Инструкция по работе с ПДн: готовый шаблон 2026 года

Что такое ПДн на человеческом языке

3 из 5 сотрудников в компаниях, куда я прихожу, уверены, что ПДн — это «паспорт и что-то там из отдела кадров». На деле все проще и сложнее одновременно: ПДн — это любая информация, по которой можно узнать конкретного человека, хоть напрямую, хоть в сочетании с другими полями.

Если по данным можно сказать «это точно тот самый Петров из IT» — вы уже в зоне персональных данных. ФИО, мобильный, рабочая почта, номер пропуска, профиль в корпоративном портале, фото с бейджем, ИНН, СНИЛС, IP-адрес рабочего ноутбука, голос в записи колл-центра — все это не «служебка», а ПДн в смысле 152-ФЗ. Там же живут и особые категории: здоровье, инвалидность, судимости, биометрия, религиозные взгляды.

Как закон делит персональные данные

В 152-ФЗ нет красивой схемы на одну страницу (я каждый раз жалею), но логика такая: есть обычные данные (ФИО, контакты, образование, должность), есть специальные (здоровье, интимная жизнь, судимости), есть биометрия (фото, отпечатки пальцев, скан лица), а есть технические идентификаторы — IP, cookie, идентификаторы устройств. Роскомнадзор в свежих разъяснениях 2025 года прямо пишет, что технические идентификаторы тоже считаются ПДн, если их можно связать с человеком.

Это критично, потому что инструкция по работе с ПДн должна учитывать все эти типы, а не только «паспортные данные в отделе кадров». Как только в компании появляются сервисы аналитики, AI-ассистенты, онлайн-формы, список категорий раздувается автоматически. Документы, заточенные под «бумажные личные дела», в 2026 уже не живут, им нужен апдейт под цифровую реальность.

Почему важно объяснять это сотрудникам в лоб

Когда инструкция пишет «ПДн — сведения о личности, обрабатываемые оператором», никто не запоминает ничего. Когда в документе по полочкам приведены примеры «ФИО, телефон, переписка в мессенджере с клиентом, ID в CRM» — сотрудники начинают узнавать свои рабочие кейсы. В PROMAREN я всегда прошу добавить в инструкцию отдельный блок «Примеры ПДн в нашей компании», и это один из самых читаемых разделов, неожиданно.

Получается, что правильное определение ПДн в инструкции — это не про юридическую точность, а про узнаваемость реальных данных, с которыми человек работает каждый день. Дальше на эту основу уже накладываются правила, запреты и ответственность, и они воспринимаются куда спокойнее. Но до правил мы сейчас как раз дойдем.

Как работать с ПДн без паники и штрафов

В начале 2026 большинство проверок Роскомнадзора в РФ срывается не на сложных моделях угроз, а на банальных вещах: кто-то отправил список клиентов подрядчику «по привычке», кто-то завел общий логин к HR-системе, кто-то слил выгрузку в личный Google-диск. Формально инструкция по работе с ПДн есть почти у всех, но она либо нечитабельна, либо не привязана к реальным процессам.

Инструкция для сотрудников по работе с ПДн в 2026 году — это, по сути, короткий сценарий: кто что делает с данными, где берет, куда кладет, кому может показывать и когда обязан уничтожить. Без этой схемы дальше хоть три слоя защиты ставь — люди будут продолжать «крутиться как привыкли».

Какие правила обработки ПДн стоит закрепить

Когда я сажусь править чужие документы, чаще всего не хватает не законов, а простых, приземленных правил, понятных любому менеджеру. В хорошей инструкции прямо по шагам прописано, как работать с ПДн в типовых ситуациях: приняли сотрудника, уволили, передали в страховую, загрузили в Yandex Neuro для подбора резюме, отдали в бухгалтерию на расчеты. Причем не в виде «оператор обязан обеспечить», а в формате «сотрудник делает так-то».

Здесь работает один простой принцип: каждое действие с ПДн должно иметь понятное основание и ограничение. Основание — закон, договор или согласие, ограничение — кто видит, сколько хранится, в каком виде передается. Инструкция не заменяет политику и положение, но служит мостом между юридической конструкцией и живыми руками, которые эти данные трогают каждый день.

1. Собираем данные только по делу: не спрашиваем лишнего в анкетах и формах, особенно про здоровье и семью.
2. Получаем согласие там, где без него никак: отдельный бланк, а не строка в трудовом договоре.
3. Не передаем ПДн «для сведения»: только по договору, под поручение или в рамках закона (налоговая, фонды).
4. Храним столько, сколько нужно по ТК и законам, а не «пока диск не переполнится».
5. Доступ даем по ролям: бухгалтер видит одно, маркетолог другое, стажер почти ничего.
6. Уничтожаем по акту: бумагу — в шредер, цифру — с логом удаления, а не «просто из корзины».

