Иностранный кандидат и трансграничные данные
Найм иностранного кандидата вовлекает HR-департамент сразу в три правовых режима: трудовое законодательство (ст. 86–88 ТК РФ), защита персональных данных (ФЗ-152) и миграционный контроль. С 01.09.2025 требования к согласиям ужесточились: каждый документ оформляется отдельно. Этот материал — пошаговая инструкция для HRD о том, как правильно собрать, обработать и при необходимости передать данные иностранного кандидата, не нарушив ни одного из трёх режимов.
Шаг 1. Определите правовые основания до первого контакта с кандидатом
Прежде чем запросить у иностранца резюме или анкету, HR-департамент обязан установить правовое основание обработки ПДн по ст. 6 ФЗ-152. Для кандидата, который не является гражданином РФ, действуют те же основания, что и для российского соискателя: либо согласие (п. 1 ч. 1 ст. 6), либо совершение действий по направлению оферты (п. 5 ч. 1 ст. 6 — когда кандидат сам направил резюме).
Ключевое отличие — если компания планирует передавать данные иностранца за рубеж (например, в головной офис или кадровое агентство в другой стране), это квалифицируется как трансграничная передача по ст. 12 ФЗ-152. Для стран без адекватной защиты ПДн уведомление РКН обязательно до начала передачи. Перечень адекватных стран определяется приказом РКН — уточняйте актуальную редакцию перед каждым наймом.
Определите заранее: будут ли данные покидать российский периметр и в какую страну. Если да — подготовьте уведомление до начала обработки, а не после найма.
Планируете нанимать иностранных специалистов в 2025–2026 году?
Если HRD выстраивает процесс найма иностранцев впервые или обновляет документы после 01.09.2025 — каждая ошибка в правовом основании создаёт риск штрафа по ч. 1 или ч. 2 ст. 13.11 КоАП. Юристы DATUM проведут аудит документов HR-департамента по чек-листу из 38 пунктов и выдадут план устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 2. Оформите отдельное согласие по требованиям ФЗ-156 от 24.06.2025
С 01.09.2025 согласие на обработку ПДн — это отдельный документ. Его нельзя включать в трудовой договор, анкету кандидата, оферту или политику конфиденциальности. Это прямое требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156.
Обязательные реквизиты согласия для иностранного кандидата не отличаются от стандартных, но есть практические особенности. Контактные данные субъекта нужно указывать в том виде, в котором они у него есть (иностранный номер телефона, зарубежный адрес). Перечень действий с ПДн должен охватывать те операции, которые возникнут при трудоустройстве иностранца: передачу данных в ФМС, ФСБ (при необходимости допуска), кадровое агентство, головной офис за рубежом. Если передача за рубеж планируется — это должно быть отражено в согласии явно.
Согласие подписывает кандидат. Если он не читает по-русски — обеспечьте перевод. Электронное согласие допустимо при наличии у кандидата УКЭП или через ЕСИА, если компания подключена к Госуслугам.
Шаг 3. Соберите только те данные, которые нужны для цели найма
Ст. 5 ФЗ-152 устанавливает принцип минимизации: объём ПДн должен соответствовать целям обработки. Ст. 86 ТК РФ прямо запрещает запрашивать у кандидата сведения, не относящиеся к трудовой деятельности. Для иностранного кандидата особенно важно соблюдать этот принцип — миграционный статус, вид на жительство, история въездов нужны для оформления, но не для оценки профессиональных качеств.
В стандартную анкету иностранного кандидата допустимо включать: ФИО, дату рождения, гражданство, серию и номер документа, подтверждающего право на работу в РФ, контактные данные, сведения об образовании и опыте работы. Недопустимо спрашивать о религиозных или политических взглядах, состоянии здоровья (кроме случаев медосмотра), семейном положении без производственной необходимости — это специальные категории ПДн по ст. 10 ФЗ-152.
Что подготовить до найма иностранного кандидата
- Отдельное согласие на обработку ПДн с полным перечнем оснований и действий, включая возможную трансграничную передачу
- Уведомление РКН о трансграничной передаче (если данные уйдут за рубеж) — до начала передачи
- Актуализированная политика обработки ПДн на сайте по ч. 2 ст. 18.1 ФЗ-152
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Регламент хранения личного дела с указанием категорий ПДн и сроков по ст. 5 ФЗ-152
Шаг 4. Организуйте локализацию данных и определите роли при КЭДО
Ч. 5 ст. 18 ФЗ-152 требует, чтобы запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ происходили в базах данных на территории России. Для иностранных граждан требование локализации формально не распространяется — но только в части их данных. Если иностранец работает вместе с российскими коллегами в единой HR-системе, а база расположена за рубежом, это уже нарушение в отношении данных россиян.
