Обучение сотрудников по персональным данным: программа, тестирование, фиксация прохождения

Как построить систему, которая защитит компанию от штрафов и реально работает

Почему обучение — это не формальность

Большинство российских компаний имеют хоть какую-то документацию по персональным данным: Политику обработки, приказ о назначении ответственного, согласия. Но когда приходит проверяющий из Роскомнадзора, один из первых вопросов неизменно звучит так: «Покажите журнал прохождения инструктажа». Именно здесь многие организации обнаруживают белое пятно.

Обязанность обучать персонал закреплена в п. 6 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» [1]: оператор обязан обеспечить обучение работников, непосредственно осуществляющих обработку персональных данных, и/или ознакомление работников с положениями законодательства. Статья 19 того же закона относит подготовку персонала к мерам по обеспечению безопасности данных. Помимо этого, ст. 90 Трудового кодекса РФ [3] устанавливает личную ответственность виновных сотрудников за нарушения при обработке данных работников — вплоть до дисциплинарной, административной и уголовной.

Значение темы резко возросло в 2024–2025 годах. Федеральный закон № 420-ФЗ от 30 ноября 2024 года [2] увеличил штрафы в разы: теперь за утечку базы, затронувшей более 100 000 физических лиц, организации грозит штраф от 10 до 15 млн рублей, а при повторном нарушении — оборотный штраф до 500 млн рублей. В декабре 2024 года в Уголовный кодекс введена ст. 272.1 — отдельная статья за незаконный оборот персональных данных с максимальным наказанием до 10 лет лишения свободы [2].

На этом фоне статистика выглядит тревожно. По данным InfoWatch [12], в 2024 году из российских компаний утекло 1,58 млрд записей персональных данных — рост составил более 30% по сравнению с 2023 годом. При этом доля инцидентов по вине внутренних нарушителей достигла 18,5%, а 98% таких утечек были умышленными [12]. По расчётам аналитиков, 60% всех нарушений в той или иной мере связаны с внутренним фактором [20]. Сотрудник, не знающий, что нельзя отправлять базу клиентов в личный Telegram, или не понимающий, что «фотография экрана» тоже является утечкой — реальная угроза для любой компании [19].

Статья написана для руководителей, HR-директоров, специалистов по информационной безопасности, DPO и юристов, которые хотят построить рабочую, а не декоративную систему обучения сотрудников в области персональных данных.

Часть 1. Правовая основа: кого, чему и как обязаны учить

1.1. Нормативные требования

Центральная норма — п. 6 ч. 1 ст. 18.1 ФЗ-152 [1]. Она обязывает оператора обеспечить обучение работников, непосредственно осуществляющих обработку персональных данных, и/или их ознакомление с законодательством. Формулировка «и/или» не означает, что можно ограничиться одним ознакомлением под роспись: Роскомнадзор в своей надзорной практике расценивает минимальные меры как недостаточные, если они не подтверждены реальной проверкой знаний [15].

Параллельно действуют:

1. Статья 19 ФЗ-152 [1] — относит подготовку персонала к мерам по обеспечению безопасности ПДн наряду с техническими средствами защиты.
2. Глава 14 Трудового кодекса РФ (ст. 86–90) [3] — регулирует обработку ПДн работников: определяет принципы сбора, хранения и передачи, а также личную ответственность виновных лиц.
3. Статья 90 ТК РФ [3] — прямо устанавливает, что сотрудники, виновные в нарушениях при обработке данных работника, несут дисциплинарную, материальную, административную и уголовную ответственность.
4. Приказ ФСТЭК России от 18.02.2013 № 21 [4] — в разделе об организационных мерах предусматривает регулярные инструктажи для работников, имеющих доступ к информационным системам персональных данных (ИСПДн).
5. Постановление Правительства РФ от 01.11.2012 № 1119 «Требования к защите ПДн при их обработке в ИСПДн» — конкретизирует уровни защищённости и соответствующий набор мер, включая кадровые.

Кроме того, с 30 мая 2025 года вступили в силу изменения в КоАП (ФЗ-420), существенно повысившие штрафы. Роскомнадзор получил расширенные полномочия: с 1 сентября 2025 года контроль в отдельных сферах (биометрия, чувствительные данные) вправе осуществлять и силовые ведомства [13].

