инструкция 22 января 2028 По состоянию на 22 января 2028

Кейс штрафа за хранение резюме после отказа

Хранение резюме кандидата после отказа без отдельного согласия — нарушение ст. 9 ФЗ-152. С 30.05.2025 штраф для юрлица составляет до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

По данным РКН за 2024 год, HR-практики входят в топ-3 оснований для проверок по ст. 13.11 КоАП. Резюме из внешних источников (hh.ru, Avito, email) — зона риска № 1: оператор собирает данные, не имея правового основания их хранить.

Если вы HRD и кандидатская база формировалась без отдельных согласий — у вас есть конкретный алгоритм исправления ситуации. Читайте ниже. →

С 01.09.2025 вступили в силу поправки ФЗ-156 от 24.06.2025: согласие на обработку персональных данных оформляется отдельным документом, не может быть частью трудового договора, оферты или анкеты кандидата. Это изменение затрагивает не только действующих работников, но и всю воронку подбора персонала — от первичного контакта с кандидатом до архива резюме. В этом материале — разбор реального кейса штрафа, анализ типичных ошибок HR-департаментов и пошаговый алгоритм приведения практики в соответствие с законом.

Какие ошибки HR-департаментов приводят к штрафу за хранение резюме?

Основная проблема — системная. Резюме поступают по email, через hh.ru, из Telegram-чатов, от агентств. Рекрутеры сохраняют их в папки, CRM-системы, корпоративные диски. Никакого согласия от кандидата при этом не запрашивается. Большинство HR-директоров считают, что раз кандидат сам прислал резюме — согласие не нужно. Это ошибка.

По ст. 9 ФЗ-152 согласие требуется для любой обработки персональных данных, если нет иного законного основания. Получение резюме по email — это получение данных, но не основание для их хранения, систематизации и использования в будущем. После отказа кандидату правовое основание для хранения его данных прекращается, если только сам кандидат не дал согласие на включение в кадровый резерв.

«Ст. 9 ФЗ-152 — субъект персональных данных принимает решение об их предоставлении и даёт согласие на обработку свободно, своей волей и в своём интересе. Согласие должно быть конкретным, информированным и сознательным.»

Типичные ошибки, которые фиксирует РКН при проверках:

Резюме хранятся без срока — годами, без цели и без согласия кандидата.
Согласие «зашито» в текст анкеты кандидата или в подпись к вакансии на сайте.
После 01.09.2025 согласие по-прежнему оформляется как часть анкеты, а не отдельным документом.
Нет регламента уничтожения данных кандидатов-отказников: резюме «забывают» удалить из почты, облака, CRM.
Обработку данных кандидатов ведёт подрядчик (агентство, ATS-платформа) без поручения по ст. 6 ФЗ-152.

Кандидатская база сформирована — согласий нет?

Если HR-департамент хранит резюме без отдельных согласий в формате, который требует ФЗ-156 с 01.09.2025, — это основание для протокола по ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽). Юристы DATUM проведут аудит HR-обработки по чек-листу из 38 пунктов и выдадут план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как разбирался кейс штрафа за хранение резюме: хронология

В практике DATUM — дело торгово-производственной компании из Уральского федерального округа (2025 год). Компания численностью около 400 человек вела активный подбор через hh.ru и корпоративный сайт. Резюме автоматически сохранялись в ATS-систему, кандидаты-отказники не удалялись. База накопилась за три года — свыше 12 000 записей.

Поводом для проверки стала жалоба бывшего кандидата: он получил отказ, а через полгода обнаружил, что его данные по-прежнему обрабатываются — компания использовала базу для рассылки по новым вакансиям. РКН провёл внеплановую проверку. Инспектор установил: согласия нет, срок хранения не определён, политика конфиденциальности на сайте не содержит сведений об обработке данных кандидатов.

Итог: протокол по ч. 2 ст. 13.11 КоАП (обработка без письменного согласия). Штраф для юрлица — в диапазоне 300 000–700 000 ₽. Дополнительно — предписание об уничтожении базы кандидатов и устранении нарушений в политике за 30 дней.

«Ч. 2 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — обработка персональных данных без письменного согласия субъекта или с нарушением требований к составу согласия влечёт штраф для юридического лица от 300 000 до 700 000 ₽.»

Аналогичная ситуация — у компании из Сибирского ФО (начало 2026 года): рекрутинговое агентство работало без договора поручения с заказчиком, персональные данные кандидатов передавались клиентам агентства без правового основания. Мировой суд применил ч. 2 ст. 13.11, оба участника цепочки — агентство и компания-заказчик — получили протоколы.

Шаг 1. Проведите инвентаризацию кандидатских баз

Первый шаг — зафиксировать, где фактически хранятся персональные данные кандидатов. Типовые места хранения в HR-практике: корпоративная почта (папки рекрутеров), облачные диски (Google Drive, Яндекс.Диск, SharePoint), ATS-системы (hh.ru, Potok, Хантфлоу), CRM-системы с HR-модулем, мессенджеры (Telegram-боты, WhatsApp-чаты рекрутеров), локальные диски ПК.

