Как защитить данные сотрудников в HR-системах

1С:Зарплата и управление персоналом, BambooHR, HRlink, Битрикс24 — облачные HR-системы и зарплатные сервисы стали нормой для российских компаний. Удобно, но все самые чувствительные данные ваших сотрудников сосредоточены в одном месте.

Какие данные хранятся в HR-системах

Тип данных	Примеры	Риск при утечке
Личные данные	Паспортные данные, ИНН, СНИЛС, адрес	Мошенничество, подделка документов
Зарплатные данные	Оклад, премии, вычеты	Конфликты в коллективе, шантаж
Банковские данные	Номер счёта, реквизиты	Финансовые потери
Медицинские данные	Больничные, результаты медосмотров	Дискриминация
Оценка	Результаты аттестации, выговоры	Репутационный ущерб

Типичные каналы утечки

1. Общий админский аккаунт

Когда кадровик увольняется, пароль от HR-системы пересылают преемнику в Telegram. Это сообщение навсегда остаётся в истории чата.

2. Зарплатные ведомости по email

Многие компании отправляют расчётные листки по электронной почте. Ошибка в адресе — и зарплата коллеги становится известна посторонним.

3. Обмен документами с бухгалтером на аутсорсе

Excel-файлы с данными сотрудников отправляются по email аутсорсинговой бухгалтерии — без шифрования, без контроля доступа.

4. Неотозванный доступ уволенных

Если доступ к HR-системе не закрывается в день увольнения, бывший сотрудник по-прежнему может просматривать данные всех коллег.

Чек-лист безопасности HR-данных

• Двухфакторная аутентификация (MFA) включена для всех админских аккаунтов
• Ежемесячная проверка журналов доступа
• Блокировка аккаунта в день увольнения
• Шифрование при экспорте зарплатных данных
• Доступ внешних контрагентов (бухгалтерия, юристы) ограничен минимумом
• Ролевое разграничение доступа (RBAC)

Безопасные способы обмена кадровыми данными

Ролевое разграничение доступа

Не давайте всем один «суперадминский» аккаунт. Настройте роли: зарплата, рекрутинг, только чтение.

Включите журнал аудита

Фиксируйте, кто когда к каким данным обращался — без этого невозможно расследовать инциденты.

Защищённые ссылки для внешнего обмена

Когда нужно отправить зарплатные данные бухгалтеру, не прикрепляйте Excel к письму. Создайте на LOCK.PUB зашифрованную заметку или ссылку с паролем. Пароль передайте по другому каналу (например, по телефону). Даже если письмо перехватят — данные останутся защищены.

Безопасная передача учётных данных

При смене HR-администратора используйте самоудаляющуюся заметку на LOCK.PUB вместо отправки пароля в Telegram. Заметка исчезает после прочтения.

Соответствие законодательству

Федеральный закон №152-ФЗ «О персональных данных» предъявляет строгие требования:

Обязанность	Содержание	Санкции
Согласие на обработку	Письменное согласие работника	Штраф до 150 000 ₽
Защита данных	Технические и организационные меры	Штраф до 300 000 ₽
Уведомление об утечке	Сообщить в Роскомнадзор в течение 24ч	Штраф + предписание
Локализация данных	Хранение на территории РФ	Блокировка сервиса

3 действия на сегодня

1. Включите MFA — Активируйте двухфакторную аутентификацию для всех админских аккаунтов HR-систем прямо сейчас
2. Проверьте уволенных — Убедитесь, что у всех уволенных за последние 6 месяцев закрыт доступ
3. Измените способ обмена — Прекратите отправлять конфиденциальные файлы вложениями. Используйте LOCK.PUB для создания защищённых ссылок с паролем и сроком действия

Данные сотрудников — ваша главная юридическая ответственность. Относитесь к ним соответственно.