1.2. Кто обязан проходить обучение

Обязанность обучения касается всех операторов персональных данных — а это, по существу, любая организация или ИП, у которых есть хотя бы один сотрудник или база клиентов [9]. Роскомнадзор прямо разъяснял: даже если обработкой занимается только руководитель небольшой фирмы, он обязан знать правила обращения с данными [15].

На практике обучение должны пройти:

1. Все сотрудники, которые в рамках своих должностных обязанностей хотя бы иногда сталкиваются с персональными данными клиентов, партнёров или коллег: HR-специалисты, менеджеры по продажам, операторы колл-центра, бухгалтеры.
2. Работники ИТ-подразделений, администрирующие базы данных, CRM-системы, почтовые серверы, Active Directory и другие системы, содержащие ПДн [11].
3. Сотрудники ИБ-подразделений, ответственные за техническую защиту.
4. Специалисты, назначенные ответственными за организацию обработки ПДн (DPO или аналог).
5. Руководители структурных подразделений, принимающие решения о допуске подчинённых к данным.

В соответствии с письмом Роскомнадзора от 03.04.2024 № 08-89532 [6] даже педагогические работники, ведущие личные дела учеников и электронные журналы, считаются осуществляющими обработку персональных данных и также подпадают под требование об обучении.

1.3. Ответственность за отсутствие обучения

Отсутствие журналов прохождения инструктажа и документально подтверждённого обучения фиксируется Роскомнадзором как самостоятельное нарушение при проверках [15]. В одной из компаний HR-специалисты не проходили обучение и не были ознакомлены с инструкциями — они получили предписание об устранении нарушений. В другой организации обучение проводится ежегодно с записью в специальный журнал — именно такой подход Роскомнадзор квалифицировал как пример надлежащей практики [15].

Часть 2. Структура программы обучения

2.1. Трёхуровневая модель

Практика компаний, успешно прошедших проверки Роскомнадзора, показывает: единая программа «для всех» не работает — слишком разнится глубина знаний, необходимая кладовщику и системному администратору. Целесообразна трёхуровневая модель обучения.

Уровень 1 — базовый (все сотрудники организации). Это минимум, который должен знать каждый. Объём — 2–4 академических часа, формат — лекция или электронный курс. Содержание охватывает: что такое персональные данные и их категории, принципы обработки ПДн по ФЗ-152, запрет на передачу данных третьим лицам без основания, базовые правила работы с документами и носителями, порядок действий при возможной утечке, куда обращаться при подозрении на инцидент.

Уровень 2 — расширенный (для работников, непосредственно обрабатывающих ПДн: HR, бухгалтерия, продажи, колл-центр, ИТ). Объём — 8–16 часов, с практическими заданиями. Дополнительно к базовому уровню: правовые основания обработки и специфика каждого из них, порядок получения и оформления согласий (с учётом изменений с 01.09.2025 по ФЗ-233 от 08.08.2024), работа с запросами субъектов ПДн, процедуры при инцидентах и уведомление Роскомнадзора в 24-часовой срок, права и обязанности оператора по ст. 18.1 ФЗ-152 [1], обязательства о конфиденциальности.

Уровень 3 — экспертный (DPO, специалисты ИБ, юристы, аудиторы). Объём — от 40 часов, с выдачей удостоверения о повышении квалификации. Охватывает полный спектр: архитектуру комплаенса, проведение внутренних аудитов, разработку локальных актов, взаимодействие с регулятором, технические меры по Приказу ФСТЭК № 21 [4], основы GDPR при международной деятельности, уголовную ответственность по ст. 272.1 УК РФ.

2.2. Тематические блоки программы второго уровня

Для сотрудников, непосредственно работающих с ПДн, рекомендуется следующая структура программы:

Блок 1 — Правовая база (2–4 ч.). Основные положения ФЗ-152, изменения 2024–2025 годов, ответственность по КоАП, ТК и УК, роль Роскомнадзора и ФСТЭК.

