Перейти к содержанию
инструкция 4 декабря 2027 По состоянию на 4 декабря 2027

Информирование кандидата об отказе

Отказ в приёме на работу — момент, когда персональные данные кандидата либо уничтожаются по закону, либо остаются храниться без основания.
С 01.09.2025 согласие на обработку ПДн кандидата — отдельный документ (ФЗ-156). Нарушение формы согласия тянет штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Процедура информирования кандидата об отказе определяет, что происходит с ПДн дальше.
Если вы HRD и отказ кандидату оформляется устно или резюме просто «остаётся в папке» — инструкция ниже закрывает этот пробел.

С 30.05.2025 за утечку данных кандидатов от 1 000 человек оператор платит от 3 млн ₽ по ч. 12 ст. 13.11 КоАП. При повторном нарушении — оборотный штраф до 500 млн ₽ по ч. 15. Основа защиты — правильная процедура: получить согласие, обработать ПДн, уведомить об отказе и уничтожить данные в срок. Инструкция описывает пять шагов этой процедуры для HR-департамента.

Шаг 1. Проверьте: получено ли согласие кандидата на обработку ПДн?

До первого контакта с резюме или анкетой кандидат должен дать согласие на обработку персональных данных. С 01.09.2025 это отдельный документ: его нельзя включать в текст анкеты, трудового договора, оферты или политики конфиденциальности. Такое требование установлено ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 (с 01.09.2025): согласие субъекта — самостоятельный документ, не объединяется с другими. Обязательные реквизиты: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Если согласие отсутствует или включено в анкету — обработка ПДн кандидата лишена правового основания. На этапе отбора РКН фиксирует это нарушение как ч. 1 или ч. 2 ст. 13.11 КоАП.

При использовании КЭДО для обмена документами с кандидатом оператором ПДн остаётся работодатель. Платформа КЭДО выступает лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152), — это требует отдельного договора-поручения с описанием состава ПДн и действий.

Шаг 2. Зафиксируйте решение об отказе до уведомления кандидата

Перед тем как направить кандидату уведомление об отказе, решение нужно задокументировать внутри. Это защищает компанию при возможной жалобе кандидата в Государственную инспекцию труда или в суд по ст. 64 ТК РФ (запрет необоснованного отказа в заключении трудового договора).

Минимальный состав внутренней фиксации: должность, на которую рассматривался кандидат; причина отказа в деловых формулировках (квалификация, опыт, результат собеседования); дата решения; ФИО и должность лица, принявшего решение. Персональные данные кандидата в этом документе — только в объёме, необходимом для идентификации.

Статья 64 ТК РФ обязывает сообщить кандидату причину отказа в письменной форме — по его письменному требованию — в течение семи рабочих дней. Это отдельное требование от ст. 9 ФЗ-152, но оба исполняются в рамках одной процедуры.

Согласия кандидатов ещё в анкете или на обороте заявления о приёме?

Если HRD не переоформил согласия по новым требованиям ФЗ-156 — каждая такая форма создаёт риск штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Срок: требования действуют с 01.09.2025, обратной силы нет. Юристы DATUM соберут пакет согласий кандидата и работника под ключ и проведут аудит ОРД HR-департамента по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Направьте кандидату уведомление об отказе

Уведомление об отказе выполняет две функции одновременно: закрывает трудовой вопрос по ст. 64 ТК РФ и запускает процедуру прекращения обработки ПДн по ст. 21 ФЗ-152. Форма — письменная или электронная (при наличии согласия кандидата на электронный документооборот).

В тексте уведомления не нужно расшифровывать детали собеседования. Формулировка «кандидатура не соответствует квалификационным требованиям должности» закрывает требование ст. 64 ТК РФ. Указывать на физические характеристики, семейное положение, национальность или возраст нельзя — это нарушение ч. 2 ст. 64 ТК РФ и ст. 10 ФЗ-152 (специальные категории ПДн).

Если кандидат направлял заявление через КЭДО-платформу, уведомление направляется тем же каналом — это фиксирует дату доставки и исключает споры о сроках.

Шаг 4. Уничтожьте ПДн кандидата или получите согласие на хранение

После отказа основание для обработки ПДн кандидата исчезает. По ст. 21 ФЗ-152 оператор обязан прекратить обработку и уничтожить данные в течение тридцати дней с момента достижения цели обработки. Для кандидата цель — рассмотрение заявки на вакансию — прекращается вместе с отказом.

«Ст. 21 ФЗ-152: при достижении цели обработки или утрате необходимости — оператор прекращает обработку и уничтожает ПДн в срок, не превышающий тридцати дней. При невозможности уничтожения — блокирует с последующим уничтожением.»

