152-ФЗ vs рекрутинг: как не превратить резюме в миллионный штраф

Представьте: коллега-рекрутер из другой компании просит помочь закрыть вакансию. У вас как раз есть подходящее резюме, и вы пересылаете его по дружбе. Безобидный жест? На самом деле, вы только что нарушили Федеральный закон № 152-ФЗ «О персональных данных» (источник huntflow.media). С 2025 года требования этого закона ужесточились, и за неосторожное обращение с данными кандидатов компании грозят серьёзные санкции. Штрафы выросли в разы: за обработку данных без согласия или не по назначению – до 300 тыс.

руб. вместо прежних 100 тыс. (источник advgazeta.ru), за утечку – до 15 млн руб. или оборотный штраф до 3% годовой выручки (но минимум 20 млн) (источник klerk.ru). Даже хранение резюме без согласия теперь может стать поводом для проверки и крупного штрафа. В этой статье разбираемся, как 152‑ФЗ влияет на работу рекрутера, какие правила важно соблюдать и как превратить заботу о персональных данных в конкурентное преимущество, а не в головную боль.

Резюме под защитой: какие данные охраняет закон

Для начала важно понять, что именно считается персональными данными (ПД) соискателя. Закон определяет ПД как любую информацию, позволяющую прямо или косвенно идентифицировать человека (источник huntflow.media). В контексте рекрутинга к ПД относятся практически все сведения из резюме: ФИО, дата рождения, контактный телефон и email, фотография, адрес, информация об образовании и работе – всё, что привязано к конкретному кандидату. Если по этим данным можно вычислить конкретное лицо, значит, перед нами персональные данные, охраняемые законом.

Причём 152‑ФЗ делит персональные данные на категории. Обычные данные – общие сведения вроде имени, контактов, места работы. Специальные категории – более чувствительная информация: здоровье, национальность, политические взгляды, судимости, интимная жизнь. Есть ещё биометрические данные (например, отпечатки пальцев или изображения лица), но в рекрутменте кандидаты редко присылают такие вещи. Важно знать про специальные категории, потому что закон требует к ним особого подхода – о нём чуть позже.

Каждый этап работы с резюме – тоже обработка персональных данных. Получили CV по почте? Сохранили его в файле на компьютере или в CRM? Это уже сбор и хранение ПД. Позвонили кандидату по номеру из резюме – использование ПД.

Отправили резюме нанимающему менеджеру или службе безопасности – передача ПД. Удалили данные – тоже действие с ПД. Закон трактует обработкой любое действие с персональными данными, от записи и систематизации до передачи или уничтожения (источник potok.io). Поэтому к каждому такому шагу применимы правила 152‑ФЗ.

Согласие решает всё: на каком основании HR может обрабатывать данные

Главное правило: чтобы законно работать с персональными данными кандидата, нужно иметь на то юридическое основание. В большинстве случаев таким основанием становится согласие самого кандидата. Российское законодательство не содержит специальных норм про обработку данных при поиске сотрудников – ни Трудовой кодекс, ни закон «О занятости населения» прямо не регулируют эту ситуацию (источник mediapravo.com). Значит, действуют общие требования закона о персональных данных. Проще говоря, для рассмотрения резюме необходимо получить согласие соискателя на обработку его персональных данных.

Иногда HR надеются обойтись без лишней бюрократии: например, считают, что если резюме выложено кандидатом в открытый доступ на работном сайте, то можно его спокойно скачивать и хранить. Раньше в законе действительно была оговорка, позволявшая обрабатывать общедоступные данные без согласия их владельца. Но с 1 марта 2021 года эту лазейку прикрыли – соответствующий пункт (п. 10 ч. 1 ст.

6 152‑ФЗ) утратил силу. А основания, которые позволяют работать с ПД без согласия (например, для заключения договора с субъектом данных), по мнению юристов, не распространяются на этап первичного обсуждения вакансии. Ведь трудовой договор ещё не заключён, кандидат лишь прислал информацию о себе. Таким образом, надеяться на исключения не стоит – в общем случае у рекрутера должно быть согласие кандидата, прежде чем вносить его данные в базу или передавать кому-либо.