Блок 2 — Категории персональных данных (1–2 ч.). Обычные, специальные (здоровье, национальность, политические взгляды), биометрические, данные несовершеннолетних. Особый режим обработки и повышенная ответственность за утечку специальных категорий.

Блок 3 — Жизненный цикл ПДн в организации (2–4 ч.). Сбор и получение согласия, цели и минимизация, хранение, изменение, уничтожение. Как выглядит реестр обработки данных и зачем он нужен.

Блок 4 — Процедурные обязанности (2–3 ч.). Ответы на запросы субъектов, сроки и форма ответа, порядок исправления, блокирования и уничтожения ПДн по требованию. Уведомление Роскомнадзора о начале обработки.

Блок 5 — Инциденты и реагирование (1–2 ч.). Что является утечкой, как её выявить, обязанность уведомить Роскомнадзор в течение 24 часов (при подтверждении — в течение 72 часов), внутренние процедуры расследования.

Блок 6 — Практические кейсы (2–4 ч.). Разбор типичных нарушений: отправка данных на личную почту, хранение сканов паспортов без оснований, передача базы клиентов подрядчику без договора-поручения, фотография экрана с персональными данными на телефон. Именно последний сценарий стал предметом судебного дела № А40-36038/2025: оператор был признан виновным в утечке, даже несмотря на то что данные ушли через фото чужого экрана [19].

2.3. Новые требования к обучению с 2025 года

Важно учитывать законодательные изменения при обновлении программ обучения:

С 1 сентября 2025 года вступили в силу новые требования к форме и содержанию согласия на обработку ПДн (изменения в ст. 9 ФЗ-152, введённые ФЗ-233 от 08.08.2024 [10]): никаких «автоматических активаций», никаких отсылок на публичную оферту — согласие должно быть осознанным, конкретным и задокументированным. Сотрудники, занимающиеся сбором данных, обязаны понимать эти требования.

С 30 мая 2025 года требование об уведомлении Роскомнадзора о начале обработки ПДн распространилось в том числе на самозанятых [7]. Это значит, что соответствующий модуль обучения теперь актуален для более широкого круга лиц.

С 1 сентября 2025 года введена новая ст. 13.1 ФЗ-152, позволяющая обрабатывать обезличенные данные без согласия субъекта — при соблюдении требований Роскомнадзора. Это требует обновления материалов обучения в части обезличивания [9].

Часть 3. Тестирование: как проверить, что знания усвоены

3.1. Зачем нужно тестирование, а не только «ознакомление под роспись»

Формальное ознакомление с инструкцией, удостоверенное подписью, — юридически минимально допустимый вариант, но практически неэффективный. Наблюдения показывают, что сотрудники нередко читают регламенты «как художественную литературу, не запоминая суть документа» [41]. Более того, в случае инцидента суд и регулятор могут задать вопрос: каким образом оператор убедился, что работник усвоил требования? Простая подпись здесь — слабый аргумент.

Тестирование решает несколько задач одновременно:

1. Подтверждает факт усвоения знаний конкретным сотрудником — это доказательная база при проверке или судебном разбирательстве.
2. Выявляет пробелы в знаниях до того, как они привели к инциденту.
3. Мотивирует сотрудников относиться к материалу серьёзнее.
4. Позволяет дифференцировать программы — тем, кто не прошёл тест, назначается повторное обучение.

3.2. Виды и формы тестирования

Тестирование по итогам первичного обучения (аттестационный тест). Проводится после завершения обучения. Рекомендуемый формат: 15–30 вопросов с выбором ответа и ситуационными задачами. Пороговый балл для базового уровня — 70%, для второго и третьего уровня — 80–85%. При непрохождении — обязательное повторное обучение и повторное тестирование.

Периодическое тестирование (контроль остаточных знаний). Рекомендуется не реже одного раза в год — такая периодичность упоминается как минимальная для ряда отраслей (банки, медицина, органы власти) [15]. Более короткие интервалы — раз в полгода — целесообразны для сотрудников, регулярно работающих с большими объёмами чувствительных данных.

Внеплановое тестирование. Проводится при существенных изменениях законодательства (как это произошло в 2025 году), при смене должностных обязанностей сотрудника, при инциденте в подразделении, а также при введении в эксплуатацию новой информационной системы, обрабатывающей ПДн.