При использовании КЭДО возникает вопрос о роли оператора. Если компания использует платформу КЭДО стороннего поставщика, между ними должен быть заключён договор поручения обработки ПДн по п. 3 ст. 6 ФЗ-152. Поставщик КЭДО действует только по инструкциям оператора — то есть вашей компании. Ответственность перед субъектом несёт оператор, даже если данные утекли с платформы поставщика.
Проверьте: где физически расположены серверы вашего КЭДО-поставщика. Если за рубежом — это риск по ч. 8 ст. 13.11 в части данных россиян. Для иностранного сотрудника этот риск отсутствует, но смешанные базы встречаются повсеместно.
Шаг 5. Установите порядок хранения, передачи и уничтожения данных после завершения найма
Если кандидат не принят на работу, согласие утрачивает силу после достижения цели (ст. 5 ФЗ-152 — принцип «не дольше необходимого»). Персональные данные соискателя, которому отказано, подлежат уничтожению в разумный срок. Разумным считается срок, достаточный для завершения отбора и урегулирования возможных споров, — как правило, не более 3 лет (срок исковой давности по трудовым спорам). Хранить базу резюме без ограничения срока нельзя.
Если иностранец принят и личное дело сформировано, срок хранения — 75 лет (для документов до 2003 года) или 50 лет (для документов после 2003 года) по номенклатуре дел согласно требованиям Росархива. При увольнении ПДн не уничтожаются — они переходят в архив. Уничтожение допустимо только после истечения установленного срока хранения.
Уволенный сотрудник вправе потребовать уточнения или блокирования ПДн по ст. 21 ФЗ-152. Однако уничтожение данных личного дела до истечения 75-летнего срока невозможно — архивное законодательство имеет приоритет. HRD должен уметь объяснить это субъекту в ответе на запрос в течение 10 рабочих дней по ст. 20 ФЗ-152.
Если в HR-департаменте нет актуальных договоров поручения с поставщиком КЭДО или согласия работников ещё включены в трудовой договор — до проверки РКН это нужно исправить. Юристы DATUM соберут комплект ОРД под ключ с учётом требований ФЗ-156 от 24.06.2025.
Собрать ОРД под ключКак это применяется на практике
Кейс 1. HR-директор IT-компании (Центральный ФО, начало 2026) обнаружил, что анкета иностранного кандидата содержит вопрос о семейном положении и вероисповедании. Компания получила жалобу от отказанного соискателя в РКН. Проверка выявила сбор специальных категорий ПДн без основания по ст. 10 ФЗ-152. Штраф составил сотни тысяч рублей по ч. 1 ст. 13.11 КоАП. Анкета была переработана, ответственный по ст. 22.1 назначен — претензия урегулирована.
Кейс 2. Производственная компания (Уральский ФО, осень 2025) нанимала иностранных специалистов через зарубежное кадровое агентство. Данные кандидатов передавались агентству без уведомления РКН о трансграничной передаче. При плановой проверке РКН зафиксировал нарушение ч. 5 ст. 18 и ст. 12 ФЗ-152. Юристы, подключённые после начала проверки, помогли снизить санкции: уведомление подали в ходе проверки, что суд расценил как устранение нарушения. Оборотного штрафа удалось избежать — нарушение оказалось первичным.
Типовые ситуации при найме иностранного кандидата
Ситуация 1: иностранец подал резюме через HH.ru, данные попали в базу. Если кандидат самостоятельно разместил резюме и направил отклик — ч. 1 п. 5 ст. 6 ФЗ-152 (договор по инициативе субъекта) даёт основание для обработки без отдельного согласия. Но как только HR-менеджер передаёт данные третьей стороне — агентству, головному офису за рубежом — согласие и уведомление РКН обязательны. Стратегия: ввести двухэтапный процесс — сначала первичная оценка резюме без передачи данных, затем оформление согласия до передачи.