Важно и качество этого согласия. Закон требует, чтобы оно было конкретным, информированным и однозначным (ч. 1 ст. 9 152‑ФЗ). Кандидат не должен подписывать «котов в мешке».

Документ согласия (или текст электронной формы) обязан чётко описывать, какие данные собираются и для каких целей. Нельзя брать согласие «на всё и навсегда»: срок обработки тоже должен быть указан и соотнесён с целями. Например, правильно указать, что данные обрабатываются до завершения отбора на такую-то позицию – после чего при отказе они будут уничтожены. Роскомнадзор в разъяснениях подчеркнул, что хранить ПД соискателя можно только до принятия решения о найме или отказе, если нет отдельной договорённости о резерве кадров (об этом ниже). Поэтому фраза «согласие действует бессрочно» или «до отзыва» – нарушает закон, так писать нельзя.

Кроме целей и сроков, в согласии стоит объяснить, что именно подразумевается под обработкой персональных данных. Многие кандидаты далеки от юриспруденции, и фраза «даю согласие на обработку моих ПД» мало что им говорит. Лучше расшифровать в скобках, что это включает сбор, хранение, передачу и т.д.

– такой совет дают сами специалисты Роскомнадзора. Если согласие написано непонятно или чересчур общо, его могут посчитать недействительным в суде. Тогда формально вы согласие взяли, но по факту остались без законного основания, что чревато штрафом.

Отдельный момент – добровольность согласия. Никакого принуждения: нельзя ставить согласие условием рассмотрения кандидата или угрожать отказом в вакансии, если он не подпишет бумагу. Такое «вынужденное» согласие тоже может считаться недействительным.

Кандидат должен сам, осознанно и свободно решить, готов ли он предоставить данные. Его молчание или бездействие не считается согласием. Поэтому если, к примеру, соискатель прислал резюме, но игнорирует просьбу заполнить форму согласия, использовать его данные дальше нельзя.

Электронно или письменно: когда достаточно галочки, а когда нужна подпись

Чаще всего согласие на обработку ПД можно получить в простой письменной или электронной форме – закон не требует именно бумажного документа. Галочка «Согласен на обработку персональных данных» под формой отклика на вакансию, письмо от кандидата с фразой «Да, соглашаюсь» или вообще отметка в CRM-системе – всё это допустимые формы, если можно подтвердить, что согласие исходило от самого человека. Поэтому стандартный процесс выглядит так: кандидат либо сам ставит галочку, отправляя резюме через сайт, либо в ответ на ваше письмо с просьбой согласиться явно подтверждает своё согласие.

Например, на любом крупном job-сайте при отклике обычно встроен чекбокс с текстом наподобие: «Отправляя резюме, я даю согласие на обработку персональных данных». Важно, чтобы эта галочка не была проставлена по умолчанию – кандидат должен сам её отметить. Компания Selectel, к примеру, на своём карьерном сайте именно так и сделала: пока соискатель вручную не поставит «птичку», резюме не отправится. Это соответствует букве закона.

Когда же требуется именно письменное согласие с подписью? Закон называет 5 случаев, где без «живой» подписи не обойтись (ст. 8, 10, 11, 12, 16 152‑ФЗ). Для рекрутинга ключевой – специальные категории данных. Если приходится работать с «чувствительными» данными кандидата (например, состояние здоровья, национальность, политические взгляды, сведения о судимости, интимная жизнь), то потребуется оформить согласие именно в письменном виде.

Кандидат должен либо лично подписать бумагу, либо поставить электронную подпись (например, через Госуслуги). Обычной галочки тут недостаточно. Типичный пример – подбор на должности, где проверяют здоровье или прошлое: скажем, пилот, охранник, водитель. Там может потребоваться информация о медосмотрах или судимости, и закон требует на такую обработку отдельное письменное согласие.