3.3. Типы вопросов

Эффективная программа тестирования включает несколько типов вопросов:

1. Фактологические вопросы с выбором ответа: «Что такое специальная категория персональных данных?», «В течение какого времени оператор обязан уведомить Роскомнадзор об утечке?»
2. Ситуационные задачи: «Сотрудник получил по электронной почте список клиентов с их адресами от коллеги другого отдела. Каковы его действия?»
3. Вопросы на распознавание нарушения: «В каком из описанных сценариев нарушается 152-ФЗ?»
4. Вопросы на процедуры: «Назовите последовательность действий при обнаружении признаков утечки данных».

Образовательные платформы — в частности, программы НИУ ВШЭ [16] и Б-152 [17] — используют именно такой смешанный формат, дополняя его деловыми играми (например, «проверка Роскомнадзора» или «аудит компании по 152-ФЗ»).

3.4. Технические инструменты для тестирования

Крупные организации, как правило, используют системы дистанционного обучения (СДО / LMS): iSpring Learn, Moodle, Антитренинги, Talent LMS и российские аналоги [39]. Основные критерии выбора: автоматическая фиксация результатов в журнале, возможность экспорта в Excel или PDF для предоставления регулятору, поддержка разных типов вопросов, интеграция с кадровыми системами (1С, Active Directory).

Для компаний, не готовых внедрять полноценную LMS, допустима упрощённая схема: онлайн-тест через Google Forms или аналог с автоматической записью результатов, распечатка протокола и приобщение его к личному делу сотрудника.

Независимо от инструмента ключевое требование — возможность доказать факт прохождения тестирования конкретным сотрудником в конкретную дату с конкретным результатом.

Часть 4. Фиксация прохождения обучения: документальный след

4.1. Зачем нужна документация

Документальное подтверждение обучения выполняет одновременно правовую и практическую функции. С правовой точки зрения — это доказательство выполнения требований п. 6 ч. 1 ст. 18.1 ФЗ-152 [1] и Приказа ФСТЭК № 21 [4]. С практической — позволяет отследить, кто и когда проходил обучение, кому нужно пройти повторный инструктаж, кто ещё не аттестован.

Роскомнадзор при проверке запрашивает документацию о проведённом обучении в числе первых — наравне с Политикой обработки ПДн и согласиями субъектов.

4.2. Обязательный пакет документов

Система документирования обучения включает несколько элементов.

Программа обучения (инструктажа) — утверждённый документ, описывающий: цели и задачи обучения, целевую аудиторию, перечень тем, временной регламент, форму аттестации, периодичность проведения. Этот документ также подтверждает, что обучение проводится системно, а не ad hoc.

Приказ о проведении обучения — распорядительный документ, которым руководитель назначает ответственных, устанавливает сроки и обязывает конкретных сотрудников пройти обучение. При первичном обучении новых сотрудников соответствующее положение может быть включено в трудовой договор или должностную инструкцию.

Журнал учёта прохождения первичного инструктажа — основной документ фиксации. Содержит: ФИО и должность сотрудника, дату прохождения, тему и форму инструктажа, подпись сотрудника, подпись проводившего инструктаж. Согласно надлежащей практике, зафиксированной Роскомнадзором [15], журнал ведётся при каждом инструктаже — первичном, повторном и внеплановом.

Лист ознакомления с документами — подтверждает, что сотрудник ознакомлен с конкретными локальными актами: Политикой обработки ПДн, должностными инструкциями, регламентом реагирования на инциденты. Хранится в личном деле работника.

Протокол (ведомость) тестирования — фиксирует результаты проверки знаний: кто сдавал, когда, какой балл получен, пройден тест или нет, принятые по итогам меры (допуск к работе с ПДн, направление на повторное обучение). При электронном тестировании допускается хранение в информационной системе с возможностью формирования отчёта.

Обязательство о конфиденциальности (неразглашении) — подписывается каждым сотрудником, допускаемым к обработке ПДн. Подтверждает личное принятие ответственности.

