ФЗ‑152 и HR‑боты: что спрашивать у вендора

Привет! Меня зовут Александр, я сооснователь HR-tech сервиса Naimee и эксперт по найму с 15 летним опытом. Мы разрабатываем AI-чат-ботов для найма, и почти каждый новый клиент спрашивает: «А не нарушим ли мы закон о персональных данных?» В этой статье я разложу по полочкам, как использовать HR-боты и не получить штраф. Разберём ключевые боли компаний и чек-лист вопросов к вендору, чтобы автоматизация найма принесла пользу, а не проблемы. 

HR-боты vs. закон о персональных данных: Инструменты с искусственным интеллектом способны снимать до 80% рутинных задач рекрутера (источник vc.ru) – от первичного отбора резюме до переписки с кандидатами 24/7. Звучит заманчиво, особенно когда на каждую вакансию приходят горы откликов. Но вместе с эффективностью приходит и ответственность: любой HR-бот работает с персональными данными (ПД) кандидатов, а значит, попадает под требования Федерального закона № 152-ФЗ.

Нарушить эти требования – значит нарваться на блокировку, иски или многомиллионные штрафы (источник potok.io). В 2025 году правила игры ужесточились: штрафы выросли в разы, появились новые запреты и обязанности для компаний. Ниже – коротко о главных изменениях, которые тревожат HR-отделы.

  • Штрафы до 15 млн ₽ и цифровой контроль. С 30 мая 2025 года вступили в силу поправки, увеличившие санкции за неправильную работу с данными. Теперь за утечку данных крупным компаниям грозит до 10–15 млн ₽ штрафа (источник bothelp.io), а при повторном инциденте – до 3% годового оборота. Причём Роскомнадзор получил право мониторить нарушения дистанционно: запущена система автоматического цифрового контроля без предупреждения визита (источник 42clouds.com). Проще говоря, если вы просто храните резюме кандидатов или переписываетесь с ними не по правилам, это может всплыть и без проверки на месте. Показательный случай: в 2025 году один из банков получил штраф 200 тысяч рублей за то, что сотрудники пересылали клиентские данные и детали задолженностей через WhatsApp. Переписка в незащищённом иностранном мессенджере без согласия клиента была квалифицирована как нарушение части 2 ст. 13.11 КоАП РФ – передача персональных данных через несоответствующий канал. Урок прост: даже привычная коммуникация в мессенджере может обернуться крупными проблемами, если не учесть требования 152-ФЗ.
  • Каждое согласие – отдельным документом. Ещё одно новшество 2025 года: с 1 сентября все согласия на обработку ПД должны оформляться отдельно от других документов (источник globaltrust.ru). Раньше рекрутеры часто включали текст согласия в анкеты, офферы или пользовательские соглашения по умолчанию. Теперь так делать нельзя – нельзя спрятать согласие «мелким шрифтом» среди прочего. Требуется самостоятельный документ или электронная форма, где ясно прописаны цель, сроки и способы обработки данных. Например, больше не получится ограничиться одной галочкой под резюме: если хотите взять соискателя в кадровый резерв после текущей вакансии – необходимо запросить у него отдельное согласие на новый цель (источник huntflow.media). Хорошая новость: в большинстве случаев не нужно бумажное согласие с подписью – достаточно электронного подтверждения (через email, форму или интерфейс системы). Письменная форма обязательна только для особо чувствительных данных (здоровье, биометрия, судимость) и отдельных сфер, вроде госслужбы. Для типового рекрутмента это редко актуально.
  • Данные должны храниться в России. С 1 июля 2025 года требование локализации данных стало безусловным: базы с резюме и анкетами кандидатов нужно держать на серверах в РФ. Использование иностранных облачных сервисов без специального разрешения теперь прямо запрещено. Если HR-база хранится, скажем, в Google Sheets или зарубежной CRM, это прямое нарушение – такие решения не обеспечивают размещение данных на территории России. Раньше многие закрывали на это глаза, но теперь регулятор уделяет особое внимание локализации. Проверяющие могут запросить документы о том, где именно хранятся сведения соискателей, и компания обязана предоставить эту информацию. Про передачу данных за рубеж тоже не забудьте: выгрузить резюме кандидатов и отослать их иностранному контрагенту или сервису без спецразрешения нельзя – в закон внесли прямой запрет на передачу результатов обработки ПДн иностранным компаниям и гражданам. Так государство стремится защитить данные россиян от неконтролируемого утекания за границу.
  • Обязанность уведомлять Роскомнадзор. Если раньше небольшие фирмы могли не спешить с уведомлением об обработке ПД (формально требовалось, но штрафов не было), то теперь за это введена серьёзная ответственность. Неподача уведомления о вашем статусе оператора ПДн – отдельное нарушение, караемое штрафом до 100–300 тыс. ₽ для компании. Исключений мало. Например, если вы обрабатываете данные только своих сотрудников (и ни одного внешнего кандидата), уведомление можно не подавать. Но как только вы работаете с резюме соискателей, анкетиируете клиентов или ведёте рассылки – обязаны встать на учёт в реестре операторов. Роскомнадзор настоятельно рекомендует проверить, подано ли у вас уведомление и актуальна ли информация о компании в реестре. Процедура несложная: можно отправить форму через Госуслуги или сайт РКН с электронной подписью, – но об этом нужно вспомнить до начала работы HR-бота. Иначе даже без иных нарушений вам грозит внушительный штраф.