В большинстве же рядовых случаев (офисные сотрудники, менеджеры, айтишники и т.д.) ничего из «особых» данных резюме не содержит. Фотография, кстати, не относится к персональным данным в контексте резюме, поскольку сама по себе не служит идентификации – её регулирует другая статья ГК. Поэтому обычно достаточно электронного согласия. Главное – хранить доказательства, что кандидат его дал.

Если это галочка на сайте – пусть система логирует и сохраняет отметку. Если по email – сохранить переписку. Доказывать свою правоту придётся вам, поэтому документы о согласии нужно держать под рукой на случай проверки.

Кандидат из интернета: база резюме vs требования закона

Стоит отдельно обсудить частый кейс: вы нашли кандидата на работном сайте или в соцсети. Можно ли добавить его резюме в свою базу без лишних формальностей? Тут есть нюансы. Популярный портал hh.ru прямо запрещает работодателям использовать данные кандидатов не по назначению – нельзя брать контакты из резюме и рассылать спам, нельзя публиковать резюме с HeadHunter на других ресурсах, нельзя передавать резюме третьим лицам без согласия кандидата.

То есть если вы скачали резюме с HH, а теперь хотите с кем-то поделиться или внести в свою внешнюю систему, по правилам нужно спросить у кандидата разрешение. Другие платформы, возможно, регулируют иначе, но суть одна: когда кандидат выкладывает своё CV на сайте, он даёт согласие этому сайту и на оговорённые там действия (например, получать предложения о работе). Это не означает автоматического согласия на включение его в вашу личную корпоративную базу, если только он сам не откликнулся через инструменты сайта на вашу вакансию.

Если резюме найдено в соцсети или телеграм-чате для рекрутеров, ситуация ещё хитрее. Закон требует: если вы получили персональные данные не от самого человека, у вас есть 30 дней, чтобы либо получить его согласие, либо прекратить обработку и уничтожить данные. Скажем, кандидат выложил пост «Ищу работу» с резюме в VK или кто-то из коллег прислал PDF-файл с резюме в закрытом рекрутерском чате. Вы можете посмотреть эти данные, даже связаться с человеком (раз он сам их опубликовал). Но если хотите сохранить резюме у себя или переслать кому-то, нужно в течение 30 дней заручиться согласием кандидата.

Если он не даст разрешения – придётся все копии удалить и забыть, как страшный сон. Более того, если резюме вам передал не сам кандидат, а третье лицо (другой рекрутер, знакомый), лучше вообще не использовать такие данные без прямого разрешения от субъекта. Нет гарантии, что тот, кто вам это резюме переслал, имел право это делать. Беря оттуда контакты и обзванивая человека, вы рискуете нарушить закон, ведь от кандидата напрямую согласия не было.

Совет юристов в таких случаях простой: действовать “наоборот”. То есть не вы пересылаете куда-то резюме кандидата, а высылаете самому кандидату ссылку на вакансию или контакт того, кто заинтересован в нём. Пускай кандидат сам решает, связываться ли с другой компанией. Тогда и вы, и ваш работодатель ничем не рискуете. Если же очень нужно именно передать данные – без согласия никак.

Причём в согласии надо отдельно указать, что кандидат разрешает передачу его ПД третьим лицам, и желательно перечислить, кому именно или хотя бы в каких целях. Например, добавить формулировку: «...содействие кандидату в трудоустройстве у оператора или иных заинтересованных лиц, с которыми сотрудничает оператор». А далее расшифровать, о каких лицах идёт речь – перечислить партнёрские компании, холдинг или указать сферы организаций. Человек должен понимать, кому и зачем вы потенциально отправите его резюме, иначе согласие не будет считаться информированным.

Отдельный случай – делитесь резюме внутри холдинга. Если ваша компания состоит из нескольких юрлиц (например, группы компаний), а кандидат дал согласие только одному из них, то передача его данных в другое юрлицо – тоже «трансфер» к третьему лицу. Решение аналогично: включить в текст согласия пункт о передаче ПД третьим лицам (компаниям холдинга) и указать, что цель обработки – трудоустройство в пределах группы компаний. Тогда можно безопасно перекидывать резюме между «дочками». А вот просто по умолчанию рассылать резюме по всем филиалам без такого условия – нарушение.

