Хранение данных кандидатов в Talantix/Friend Work
HRD, который использует Talantix или Friend Work, де-факто управляет базой данных кандидатов с персональными данными тысяч людей. С 30.05.2025 ст. 13.11 КоАП работает в новой редакции: штрафы выросли кратно, а с 01.09.2025 действует ФЗ-156, изменивший требования к форме согласия. Эта инструкция описывает шесть шагов — от аудита текущей базы до настройки удаления данных по сроку.
Шаг 1. Определите правовое основание хранения для каждой группы кандидатов
Данные в ATS-системе могут обрабатываться по разным основаниям ст. 6 ФЗ-152. Задача HRD — разделить базу на группы и для каждой зафиксировать основание письменно.
Первая группа — кандидаты, которые самостоятельно прислали резюме или заполнили анкету на сайте. Для них основание — согласие по ст. 9 ФЗ-152. Согласие с 01.09.2025 должно быть оформлено отдельным документом с обязательными реквизитами: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок и способ отзыва.
Вторая группа — кандидаты, которые претендовали на конкретную вакансию и прошли переговоры. Если оформлен предварительный договор или переписка приравнивается к оферте — применяется п. 5 ч. 1 ст. 6 ФЗ-152 (обработка для исполнения договора). Согласие в этом случае не нужно, но правовое основание должно быть задокументировано.
Третья группа — кандидаты из кадровых агентств. Здесь оператор-агентство передаёт ПДн по поручению или как самостоятельный оператор. Нужен договор поручения по п. 3 ст. 6 ФЗ-152 с перечнем допустимых действий.
Согласия кандидатов ещё встроены в анкету или форму сайта?
Если HRD не переоформил согласия по требованиям ФЗ-156 после 01.09.2025, каждая анкета в Talantix или Friend Work — потенциальный повод для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок подачи уведомления РКН о намерении обрабатывать — до начала обработки, а не после аудита.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Шаг 2. Проверьте актуальность уведомления в реестре операторов РКН
Каждый работодатель, использующий ATS, обязан уведомить РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 до начала обработки. Проверить статус — на pd.rkn.gov.ru по ИНН или наименованию.
Частая ошибка: в уведомлении указана «обработка данных работников», а данные кандидатов не включены. Talantix и Friend Work — отдельная информационная система. Если она не указана в уведомлении, РКН вправе квалифицировать это как обработку за рамками заявленных целей по ч. 1 ст. 13.11 КоАП. Штраф для юрлица — 150 000–300 000 ₽.
Также проверьте, указан ли вендор (Hh.ru для Talantix, разработчик Friend Work) в разделе «Лица, осуществляющие обработку по поручению». Облачное хранение — это поручение третьему лицу, которое требует отражения в уведомлении и отдельного договора поручения.
Шаг 3. Настройте сроки хранения данных в ATS и порядок их удаления
Принцип «не дольше необходимого» закреплён в ст. 5 ФЗ-152. Для кандидатов, которые не стали работниками, максимальный срок хранения определяется целью обработки — то есть сроком актуальности вакансии или сроком, указанным в согласии.
Рекомендованная практика: согласие кандидата выдаётся на срок до одного года с возможностью пролонгации по отдельному запросу. Если в течение года кандидат не принят, данные подлежат уничтожению или обезличиванию. В Talantix это настраивается через политику хранения в разделе «Настройки безопасности». В Friend Work — через ручной регламент или API.
Уничтожение ПДн оформляется актом — это требование ст. 21 ФЗ-152. Акт подписывает ответственный за обработку ПДн, назначенный по ст. 22.1 ФЗ-152. Электронная запись об удалении из ATS без акта не является надлежащим подтверждением.
Как правильно оформить согласие кандидата после 01.09.2025?
Согласие кандидата после 01.09.2025 — самостоятельный документ, не встроенный в анкету, форму на сайте или сопроводительное письмо. Это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156.