Журнал внутреннего контроля — фиксирует периодические проверки соответствия обработки ПДн установленным требованиям, включая контроль актуальности обучения [18].

4.3. Сроки хранения документации

Журналы инструктажа и протоколы тестирования рекомендуется хранить не менее трёх лет — именно такой срок исковой давности по административным делам актуален для большинства нарушений в сфере ПДн. Для отраслей с повышенными требованиями (медицина, финансы) срок хранения кадровых документов составляет до 75 лет.

4.4. Автоматизация документирования

Ручное ведение журналов — трудоёмко и подвержено ошибкам. Оптимально, когда система обучения автоматически формирует протоколы по каждому сотруднику, а HR-служба получает уведомления о приближении срока повторного обучения. Это обеспечивают современные LMS-платформы [37] и специализированные системы тестирования, поддерживающие журнал действий пользователей с возможностью экспорта [35].

Часть 5. Практические рекомендации: как выстроить систему

5.1. Пошаговый алгоритм внедрения

1. Провести инвентаризацию: составить список должностей, имеющих доступ к персональным данным, и категорий ПДн, которые они обрабатывают. Это исходная точка для определения глубины обучения по каждой группе.
2. Разработать или адаптировать программу обучения под специфику организации. При наличии отраслевых особенностей (медицина, банки, госсектор) необходимо учесть соответствующие нормативные акты.
3. Утвердить программу приказом руководителя. Обеспечить юридическую корректность документа — в нём должны быть явно указаны основания (п. 6 ч. 1 ст. 18.1 ФЗ-152, Приказ ФСТЭК № 21).
4. Провести первичное обучение всех сотрудников по уровням. Зафиксировать результаты в журналах и протоколах.
5. Организовать систему периодического обновления: календарь повторных инструктажей, триггеры для внеплановых — изменение законодательства, инцидент, новая система.
6. Обеспечить обучение новых сотрудников в первые дни работы, до допуска к обработке ПДн.
7. Хранить документацию централизованно с возможностью оперативного предоставления при проверке.

5.2. Чек-лист соответствия системы обучения требованиям

Следующие пункты отражают минимальный уровень готовности организации к проверке Роскомнадзора в части обучения:

1. Утверждена программа обучения (инструктажа) сотрудников по ПДн.
2. Издан приказ о проведении обучения с указанием ответственных лиц.
3. Все сотрудники, работающие с ПДн, прошли первичный инструктаж.
4. Ведётся журнал первичного инструктажа с подписями сотрудников.
5. Проводится повторное обучение не реже 1 раза в год.
6. При изменениях законодательства проводится внеплановый инструктаж.
7. По итогам обучения проводится тестирование с фиксацией результатов.
8. Каждый допущенный к ПДн сотрудник подписал обязательство о конфиденциальности.
9. Новые сотрудники проходят обучение до допуска к обработке ПДн.
10. Документация хранится в порядке, позволяющем быстро предоставить её проверяющим.

Часть 6. Типичные ошибки и как их избежать

6.1. Ошибка 1: «Достаточно подписи под Политикой»

Одно ознакомление с общей Политикой обработки ПДн не заменяет ни обучения, ни тестирования, ни ознакомления с конкретными инструкциями. Роскомнадзор разграничивает эти процедуры. Политика — это публичный документ. Инструкция по работе с ПДн в конкретной информационной системе — внутренний. Именно последний должен быть доведён до конкретного исполнителя под роспись.

6.2. Ошибка 2: Обучение только при приёме на работу

Законодательство в сфере ПДн стремительно меняется: только за 2024–2025 годы были приняты ФЗ-233, ФЗ-420, ФЗ-421, ФЗ-156 [1, 2], внесены изменения в ст. 9, 13.1 ФЗ-152. Программа трёхлетней давности уже не отражает актуальных требований. Внеплановые инструктажи при существенных изменениях законодательства — не лучшая практика, а обязательный элемент системы.

6.3. Ошибка 3: Одинаковое обучение для всех

Кладовщик, работающий только с бумажными документами, и системный администратор базы данных клиентов — принципиально разные роли с разными рисками. Универсальный курс на 2 часа не даст администратору необходимых знаний о технических мерах защиты, а кладовщика перегрузит нерелевантной информацией. Дифференциация по ролям — основа эффективной программы.

