обучение проводится в виде инструктажа (первичного, повторного, внепланового).
• Факт обучения фиксируется в журнале учёта инструктажей и подтверждается подписью сотрудника.
• Тематика должна включать: принципы обработки ПДн, правила хранения и передачи, ответственность за нарушение, действия при инцидентах.
• Для некоторых сфер (банки, медицина, госучреждения) обучение может требоваться ежегодно по внутренним регламентам.

Рекомендации и выводы

Да, обучение сотрудников по ПДн обязательно. Чтобы соответствовать ФЗ-152 и избежать претензий Роскомнадзора, компании нужно:

1. Разработать программу обучения или инструктажа.
2. Проводить вводный инструктаж при приёме на работу и повторный — не реже одного раза в год.
3. Вести журнал учёта инструктажей.
4. Обновлять программу обучения при изменении законодательства или внутренних процессов.

Компания ICTech разрабатывает программы обучения и инструкции по ПДн, а также проводит обучение сотрудников организаций. Мы включаем это в пакет документов по ФЗ-152, чтобы вы могли доказать Роскомнадзору выполнение требований закона.