Новые правила заставили многие компании понервничать. HR-директора хотят ускорить найм с помощью чат-ботов, но боятся «наступить на грабли» с персональными данными. Как показывает практика, страх не беспочвенный: рекрутмент – это сплошная обработка ПД, от получения резюме до звонка кандидату. Любая утечка или лишнее движение без согласия может ударить по репутации и бюджету. Тем не менее, автоматизацию откладывать не хочется – рынок труда требует скорости и эффективности.

Как же быть? Ответ: выбирать решение взвешенно и требовать от поставщика гарантии защиты данных. Ниже я собрал ключевые вопросы, которые стоит задать вендору HR-бота перед покупкой. Этот чек-лист поможет прояснить, готов ли сервис работать по закону 152-ФЗ и защитить ваши данные.

Что спросить у разработчика HR-бота (чек-лист)

  • Где будут храниться данные кандидатов? Первый вопрос – о сервере и стране. Убедитесь, что инфраструктура сервиса находится на территории РФ. По закону все данные россиян должны храниться внутри страны. Если вендор использует иностранный хостинг либо передаёт данные за рубеж, это красный флаг. Как отмечают эксперты, использование инструментов вроде Google Docs или зарубежных CRM без локальных серверов теперь прямо рассматривается как риск нарушения. Надёжный поставщик предоставит информацию, в каком дата-центре будут лежать резюме и переписки, и подтвердит, что выполняет требование локализации. Например, наш чат-бот Naimee развёрнут в российском облаке и не гоняет данные через внешние сервисы – это принципиально для соблюдения закона. Совет: сразу пропишите в договоре, что персональные данные не могут передаваться на зарубежные серверы без вашего ведома (даже в технических целях). Если вендор уклоняется от чёткого ответа, лучше поискать другого – хранение данных вне РФ грозит проблемами вплоть до блокировки сервиса.
  • Как бот собирает согласие кандидатов на обработку данных? Привлечение HR-бота не освобождает компанию от обязанности получить у кандидата легитимное согласие (если только у вас нет иного законного основания обработки). Хороший HR-бот должен помочь в этом, а не создать дополнительную головную боль. Спросите у разработчика, реализована ли в боте процедура сбора согласий. Идеальный сценарий: уже в первом сообщении кандидат получает необходимую информацию о политике конфиденциальности и даёт явное согласие на обработку ПД, например, нажатием кнопки «Принять» (источник textback.ru). Важно: согласие должно быть осознанным и конкретным, его нельзя получать автоматически или «по умолчанию». В практике уже есть хорошие кейсы: например, HR-бот, внедрённый в одной строительной компании, при первом же контакте информирует соискателя об условиях и просит подтвердить согласие на обработку данных перед заполнением анкеты (источник sendpulse.com). Только получив согласие, бот переходит к диалогу. Уточните у вендора, есть ли у него подобный функционал. Если нет – придётся придумывать обходной путь (например, просить кандидатов заполнить отдельную форму-согласие на сайте, что неудобно). Также узнайте, где хранится доказательство полученного согласия – в случае спора или проверки вы должны предъявить, когда и каким способом кандидат его дал. Надёжный сервис ведёт лог таких событий или хранит копии согласий. В Huntflow, к слову, автоматизирован сбор и хранение согласий – система сама запрашивает их у кандидатов и сохраняет отметки. HR-бот обязан делать не хуже.