6.4. Ошибка 4: Обучение без актуальной карты данных

Это одна из наиболее системных ошибок, которую часто упускают из виду. Обучение даёт сотрудникам знания об обращении с ПДн, но если в организации нет актуальной картины того, где и какие данные хранятся, кто имеет к ним доступ, какие новые поля добавились в БД или CRM — обучение применяется к неполному и устаревшему перечню данных. В ИТ-ландшафте компании постоянно появляются новые источники данных: новые поля в CRM, новые интеграции с партнёрами, новые подрядчики с доступом к базам. Без единой актуальной «карты ПДн» компания не видит новые риски вовремя [источник: описание проблематики 5factor.ru].

6.5. Ошибка 5: Обучение без проверки применения знаний

Сотрудник, знающий теорию, может всё равно фотографировать рабочий экран, отправлять данные через личный мессенджер или пересылать базу подрядчику без договора. Знание нормы и следование ей — разные вещи. Эффективное обучение включает практические сценарии и периодический контроль реального поведения.

6.6. Ошибка 6: Отсутствие процедуры при инцидентах

С 30 мая 2025 года компания обязана уведомить Роскомнадзор об утечке в течение 24 часов [2]. Если сотрудник не знает, кому сообщить о подозрительной ситуации и каков порядок действий, драгоценное время будет упущено, а штраф за неуведомление — от 1 до 3 млн рублей — неизбежен [25]. Процедура реагирования на инциденты должна быть частью программы обучения, а не отдельным документом, о котором «все слышали».

Часть 7. Кейсы из надзорной и судебной практики

7.1. Предписание за отсутствие инструктажа HR-специалистов

По данным из открытой практики [15], в одной из компаний сотрудники кадровой службы, работающие с личными делами сотрудников, не были ознакомлены с внутренними инструкциями и не проходили обучение. При плановой проверке Роскомнадзора это зафиксировано как самостоятельное нарушение, по которому выдано предписание об устранении. Компании пришлось в короткие сроки разработать программу, провести инструктаж и предоставить журналы.

7.2. Утечка через фотографию экрана

Дело № А40-36038/2025, на которое ссылаются аналитики отрасли [19]: данные ушли через фотографию рабочего экрана, сделанную сотрудником на личный телефон. Суд признал оператора виновным в утечке, несмотря на возражения о том, что нарушение совершил конкретный работник. Отсутствие достаточных организационных мер — включая обучение — стало основанием для вывода о вине самого оператора.

7.3. Штраф за утечку базы данных

В 2025 году Роскомнадзор зафиксировал 118 случаев компрометации баз данных, в результате которых в сеть попали более 52 млн записей [13]. Крупные санкции получили РЖД и «Почта России». Вместе с тем специалисты в сфере ИБ прогнозируют значительный рост числа штрафов в 2026 году [13] — в том числе потому, что оборотные штрафы за повторную утечку (до 500 млн руб.) введены в действие и регулятор начнёт их применять.

7.4. Рост спроса на аудит как следствие ужесточения ответственности

По данным CNews [14], с ноября 2024 по январь 2025 года спрос на аудит систем защиты персональных данных вырос более чем в пять раз. Это свидетельствует о том, что бизнес начал серьёзно воспринимать угрозу штрафов. Однако аудит сам по себе не снимает ответственность с оператора — он лишь создаёт картину текущего состояния. Без системного обучения, актуальных инструкций и контроля результаты аудита быстро устаревают.

Часть 8. Тренды и будущее системы обучения по ПДн

8.1. Нарастание регуляторного давления

По всем признакам, давление регулятора в 2026 году будет усиливаться. Специалисты рынка ИБ прогнозируют, что число штрафов за утечки существенно вырастет [13] — в первую очередь потому, что оборотные санкции только начали применяться, а Роскомнадзор последовательно расширяет использование автоматизированных инструментов мониторинга.

С 1 сентября 2025 года расширены полномочия контролирующих органов: наряду с Роскомнадзором проверки теперь могут осуществлять силовые ведомства в части биометрических и чувствительных данных [13]. Это означает, что число субъектов, способных выявить нарушения, растёт.

