700 тысяч за резюме: почему без согласия на обработку данных не обойтись

Представьте: коллега-рекрутер из другой компании не может закрыть вакансию и вы решаете помочь, переслав ему резюме отличного кандидата. Благородный жест? Вовсе нет – если у кандидата не было разрешения на такой «шеринг», вы только что нарушили закон (источник huntflow.media). Резюме содержит имя, контакты, дату рождения и другие личные сведения – всё это персональные данные, которые защищены законом.

За несанкционированную передачу таких данных грозит штраф: для компании – от 60 до 100 тысяч рублей даже за первое нарушение. А с мая 2025 года правила еще ужесточили: максимальные санкции за повторные и грубые нарушения взлетели до сотен миллионов рублей (источник klerk.ru). Проще говоря, сегодня любая работа с данными кандидатов без их согласия может дорого обойтись бизнесу.

Закон диктует: кандидату – особое отношение к данным

Почему именно данные соискателей требуют отдельного внимания? Дело в том, что кандидат еще не ваш сотрудник, трудовой договор с ним не заключен, а значит, нет законного основания обрабатывать его личные сведения без разрешения (источник huntflow.media). Федеральный закон №152-ФЗ «О персональных данных» прямо требует получить согласие субъекта, прежде чем хранить или использовать его данные в рекрутинге. Под персональными данными при этом понимается любая информация, по которой можно прямо или косвенно идентифицировать человека (источник klerk.ru) – от ФИО и контактного номера до сведений об образовании, опыте работы, семейном положении и даже фото в CV. Поэтому даже такая обычная практика, как сохранение резюме в базе или пересылка его по электронной почте, считается операцией обработки данных и требует законного основания.

Для работодателя самым надежным основанием будет добровольное согласие самого кандидата. Без него нельзя ни брать резюме в работу, ни тем более передавать его кому-либо еще. Передача информации третьим лицам – такой же акт обработки, как сбор или хранение. Если кандидат не разрешал делиться его резюме, компании рискуют нарваться на санкции Роскомнадзора.

Закон предусматривает штраф до 700 000 рублей за каждое отсутствие требуемого согласия – внушительная цена за, казалось бы, невинную ошибку. И это не считая репутационных последствий: регулятор все строже следит за соблюдением правил, а слух о нарушении конфиденциальности способен отпугнуть и клиентов, и будущих сотрудников. Вывод: согласие кандидата – не пустая формальность, а необходимый элемент законного и этичного рекрутинга.

Как и когда брать согласие у кандидата

Лучший момент получить согласие – до того, как вы начинаете работать с резюме. На практике это обычно происходит при отклике соискателя на вакансию: кандидат заполняет форму или отправляет CV, и вместе с этим соглашается на обработку своих данных. Формат согласия может быть разным.

Закон разрешает как письменный документ с подписью, так и электронные формы – например, галочка в веб-форме, код из СМС или электронная подпись. Главное, чтобы волеизъявление было явным: человек должен осознанно и активно подтвердить разрешение, поставив подпись или отметку в чекбоксе. Просто разместить на сайте текст политики и считать, что кандидат «по умолчанию согласен», недостаточно – пассивное молчание не равняется согласию.

Согласие желательно оформить до начала любых действий с данными. Если вы получили резюме из открытых источников – например, из соцсети или публичного чата – закон дает лишь 30 дней на то, чтобы связаться с кандидатом и заручиться его согласием. По истечении этого срока хранить или использовать найденную информацию нельзя.

Аналогично, если вы пользуетесь услугами кадрового агентства или берете резюме с джоб-сайтов, не полагайтесь только на их соглашения: надежнее получить подтверждение напрямую у кандидата. Многие площадки (тот же HeadHunter) прямо запрещают работодателям использовать данные соискателей вне целей найма и передавать их третьим лицам без отдельного разрешения. Так что безопаснее перестраховаться и попросить человека подписать вашу форму согласия при первом же контакте – будь то электронное письмо, анкета на сайте компании или бумажный бланк на собеседовании.