Когда такие правила появляются прямо в инструкции, а не только в положении об обработке ПДн, сотрудникам становится проще понять, чего от них ждут. В одной компании, с которой мы работали в PROMAREN, после обновления документа и короткого обучения количество «серых» выгрузок в личные почты упало почти до нуля — просто потому что больше не приходилось додумывать, как правильно.

Где встраивать автоматизацию и что помнить про AI

Сейчас почти в каждом проекте всплывает тема автоматизации: n8n, Make.com, HR-боты, AI-подбор резюме. Если сценарий крутит персональные данные, он автоматически превращается в часть ИСПДн, а инструкция должна это признавать. В PROMAREN мы прямо в документах описываем ключевые цепочки: «данные из формы на сайте попадают в CRM, дальше в n8n-сценарий и в 1С», с указанием, кто за что отвечает.

Это означает, что регламентация работы с данными должна идти в паре с архитектурой автоматизации. Скрипт, который без разбора заливает ПДн в Google AI или зарубежный облачный сервис, уже в момент запуска создает риск. Тот же Роскомнадзор в разъяснениях (их удобно читать, например, на consultant.ru, а не по слухам из чатов) указывает, что передача в иные юрисдикции требует отдельной оценки. Здесь как раз выручает честная схема потоков и понятные инструкции для тех, кто эти потоки запускает.

Зачем вообще защищать ПДн в 2026

В начале 2026 Роскомнадзор отчитался о росте жалоб и утечек, связанных с персональными данными, примерно на четверть за год — во многом из-за активного использования ИИ-сервисов и «самодельных» интеграций. Штрафы по КоАП растут не космически, но неприятно, особенно в связке с предписаниями и временными блокировками сервисов.

Но честно говоря, деньги — не единственная проблема. Утечка зарплат сотрудников или их диагнозов из ДМС портит репутацию надолго, и никакая формальная ПДн инструкция потом не спасает от кулуарных разговоров и ухода людей. Поэтому защита ПДн — это не только «для галочки под 152-ФЗ», а вполне себе элемент HR-бренда и внутреннего доверия.

Какие риски закрывает нормальная инструкция

Когда мы с юристами PROMAREN садимся разбирать конкретные инциденты, там почти всегда всплывают простые дыры: кто-то отправил файл не тому адресату, кто-то забыл удалить выгрузку с общего диска, кто-то использовал один и тот же пароль на все сервисы. И каждый раз в документах либо тишина, либо общие фразы «сотрудник обязан соблюдать режим конфиденциальности». Без конкретики.

При этом по данным Роскомнадзора (отчеты есть на официальном сайте, они спокойно открываются в браузере, без регистрации), до 70% нарушений связаны именно с человеческим фактором, а не с взломами. Инструкция по работе с ПДн превращает абстрактную «информационную безопасность» в набор конкретных привычек: не отправляем файлы в личные мессенджеры, не храним резюме кандидатов дольше нужного, не открываем общий доступ «на всякий случай». Звучит скучно, а работает очень хорошо.

Когда правила обработки персональных данных понятны даже стажеру, службе безопасности остается ловить редкие эксцессы, а не тушить пожары каждую неделю.

Как измерить эффект от защиты ПДн

Звучит немного странно, но в 2025-2026 я все чаще вижу, как компании начинают считать «ROI от ПДн». Смотрят, сколько часов юристы и ИБ тратят на разбор полетов, сколько штрафов заплатили, сколько проверок прошли без замечаний. После внедрения нормальной инструкции и коротких обучений цифры стабильно меняются в плюс: минус инциденты, минус нервные переписки со службой безопасности.

По опыту одного клиента из ритейла, после того как они обновили документы и провели два вебинара по работе с ПДн, количество внутренних обращений «у нас что-то утекло» снизилось почти на 30%. Часть тревог оказалась ложной, часть ситуаций просто перестали допускать. И да, это та самая история, когда скучная бумага в итоге экономит и деньги, и нервы. Ладно, к передаче данных, это следующая боль.

Когда можно передавать ПДн и кому

Вопрос «можно ли передавать ПДн» звучит у меня в переписках так часто, что я уже иногда отвечаю голосовым 🙂. Короткий ответ: можно, если есть закон, договор или информированное согласие, и если вы контролируете, куда именно эти данные поехали. Все остальное — поле для штрафов и риск-менеджмента на удачу.

В начале 2026 к этому добавились нюансы с локализацией и трансграничной передачей: отправить список клиентов в зарубежный AI-сервис теперь гораздо сложнее, чем казалось в 2021. Роскомнадзор в публикациях и разъяснениях (их можно найти, например, через гарантовские подборки) прямо пишет, что неконтролируемая передача ПДн за рубеж без уведомления и оценки — плохая затея.

