Обучение персонала защите персональных данных

В современной цифровой экономике информация стала главным активом, а вместе с тем и главной уязвимостью любого предприятия. С момента вступления в силу Закона Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных» подходы к обработке сведений о физических людях кардинально изменились. Персональные данные – это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (ст. 1 Закона № 99-З). Однако даже самые совершенные технические средства защиты информации, фаерволы и системы шифрования оказываются бессильными перед так называемым человеческим фактором. Практика показывает, что большинство утечек происходит не из-за хакерских атак, а из-за банальной небрежности или неосведомленности персонала. В условиях действия обновленного законодательства и активной контрольной деятельности Национального центра защиты персональных данных (НЦЗПД) обучение сотрудников перестало быть формальностью и превратилось в ключевой элемент системы правовой безопасности бизнеса. Теперь это не просто рекомендация, а прямое требование законодателя, игнорирование которого влечет серьезную ответственность сотрудников и нанимателя. 

Почему человеческий фактор остается главной угрозой для информационной безопасности?

Уязвимость человеческого звена в системе защиты информации обусловлена психологией и отсутствием правовой грамотности. Сотрудник, не понимающий ценности данных, может отправить клиентскую базу на личную почту для работы из дома, оставить документы с паспортными данными на столе или передать пароль коллеге. Согласно статье 17 Закона «О защите персональных данных», оператор (наниматель) обязан осуществлять техническую и криптографическую защиту персональных данных, а также обучение работников. Законодатель не зря выделяет обучение в отдельную обязательную меру. Дело в том, что технические средства защищают от внешнего врага, а правовые и организационные меры — от внутреннего. 

Необученный сотрудник не способен распознать фишинг, не знает алгоритма действий при получении запроса от субъекта данных и не осознает последствий своих действий. В случае судебного разбирательства именно действия конкретного работника будут оцениваться судом при определении вины юридического лица. Если компания не сможет доказать, что она предприняла все меры для обучения этого сотрудника, суд возложит на нее полную ответственность за причиненный ущерб и моральный вред. Таким образом, инвестиции в обучение — это прямая страховка от многотысячных исков и штрафов. 

Каким категориям сотрудников необходимо пройти обучение в первую очередь? 

Многие руководители ошибочно полагают, что Закон № 99-З касается только кадровиков и системных администраторов. Однако круг лиц, имеющих доступ к персональным данным, гораздо шире. Согласно разъяснениям Национального центра защиты персональных данных, обучению подлежат все работники, чья трудовая функция связана с обработкой персональных данных. Сюда относятся сотрудники отделов продаж, работающие с CRM-системами, маркетологи, проводящие рассылки, бухгалтеры, начисляющие заработную плату, и даже секретари, оформляющие пропуска для посетителей. 

Особое внимание следует уделить лицам, непосредственно ответственным за осуществление внутреннего контроля за обработкой персональных данных. Согласно пункту 3 статьи 17 Закона № 99-З, назначение такого лица является обязательным. Этот специалист должен обладать глубокими знаниями и проходить повышение квалификации в специализированных центрах. Для остальных категорий работников допускается внутреннее обучение, однако оно должно быть дифференцированным. Нет смысла грузить охранника сложными юридическими конструкциями трансграничной передачи данных, ему достаточно знать правила соблюдения конфиденциальности и пропускного режима. А вот маркетолог обязан четко понимать разницу между согласием на обработку данных и договором как правовым основанием. 

Что должно включать в себя содержание программы обучения? 

Программа обучения должна строиться не на сухом цитировании норм, а на разборе реальных кейсов и внутренних локальных актов компании. Базовый блок обязан включать изучение положений Закона № 99-З, в частности, статьи 4 (требования к обработке данных) и статьи 5 (согласие субъекта). Сотрудники должны понимать, что сбор избыточной информации (например, копий паспортов там, где это не нужно) является нарушением. Критически важно разъяснить порядок реализации прав субъектов персональных данных (статьи 10–15 Закона), так как нарушение сроков ответа на заявление гражданина — одно из самых частых оснований для привлечения к административной ответственности. 

Второй блок обучения должен касаться внутренней Политики в отношении обработки персональных данных, наличие которой обязательно согласно пункту 3 статьи 17 Закона. Работники должны знать, где лежит этот документ, что в нем написано и как применять его нормы на практике. Рекомендуется также включить модуль по информационной безопасности: правила создания паролей, запрет на использование личных флешек, порядок действий при обнаружении подозрительной активности. Формат обучения может быть различным: от очных лекций и семинаров до онлайн-курсов и вебинаров. Главное, чтобы информация была подана доступно и с учетом специфики деятельности конкретного подразделения. 

Как правильно зафиксировать факт обучения и оценить знания? 

Документальное оформление процесса обучения имеет решающее значение при прохождении проверок. Устные беседы с точки зрения закона не имеют юридической силы. Факт прохождения обучения должен быть подтвержден документально. Это может быть журнал учета прохождения обучения (инструктажа), листы ознакомления с локальными правовыми актами или электронные логи прохождения онлайн-тестирования, если в компании используется система дистанционного обучения (LMS). В документах обязательно должны стоять подпись работника и дата.