Что писать в согласии: ключевые пункты и образец

Сразу скажем: унифицированного бланка «от государства» не существует. Каждая компания разрабатывает форму под себя, но содержание документа строго регламентировано. Статья 9 закона о персональных данных перечисляет обязательные сведения, которые должны быть в тексте согласия. Перечислим их в человеческом формате – эти пункты стоит проверить в вашей форме, чтобы избежать претензий контролёров:

Данные субъекта. Укажите, чьи именно данные вы собираетесь обрабатывать. Обычно это означает вписать ФИО кандидата, его адрес и реквизиты паспорта или другого удостоверяющего личность документа. Так вы однозначно привязываете согласие к конкретному человеку.
Данные оператора. Далее нужно назвать того, кто собирается эти данные собирать и использовать, то есть вашу организацию. Пропишите полное наименование работодателя, его юридический адрес, а для юридических лиц – ИНН, ОГРН и другие реквизиты из ЕГРЮЛ (источник ppt.ru). Кандидат должен чётко понимать, кому он доверяет свои сведения.
Цель обработки. Очень важный пункт: для чего вы собираете информацию. Цели должны быть конкретными и законными – например, «для оценки соответствия моей кандидатуры открытой позиции и возможного трудоустройства». Не пишите размыто и «с запасом»: лишние формулировки могут вызвать вопросы у проверяющих. Если планируете оставить резюме в кадровом резерве – пропишите и это (о «резерве» чуть ниже). Некоторые компании формулируют цель шире: к примеру, в Яндексе кандидаты подписывают согласие, чтобы «группа компаний “Яндекс” могла предлагать вакансии». Такой подход позволяет внести соискателя в общую базу талантов и связываться с ним по новым позициям, не запрашивая каждый раз новое согласие.
Список данных. Перечислите, какие именно сведения кандидат разрешает обрабатывать. Перечень не должен быть избыточным относительно цели. Достаточно указать основные категории: ФИО, дата рождения, контакты (телефон, email), образование, должность и опыт работы, иные данные из резюме, необходимые для принятия решения о найме. Не нужно включать лишнее (например, национальность, вероисповедание или здоровье) – такие чувствительные данные вообще затрагивать нельзя без особых причин и отдельного письменного согласия на спецкатегории.
Правовые основания. В тексте не лишним будет сослаться на сам закон о персональных данных и ст. 9, в рамках которой кандидат действует. Обычно достаточно фразы, что он дает согласие «в соответствии с Федеральным законом № 152-ФЗ от 27.07.2006». Эта формальность показывает, что вы знаете и соблюдаете требования законодательства.
Третьи лица (если есть). Если планируете поручить обработку стороннему лицу или передавать данные куда-то еще, это тоже должно быть отражено. Например, вы пользуетесь внешним кадровым агентством или HR-сервисом – пропишите его название и адрес в согласии как компанию-получателя данных по поручению оператора. Или собираетесь согласовывать кандидата с иностранным офисом – укажите, что данные будут переданы такой-то организации. Важно: за передачу данных контрагентам всегда требуется отдельное согласие, либо сразу включите передачу в основной текст. Без этого ни рекомендательные письма запросить, ни резюме коллеге по холдингу отправить нельзя.
Действия с данными. Закон требует указать, что именно вы будете делать с информацией – перечень операций и способов обработки. Как правило, перечисляют «сбор, запись, систематизация, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, блокирование, уничтожение персональных данных» – этот стандартный набор можно включить в текст. Он звучит канцелярски, зато покрывает все возможные операции на случай, если что-то выйдет за рамки обычного просмотра резюме.
Срок и отзыв. Согласие не может быть бессрочным – укажите, как долго оно действует. Например: «на период подбора персонала на данную вакансию и последующие 12 месяцев для предложения иных подходящих вакансий» – и конкретную дату окончания, если возможно. Часто компании ограничиваются годом хранения резюме, максимум двумя, если согласовано с кандидатом. По закону, по истечении указанного срока обработку нужно прекратить, а данные – уничтожить. Также впишите, что кандидат вправе отозвать согласие в любой момент путем направления письменного уведомления (и укажите, куда именно писать). Это требование закона: человеку должна быть предоставлена простая возможность передумать, и вы обязаны будете выполнить его волеизъявление.
Подпись. В финале документа оставляется место для подписи субъекта данных и даты. Подпись (в рукописном или электронном виде) – подтверждение, что согласие дано добровольно и осознанно. Без нее бумага не имеет силы. В электронных формах роль подписи играет установка галочки «согласен» или ввод кода – эти действия логируются и тоже считаются подтверждением.