Исключение: если компания хочет сохранить резюме кандидата для будущих вакансий — нужно отдельное согласие на хранение с указанием цели («рассмотрение на иные вакансии компании»), срока хранения и способа отзыва. Без такого согласия хранение резюме после отказа — нарушение ст. 5 ФЗ-152 (принцип не дольше необходимого).

Биометрические данные, если они собирались для СКУД на этапе стажировки или пропускного режима, уничтожаются отдельно. По ст. 11 ФЗ-152 обработка биометрии — только с письменного согласия; отзыв согласия означает обязательное уничтожение данных в срок тридцати дней.

Что подготовить для правомерного отказа кандидату

  • Отдельное согласие кандидата на обработку ПДн по форме ФЗ-156 (не в составе анкеты)
  • Внутренний документ с деловым обоснованием отказа и датой решения
  • Шаблон уведомления об отказе — письменный или через КЭДО-канал
  • Регламент уничтожения ПДн кандидатов с актом уничтожения и сроком 30 дней
  • Отдельное согласие на хранение резюме — если компания ведёт кадровый резерв

Шаг 5. Зафиксируйте факт уничтожения ПДн в журнале

Уничтожение ПДн кандидата должно быть задокументировано. Статья 18.1 ФЗ-152 обязывает оператора подтверждать соблюдение требований к обработке ПДн, в том числе при проверке РКН. Акт уничтожения или запись в журнале — основное доказательство.

Минимальный состав записи: дата уничтожения, идентификатор субъекта (без дублирования ПДн — достаточно внутреннего номера заявки), состав уничтоженных данных, способ уничтожения, ответственный. Форму журнала компания определяет самостоятельно — специальная не установлена.

При использовании облачной ATS-системы или КЭДО — уничтожение данных в системе подрядчика подтверждается либо актом от подрядчика, либо скриншотом с временной меткой. Договор-поручение должен обязывать подрядчика уничтожать ПДн по запросу оператора.

Типовые ситуации при информировании кандидата об отказе

Ситуация 1. Кандидат прошёл три этапа отбора — и получил отказ после проверки СБ. HR передал резюме в службу безопасности без упоминания этого в согласии. Цель обработки — «проверка кандидата службой безопасности» — отсутствует в документе. Ситуация: нарушение ст. 5 ФЗ-152 (обработка несовместима с заявленной целью). Доказательства: согласие кандидата без указания передачи в СБ; внутренняя переписка. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽ при проверке РКН. Стратегия: расширить перечень целей и получателей в форме согласия до направления в СБ; при наличии нарушения — устранить до проверки, задокументировать корректирующие меры.

Ситуация 2. Резюме кандидата «осталось в папке» — HR планирует вернуться к нему через полгода. Согласие кандидата истекло через 30 дней после отказа, специального согласия на хранение в резерве нет. Ситуация: нарушение ст. 21 ФЗ-152. Доказательства: файл резюме с датой изменения за пределами 30-дневного срока; отсутствие согласия на хранение в кадровом резерве. Вероятный исход: при жалобе субъекта — предписание РКН и протокол по ч. 5 ст. 13.11 (штраф до 90 000 ₽). Стратегия: ввести процедуру запроса согласия на хранение в резерве — в момент отказа, одновременно с уведомлением.

Ситуация 3. Кандидат требует письменного объяснения причины отказа. HR отвечает устно. Ситуация: нарушение ст. 64 ТК РФ — письменный ответ обязателен в течение семи рабочих дней по требованию кандидата. Одновременно: если ПДн кандидата продолжают обрабатываться после устного отказа без согласия — нарушение ст. 21 ФЗ-152. Вероятный исход: жалоба в ГИТ плюс обращение в РКН. Стратегия: шаблон письменного уведомления об отказе с одновременным указанием на уничтожение ПДн снимает оба риска одним документом.

Если HRD получил жалобу кандидата или запрос от РКН по процедуре отбора — у вас 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152. Промедление с ответом добавляет протокол по ч. 4 ст. 13.11 (штраф до 80 000 ₽). Юристы DATUM подготовят ответ и проверят пакет ОРД HR-департамента.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. HR-директор производственной компании (Приволжский ФО, осень 2025) обратился за аудитом после внеплановой проверки РКН по жалобе бывшего кандидата. РКН выявил: согласие кандидата включено в анкету (нарушение ст. 9 ФЗ-152 в ред. ФЗ-156), резюме 47 кандидатов хранятся без правового основания более двух лет. По итогам проверки составлены протоколы по ч. 2 и ч. 1 ст. 13.11 КоАП. После подключения юристов — разработан пакет согласий по новым требованиям, проведено плановое уничтожение данных с актами, подготовлены возражения на протоколы. Итоговая сумма штрафа снижена до минимального диапазона по обоим составам.