Оценка усвоения знаний — это необходимый элемент контроля. Формальная подпись в журнале не гарантирует, что сотрудник понял материал. Рекомендуется проводить тестирование по итогам обучения. Результаты тестов следует хранить в личном деле или в отдельном архиве. Это позволит работодателю в случае инцидента доказать, что он не просто формально ознакомил работника с правилами под роспись, но и проверил его знания. Кроме того, согласно статье 47 Трудового кодекса Республики Беларусь, нарушение правил работы с персональными данными может стать основанием для увольнения, но применить это дисциплинарное взыскание можно только если работник был надлежащим образом обучен и проинструктирован. 

Как обучение влияет на реагирование при инцидентах? 

Инциденты с данными случаются даже в самых защищенных компаниях. Разница между катастрофой и решаемой проблемой заключается в реакции персонала. Обученный сотрудник знает, что при утечке данных (например, ошибочной отправке письма с базой клиентов) необходимо немедленно уведомить ответственного за внутренний контроль. Согласно статье 16 Закона № 99-З, оператор обязан уведомлять уполномоченный орган о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях. 

Если персонал не обучен, он будет пытаться скрыть ошибку, боясь ответственности сотрудников, что приведет к пропуску трехдневного срока. Это, в свою очередь, влечет наложение штрафа на юридическое лицо. Обучение должно формировать культуру безопасности, где быстрое сообщение об ошибке поощряется, а сокрытие — наказывается. Сотрудники должны четко знать алгоритм: изолировать систему, сообщить руководству, зафиксировать время и обстоятельства инцидента. Эти действия помогут минимизировать ущерб и продемонстрировать регулятору добросовестность компании. 

Как наличие системы обучения влияет на позицию при проверке? 

При проведении плановых или внеплановых проверок Национальный центр защиты персональных данных в первую очередь запрашивает документы, подтверждающие выполнение обязанностей оператора, предусмотренных статьей 17 Закона. Наличие разработанной программы обучения, графиков ее проведения и журналов с подписями работников является весомым доказательством того, что компания действует добросовестно. Это существенно влияет на квалификацию правонарушения. 

В случае выявления нарушений, факт проведения обучения может рассматриваться как обстоятельство, смягчающее административную ответственность согласно статье 7.2 Кодекса Республики Беларусь об административных правонарушениях (КоАП). И наоборот, отсутствие системы обучения будет трактоваться как бездействие оператора, что является отягчающим фактором. В сложных ситуациях, связанных с утечками данных или спорами с субъектами, привлечение профильных юристов помогает грамотно выстроить линию защиты и доказать, что компания предприняла все зависящие от нее меры для соблюдения закона.

Малоизвестный факт и практическая рекомендация 

Малоизвестный факт: Закон № 99-З не устанавливает конкретную периодичность обучения для сотрудников. Это означает, что оператор вправе самостоятельно определить эту частоту в своих локальных актах. Однако практика показывает, что оптимальным является проведение инструктажей не реже одного раза в год, а также при приеме на работу и при изменении законодательства или внутренних процессов. 

Практическая рекомендация: включите в должностные инструкции сотрудников пункт не просто об «обязанности соблюдать законодательство», а конкретную формулировку: «Обязан проходить обучение и проверку знаний по вопросам защиты персональных данных в сроки и порядке, установленном нанимателем, а также незамедлительно сообщать о любых инцидентах информационной безопасности». Это создаст прочную правовую базу для привлечения к дисциплинарной ответственности в случае саботажа обучения или сокрытия утечек. 

Комплексная поддержка по защите персональных данных

Защита персональных данных требует системного подхода и профессиональной экспертизы. ООО "Экономические споры" — юридическая компания, специализирующаяся на B2B-консультировании с 2019 года. В команде работают 15 юристов и специалистов с опытом от 15 до 25 лет, включая специалистов по защите персональных данных. Директор компании Сергей Белявский имеет уникальный 20-летний опыт в экономических судах, 10 из которых в качестве судьи, является рекомендованным арбитром МАС при БелТПП, других арбитражей и автором более 2000 публикаций по правовым вопросам. 

За время работы компания помогла более 2000 клиентов, обеспечив возврат и экономию свыше 1,95 млрд рублей. Качество услуг подтверждают более 100 отзывов с рейтингом 4,95 из 5. Международная экспертиза обеспечивается работой на трёх языках, партнёрской сетью в 160+ странах, членством в Ассоциации европейских юридических компаний с июня 2025 года. Офисы расположены в Минске и Гродно, компания активно развивает образовательное направление через YouTube и Instagram с аудиторией около 25 000 подписчиков. 

Если вашему бизнесу нужна юридическая поддержка по организации обучения сотрудников и построению системы защиты персональных данных, оставьте заявку - предложим реалистичный план решения.