Ситуация 2: кандидат отказался от биометрии СКУД после приёма на работу. Ст. 11 ФЗ-152 требует письменного согласия на обработку биометрических ПДн. Отказ от согласия не является основанием для отказа в трудоустройстве — это нарушило бы ст. 22.2 ТК РФ. Работодатель обязан предложить альтернативный способ контроля доступа (карта, пин-код). Исход: принять кандидата, заменить биометрию альтернативным идентификатором, зафиксировать отказ письменно.
Ситуация 3: головной зарубежный офис требует передать полное личное дело иностранного сотрудника. Передача документов личного дела за рубеж квалифицируется как трансграничная передача по ст. 12 ФЗ-152. Для стран без адекватной защиты уведомление РКН обязательно, а согласие субъекта должно прямо предусматривать эту передачу. Без выполнения обоих условий передача незаконна. Стратегия: проверить страну назначения по актуальному перечню РКН, при необходимости подать уведомление, обновить согласие сотрудника.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверим HR-документы и процессы по чек-листу 38 пунктов
- Комплект ОРД под ключ — согласия, приказы, регламенты с учётом ФЗ-156 от 24.06.2025
- DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025, обратной силы не имеют — переоформлять их закон не требует. Но если согласие было включено в трудовой договор и вы получаете новых работников или переподписываете документы с действующими — с 01.09.2025 согласие должно быть отдельным документом по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Отсутствие отдельного согласия при новом найме — нарушение ч. 2 ст. 13.11 КоАП, штраф от 300 000 до 700 000 ₽.
2. Какие данные нельзя спрашивать в анкете кандидата?
Ст. 10 ФЗ-152 запрещает обработку специальных категорий ПДн без явного основания: расовой и национальной принадлежности, религиозных и политических взглядов, состояния здоровья, интимной жизни. Ст. 86 ТК РФ запрещает сбор данных, не относящихся к трудовой деятельности. В анкету нельзя включать вопросы о вероисповедании, партийной принадлежности, хронических заболеваниях (кроме случаев обязательного медосмотра), беременности, наличии детей вне контекста льгот.
3. Можно ли вести видеонаблюдение в офисе?
Видеозапись в офисе — это обработка биометрических ПДн (изображение лица) по ст. 11 ФЗ-152, если используется для идентификации личности. Если камеры установлены в целях охраны имущества и записи не используются для идентификации — согласие работников не требуется, но об установке нужно уведомить под роспись. Ст. 22.2 ТК РФ обязывает работодателя информировать работника об использовании оборудования наблюдения.
4. Сколько хранить согласия после увольнения?
Согласие — часть личного дела работника. Срок хранения личного дела — 75 лет (для документов, созданных до 2003 года) или 50 лет (после 2003 года) согласно требованиям архивного законодательства. Уничтожить согласие раньше этого срока нельзя, даже если уволенный сотрудник потребовал уничтожения ПДн: архивное законодательство имеет приоритет над ст. 21 ФЗ-152 в части трудовых документов.
5. Кто является оператором при использовании КЭДО?
Оператором всегда остаётся работодатель — компания, которая определяет цели и состав обработки ПДн. Поставщик КЭДО-платформы действует как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). Между ними должен быть заключён договор поручения с перечнем разрешённых действий. Ответственность перед субъектом и РКН несёт оператор, даже если данные утекли с платформы поставщика.
6. Что нужно сделать до передачи данных иностранного кандидата за рубеж?
Первое — проверить страну назначения по актуальному перечню стран с адекватной защитой ПДн (приказ РКН). Если страна не в перечне — подать уведомление в РКН о трансграничной передаче до её начала (ст. 12 ФЗ-152). Второе — убедиться, что согласие субъекта прямо предусматривает передачу данных за рубеж и указывает страну или организацию-получателя. Передача без уведомления — штраф по ч. 8 ст. 13.11 от 1 до 6 млн ₽.
Итог
Найм иностранного кандидата требует от HR-департамента трёх параллельных действий: оформления отдельного согласия по требованиям ФЗ-156, уведомления РКН о трансграничной передаче при необходимости и соблюдения принципа минимизации данных из ст. 5 ФЗ-152. Ни один из этих шагов нельзя выполнить «задним числом» — уведомление о передаче подаётся до её начала, согласие оформляется до начала обработки.
DATUM сопровождает HR-департаменты при выстраивании процессов обработки ПДн работников и кандидатов: от аудита действующих документов до подготовки полного пакета ОРД с учётом изменений 2025 года.
21 января 2028 года