8.2. Автоматизация и онлайн-обучение

Рынок корпоративного обучения движется в сторону микрообучения (короткие модули по 5–15 минут), адаптивных программ (тест определяет, какие темы нужно закрепить именно этому сотруднику), геймификации и автоматической рассылки напоминаний об истечении срока переаттестации. Эти тенденции актуальны и для обучения по ПДн — особенно в распределённых компаниях с большим числом сотрудников.

8.3. Повышение роли DPO

Концепция ответственного за организацию обработки ПДн (аналог европейского Data Protection Officer) всё активнее обсуждается в российском правовом поле. Несмотря на то что введение обязательного DPO в России пока не состоялось, практика крупных компаний и требования Роскомнадзора фактически вынуждают назначать выделенного специалиста с экспертными компетенциями — именно он несёт ответственность за системность обучения и актуальность документации.

8.4. Обучение как часть культуры, а не процедура

Компании, лидирующие в области защиты данных, смотрят на обучение шире, чем на инструктаж «для Роскомнадзора». Они формируют культуру работы с данными: сотрудник понимает, почему важна защита ПДн, а не только что за нарушение грозит штраф. Такой подход статистически снижает долю инцидентов по вине инсайдеров [20], так как сотрудники воспринимают себя участниками защиты, а не объектами контроля.

Заключение: что делать прямо сейчас

Обучение сотрудников по персональным данным — это не разовая задача и не документ, который можно написать раз и забыть. Это непрерывный процесс, который требует регулярного обновления, контроля и документирования.

Если ваша организация ещё не выстроила эту систему или делала это давно, вот минимальный план первых шагов:

1. Провести инвентаризацию сотрудников, имеющих доступ к персональным данным, и категорий ПДн в организации.
2. Разработать программу обучения на двух-трёх уровнях с учётом изменений 2024–2025 годов.
3. Утвердить программу приказом и провести первичное обучение с тестированием.
4. Ввести журнал инструктажей и протоколы тестирования как обязательные документы.
5. Установить календарь повторных инструктажей (минимум ежегодно) и триггеры для внеплановых.
6. Назначить ответственного за актуализацию программы при изменении законодательства.

И самое важное — параллельно с обучением необходимо поддерживать актуальную и полную картину того, где в организации хранятся персональные данные. Обучать сотрудников правилам работы с данными, которых они «не видят» в своих системах или о существовании которых просто не подозревают, — значит строить защиту на неполном фундаменте.

О платформе «Пятый фактор»

Именно здесь возникает задача, которую решает отечественная on-prem платформа «Пятый фактор». Одна из ключевых проблем операторов — это разрыв между тем, чему учат сотрудников, и тем, с какими данными они реально работают. ИТ-ландшафт меняется постоянно: появляются новые поля в базах данных, новые интеграции с подрядчиками, новые источники ПДн в CRM или 1С. Без актуальной «карты персональных данных» компания не может ни корректно обучить персонал, ни своевременно выявить новые риски.

«Пятый фактор» автоматически обнаруживает, инвентаризирует и классифицирует персональные данные во всех корпоративных системах — базах данных, хранилищах, почте, AD/LDAP, CRM, 1С, API. Принципиально важно: платформа работает только с метаданными, структурой и агрегатами, не передавая и не сохраняя «сырые» ПДн. Это означает, что само решение не становится дополнительным источником риска.

В контексте обучения «Пятый фактор» даёт организации несколько конкретных преимуществ:

1. Актуальный реестр обработки ПДн — основу для разработки корректных программ обучения, привязанных к реальным системам и процессам.
2. Раннее обнаружение новых данных (новых полей, интеграций, источников) — возможность своевременно провести внеплановый инструктаж до того, как сотрудники начнут работать с новыми данными без соответствующей подготовки.
3. Понятную структуру владельцев данных и процессов — основу для адресного обучения: ИТ-команда знает, какие именно системы она обслуживает, и проходит обучение применительно к конкретным рискам.

Таким образом, «Пятый фактор» и система обучения сотрудников — не конкурирующие, а взаимодополняющие элементы единой системы управления рисками в области персональных данных.