Как описать передачу ПДн в инструкции

Стоп, вернусь на шаг назад: без четкого описания передачи ПДн в инструкции сотрудники искренне не понимают, что подрядчик — это тоже «передача», а не просто «скинула ребятам из рекламы». Поэтому в документе я всегда выделяю отдельный блок: кому можно передавать ПДн без согласия (налоговая, фонды, суды), кому — только с согласием (банки, страховые, партнеры), а кому нельзя вообще.

Хорошо, когда в инструкции есть простые формулировки: «запрещено передавать ПДн сотрудников и клиентов через личные почтовые ящики и мессенджеры», «запрещено загружать ПДн в несанкционированные облачные сервисы, включая иностранные AI-платформы». Чем конкретнее вы сформулируете эти запреты, тем легче потом аргументировать дисциплинарку, если кто-то решит, что он умнее всех.

Такой маленький фрагмент таблицы в инструкции часто экономит десятки сообщений в чатах «а можно вот это отправить». Люди начинают сверяться с понятной матрицей, а не дергать юристов по каждому чиху. В одном из проектов PROMAREN это прямо видно по тикетам службы поддержки: после обновления документа «на границе» отсеялась куча сомнительных запросов.

Что с AI-сервисами и зарубежными площадками

С AI-сервисами стоит особая история. Загружая резюме кандидатов в Yandex Neuro или клиентские переписки в Google AI, вы фактически организуете обработку ПДн третьим лицом, а иногда и их передачу за пределы РФ. В инструкции важно честно назвать эти сервисы как пример и описать, кто имеет право ими пользоваться и при каких условиях.

В методике white-data PROMAREN я всегда настаиваю: данные с признаками ПДн не должны уходить за контур компании без отдельного управленческого решения. Это не значит, что AI и облака под запретом, но означает, что у вас есть карта потоков и список одобренных инструментов. Кстати, на сайте PROMAREN есть подборка материалов по автоматизации через n8n и Make с учетом этой логики — можно посмотреть, как мы это стыкуем с 152-ФЗ (кейсы автоматизации).

Какие данные точно считаются ПДн

Самый коварный момент в инструкциях — перечень данных. Если он слишком узкий, половина реальных сценариев выпадает. Если слишком широкий и абстрактный, сотрудники перестают воспринимать его всерьез. В 2026 я все чаще вижу удачные решения, где компании совмещают общий список типов ПДн и конкретные примеры именно для своего бизнеса.

Персональные данные сотрудников — это не только паспорт, СНИЛС и ИНН. Это графики смен, история отпусков, информация о детях для ДМС, корпоративные фото, логины от внутренних сервисов, служебные записки, где упоминаются личные обстоятельства. В клиентской части — имена, контакты, история покупок, обращения в поддержку, записи звонков, идентификаторы в CRM и аналитике.

Как описать перечень ПДн в инструкции

Я раньше думала, что достаточно дать ссылку «перечень ПДн определяется внутренним положением». После восьми проектов поняла — так никто не работает. Поэтому сейчас мы в PROMAREN делаем гибрид: сначала общий список категорий, потом отдельная таблица или блок с типовыми примерами для компании. Это можно согласовать с юристами за один заход и дальше уже просто обновлять раз в год.

Здесь удобно использовать простой прием: разбить данные на блоки — кадровые, учетные, контактные, цифровые, специальные. Так сотрудники быстрее находят «свои» данные в документе и понимают, что именно под них подпадает. Например, маркетолог пойдет в раздел про клиентов и онлайн-активность, а бухгалтер — в раздел про выплаты и реквизиты. Звучит очевидно, но сильно повышает шанс, что инструкцию действительно прочитают, а не просто подпишут.

• Кадровые: ФИО, дата рождения, адрес, семейное положение, дети.
• Финансовые: ИНН, СНИЛС, реквизиты карт, информация о зарплате и премиях.
• Контактные: личный и рабочий телефон, email, мессенджеры.
• Цифровые: логины в системах, IP-адреса, ID в CRM и сервисах аналитики.
• Специальные: сведения о здоровье, инвалидности, судимостях, профсоюзах.
• Биометрия: фото, видео, голос, отпечатки, распознавание лиц.

Такой перечень в инструкции потом легко состыковать с политикой конфиденциальности на сайте (подход PROMAREN) и с описанием ИСПДн для реестра Роскомнадзора. И да, не забудьте про кандидатов и бывших сотрудников — их данные тоже остаются ПДн, пока вы их храните по требованиям ТК РФ и отдельных законов, а не потому что «рука не поднялась удалить».