Наконец, трансграничная передача – если вдруг нужно отправить данные кандидата зарубежному работодателю. Тут закон добавляет требований: страны делятся на «адекватные» (одобрены Конвенцией 108 и приказом Роскомнадзора № 128) и все остальные. Если получатель в «благополучной» стране, хватит обычного согласия (галочки) на трансграничную передачу. А вот если страна не в списке (например, США), нужно письменное согласие на трансграничную передачу с перечислением: кто получатель (название, адрес), в какую страну идут данные, и отдельная пометка, что эта страна не обеспечивает адекватной защиты прав субъектов ПД.

То есть для отправки резюме иностранному работодателю из условного «третьего мира» придётся собрать практически полноценное заявление от кандидата. На практике российские HR стараются таких ситуаций избегать, да и кандидаты могут насторожиться. Так что чаще выгоднее просто не пересылать личные данные за рубеж, если можно этого не делать.

Хранение и удаление: кадровый резерв по правилам

Допустим, вы получили от кандидата все нужные согласия и благополучно внесли его в свою базу. Насколько долго можно хранить эти данные? Вечно – нельзя точно. Закон говорит: персональные данные должны храниться не дольше, чем этого требуют цели обработки (ч. 5 ст. 5 152‑ФЗ). Иными словами, заявленная цель выполнена – данные надо либо удалить, либо заново обосновать, зачем они вам нужны дальше.

Для рекрутинга базовая цель – закрыть вакансию. Если соискатель не подошёл и получит отказ, то его резюме подлежит уничтожению в течение 30 дней. Эта норма прямо закреплена в ч. 4 ст. 21 закона и подтверждена регулятором: при отказе в найме ПД соискателя должны быть уничтожены. Оставлять их «на всякий случай» нельзя – ведь изначальная цель (отбор на конкретную должность) больше не актуальна.

Что делать, если вы хотите сохранить перспективного кандидата в резерве? Такой вариант закон предусматривает: можно запросить у соискателя отдельное согласие на включение его в кадровый резерв с перспективой будущего трудоустройства. В этом согласии опять же нужно прописать цель (например, хранение резюме в течение такого-то времени для возможного предложения работы в будущем) и срок хранения. Компания обязана ознакомить кандидата с правилами ведения этого резерва и процедурой исключения из него.

Проще говоря, человек должен понимать, что его данные будут храниться, скажем, год, и что через год их удалят или спросят у него заново. Срок нахождения в резерве обязательно ограничен – «навечно на карандаш» брать нельзя. По истечении указанного срока резюме тоже должно быть уничтожено, если только кандидат не подтвердит своё желание остаться в базе дальше.

Вообще, удаление персональных данных – такая же обязательная процедура, как их сбор. Роскомнадзор обращает на это особое внимание. У компании должен быть внутренний порядок уничтожения ПД, о котором сотрудники проинформированы.

Закон устанавливает конкретные сроки: если человек отозвал своё согласие, у вас есть 30 дней, чтобы удалить все его данные. Если вдруг обнаружилось, что собрались лишние или неверные сведения, на удаление даётся 10 рабочих дней. Нарушение этих сроков само по себе может стать основанием для штрафа.

Удалять данные тоже нужно грамотно. Речь о полноценном уничтожении без возможности восстановления – просто нажать «Delete» недостаточно, если где-то останутся резервные копии. Практика требует: убрать сведения из всех систем, где они были (включая бэкапы, почту, бумаги), составить акт об уничтожении (на бумаге или электронный) и сохранить этот акт 3 года. При необходимости ещё и подтвердить самому субъекту, что его данные удалены.

Такой акт – ваше доказательство, что вы выполнили закон. В акте обычно указывают, какие данные, когда и на каком основании уничтожены, кто отвечает. Хранить акты 3 года нужно на случай проверок: Роскомнадзор вправе потребовать показать, как вы удаляете данные по запросам.