  • Нужны ли отдельные согласия для работы бота и будет ли договор о данных? Здесь мы подходим к юридическим тонкостям. По закону оператором персональных данных считается тот, кто определяет цели и способы обработки ПД. Обычно это сама компания-работодатель. Вендор чат-бота выступает как «лицо, обрабатывающее данные по поручению оператора» – грубо говоря, ваш подрядчик. Чтобы легально передать ему данные кандидатов, вы должны заключить с ним договор поручения обработки ПДн (ст. 6 и поручение в ст. 3, 152-ФЗ). Обязательно спросите, предоставляет ли вендор типовой договор и подписывает ли соглашение о конфиденциальности. Такой договор должен подробно регламентировать, как он защищает данные, и предусматривать ответственность за нарушения. Без него передача резюме третьему лицу (даже для благой цели найма) будет считаться неправомерной. Более того, закон требует отдельного согласия кандидата на передачу его данных третьим лицам, если вы планируете пересылать резюме подрядчику. То есть, даже если кандидат согласен, что вы храните его резюме у себя, это не значит, что он автоматически согласен на передачу информации внешнему сервису. В идеале, текст согласия, который бот получает от кандидата, должен содержать фразу о том, что данные будут обработаны с использованием стороннего сервиса (название можно указать). Либо же это оформляется двумя галочками – отдельно на обработку компанией и отдельно на передачу определённому партнёру. Как поступить технически – вопрос к вашему юристу и вендору. Но игнорировать этот момент нельзя: передача резюме подрядчику без отдельного согласия – прямое нарушение закона. Хорошая новость: многие современные HR-системы уже учли это. Например, когда кандидат откликается через job-сайт (HeadHunter и др.), он обычно ставит галочку, что согласен на передачу данных работодателю и его уполномоченным лицам – этого может быть достаточно, чтобы легально использовать внешнего HR-бота. Уточните у своего поставщика, как он рекомендует закрыть этот вопрос. И, конечно, попросите копию Политики обработки персональных данных самого сервиса: вам важно понять, как вендор обращается с данными ваших кандидатов и не закладывает ли себе лишних прав.
  • Какие меры безопасности данных у сервиса? Доверяя кандидатов внешнему боту, вы рискуете репутацией – потому что в случае утечки виноватой окажется ваша компания, а не подрядчик. Поэтому блок вопросов про информационную безопасность – обязательный. Узнайте, как защищаются данные в системе вендора: используется ли шифрование (и на каком этапе – при хранении, при передаче?), как разграничены права доступа, кто из сотрудников компании-разработчика может видеть персональные сведения. Например, хранятся ли пароли и ключи доступа в зашифрованном виде, ведётся ли журнал обращений к данным, как бэкапируются базы. Это может звучать технически, но благонадежный вендор ответит на языке бизнес-пользы: «Мы шифруем базу кандидатов по стандарту AES-256, у каждого клиента своя изолированная область, доступ строго по VPN и только у двух администраторов…» и т.д. Если менеджер по продажам на эти вопросы впадает в ступор – попросите связать вас с техническим директором или ответственным за безопасность. Вас должно насторожить, если разработчик заявляет нечто вроде: «Да зачем шифровать, у нас и так всё хорошо» – это признак незрелости. Напротив, наличие у сервиса сертификатов или аттестаций в сфере защиты ПД будет большим плюсом. Например, некоторые отечественные решения проходят аудит ФСТЭК или имеют ISO 27001 – для вас это сигнал, что безопасность они ставят во главу угла. Кстати, сейчас 152-ФЗ обязывает проводить регулярный аудит ИБ в компаниях-операторах. Не лишним будет спросить, проводил ли сам вендор независимый аудит своей системы. Дополнительно узнайте, были ли у них инциденты утечки и как они действуют в таких случаях. Никто не застрахован от 100% взлома, но важно, чтобы у подрядчика был готов план: уведомление вас как клиента, Роскомнадзора, пострадавших лиц и т.д. Попросите показать, что в договоре прописаны их обязанности при утечке. Если разработчик упорно уходит от темы безопасности или говорит «мы гарантируем, что ничего не случится», — задумайтесь. Добросовестный игрок лучше признает риски, но объяснит, как их минимизирует (антивирусы, контроль доступа, резервирование, шифрование, DLP-системы и пр.). В конце концов, вы доверяете ему конфиденциальные данные — пусть заслужит доверие конкретикой.
