HR сегодня — один из самых «данноёмких» контуров бизнеса: резюме, интервью, тесты, рекомендации, переписка, записи звонков, иногда — биометрия и сведения о здоровье. Закон здесь работает жёстко: в рекрутинге легко собрать избыточные данные или нарушить цели их обработки, а это прямой путь к жалобам, проверкам и штрафам по ст. 13.11 КоАП РФ.

Введение

Представьте: рекрутер отправил резюме кандидата «на согласование» в общий чат отдела, где есть сотрудники, не связанные с наймом. Кандидат увидел это в пересланном скриншоте, запросил у компании копии его данных и основания обработки, а затем пожаловался в Роскомнадзор. Даже если найм не состоялся, компания уже нарушила принцип «доступ только тем, кому нужно», и запускается цепочка: запросы субъектов, проверка, риск штрафов и репутационный ущерб.

Почему HR — зона особого внимания Роскомнадзора?

HR отличается не количеством документов, а высокой плотностью рисков для человека. Ошибка в бухгалтерии обычно касается денег, а ошибка в HR — трудоустройства, дискриминации, безопасности и частной жизни. Поэтому любые «серые» практики (скрытые проверки, бесконечное хранение резюме, сбор лишних данных) здесь особенно заметны и социально чувствительны.

В HR часто встречаются три типовые «точки боли»:

1. Сбор лишних сведений «на всякий случай» (например, семейное положение, дети, адрес регистрации на этапе первого звонка).

2. Непрозрачные источники данных (соцсети, рекомендации, «служба безопасности»).

3. Длительное хранение резюме и заметок интервью без понятного срока и ясной цели («HR-базы» ради будущих вакансий).

Главная причина внимания регулятора проста: HR обрабатывает данные системно — в IT‑системах, облаках, чатах и почте, где нарушения масштабируются мгновенно. А по ст. 13.11 КоАП РФ ответственность наступает не за «злой умысел», а за сам факт нарушения.

Правовая основа: 152‑ФЗ и Трудовой кодекс в тандеме

В рекрутинге действует связка норм: 152‑ФЗ задаёт общие принципы обработки персональных данных, а ТК РФ — специальные требования для данных работника. Для HR важно правильно развести режимы: кандидат ≠ работник.

Кто является оператором в HR‑процессах?

Оператор — тот, кто определяет цели и средства обработки. В найме оператором почти всегда является работодатель (компания), даже если рекрутер работает через ATS/CRM или передаёт часть задач подрядчику. Если обработка поручается третьему лицу (кадровому агентству или провайдеру проверки), это не снимает ответственность с компании: необходимо выстроить «контур поручения» и контроль доступа.

Соискатель, сотрудник, бывший сотрудник: разные статусы — разные правила

• Соискатель (кандидат). ТК РФ в полной мере здесь обычно ещё не применяется, но 152‑ФЗ работает на 100%: должна быть определена цель, состав данных, правовое основание, сроки, учтены права субъекта.

• Работник (после оформления). Включается глава 14 ТК РФ (ст. 86–90): например, требование получать персональные данные у самого работника, а при получении у третьей стороны — заранее уведомить и получить письменное согласие.

• Бывший сотрудник. Данные не «обнуляются» с увольнением. Цели меняются: кадровое делопроизводство, архив, справки, возможные споры. Но принцип минимизации и ограничение сроков хранения остаются.

Важно! Нельзя «перетягивать» логику трудовых отношений на кандидата и наоборот. Типичная ошибка: HR хранит резюме «как кадровые документы» годами. Резюме кандидата — не личная карточка работника; без отдельной цели и основания это риск.

Пошаговый гид по легальной обработке данных соискателя

Сбор резюме: что можно и что нельзя?

Сбор начинается уже в момент отклика: email, телефон, CV‑файл, заметки рекрутера — всё это персональные данные. Задача — заранее определить «сколько достаточно» для цели «подбор на вакансию» и отсечь лишнее.

Практичный подход для первичного этапа:

• Можно: ФИО, контакты, город, опыт, навыки, образование, желаемая должность.

• Осторожно: фото (может считаться биометрией, если используется для идентификации), семейное положение, дети, религия, политические взгляды.

• Почти всегда нельзя собирать «про запас»: медицинские детали, сведения о судимости без законного основания, «психологические портреты» без прозрачной цели.

Согласие: золотой стандарт

В 152‑ФЗ согласие — не «галочка», а управляемый юридический инструмент. Оно должно быть конкретным и информированным, а в ряде случаев — именно в письменной форме.