Рискованное хранение: почему база резюме в Google Sheets – плохая идея

Закон 152‑ФЗ содержит требование, о котором многие рекрутеры могут не задумываться: локализация персональных данных. Если вы обрабатываете данные россиян, база данных с этими ПД должна находиться на территории РФ (ст. 18 §5). На практике это значит, что хранить резюме, скажем, в американском облаке без зеркала в России – запрещено. Популярный пример: HR заводит табличку в Google Sheets или Airtable для учёта откликов.

Формально – нарушение, ведь сервера Google находятся за границей, да и сервис не заключал с вами нужных договоров. Роскомнадзор сейчас особо подчёркивает: использование зарубежных CRM, таск-трекеров, облачных хранилищ, которые не гарантируют хранение данных на территории РФ, – риск для компании. Это не значит, что совсем нельзя иностранные сервисы, но нужно убедиться, что они имеют серверы в России или хотя бы официально могут обеспечить локальное хранение. Иначе – либо переходить на отечественные системы, либо мириться с возможными претензиями. Вспомните историю с LinkedIn, который в 2016 году просто заблокировали в России за отказ переносить данные россиян на российские серверы – красноречивый пример.

Кстати, ваш собственный сайт может невольно выдать нарушение, если на нём подключены сторонние виджеты. Сейчас регулятор использует автоматизированную систему мониторинга сайтов на предмет передачи данных за рубеж. Что проверяют: актуальность политики конфиденциальности на сайте, наличие галочки согласия в формах, информирование о cookie и… нет ли скрытых иностранные элементов. Например, встроенный код Google Analytics или загружаемые с зарубежных CDN шрифты уже могут подсветить сайт как передающий данные за границу. Без предупреждения к вам может нагрянуть блокировка сайта и штраф.

Причём система мониторинга делает это автоматически, без участия человека. Достаточно одному документу на сайте устареть или не понравиться роботу – и привет. В 2022–23 годах компании массово чистили свои сайты от иностранных метрик и чат-ботов. Это стоит сделать и HR-службам: если у вас есть карьерный сайт или страничка вакансий, убедитесь, что там всё локально и в порядке. Иначе, как шутят, «можно случайно уничтожить карьерный сайт вместе с репутацией компании».

Документы и ответственные: подготовьте домашнее задание

В 2025 году 152‑ФЗ – это уже не просто закон, а фактически набор стандартов работы с данными внутри компании. Чтобы его соблюсти, одного согласия от кандидата недостаточно. Роскомнадзор теперь требует, чтобы у оператора ПД (то есть у любой компании, которая собирает данные) был целый пакет внутренних документов.

С 30 мая 2025 года вступили в силу поправки, обязывающие иметь расширенный комплект организационно-распорядительной документации по защите персональных данных (источник action-market.ru). В среднем это от 30 до 60 различных бумаг, как отмечают эксперты. Точный перечень зависит от вашей деятельности, объёма данных, наличия веб-сайтов и т.п., но почти всем нужны базовые вещи:

Политика обработки персональных данных. Это публичный документ (размещается на сайте), описывающий, какие данные вы собираете, для каких целей, как их защищаете, порядок прав субъекта и т.д. Он обязателен, и отсутствие актуальной политики на сайте – повод для санкций.
Формы согласия для всех случаев. Например, отдельные бланки согласия: на обработку данных соискателя, на включение в кадровый резерв, на передачу третьим лицам, на трансграничную передачу (если вдруг нужно). Шаблоны таких согласий должны соответствовать требованиям закона (указаны цель, данные, срок, порядок отзыва и т.д.).
Приказ о назначении ответственного за работу с ПД. Нужно официально назначить сотрудника (или отдел), который следит за соблюдением правил обработки персональных данных. Часто эту роль дают руководителю службы ИБ или юристу, но может быть и HR, если компания небольшая.
Перечень сотрудников, допущенных к ПД, и соглашение о неразглашении. Все, кто имеет доступ к базе резюме или личным делам, должны подписать обязательство о неразглашении персональных данных работников и соискателей. Это требование и Трудового кодекса тоже (ст. 88 ТК РФ).
Положение о защите ПД работников. Документ, регламентирующий, как компания хранит и защищает данные сотрудников (и кандидатов). Он вводится приказом по компании согласно ст. 87 ТК РФ.
Регламент действий при утечке. План, что делать, если произошла компрометация данных: кого оповещать, как расследовать, как информировать пострадавших. Теперь без такого плана – большой риск, ведь утечки стали караться миллионными штрафами.
Журнал обращений субъектов ПД. Необходимо фиксировать все случаи, когда люди обращаются с требованиями удалить или изменить их данные. По закону гражданин имеет право запросить свои данные, отозвать согласие, потребовать исправлений – и вы должны это выполнить в сроки. Поэтому ведётся учёт таких обращений и результатов.
Реестр операций по обработке ПД. Новый для многих документ: фактически список всех процессов в компании, где используются персональные данные, с указанием, какие данные, зачем, кто ответственный и т.д.. Это помогает самой компании понимать, где и какие ПД она крутит.