  • Как удаляются данные и соблюдаются сроки хранения? Ещё одна «боль» HR – что делать с резюме, когда процесс найма завершён. По закону нельзя хранить персональные данные дольше, чем это нужно для изначальной цели обработки. Если вакансия закрылась и кандидат не подошёл, его данные надо удалить, если он не дал согласие остаться в базе на будущее. Многие компании хранят старые резюме годами «на всякий случай», но теперь за это штрафуют. Поэтому спросите у вендора: есть ли в системе механизм удаления или архивирования данных по запросу и по наступлению определённых событий. Например, можно ли настроить авто-удаление профиля кандидата через Х месяцев после окончания вакансии? Или помечает ли бот, что кандидат отозвал согласие, чтобы его анкету удалить навсегда? В идеале, сервис должен хотя бы присылать вам напоминание: «У кандидата Иванова истекает срок хранения согласия, продлите или удалите его данные». В Huntflow, например, реализованы уведомления о необходимости повторно запросить согласие или стереть анкету по истечении срока. Поинтересуйтесь, делает ли что-то подобное ваш HR-бот. Если нет – значит, вам придётся вручную держать это под контролем, иначе рискуете нарушить закон. Проверьте и более базовые вещи: возможно ли экспортировать все данные из системы, если вы решите сменить провайдера, и готов ли вендор уничтожить данные по вашему требованию (например, если вы расторгнете договор). Согласно 152-ФЗ, после завершения использования сервиса подрядчик обязан уничтожить все ПДн или вернуть их вам, поэтому этот момент тоже пропишите в контракте. Удаление должно подтверждаться актом – спросите, предоставляет ли вендор акт об уничтожении данных (в бумажном или электронном виде). Такой документ нужно хранить 3 года на случай проверки. Ответы на эти вопросы покажут, думает ли поставщик на шаг вперёд или просто складирует все резюме «вечно».
  • Использует ли бот иностранные сервисы или открытые ИИ-модели? Наконец, уточните технические интеграции решения. Дело в том, что сейчас на рынке много HR-ботов на основе нейросетей, и не все работают автономно. Некоторые могут отправлять данные кандидатов в сторонние AI-сервисы для обработки. Например, если чат-бот использует API крупной языковой модели (вроде GPT-4) для понимания речи, важно знать, куда уходит текст резюме или интервью. Не случится ли, что ваши данные фактически улетят на серверы OpenAI или другой зарубежной компании – это будет нарушением локализации и трансграничной передачи. Поэтому прямо спросите: «Ваше решение полностью автономно, или данные кандидата где-то внешне анализируются?» Лучше, если ИИ-алгоритмы развернуты локально либо на российских мощностях (есть отечественные NLP-модели и облака, способные с этим работать). Если без иностранного AI не обойтись, потребуйте, чтобы все личные сведения предварительно обезличивались. К примеру, можно заменить ФИО и контакты кандидата на псевдонимы перед отправкой в нейросеть. Эксперты по безопасности настоятельно рекомендуют не загружать в AI-сервисы резюме с реальными именами, адресами, телефонами – сначала очищайте или анонимизируйте данные. Законы теперь позволяют использовать обезличенные данные без согласия граждан для обучения ИИ, так что вендор должен научиться пользоваться этой лазейкой, а не слать всё подряд «как есть». Этот вопрос касается и интеграций с мессенджерами: если HR-бот общается с кандидатами в Telegram или WhatsApp, уточните, какие данные там фигурируют и как обеспечивается защита. Телефон, ФИО, email – всё это ПД. Передача их через тот же WhatsApp без мер защиты может быть нарушением, как мы видели на примере банка. Некоторые решения (например, HR-боты в Telegram) технически не могут полностью отвечать российским стандартам защиты, ведь переписка идёт через сервера мессенджера. Однако вендор должен хотя бы разъяснить вам риски и предложить компенсирующие меры: от получения отдельного согласия на общение в мессенджере до шифрования сообщений. Вывод прост: чем меньше «чёрных ящиков» и внешних сервисов в цепочке обработки данных – тем лучше. Прозрачный и законопослушный HR-бот, вероятно, будет чуть более консервативным в выборе технологий, зато обезопасит ваш бизнес.

