Вы думаете: «Кандидат сам выложил резюме — значит, можно использовать»?
Нет.
Даже если соискатель опубликовал данные — вы не имеете права передавать их рекрутеру, проверочной платформе или холдингу без письменного согласия.
Роскомнадзор не смотрит на «добрые намерения».
Он смотрит на документы.
И если их нет — штраф от 300 000 ₽ вам обеспечен.
Вот как обмениваться ПДн при найме — по закону, без ошибок и рисков.
Кто выступает подрядчиком при подборе персонала?
Подрядчик — это не помощник, а второй оператор ПДн.
Даже если вы — работодатель, а он — рекрутер — оба несёте ответственность.
- Кадровые агентства — собирают, фильтруют, передают резюме
- Фриланс-рекрутеры — работают по договору, но обрабатывают ПДн
- HR-платформы — hh.ru, SuperJob, Avito — собирают данные через формы
- Сервисы проверки благонадежности — проверяют кредитную историю, судимости
- ATS/HR-CRM системы — если серверы за рубежом — это трансграничная передача
- Аутсорс-HR-департаменты — проводят собеседования от вашего имени
Важно:
Даже если вы не собираете данные — а передаёте их подрядчику — вы остаётесь оператором ПДн.
А подрядчик — новый оператор.
И оба обязаны соблюдать ФЗ-152.
Что можно передавать? (Только то, что нужно для найма)
Передавайте только то, без чего невозможно принять решение:
- ФИО
- Телефон, email
- Образование (вуз, специальность, год окончания)
- Опыт работы (должность, компания, сроки)
- Навыки и квалификации (по вакансии)
- Данные из резюме — только те, что кандидат сам указал
Не передавайте:
- Состав семьи
- Здоровье, инвалидность
- Религиозные/политические взгляды
- Доходы, имущество
- Фото (если не требуется для вакансии)
- Адрес регистрации (если не для трудоустройства в регионе)
Если не нужно для найма — не передавайте.
Подготовка документов для работы с персональными данными 2026 для организаций
Что нельзя делать: 7 критических ошибок (и как их избежать)
Ошибка №1: Нет формы согласия
→ Кандидат заполняет анкету — и всё.
Решение:
Обязательно вставьте отдельный чекбокс:
«Я даю согласие на обработку и передачу моих ПДн рекрутеру и другим подрядчикам для целей подбора на вакансию [название].»
→ Чекбокс — не по умолчанию.
→ Ссылка на политику обработки ПДн — обязательна.
Ошибка №2: Хранение резюме дольше 30 дней
→ «Сохраним на будущее — вдруг пригодится».
Решение:
Удаляйте резюме отклонённых кандидатов в течение 30 дней.
Хранить дольше — только с отдельным согласием:
«Согласен на хранение данных до 1 года для рассмотрения будущих вакансий».
Ошибка №3: Передача между юрлицами без согласия
→ «У нас холдинг — передаём данные между дочками».
Решение:
Каждая компания — отдельный оператор.
Для передачи между ними — новое согласие с указанием получателей.
Для международных групп — уведомление в Роскомнадзор (приказ №128).
Ошибка №4: Смешивание баз сотрудников и кандидатов
→ Одна база — и сотрудники, и соискатели.
Решение:
Разделите базы.
Цели обработки — разные:
→ Сотрудник — трудовой договор
→ Кандидат — подбор
→ Смешивание = повышенный риск утечки и штраф.
Ошибка №5: Не проверили подрядчика
→ Заключили договор с «рекрутером из Telegram».
Решение:
Проверьте:
- Есть ли у него политика ПДн
- Зарегистрирован ли в реестре операторов
- Есть ли договор с мерами защиты
→ Если не проверили — штраф на вас.
Ошибка №6: Согласие не содержит передачу третьим лицам
→ Согласие есть — но только на «обработку».
Решение:
В тексте согласия обязательно должно быть:
«Согласен на передачу моих ПДн подрядчикам: [название агентства, платформы, CRM]»
→ Без этого — передача незаконна.
Ошибка №7: Устные договорённости
→ «Мы с рекрутером договорились — и всё».
Решение:
Устные соглашения — не имеют юридической силы.
Договор должен содержать:
- Цель обмена
- Перечень ПДн
- Сроки хранения
- Меры защиты
- Ответственность сторон
→ Без договора — штраф от 300 000 ₽.
Как оформить согласие: 7 обязательных пунктов (по ФЗ-152)
Согласие — не «формальность». Это юридический акт.
Должно содержать:
1. Полное наименование работодателя + ИНН/ОГРН
2. Цель обработки: «Подбор на вакансию [название]»
3. Перечень ПДн: ФИО, телефон, образование, опыт и т.д.
4. Действия с данными: сбор, хранение, обработка, передача подрядчикам
5. Правовое основание: ФЗ-152
6. Срок действия: «до окончания подбора» или «до 1 года» (если для кадрового резерва)
7. Право на отзыв: «Согласие можно отозвать в любое время»
→ Формат: электронный (через КЭДО, сайт, email) или бумажный — важна подпись.
→ Не подходит: «Я согласен с политикой» — это не согласие на обработку.
Штрафы за нарушения: сколько вы потеряете
Если обработка и передача персональных данных работодателем или рекрутером осуществляется без письменного согласия субъекта либо с нарушением требований к его содержанию, применяется административная ответственность по ч. 2 ст. 13.11 КоАП. Штрафы составляют: для граждан — от 10 000 до 15 000 рублей, для должностных лиц — от 100 000 до 300 000 рублей, для юридических лиц — от 300 000 до 700 000 рублей. Суммы внушительные, а репутационные потери часто обходятся дороже.
Подготовка документов для работы с персональными данными 2026 для организаций