Все эти меры могут звучать избыточно, особенно для небольшого бизнеса. Но регулятор настроен серьёзно: с мая 2025-го за неуведомление РКН о начале обработки ПД введён штраф до 300 тыс. руб., хотя раньше вообще штрафа не было. То есть если вы собираете резюме и ещё не стоите в реестре операторов персональных данных – самое время подать уведомление.

Проверить себя можно на сайте РКН: числится ли ваша организация в реестре. Если нет – подайте уведомление как можно скорее. Тем, кто уведомлялся давно (например, до 2022 года), тоже стоит обновить данные, потому что с тех пор форма изменилась.

Отдельно обратите внимание на обучение сотрудников. Ряд кейсов показывает, что проблема часто не в отсутствии согласий, а в элементарной неосведомлённости менеджеров. Сотрудники отдела кадров, рекрутеры, админы доступа – все, кто так или иначе работает с личными данными, должны быть ознакомлены с требованиями закона.

Проведите для них мини-тренинг или разошлите памятку: что можно, что нельзя. Не хранить резюме в незапертом шкафу, не пересылать базы кандидатов на личную почту, не делиться логинами систем с коллегами. Казалось бы, простые вещи, но нарушения всплывают именно из-за человеческого фактора.

Безопасность превыше всего: как защитить данные и репутацию

Почему вся эта суета настолько важна? Потому что цена ошибки многократно выросла. Помимо штрафов, регулятор ввёл механизм, пугающий бизнес ничуть не меньше – оборотные штрафы за утечки. Если утечка большая, сумму могут считать как процент от годовой выручки компании.

Для крупного работодателя это десятки миллионов, а то и больше. За 2022–2023 годы страна увидела немало утечек баз резюме и данных соискателей (достаточно вспомнить громкий инцидент с hh.ru, когда в сеть попали миллионы профилей). Теперь за такое придётся платить реальными рублями, и суммы сопоставимы с европейскими GDPR-штрафами.

Поэтому обезопасить базу кандидатов – прямая задача HR-отдела наряду с айтишниками. Начать стоит с простого: не допускать банальных утечек по халатности. Классический пример – рекрутер скачал CSV-файл с резюме и отправил его по открытой почте или, хуже, сохранил в облако без пароля. Или по доброте душевной поделился доступом к своей учетной записи ATS с подружкой-рекрутером. Так делать нельзя.

Никому не передавайте логин и пароль от рекрутинговой системы, не шлите файлы с десятками резюме прямо в письмах. Давайте доступ к базе только тем, кому он действительно необходим для работы, и убирайте доступ у уволившихся сотрудников. Эти элементарные шаги способны предотвратить львиную долю утечек. Ведь если кто-то взломает вашу базу резюме или украдёт пароль, отвечать будет компания как оператор ПД. А отвечать теперь дорого.

Ещё один совет: не копите лишнего. Часто в компаниях годами лежат резюме «мертвым грузом» – их давно никто не рассматривает, кандидаты уже сто раз сменили работу, а персональные данные пылятся. Такой архив – бомба замедленного действия. Во-первых, как мы выяснили, хранить данные без действующей цели нельзя и это само по себе нарушение.