По каждому источнику зафиксируйте: категория данных (ФИО, контакт, фото, данные о здоровье), объём (число субъектов), срок хранения, наличие согласия. Результат — реестр носителей с оценкой рисков по каждому.

Шаг 2. Проверьте наличие и состав согласий

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку персональных данных — отдельный документ. Оно не может быть частью анкеты кандидата, текста вакансии или формы на сайте. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, его контактные данные, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок действия, способ отзыва.

Если согласие было встроено в анкету до 01.09.2025 — оно не теряет силу автоматически (обратной силы у поправок нет), но для новых кандидатов требуется отдельный документ. Если согласия не было вовсе — это основание для протокола по ч. 2 ст. 13.11 КоАП независимо от даты.

Если согласия кандидатов оформлены как часть анкеты или их нет вовсе — с 01.09.2025 это прямое основание для протокола РКН. Юристы DATUM соберут пакет согласий по требованиям ФЗ-156 и подготовят регламент работы с кандидатской базой.

Собрать ОРД под ключ

Шаг 3. Определите сроки хранения и процедуру уничтожения

Срок хранения персональных данных кандидата-отказника законом не установлен в виде конкретной цифры. Принцип ст. 5 ФЗ-152: хранить не дольше, чем необходимо для достижения цели обработки. Цель — рассмотрение кандидатуры на конкретную вакансию. Цель достигнута (отказ вынесен) — данные подлежат уничтожению или обезличиванию.

Рекомендуемая практика: срок — 30 дней после направления отказа, если нет отдельного согласия на кадровый резерв. Если кандидат дал согласие на включение в резерв — срок определяется согласием, но не более 1–3 лет с обязательным подтверждением актуальности.

Процедура уничтожения должна быть задокументирована: акт об уничтожении, журнал удалений. При обработке в ATS — документально подтверждённая настройка автоудаления или ручная процедура с отметкой ответственного.

Шаг 4. Проверьте цепочку подрядчиков в HR-процессах

HR-процесс часто включает третьих лиц: рекрутинговые агентства, ATS-платформы, кадровые маркетплейсы, провайдеры КЭДО. Каждый из них — либо обработчик по поручению (ст. 6 ФЗ-152), либо самостоятельный оператор. Если это обработчик — с ним необходим договор поручения с условиями из ч. 3 ст. 6 ФЗ-152: перечень действий, цель, обязанность конфиденциальности, требования к защите.

Ответственность перед субъектом несёт оператор (ваша компания) даже при утечке через подрядчика. Это подтверждает сложившаяся практика ВС РФ по делам об ответственности оператора за действия обработчика.

По КЭДО: если система КЭДО обрабатывает персональные данные работников — провайдер является обработчиком по поручению. Договор с ним должен явно включать условия ст. 6 ФЗ-152. Без этого документа — нарушение при первой же проверке.

Шаг 5. Обновите политику обработки и локальные акты

Политика обработки персональных данных по ст. 18.1 ФЗ-152 должна содержать сведения о целях обработки, категориях субъектов (в том числе кандидатах), перечне обрабатываемых данных, сроках хранения, порядке уничтожения, правах субъектов. Отсутствие политики или её несоответствие фактической обработке — ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽.

Дополнительно потребуются: регламент работы с кандидатской базой (кто, что, в какие сроки), инструкция рекрутера по обработке персональных данных, приказ о назначении ответственного по ст. 22.1 ФЗ-152, журнал учёта обращений субъектов. Если компания использует биометрию в СКУД (СКУД с распознаванием лиц) — требуется отдельное письменное согласие по ст. 11 ФЗ-152 для каждого работника.

Что подготовить HR-директору для соответствия 152-ФЗ

Реестр мест хранения персональных данных кандидатов с указанием сроков и оснований обработки.
Отдельные согласия на обработку ПДн кандидатов (новый формат по ФЗ-156 с 01.09.2025): для первичного рассмотрения и — отдельно — для кадрового резерва.
Договоры поручения с ATS-платформами, агентствами, провайдерами КЭДО по ст. 6 ФЗ-152.
Регламент уничтожения данных кандидатов-отказников (срок, ответственный, акт).
Обновлённая политика обработки персональных данных с разделом о кандидатах.

Типичные сценарии для HR-директора и вероятные исходы

Сценарий 1. База кандидатов накоплена без согласий, РКН пришёл с проверкой. Ситуация: свыше 5 000 резюме в ATS, согласий нет, срок хранения не определён. Доказательства: выгрузка из ATS, журнал входящих писем, политика на сайте без раздела о кандидатах. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽, предписание об уничтожении базы. Стратегия: немедленно начать инвентаризацию, подготовить согласия и акт об уничтожении данных без согласия — это смягчающие обстоятельства при рассмотрении дела.