Что обязательно продумать в согласии кандидата:

1. Оператор (кто получает согласие) и его контакты.

2. Конкретная цель обработки (например: «подбор персонала на вакансию X»; отдельно — «кадровый резерв»).

3. Перечень обрабатываемых данных.

4. Перечень действий с данными и способы обработки.

5. Срок действия согласия и способ его отзыва.

6. Подпись (или электронная подпись — если электронный формат).

Практическая рекомендация: Разделяйте согласия по целям: «подбор на конкретную вакансию» и «кадровый резерв». Это поможет избежать упрёка регулятора в том, что «цель не определена» или «согласие слишком широкое».

Использование job‑сервисов и ATS/CRM

Когда вы берёте резюме с работного сайта или ведёте кандидатов в ATS, важно закрепить:

• кто является оператором (обычно — вы как работодатель);

• кто является обработчиком/подрядчиком (провайдер сервиса), и какие у него доступы.

На практике это означает: локальные политики, разграничение ролей в системе, учёт выгрузок и запрет на хранение баз «в Excel на рабочем столе».

Проверка кандидатов: границы дозволенного

Проверки — самый конфликтный участок. Здесь легко нарушить принцип получения данных «у субъекта». Для работника ТК РФ прямо требует: если данные можно получить только у третьей стороны, работника нужно заранее уведомить и получить его письменное согласие. Эту логику полезно применять и на этапе кандидата как лучшую практику.

Что обычно допустимо при правильной настройке:

• Референс-чек с понятным основанием и минимальным составом вопросов (проверка компетенций, а не личной жизни).

• Проверка документов, необходимых для решения о найме и оформления.

• Проверка соцсетей — зона повышенного риска: можно получить лишние сведения и не суметь объяснить их необходимость.

Важно! Решения, влияющие на человека, нельзя полностью «отдать алгоритму». ТК РФ запрещает принимать решения, затрагивающие интересы работника, основываясь только на результатах автоматизированной обработки. В 2026 году, при активном использовании AI‑фильтров, это становится практическим риском: необходим человеческий контроль и объяснимость критериев.

Хранение: сроки, системы, безопасность

Хранение — это обеспечение доступности данных для законной цели и недоступности для всех остальных. При ведении HR‑данных в информационных системах к ним применяются требования по защите и уровни защищенности по ПП РФ № 1119. Это предполагает: модель угроз, разграничение прав, журналы доступа, резервное копирование, контроль выгрузок.

Если часть рекрутинга ведётся «на бумаге», действует ПП РФ № 687: обработка считается неавтоматизированной, когда действия с данными выполняются при непосредственном участии человека.

Уничтожение: как «забыть» кандидата правильно

Типичная ситуация: вакансия закрыта, а резюме, заметки интервью и результаты тестов остаются «навсегда». Рабочая модель:

1. Заранее установить срок хранения для «неподошедших» кандидатов (например, 3—6—12 месяцев).

2. Для более длительного хранения — оформлять отдельное согласие на кадровый резерв с явным указанием срока и права отзыва.

3. Фиксировать факт уничтожения (акт, протокол, лог в системе) и удалять копии из почты и чатов, а не только из ATS.

Особые случаи, требующие повышенного внимания

Биометрические данные: фото на пропуск и не только

Биометрические персональные данные — сведения о физиологических и биологических особенностях человека, по которым можно установить личность. Их обработка в общем случае допускается только при наличии письменного согласия субъекта.

Критичный нюанс для HR: «фото в резюме» не всегда биометрия, но «фото/шаблон лица в СКУД для идентификации» — уже почти всегда биометрия и требует отдельного письменного согласия.

Кадровый резерв и базы талантов

Кадровый резерв — это отдельная цель обработки. Если вы после отказа хотите «оставить кандидата у себя», это новая обработка с новым сроком и, как правило, отдельным согласием. Риски: бессрочное хранение, массовые рассылки без согласия.

Передача данных третьим лицам

Передача — это любой доступ третьего лица к HR‑данным: агентство, подрядчик по проверке, внешний IT‑администратор, материнская компания.

Отдельно про трансграничную передачу: Ст. 12 152‑ФЗ требует до передачи данных за рубеж убедиться в наличии адекватной защиты в стране получателя. На практике: если ваш ATS, почта или платформа для видеособеседований физически обслуживаются за рубежом, это нужно учитывать на этапе выбора сервиса.

Технические и организационные меры: что должно быть у HR «на руках»

Минимальный «скелет» комплаенса складывается из документов, режима доступа и мер информационной безопасности. Для ИСПДн ориентиром служит ПП РФ № 1119, для бумажных процессов — ПП РФ № 687.