Кейс 2. В торговой компании (Центральный ФО, начало 2026) кандидат на должность руководителя направления потребовал письменного объяснения отказа. HR направил ответ в мессенджере через 12 рабочих дней — с нарушением срока ст. 64 ТК РФ. Одновременно РКН получил жалобу по ст. 20 ФЗ-152: ответ на запрос субъекта о составе обрабатываемых данных тоже задержали. Протокол по ч. 4 ст. 13.11 КоАП — штраф в диапазоне 40 000–80 000 ₽. Аудит DATUM выявил: аналогичная процедура применялась к 200+ кандидатам в год — системный риск с накоплением. Устранение заняло три недели: шаблон уведомления, журнал обращений субъектов, регламент ответов на запросы.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют и остаются действительными. Переоформлять уже полученные согласия работников не требуется. Однако новые согласия — кандидатов и вновь принимаемых работников — с 01.09.2025 оформляются только как отдельный документ по ст. 9 ФЗ-152 в редакции ФЗ-156. Включение согласия в анкету, трудовой договор или оферту с этой даты неправомерно.

2. Какие данные нельзя спрашивать у кандидата в анкете?

Статья 86 ТК РФ запрещает собирать данные о политических, религиозных и иных убеждениях, членстве в профсоюзах, состоянии здоровья (кроме случаев, когда это связано с условиями труда), частной жизни. Статья 10 ФЗ-152 относит эти категории к специальным — их обработка по общему правилу запрещена. Анкета кандидата должна ограничиваться сведениями, необходимыми для оценки профессиональных качеств: образование, опыт, квалификация, контактные данные.

3. Можно ли вести видеонаблюдение в офисе и использовать записи при рассмотрении кандидата?

Видеонаблюдение в офисе допустимо при соблюдении условий ст. 74 ТК РФ (уведомление работников) и ст. 9 ФЗ-152 (согласие или иное основание из ст. 6). Для кандидата, проходящего собеседование в офисе, отдельного основания в законе нет — согласие обязательно. Использование видеозаписи собеседования для принятия решения об отказе без согласия кандидата нарушает ст. 11 ФЗ-152, если запись позволяет идентифицировать биометрические данные (изображение лица).

4. Сколько хранить согласия после увольнения или отказа кандидату?

Согласие кандидата, получившего отказ, хранится в течение срока исковой давности по трудовым спорам — три года (ст. 392 ТК РФ). Согласие работника после увольнения — в составе личного дела; типовой срок хранения личного дела — 75 лет (для должностей с вредными и опасными условиями — бессрочно). Уничтожать само согласие до истечения этих сроков не следует: оно подтверждает правомерность обработки в период трудовых отношений.

5. Кто является оператором ПДн при использовании КЭДО?

При использовании КЭДО для работы с кандидатами и работниками оператором ПДн остаётся работодатель. КЭДО-платформа (облачный сервис или система провайдера) выступает лицом, осуществляющим обработку по поручению оператора, — это регулируется п. 3 ст. 6 ФЗ-152. Обязательное условие: с КЭДО-провайдером заключён договор-поручение, описывающий состав ПДн, перечень действий, обязательство уничтожить данные по запросу. Без такого договора работодатель несёт ответственность за действия провайдера как за собственные.

6. Как доказать, что ПДн кандидата уничтожены в срок?

Доказательством служит акт уничтожения или запись в журнале учёта операций с ПДн. При использовании электронных систем — лог-запись об удалении с временной меткой или акт от оператора ATS-системы. Статья 18.1 ФЗ-152 обязывает оператора подтверждать соблюдение требований на основании документов. При проверке РКН отсутствие акта уничтожения расценивается как продолжение хранения без основания.

Итог

Информирование кандидата об отказе — точка, в которой одновременно закрываются обязательства по ТК РФ и по ФЗ-152. Правильная последовательность: отдельное согласие на обработку ПДн до начала отбора, письменное уведомление об отказе, уничтожение данных в течение 30 дней с документированием факта. Каждый из пяти шагов имеет свою норму и свой штраф за нарушение.

DATUM сопровождает HR-департаменты при подготовке пакета ОРД для работы с кандидатами: согласия по форме ФЗ-156, регламент уничтожения ПДн, журналы обращений субъектов, договоры-поручения с КЭДО-провайдерами.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

4 декабря 2027 года