Сценарий 2. Согласие встроено в анкету кандидата — проверка после 01.09.2025. Ситуация: анкета с формулировкой «заполняя анкету, вы соглашаетесь на обработку ПДн». Доказательства: форма анкеты, отсутствие отдельного документа. Вероятный исход: квалификация по ч. 2 ст. 13.11 (нарушение требований к составу согласия), штраф 300 000–700 000 ₽. Стратегия: немедленно разработать отдельный документ согласия по реквизитам ст. 9 ФЗ-152, перевести новых кандидатов на новую форму, зафиксировать дату перехода.

Сценарий 3. Рекрутинговое агентство передаёт данные кандидатов без договора поручения. Ситуация: агентство работает по рамочному договору без условий ст. 6 ФЗ-152, резюме отправляет по email. Доказательства: договор с агентством, переписка, отсутствие пункта о конфиденциальности ПДн. Вероятный исход: оба — агентство и компания-заказчик — получают протоколы, оба платят штрафы независимо. Стратегия: включить в договор с агентством условия ч. 3 ст. 6 ФЗ-152, запросить у агентства подтверждение наличия согласия кандидата на передачу данных заказчику.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка HR-обработки по чек-листу из 38 пунктов, приоритизированный план устранения.
Комплект ОРД под ключ — согласия кандидатов, политика, регламенты, договоры поручения с подрядчиками.
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не теряют — переподписывать их не требуется. Поправки ФЗ-156 от 24.06.2025 не предусматривают обязанности переоформить ранее полученные согласия. Однако для новых работников и новых кандидатов с 01.09.2025 согласие оформляется только отдельным документом — не частью трудового договора или анкеты. Проверьте, что действующие шаблоны обновлены под новый формат.

2. Какие данные нельзя спрашивать в анкете кандидата?

По ст. 86 ТК РФ работодатель вправе запрашивать только те данные, которые необходимы для оценки профессиональных качеств кандидата и исполнения трудового договора. Запрещено собирать данные о политических взглядах, религии, состоянии здоровья (кроме случаев медосмотра по закону), национальности, семейном положении — если это не обусловлено спецификой должности. Сбор таких данных без основания квалифицируется по ч. 1 ст. 13.11 КоАП (до 300 000 ₽ для юрлица).

3. Можно ли вести видеонаблюдение в офисе?

Да, при соблюдении ряда условий. Работники должны быть уведомлены о видеонаблюдении — через локальный нормативный акт (приказ, правила внутреннего распорядка) и ознакомлены с ним под подпись по ст. 22.2 ТК РФ. Если система СКУД использует биометрию (распознавание лиц), дополнительно требуется письменное согласие каждого работника по ст. 11 ФЗ-152. Хранение видеозаписей — не дольше срока, указанного в локальном акте.

4. Сколько хранить согласия после увольнения?

Согласие — часть личного дела работника. Типовой срок хранения личных дел — 75 лет (по Перечню типовых управленческих документов). Согласие на обработку персональных данных хранится вместе с личным делом. После увольнения работника сами персональные данные (вне личного дела) подлежат уничтожению или обезличиванию по истечении срока, указанного в согласии, — если нет иного законного основания для хранения.

5. Кто является оператором при использовании КЭДО?

Оператором персональных данных при КЭДО является работодатель. Провайдер КЭДО-платформы — обработчик по поручению в соответствии со ст. 6 ФЗ-152. Договор с провайдером должен содержать условия об обязанности конфиденциальности, перечень допустимых действий с данными и требования к техническим мерам защиты. Если такого договора нет — работодатель нарушает ч. 3 ст. 6 ФЗ-152 и несёт ответственность за действия провайдера перед субъектами данных.

6. Что делать, если кандидат потребовал уничтожить его данные?

По ст. 21 ФЗ-152 оператор обязан прекратить обработку и уничтожить данные в течение 7 рабочих дней с момента получения требования субъекта, если для хранения нет другого законного основания. Требование регистрируется в журнале обращений. Факт уничтожения подтверждается актом. Невыполнение — ч. 5 ст. 13.11 КоАП, штраф для юрлица 50 000–90 000 ₽.

Итог

Хранение резюме без согласия — системная ошибка HR-практики, которая при проверке РКН превращается в штраф от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. После 01.09.2025 требования к форме согласия ужесточились: отдельный документ с конкретными реквизитами. Исправление ситуации требует инвентаризации базы, обновления согласий, регламентов уничтожения и договоров с подрядчиками.

DATUM сопровождает HR-департаменты в приведении обработки персональных данных в соответствие с ФЗ-152 — от аудита кандидатской базы до полного комплекта ОРД и DPO-функции на абонентском обслуживании.

Есть ситуация с кандидатской базой или проверкой РКН?

Оценим риски и предложим план действий. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Свяжитесь с нами по телефону, Telegram или email.