9 декабря 2025 г.

Татьяна Бабич

HR‑платформы всё чаще работают в облаке. Это удобно, но создаёт серьёзный риск: персональные данные могут утечь, а соблюдение закона о защите данных — остаться формальностью. Система на собственных серверах и ИИ под полным контролем обещает решение этой проблемы. Но действительно ли переход на внутренние решения снимает все риски? Обсуждаем это с Татьяной Бабич, владельцем продуктов KitBot и Rdetector в ИТ-компании Nord Clan.

Риски и ответственность: кто отвечает за данные в облаке?

При работе с облачными HR-сервисами компании сталкиваются с несколькими ключевыми рисками нарушения 152-ФЗ. Основные риски связаны не с самим облаком, а с тем, как выстроена работа с ним. Во-первых, нужно убедиться, что персональные данные российских граждан хранятся на серверах, расположенных в России — это прямое требование закона. Во-вторых, важно контролировать, кто имеет доступ к данным и как он регламентирован. И, наконец, важно, чтобы ИИ-системы использовали данные строго только в тех целях, которые предусмотрены согласием работников или кандидатов.

По умолчанию, ответственность несет оператор персональных данных — то есть сама компания, которая собирает и использует информацию. Но если оператор работает с провайдером по договору поручительства, перед регулятором и пострадавшими отвечает провайдер. В любом случае важно выбирать надежных партнеров, которые внимательно относятся к защите данных, прописывать в договорах требования к безопасности и регулярно проводить аудит.

Доверие автоматизации: контроль и прозрачность обработки данных

Насколько можно доверять автоматической обработке данных, если часть процессов уходит в облако или задействует сторонние сервисы (например, чат-боты, ИИ-ассистенты)? Можно, если понимать, как именно сервис работает с данными. Современные облачные решения могут быть абсолютно безопасными, если обеспечены нужный уровень защиты, шифрование и контроль доступа. Ключевой момент — прозрачность: компания должна понимать, где хранятся данные, кто их обрабатывает и в каких целях. А если требуется повышенная конфиденциальность, тогда логично использовать изолированные контуры или решения, которые могут хранить данные и в облаке, и локально.

Для предотвращения сбора избыточной информации о сотрудниках и кандидатах при использовании ИИ основным механизмом является принцип минимизации, закреплённый в статье 10 152-ФЗ. Он подразумевает сбор только тех данных, которые необходимы для достижения конкретной, заранее определённой и законной цели. Компании должны документально определить, какие именно данные нужны.

Чтобы убедиться, что облачные сервисы соблюдают закон и не используют данные не по назначению, компании стоит проверить, какие технологии и процедуры защиты использует партнёр — например, как шифруются данные при передаче и хранении, как организован контроль доступа.

Аудит, контроль и меры защиты при масштабировании HR-процессов

Для обеспечения прозрачности работы облачных решений важно, чтобы система фиксировала все действия с данными — кто, когда и что именно делал. Такой журнал событий помогает разобраться в случае технических сбоев или подозрений на несанкционированный доступ.

Когда компания масштабирует найм и автоматизирует HR-процессы, риск утечки данных растет, потому, что увеличивается объем информации и количество людей, которые с ней работают. Поэтому без продуманных мер защиты не обойтись. Во-первых, можно использовать локализованные ИИ-системы, которые размещаются на собственных или сертифицированных российских серверах. Это позволяет хранить данные внутри страны и полностью контролировать, как именно алгоритмы их обрабатывают. Примеров множество, например омниканальная HR-платформа KitBot. Во-вторых, важно настроить четкое разграничение прав: HR-специалист должен видеть только ту информацию, которая нужна для его задач. Такой принцип «минимального доступа» заметно снижает риск утечек и нецелевого использования данных.

Источник: Татьяна Бабич, владелец продуктов KitBot и Rdetector в ИТ-компании Nord Clan