Уведомление в Роскомнадзор: когда важно не ошибиться

Общее правило: до начала обработки оператор уведомляет уполномоченный орган, кроме случаев‑исключений (ч. 2 ст. 22 152‑ФЗ).

Практическая рекомендация: Проведите короткий тест: «Есть ли у нас автоматизация? Передача третьим лицам? Спецкатегории/биометрия?». Если ответ «да» хотя бы по одному пункту, безопаснее подготовить уведомление и выстроить реестр процессов.

Права субъектов: кандидат, работник, бывший работник

Права субъекта персональных данных — это практические сценарии. Ошибка HR — отвечать «мы ничего не храним», когда данные есть в почте или мессенджере.

Для работника есть дополнительная защита по ТК РФ: требование письменного согласия при получении данных у третьих лиц и запрет полностью автоматизированных решений в ущерб работнику.

Пример сценария: Кандидат просит удалить резюме. Если есть согласие на кадровый резерв — вы прекращаете обработку по этой цели после отзыва. Если такого согласия не было — тем более нет оснований хранить данные бессрочно.

Ответственность и риски: от штрафов до потери репутации

Основной «штрафной» массив — ст. 13.11 КоАП РФ. Ключевой риск — не размер одного штрафа, а их множественность за разные составы нарушений.

История из практики: Повод к проверке Роскомнадзора

Компания дала доступ к базе кандидатов всем руководителям. Один из них скачал резюме на личный ноутбук и переслал знакомому. Кандидат пожаловался. На проверке выявили: отсутствие разграничения ролей, регламента выгрузок и понятных сроков хранения. Итог: предписание, срочная переработка процессов и удар по репутации работодателя.

Ошибка HR‑менеджера и репутационный ущерб

HR‑менеджер отправила файл «Кандидаты_финал.xlsx» в общий чат филиала вместо чата рекрутинга. В файле были телефоны, зарплатные ожидания и заметки интервью. Кандидат, отказавшийся от оффера, публично описал ситуацию в соцсетях. Формально — человеческая ошибка, фактически — отсутствие политики обмена данными.

Важно! Репутационный ущерб в HR часто дороже штрафа: потеря потока кандидатов, рост стоимости найма, удар по бренду работодателя.

Чек‑лист для HR‑отдела: как привести процессы в соответствие

Практический план из 12 шагов для внедрения за 4–8 недель:

1. Назначьте ответственного за организацию обработки ПДн в HR и закрепите роли доступа в системах.

2. Составьте реестр HR‑процессов (подбор, резерв, тесты, проверки и т.д.).

3. Опишите цели по каждому процессу и сведите собираемые данные к минимуму.

4. Пересмотрите формы согласия соискателя, сделайте их конкретными и раздельными по целям.

5. Для случаев письменной формы используйте бумагу или электронный документ с ЭП.

6. Настройте процесс получения данных у третьих лиц по модели ст. 86 ТК РФ.

7. Проверьте наличие биометрии и оформите для неё письменные согласия.

8. Пересмотрите договоры с контрагентами (агентства, провайдеры тестов) на предмет режима обработки данных.

9. Проверьте трансграничные элементы (облака, почта) на соответствие ст. 12 152‑ФЗ.

10. Установите и автоматизируйте сроки хранения, внедрите протоколы уничтожения.

11. Для ИСПДн выполните требования ПП РФ № 1119 по уровню защищённости.

12. Проверьте обязанность уведомления Роскомнадзора по ст. 22 152‑ФЗ.

Будущее и тренды: цифровизация HR и защита данных в 2026 году

В 2026 году HR активнее использует AI‑подбор, видеоинтервью и скоринг. Это расширяет «след данных»: больше источников, интеграций, выше риски. Нормы ТК РФ о недопустимости решений, основанных только на автоматизированной обработке, становятся практической опорой для этичного HR.

Комплаенс превращается в часть корпоративной культуры: уважение к частной жизни, понятные правила, аккуратное хранение, право на удаление. Это напрямую влияет на доверие и устойчивость бренда работодателя.

Заключение

Обработка персональных данных в HR — управляемый процесс. Связка 152‑ФЗ, требований к защите, правил бумажной обработки и норм ТК РФ даёт понятную рамку, внутри которой рекрутинг остаётся эффективным, а риски — контролируемыми. В новой реальности выигрывают те, кто строит найм как сервис доверия, а не как «сбор данных любой ценой».