Инструкция: как правильно оформить удаленную работу в 2026 году, чтобы защитить персональные данные

29 июня 2026
Защита персональных данных работников остается одной из актуальных и животрепещущих тем для работодателей. 

Такой вопрос приобретает большую актуальность, когда дело касается защиты персональных данных работников при дистанционной работе. В таком случае работодатель фактически лишается непосредственного контроля над деятельностью работников, а значит возрастают риски утечки персональных данных как самого работника, так и других субъектов персональных данных, с которыми работает компания.

Давайте рассмотрим, какие правовые, организационные и технические меры необходимо предпринять работодателю для защиты персональных данных при оформлении удаленной работы в 2026 году. 

1. Правовые меры

1. Разработайте и внесите в локальные нормативные акты положения, определяющие работу дистанционных работников в области персональных данных.
Такие положения целесообразно закрепить, например:

  • в Положении о защите персональных данных сотрудников.
Здесь можно разработать отдельный раздел, который будет посвящен защите персональных данных при дистанционной работе. 

Например, целесообразно определить:

  1. какие каналы связи разрешены для передачи информации (например, конкретные адреса электронной почты, корпоративные программы и т.д.),
  2. к каким системам у дистанционного работника есть доступ,
  3. какие файлы можно передавать, а какие нет, 
  4. какие обязанности должен выполнять работник, допущенный к персональным данным,
  5. какие меры защиты персональных данных обязательны,
  6. какой алгоритм действий у дистанционного работника в случае выявления утечки персональных данных.
  • в Положении о дистанционной работе.
Здесь важно закрепить порядок взаимодействия работника и работодателя: 

  1. какие способы связи используются (например, если это электронная почта, то должны быть указаны конкретные адреса,  
  2. обмен каких документов допускается в электронном виде, 
  3. порядок электронного документооборота с дистанционным работником (если он не определен отдельным локальным нормативным актом): какой подписью подписываются документы (УНЭП, УКЭП), как подтверждается получение документов и т. д.

2. Если дистанционный работник будет использовать для выполнения трудовых обязанностей принадлежащее ему техническое оборудование, то возможно заключить с работником соглашение об использовании личных устройств. 
Такие положения не обязательно закреплять в отдельном документе, они могут быть закреплены как в трудовом договоре с работником, так и в локальных нормативных актах (например, положении о дистанционной работе, положении о защите персональных данных.

Пропишите в этом случае технические и организационные требования.
Например:

  1. обязательное использование антивируса и регулярного обновления ПО,
  2. запрет на хранение персональных данных в открытом виде (например, в виде незащищённых таблиц или текстовых файлов) — только в зашифрованных контейнерах или с использованием встроенных средств шифрования ОС/ПО,
  3. запрет на передачу файлов с личными данными через незащищённые каналы (личные мессенджеры, файлообменники без шифрования),
  4. правила работы с электронной почтой: какие темы и вложения допустимы, запрет на пересылку данных третьим лицам без согласования,
  5. запрет на использование публичных Wi-Fi-сетей для доступа к конфиденциальной информации без VPN или других средств защиты,
  6. закрепите, что работник не должен предоставлять доступ к техническим средствам, содержащим персональные данные, коллегам, родственникам или иным лицам для выполнения рабочих задач, 
  7. определите порядок действий работника, если будет обнаружена подозрительная деятельность на личном ПК работника. 

3. Назначьте ответственного за организацию обработки персональных данных (п. 1 части 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). 
Определите его полномочия по осуществлению контроля за соблюдением дистанционными работниками требований по защите персональных данных (например, могут быть установлены инструменты удалённого мониторинга (с согласия работника) или анализ активности корпоративных систем, а также меры по реагированию на инциденты утечки персональных данных.