Обязательные реквизиты согласия кандидата: полное наименование работодателя как оператора, цель обработки (например, «рассмотрение кандидатуры на вакансию»), перечень персональных данных (ФИО, контакты, опыт работы, образование), перечень допустимых действий (сбор, хранение, систематизация, использование), срок действия согласия, способ отзыва.
Если кандидат отзывает согласие — оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если нет иного правового основания (ч. 5 ст. 21 ФЗ-152). В ATS-системе отзыв должен автоматически блокировать профиль кандидата от дальнейшей обработки.
Согласие, полученное до 01.09.2025, переоформлять принудительно не требуется — ФЗ-156 обратной силы не имеет. Но при обновлении профиля кандидата или продлении срока обработки нужно получить новое согласие по актуальным требованиям.
Если HRD ведёт базу кандидатов в облачном ATS и договор поручения с вендором не подписан — оператором и ответственным за утечку остаётся работодатель. Срок устранения по предписанию РКН — 7 рабочих дней.
Собрать ОРД под ключШаг 5. Оформите договор поручения с вендором ATS
Talantix и Friend Work хранят данные кандидатов на своих серверах. С точки зрения ФЗ-152 это обработка ПДн третьим лицом по поручению оператора — п. 3 ст. 6 ФЗ-152. Договор поручения обязателен.
Договор с вендором должен содержать: перечень действий с ПДн (хранение, систематизация, доступ), обязанность вендора обеспечить конфиденциальность, запрет передачи данных третьим лицам без поручения, порядок уничтожения данных при расторжении договора, требования к техническим мерам защиты в соответствии с уровнем защищённости по ПП РФ №1119.
Отдельно проверьте локализацию: сервера Talantix (HH.ru) находятся в России, что соответствует ч. 5 ст. 18 ФЗ-152. Friend Work — уточните у вендора. Если данные хранятся за рубежом, требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.
При использовании КЭДО через сторонний сервис (например, интегрированный с ATS) — дополнительно проверьте соответствие требованиям ст. 22.2 ТК РФ: оператором КЭДО является работодатель, а вендор — обработчик.
Шаг 6. Настройте реагирование на запросы кандидатов и уведомление об утечке
Кандидат — субъект персональных данных, наделённый правами по ст. 14 ФЗ-152. Срок ответа на запрос о составе обрабатываемых данных — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).
Если данные кандидатов утекли — например, через уязвимость ATS или действия инсайдера — работодатель обязан уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187. Неуведомление — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.
В регламент реагирования включите: порядок фиксации инцидента, ответственного за уведомление РКН, шаблон первичного уведомления и шаблон 72-часового отчёта. Регламент — часть обязательного комплекта ОРД по ст. 18.1 ФЗ-152.
Что подготовить HRD для соответствия 152-ФЗ при работе с ATS
- Согласия кандидатов в формате отдельного документа с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 (актуально для всех согласий, получаемых с 01.09.2025)
- Уведомление в реестре РКН с указанием ATS как информационной системы и вендора как обработчика по поручению
- Договор поручения с вендором Talantix/Friend Work с перечнем допустимых действий и требованиями к защите
- Регламент хранения и уничтожения данных кандидатов с формой акта уничтожения
- Регламент реагирования на запросы субъектов и на инциденты с ПДн (24/72 часа)
Типовые ситуации: как это работает на практике
Ситуация 1. Крупный ритейлер (Уральский ФО, начало 2026) использовал Talantix без договора поручения с HH.ru и без раздельных согласий кандидатов. РКН провёл плановую проверку по индикатору риска — объём базы кандидатов превысил 50 000 записей при отсутствии записи в реестре операторов о соответствующей цели. Компании выдано предписание, возбуждено дело по ч. 1 и ч. 2 ст. 13.11 КоАП. Штраф составил сотни тысяч рублей. Договор поручения и новые согласия были оформлены в течение двух недель по сопровождению юристов — до вынесения постановления, что позволило снизить итоговую сумму.