Во-вторых, именно старые базы чаще всего утекают, потому что про них забывают и не защищают должным образом. Регулярно проводите ревизию своей базы: удаляйте резюме, которые просрочены (лежат дольше оговоренного срока хранения) или принадлежат людям, отказавшимся от общения. Современные HRM-системы (типа Huntflow, Talantix и пр.) даже делают автоматические напоминания: «этот кандидат 2 года в резерве, запросите у него согласие заново или удалите». Пользуйтесь такими инструментами, они помогают оставаться в рамках закона без лишней ручной работы.

Подстрахуйтесь на случай, если работаете с подрядчиками. Например, вы привлекаете внешнее кадровое агентство или фрилансера-рекрутера. В договоре с ними пропишите ответственность за нарушение закона о ПД.

Если по их вине произойдёт утечка или жалоба, и вашу компанию оштрафуют, вы вправе будете требовать с посредника компенсацию. Это может не избавит от самого факта штрафа, но хотя бы вернёт деньги через суд. Кроме того, проверяйте, как подрядчики берут согласия у кандидатов, ведь в итоге отвечать всё равно вам, как заказчику услуги.

Наконец, помните про репутацию. Инциденты с персональными данными – это не только юридическая, но и имиджевая проблема. В эпоху соцсетей слух о том, что компания обращается с данными людей «через пень-колоду», разлетается быстро. Кандидаты начинают обходить такую фирму стороной, клиенты задумываются, стоит ли доверять ей свои данные.

Государство сейчас твёрдо взяло курс на защиту персональных данных граждан, и эта тенденция только усиливается. Проще говоря, если организация не уважает право человека на приватность, её рискуют оставить без клиентов и без сотрудников. Для работодателя, особенно в сфере IT или на высококонкурентном рынке талантов, такое развитие событий может оказаться даже страшнее штрафов.

Вместо эпилога: новый этикет работы с данными

Ещё пару лет назад требования 152‑ФЗ многие воспринимали как формальность: повесил политику на сайте, взял типовое согласие при приёме на работу – и ладно. Теперь ситуация иная: рекрутеру приходится быть немножко юристом и айтишником, думая о защите данных на каждом шагу. Но в этом есть и плюсы. Компании, которые выстраивают прозрачную и аккуратную работу с персональными данными, вызывают больше доверия у кандидатов. А те, кто продолжает «шалить», быстро оказываются под ударом.

Причём поводом для проверок может стать не только утечка или сам Роскомнадзор, но и сами соискатели. Юристы предупреждают: обиженные отказом кандидаты нередко из вредности жалуются на нарушение порядка обработки их данных. Раз уж не взяли на работу, почему бы не проверить, правильно ли обращались с моим резюме?

Благо сейчас даже никуда ходить не надо – жалобу в РКН можно отправить онлайн. А работодателю потом придётся побегать и написать ворох объяснительных, доказывая, что он не верблюд. Ну и штрафы, само собой, тоже возможны.

Таким образом, забота о персональных данных – часть современной HR-рутины. Получайте согласия, храните данные безопасно, своевременно удаляйте лишнее и не экспериментируйте с законом. Тогда 152‑ФЗ из страшного врага превратится просто в набор понятных правил игры. Рекрутинг, выстроенный с уважением к приватности кандидатов, становится более цивилизованным и эффективным.

Соискатели ценят такой подход: это показывает, что компания уважает их права с самого первого контакта. В итоге соблюдение требований не только убережет вас от штрафов и блокировок, но и улучшит вашу репутацию на рынке. Ведь персональные данные – это, в конце концов, доверие. И задача бизнеса это доверие оправдать.

Слепая воронка найма? ИИ-скоринг Naimee AI даёт баллы по must-have/nice-to-have и объясняет, где «течёт» конверсия — всё в одном дашборде. Попробуйте месяц бесплатно. Посмотреть на своих данных