Для наглядности ниже приведен пример согласия на обработку данных соискателя – такой шаблон можно адаптировать под свою организацию, дополнив специфическими деталями:

Как видно из примера, документ подробно перечисляет, какие данные и в каких целях компания имеет право использовать. Такой тщательный подход – не бюрократическая придирка, а ваша защита. Правильно составленное согласие поможет избежать проблем с контролирующими органами, подчеркнула в своем обзоре кадровый аудитор Анна Вильданова. Если вдруг придет проверка Роскомнадзора, у вас будет документальное подтверждение, что каждый кандидат знал и разрешил все действия с его резюме.

Хранение и уничтожение данных: сколько можно держать резюме

Получить согласие – половина дела. Вторая половина – соблюсти обещания, которые вы в нем прописали, особенно касающиеся сроков хранения и безопасности данных. Закон обязывает работодателей хранить личную информацию кандидатов ограниченное время. Нельзя положить резюме «в долгий ящик» навсегда – по общему правилу персональные данные соискателя можно держать не более 30 дней после завершения процесса рассмотрения его кандидатуры. Иными словами, если вакансия закрыта и человека не взяли, через месяц его резюме должно быть удалено.

Однако на практике подбор персонала нередко занимает месяцы, да и ценные кадры хочется сохранить в резерве. Закон это понимает: работодатель имеет право установить иной разумный срок хранения, если это обусловлено внутренними регламентами компании. Главное – предупредить об этом кандидата под подпись. Например, вы можете ввести политику, что невостребованные резюме хранятся у вас год для возможных будущих вакансий.

Тогда кандидат, подписывая согласие, уже будет знать, что его данные останутся у вас, скажем, «в течение 12 месяцев для предложения подходящих позиций». Это легитимно, если не противоречит изначальной заявленной цели. В противном случае потребуется запросить у человека дополнительное согласие, чтобы оставить его в кадровом резерве. Будьте внимательны: как только указанный срок истекает (или кандидат отзывает согласие ранее), дальнейшая обработка недопустима – резюме надо удалить или уничтожить, иначе хранение станет незаконным.

Методы уничтожения персональных данных тоже регламентированы общими требованиями. Важно, чтобы сведения исчезли безвозвратно. Для бумажных носителей лучший способ – физическое уничтожение: измельчить документы в шредере или сжечь. Электронные файлы следует удалять с использованием специальных программ, чтобы их нельзя было восстановить.

Причем сама процедура должна быть задокументирована: обычно составляется акт об уничтожении данных или делается отметка в специальном журнале учета. Эти записи могут пригодиться, если вдруг возникнут споры – они докажут, что вы выполнили закон и удалили лишние сведения вовремя. Как отмечают юристы, формы актов организация разрабатывает сама и утверждает локально, никаких государственных бланков на этот счет нет. Главное, чтобы внутренняя политика была, и ответственные лица ей следовали.