Источники

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 24.06.2025) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] КонсультантПлюс: новые штрафы за ПДн с 30 мая 2025 года (ФЗ-420 от 30.11.2024) — https://www.consultant.ru/legalnews/28492/

[3] Трудовой кодекс РФ, Глава 14. Статья 90. — https://www.consultant.ru/document/cons_doc_LAW_34683/

[4] Приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 14.05.2020) — https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21

[5] Роскомнадзор: обязательные меры для операторов ПДн — https://66.rkn.gov.ru/directions/p18760/

[6] Роскомнадзор, письмо от 03.04.2024 № 08-89532 (обработка ПДн педагогами) — https://www.xn--d1abkefqip0a2f.xn--p1ai/index.php/item/21442-obrabotka-personalnykh-dannykh-v-obrazovatelnykh-organizatsiyakh

[7] Alfa-kurs: изменения в 152-ФЗ в 2025 году — https://kurs.alfabank.ru/articles/personalnye-dannye-izmeneniya/

[8] Хабр / МойСклад: новые штрафы за ПДн с 30.05.2025 — https://habr.com/ru/companies/moysklad/articles/994568/

[9] Business.ru: 152-ФЗ о персональных данных в 2025–2026 годах — https://www.business.ru/article/5705-152-fz-o-personalnyh-dannyh-gg

[10] GARANT.RU: согласие на обработку ПДн с 1 сентября 2025 года — https://www.garant.ru/article/1862510/

[11] TAdviser: штрафы за утечку данных в России — https://www.tadviser.ru/index.php/Статья:Штрафы_за_утечку_данных_в_России

[12] InfoWatch: утечки персональных данных в России выросли на 30% в 2024 году — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[13] ComNews: 6 компаний оштрафованы за утечки в 2025 г. — https://www.comnews.ru/content/243497/2026-01-29/2026-w05/1008/2025-g-shest-kompaniy-poluchili-shtrafy-za-utechki-2026-g-shtrafov-budet-bolshe

[14] CNews: спрос на аудит ИТ-систем защиты данных вырос вдвое — https://www.cnews.ru/news/top/2025-03-21_spros_na_audit_it-sistem

[15] mediator-med.ru: должны ли сотрудники проходить обучение по ПДн — https://mediator-med.ru/news-yuridicheskaya-bezopasnost/tpost/9v9cj0t8b1-dolzhni-li-prohodit-sotrudniki-kompanii

[16] НИУ ВШЭ: программа ДПО «Защита персональных данных (152-ФЗ)» — https://www.hse.ru/edu/dpo/1033550968

[17] Б-152: курс Privacy Professional — https://edu.b-152.ru

[18] law115.ru: комплект документов и журналов для оператора ПДн — https://law115.ru/kurs-povysheniya-kvalifikacii-personalnye-dannye

[19] Хабр / InfoWatch: персональные данные — итоги 2025 года, судебная практика — https://habr.com/ru/companies/infowatch/articles/989886/

[20] gendalf.ru: человеческий фактор и утечки данных, 2024 — https://gendalf.ru/news/zpdn/chelovecheskiy-faktor-68-utechek-dannykh/

[21] it-pnk.ru: увеличение штрафов за ПДн с 30 мая 2025 года — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[22] Хабр: РКН выявил 35 фактов утечек ПДн в первой половине 2025 года — https://habr.com/ru/news/924602/

[23] InfoWatch: исследование «Утечки информации в мире 2023–2024» — https://www.infowatch.ru/sites/default/files/analytics/files/utechki-informatsii-v-mire-2023-2024-gody.pdf

[24] cisoclub.ru: 152-ФЗ: ответственность, DPO, требования РКН и ФСТЭК — https://cisoclub.ru/pochemu-vazhno-sobljudat-152-fz-dazhe-esli-u-vas-net-dpo/

[25] КонсультантПлюс: Главбух — штрафы за обработку и утечку ПДн 2025 — https://www.glavbukh.ru/art/391377-shtrafy-za-obrabotku-rasprostranenie-i-utechku-personalnyh-dannyh-11xx-news