Ситуация 2. IT-компания (Северо-Западный ФО, осень 2025) выгрузила базу кандидатов из Friend Work для передачи кадровому агентству без договора поручения и без согласия кандидатов на передачу третьим лицам. Один из кандидатов обнаружил свои данные на стороннем ресурсе и подал жалобу в РКН. По итогам проверки возбуждено дело по ч. 1 ст. 13.11; HR-директор привлечён к административной ответственности как должностное лицо. Ситуацию усугубило отсутствие регламента передачи данных третьим лицам в комплекте ОРД компании.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка ATS, согласий, ОРД HR-департамента по чек-листу из 38 пунктов
- Комплект ОРД под ключ — политика, согласия кандидатов и работников, договор поручения с вендором, регламент реагирования
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025, переоформлять не нужно — ФЗ-156 обратной силы не имеет. Требование об отдельном документе применяется к согласиям, которые запрашиваются с 01.09.2025. Если вы обновляете форму анкеты кандидата или продлеваете срок хранения данных — новое согласие получают уже по новым правилам ч. 1 ст. 9 ФЗ-152.
2. Какие данные нельзя запрашивать в анкете кандидата?
Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях, членстве в общественных объединениях и профсоюзах без письменного согласия кандидата. Сведения о состоянии здоровья относятся к специальным категориям по ст. 10 ФЗ-152 и допустимы только в прямо предусмотренных законом случаях. Стандартная анкета кандидата не включает эти категории без отдельного основания.
3. Можно ли вести видеонаблюдение в офисе при отборе кандидатов?
Видеонаблюдение создаёт изображение лица, которое относится к биометрическим персональным данным по ст. 11 ФЗ-152. Обработка биометрии допустима только с письменного согласия субъекта — исключения установлены ч. 2 ст. 11. Кандидат на собеседовании не является работником, поэтому оснований для обработки его биометрии без согласия у работодателя нет. Ст. 87 ТК РФ предусматривает порядок хранения и использования персональных данных, но не создаёт самостоятельного основания для биометрии.
4. Сколько хранить согласия после увольнения или отказа кандидату?
Для кандидата, не принятого на работу, срок хранения согласия определяется сроком, указанным в самом документе, но не дольше необходимого для достижения цели (ст. 5 ФЗ-152). Рекомендуемый срок — 1 год с даты отказа. Для принятых работников личное дело хранится 75 лет (типовые перечни). Само согласие как документ хранится вместе с личным делом работника и уничтожается по истечении срока хранения дела.
5. Кто является оператором при использовании КЭДО?
Оператором персональных данных при ведении КЭДО является работодатель — он определяет цели и состав обрабатываемых данных (ст. 3 ФЗ-152). Вендор КЭДО — лицо, осуществляющее обработку по поручению оператора в соответствии с п. 3 ч. 1 ст. 6 ФЗ-152. Требования к КЭДО как системе обработки данных работников закреплены в ст. 22.2 ТК РФ. Ответственность за утечку данных из КЭДО перед РКН несёт работодатель.
6. Что делать, если кандидат требует удалить его данные из ATS?
Если правовое основание обработки — согласие, и кандидат его отозвал, оператор обязан прекратить обработку и уничтожить данные в течение 30 дней (ч. 5 ст. 21 ФЗ-152), если нет иного законного основания для хранения. В ATS-системе профиль блокируется, данные удаляются, составляется акт уничтожения. Игнорирование требования — нарушение ч. 5 ст. 13.11 КоАП (штраф 50 000–90 000 ₽ за первый факт).
Итог
Хранение данных кандидатов в Talantix и Friend Work регулируется ФЗ-152 в полном объёме: правовое основание, форма согласия, срок хранения, договор с вендором и реагирование на инциденты. После 01.09.2025 требования к форме согласия ужесточились — разрыв между фактической практикой большинства HR-департаментов и требованиями закона стал критическим.
DATUM сопровождает HR-комплаенс по 152-ФЗ с 2014 года: аудит базы кандидатов и работников, подготовка согласий по актуальным требованиям ФЗ-156, договоры поручения с вендорами ATS, ОРД под ключ и абонентское DPO по ст. 22.1 ФЗ-152.