Безопасность превыше всего: как защитить данные кандидатов

Даже при наличии согласия работодателю нельзя расслабляться – хранить и использовать персональные данные нужно с соблюдением мер безопасности. Вспомните сводки: утечка базы резюме или «слив» паспортных сканов оборачиваются громкими скандалами. Чтобы такого не произошло, следует организовать режим защиты информации. Доступ к резюме кандидатов должны иметь только уполномоченные сотрудники HR-службы или службы безопасности, и это нужно закрепить в локальных актах (например, в положении о работе с персональными данными).

Бумажные анкеты и заявления стоит держать под замком – в сейфах или запираемых шкафах, чтобы никто посторонний не мог их случайно увидеть. Электронные базы данных – в защищенных системах с паролями, шифрованием, резервным копированием. Если резюме хранятся на корпоративном компьютере, позаботьтесь, чтобы он был защищен паролем и антивирусом, а лучше – чтобы файлы были на сервере с ограниченным доступом. Эти правила кибергигиены давно стали нормой, но в суете рекрутинга о них иногда забывают, что чревато утечками.

Отдельно подумайте о сторонних сервисах. Сегодня популярны облачные ATS (системы управления наймом), где хранятся профили кандидатов. Выбирайте проверенные решения и заключайте с провайдером соглашение о защите данных. По закону, если вы поручаете обработку данных контрагенту (например, внешней HR-платформе), нужно обеспечить, чтобы он соблюдал те же стандарты конфиденциальности, и ответственность за нарушение понесете вы. Поэтому внимательно читайте пользовательские соглашения сервисов и прописывайте в договорах с подрядчиками обязательства по защите персональных данных.

И конечно, никакой отправки резюме по открытым каналам без необходимости. Используйте корпоративную почту с шифрованием, избегайте пересылки документов через мессенджеры в открытый чат. Казалось бы, элементарно, но практика знает случаи, когда рекрутеры делились базой кандидатов в Telegram, а потом компания разбиралась с жалобами на утечку. Если же по работе приходится передавать данные кандидата внешнему получателю – например, вы решили попросить бывшего работодателя дать рекомендацию – обязательно получите отдельное согласие от кандидата на сбор мнений от третьих лиц. Без этого даже звонок бывшему начальнику кандидата будет противозаконным.

Согласие – ваш спасательный круг

В эпоху, когда данные стали новой нефтью, контроль над ними ужесточается повсеместно. Европейский GDPR грозит компаниям штрафами до €20 млн за нарушение приватности, и Россия тоже серьезно взялась за защиту данных граждан. Получение согласия от кандидатов – не просто галочка для галочки, а реальный способ обезопасить бизнес.

Во-первых, вы выполняете требования закона и избегаете штрафов, которые могут достигать астрономических величин. Во-вторых, вы демонстрируете уважение к кандидатам: предупреждаете их, что происходит с их анкетами и файлами, и тем самым повышаете доверие к компании. Соискатель, который видит, что в компании дорожат конфиденциальностью, скорее захочет у вас работать, чем тот, кого просят прислать сканы паспорта в неизвестность.

Наконец, продуманная работа с персональными данными – это часть общей культуры безопасности в бизнесе. Следуя рекомендациям и соблюдая установленные нормы закона, организация сможет минимизировать юридические риски, обеспечить сохранность конфиденциальной информации и создать комфортные условия для взаимодействия с потенциальными сотрудниками. Другими словами, грамотное обращение с данными – это вклад и в вашу юридическую защиту, и в вашу деловую репутацию.

Таким образом, каждому HR-специалисту стоит помнить: один лишний листочек – подписанное согласие – на самом деле весит больше, чем том неоплаченных штрафов. Позаботьтесь о согласиях ваших кандидатов, и спите спокойно. Ведь соблюдение закона в рекрутинге – это не препятствие, а конкурентное преимущество, позволяющее нанимать людей честно, открыто и без угроз для бизнеса.

Кандидатов «мало» и каждый стоит дорого? ИИ Naimee AI ищет по смыслу, а не по ключевым словам — находит скрытых специалистов и сразу объясняет «почему именно он». Акция: первый месяц — бесплатно. Получить шорт-лист