Автоматизация найма без риска – это реально

Пугающий объем требований не означает, что от HR-ботов легче отказаться. Наоборот, при правильном подходе вы сможете и ускорить рекрутинг, и выполнить закон на 100%. Как показывает практика, сочетание современных технологий и юридической грамотности даёт отличные результаты.

Вспомним кейс: строительная компания благодаря чат-боту стала обрабатывать втрое больше заявок без расширения штата, сократив время отклика кандидату с нескольких дней до пары часов. И при этом бот сразу позаботился о легитимности – взял у каждого соискателя согласие и сохранил структурированные данные для отчётности. Кандидаты остались довольны оперативной обратной связью, а HR-отдел избавился от тонны рутинных писем.

Наша команда в Naimee тоже прошла через все эти этапы, выстраивая сервис с учётом 152-ФЗ. Мы внедрили в бот юридические шаблоны, которые знакомят соискателя с политикой ПД и получают подтверждение одним кликом. Все резюме и переписки хранятся на российских серверах с шифрованием.

А рекрутер в итоге получает готовый портрет кандидата, не тратя время на проверку соответствия закону – система уже убедилась, что всё чисто. Разумеется, HR-бот не заменит юриста, и финальная ответственность лежит на компании. Но, как минимум, хороший сервис возьмёт на себя 90% задач по безопасной работе с данными: от оформления согласий до удаления «просроченных» резюме.

Вместо заключения – лайфхак: не бойтесь задавать неудобные вопросы вашему HR-tech подрядчику. Зато потом будете спать спокойно, зная, что персональные данные под контролем. Любой добросовестный вендор сам заинтересован выстроить доверие на старте и помочь внедрению. Автоматизация HR без проблем с регулятором – абсолютно достижимая цель, если сделать домашнюю работу и выбрать решение, которое разделяет ценности безопасности.

А как вы решаете вопрос персональных данных в HR-процессах? Делитесь опытом и находками в комментариях – коллеги скажут спасибо. Ну и если тема найма с помощью нейросетей вас заинтересовала, приходите к нам в Naimee: покажем на демо, как наш AI-бот берёт на себя рутину и соблюдает все требования закона. 🚀