Готовый каркас инструкции по работе с ПДн

Чтобы не оставлять тебя только с теорией, поделюсь каркасом, который мы часто используем как основу и допиливаем под конкретный бизнес. Он вписывается в требования 152-ФЗ и здравый смысл 2026 года, а юристы обычно мирятся с ним с первой же версии (ну, почти).

Хотела сделать его идеальным сделала рабочим: «Общие положения», «Перечень ПДн и цели обработки», «Права и обязанности сотрудников», «Порядок получения согласий», «Правила передачи ПДн третьим лицам», «Хранение и уничтожение», «Ответственность». Внутрь добавляются примеры, ссылки на локальные акты и живые формулировки вместо канцелярита. Документ получается на 5-7 страниц, его реально прочитать за один кофе, а не за отпуск.

Инструкция по ПДн как элемент здравого смысла

Если убрать все страшилки про штрафы, останется простая мысль: понятная инструкция по работе с ПДн экономит время, снижает конфликтность и делает цифровую среду в компании чуть более безопасной. Не надо каждый раз гадать, можно ли добавить телефон клиента в рабочий чат или загрузить резюме в AI — у людей есть опора в виде внятного документа и короткого обучения.

Хорошая инструкция всегда приземлена к реальным процессам и сервисам, с которыми вы живете: от 1С и внутреннего портала до n8n-сценариев и AI-агентов. И она обновляется — как минимум раз в год или при крупных изменениях ландшафта, вроде появления нового сервиса или смены подхода к удаленной работе. Без этого любой, даже самый красивый шаблон, превращается в музейный экспонат.

Обо мне. Марина Погодина, основательница PROMAREN и AI Governance & Automation Lead. С 2024 года помогаю в РФ строить автоматизацию на n8n, Make.com, Cursor, внедряю AI-агентов с учетом 152-ФЗ. Пишу в блоге и делюсь разборами в канале PROMAREN.

Если хочется собрать свою инструкцию по ПДн и не утонуть в юридических формулировках, загляни в материалы PROMAREN: там разбираю связку автоматизации и защиты данных на реальных кейсах. А для теста AI-инструментов с белой зоной данных можно взять демо-версию бота и посмотреть, как это работает вживую.

Что ещё важно знать про ПДн в 2026

Нужна ли отдельная инструкция по работе с ПДн, если есть положение

Да, отдельная инструкция по работе с ПДн нужна, даже если уже есть общее положение и политика. Положение обычно пишется для регуляторов и юристов, а инструкция — для сотрудников, с примерами действий и запретов. В ней проще раскрыть, как работать с ПДн на практике: что можно пересылать, куда загружать, что делать при утечке. Такой документ лучше ложится в обучение и помогает при дисциплинарных спорах.

Можно ли включить согласие на обработку ПДн прямо в трудовой договор

Формально закон не запрещает включать согласие в текст трудового договора, но в 2026 это считается плохим тоном и слабой защитой. Отдельный бланк согласия удобнее для учета, отзыва и конкретизации целей обработки. Роскомнадзор в разъяснениях рекомендует разделять трудовые отношения и согласие на дополнительные обработки, вроде публикации фото или передачи данных партнерам. Поэтому лучше сразу закладывать отдельные формы.

Что делать, если сотрудник отозвал согласие на обработку его ПДн

Если сотрудник отзывает согласие на обработку ПДн, нужно прекратить те операции, которые опирались только на это согласие, но не трогать данные, которые обязаны храниться по закону. Например, материалы для публикации на сайте придется убрать, а вот кадровые документы и табели учета хранения не теряют. Важно зафиксировать отзыв письменно, описать, какие процессы он затрагивает, и обновить перечень систем, где хранились такие данные.

Нужно ли уведомлять Роскомнадзор обо всех ИСПДн в компании

Нет, не обо всех, но о большинстве информационных систем персональных данных уведомлять Роскомнадзор все же требуется. Есть исключения, например, для систем, используемых только для кадрового учета без передачи третьим лицам, но они довольно узкие. Без анализа архитектуры и категорий ПДн угадать трудно, поэтому лучше один раз пройтись по критериям из закона или свериться с консультантом. Инструкция при этом должна ссылаться на ответственных за такие уведомления.

Можно ли использовать обезличивание, чтобы не применять правила по ПДн

Частично. Если данные действительно обезличены так, что обратно их связать с конкретным человеком нельзя, правила обработки ПДн к ним не применяются. Но в реальных компаниях часто встречается псевдонимизация, когда ключ для «раскодировки» хранится рядом, и это все еще ПДн. Поэтому решать, что у вас полное обезличивание, стоит только после оценки схемы хранения и доступа. И да, это лучше тоже отразить в документах, чтобы не спорить потом с проверяющим.