4. Проверьте согласия дистанционных работников на обработку персональных данных. 
В согласии чётко укажите: какие данные обрабатываются, для каких целей, какие действия с ними возможны (часть 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Если персональные данные работников передаются третьим лицам, то необходимо наличие отдельного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (часть 1 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

5. Определите порядок действий работодателя в случае выявления факта утечки персональных данных.
Напоминаем, что необходимо будет уведомить Роскомнадзор об утечке в течение 24 часов (часть 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Важно

В течение 72 часов необходимо провести служебное расследование, уведомить Роскомнадзор о результатах такого расследования и  предоставить сведения о лицах, которые стали причиной такой утечки.

2. Организационные меры

В данном случае важно:
1. Разграничить доступ к персональным данным сотрудников. 
Так, согласно ст. 88 ТК РФ доступ к персональным данным работников организации может быть только у тех лиц, которым такие персональные данные необходимы для исполнения конкретных трудовых обязанностей. 

Поэтому в данном случае необходимо, чтобы у дистанционных работников был доступ только к тем персональным данным, которые им необходимы для конкретных трудовых обязанностей. 
Важно

В локальных нормативных актах закрепите перечень должностей и уровень доступа (полный или ограниченный с указанием конкретных данных и действий).

2. Регулярно проводить обучение сотрудников: как безопасно работать с файлами, какие каналы связи использовать, а какие использовать запрещено, как действовать при подозрении на инцидент утечки персональных данных (например, при фишинговом письме). 

3. Прописать в документах конкретные правила: отправлять файлы только с паролями доступа, не пересылать конфиденциальные данные через личные мессенджеры, не оставлять устройства без блокировки.

4. Вести журнал, где фиксируются факты доступа к персональным данным (кто, когда, к каким сведениям обращался). 

3. Технические меры

Такие меры направлены именно на обеспечение технической безопасности персональных данных. 

1. Установите защищенный доступ к корпоративным ресурсам. 
В данном случае целесообразно использовать двухфакторную аутентификацию. 
Она позволит снизить риски незаконного доступа к корпоративной системе третьих лиц и последующей утечки персональных данных. 

Предусмотрите, чтобы двойная аутентификация применялась при каждом подключении работников к корпоративным ресурсам.

2. Используйте шифрование. 
Обеспечьте шифрование данных как при передаче (например, через VPN), так и при хранении персональных данных. 

3. Применяйте антивирусную защиту на рабочих устройствах работников.
Если работники используют принадлежащие работодателю технические средства, то заранее установите антивирусное ПО и регулярно его обновляйте. 

4. Регулярно создавайте резервные копии важных данных, чтобы минимизировать последствия в случае сбоя или атаки.

5. Если работники используют для выполнения трудовых обязанностей принадлежащие им технические средства, то рекомендуем разработать и внедрить политики, которые ограничивали бы риски утечки персональных данных.

Например, работникам рекомендуется воздержаться от установки сомнительных приложений, которые могут повлечь за собой распространение вирусных программ; применять экранную блокировку, чтобы минимизировать риски доступа третьих лиц к персональным данным других сотрудников организации. 
Практические рекомендации
1. В первую очередь рекомендуем провести аудит документов. 
Выявите, какие данные обрабатываются, какие каналы для передачи персональных данных используются, кто имеет доступ, как организован процесс обмена документами с дистанционными работниками, а также установите, какие технические меры используются уже сейчас для защиты персональных данных не только у офисных работников, но и у дистанционных. 

2.  Далее разработайте дорожную карту действий по внедрению недостающих документов, положений, а также организационных и технических мер для минимизации возможных рисков утечки персональных данных и привлечения к административной ответственности. 

Заказать аудит ПДн
Свяжитесь с нами!

Чтобы получить анкету для подготовки индивидуального предложения:

- написать на почту i.krotov@mitrofanova.ru

- позвонить по тел. +7(916) 416-49-60

Проконсультироваться

Поделиться материалом
Скопировать ссылку
Все статьи
Этот сайт использует файлы cookie для хранения данных. Продолжая использовать сайт, вы даете свое согласие на работу с этими файлами.
Хорошо, принимаю