инструкция 14 января 2028 По состоянию на 14 января 2028

Хранение резюме после отказа: сроки

Резюме отказника — это персональные данные. Хранить их без согласия субъекта дольше установленного срока означает нарушение ст. 5 и ст. 9 152-ФЗ.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025). Хранение резюме без переоформленного согласия — основание для штрафа по ч. 1 ст. 13.11 КоАП до 300 000 ₽ за каждый выявленный факт.

Если вы HRD и в архиве накопились сотни резюме без подписанных согласий — читайте инструкцию и исправьте ситуацию до проверки РКН. → Оценить риски по 152-ФЗ

Типичная ситуация в HR-отделе: кандидат прислал резюме, получил отказ, но файл остался в папке «Кадровый резерв» или на диске рекрутера. Ни срока хранения, ни согласия, ни основания для дальнейшей обработки. По данным проверок Роскомнадзора, избыточное хранение ПДн соискателей входит в пятёрку самых распространённых нарушений у работодателей. В этой инструкции — конкретные шаги: какой срок правомерен, как оформить согласие, когда и как уничтожить данные.

Шаг 1. Определите правовое основание для хранения резюме

Резюме содержит минимум три категории ПДн: ФИО, контактные данные, сведения о трудовой деятельности. Само по себе направление резюме кандидатом не является согласием на обработку ПДн в целях формирования кадрового резерва.

Работодатель вправе обрабатывать ПДн соискателя на двух основаниях по ст. 6 152-ФЗ:

Рассмотрение заявки на вакансию — обработка в целях заключения трудового договора (п. 5 ч. 1 ст. 6 152-ФЗ). Основание действует только в период активного подбора на конкретную должность.
Кадровый резерв — цель выходит за рамки конкретной вакансии, поэтому требует отдельного письменного согласия кандидата по ст. 9 152-ФЗ.

После завершения конкурса на вакансию и направления отказа первое основание прекращает действовать. Если согласия на кадровый резерв нет — дальнейшее хранение незаконно.

«Ст. 5 152-ФЗ: ПДн не могут обрабатываться дольше, чем этого требует достижение целей обработки. При достижении цели или утрате необходимости оператор обязан уничтожить или обезличить данные.»

Шаг 2. Установите допустимый срок хранения

Законодательство не содержит единой нормы о сроке хранения резюме соискателей. Применяются два ориентира:

Без согласия на кадровый резерв — резюме хранится только в период активного рассмотрения кандидатуры. После направления письменного отказа — не дольше 30 календарных дней (позиция Роскомнадзора на основе принципа минимизации ст. 5 152-ФЗ).
С согласием на кадровый резерв — срок определяется согласием. Типовой диапазон — 1–3 года с момента подписания. По истечении срока данные уничтожаются или согласие переподписывается.

Для работодателей, которые используют КЭДО, срок хранения электронных документов (включая электронные резюме и согласия) определяется тем же принципом. Оператором ПДн при работе через КЭДО остаётся работодатель — даже если платформа предоставлена сторонним сервисом. Это прямо следует из ст. 6 и ст. 3 152-ФЗ.

«Ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку ПДн оформляется отдельным документом. Не допускается его включение в трудовой договор, оферту, анкету или политику конфиденциальности.»

Согласия соискателей ещё в анкете или офертном блоке?

Если HRD не переоформил согласия соискателей как отдельный документ после 01.09.2025, каждый такой документ — потенциальное нарушение ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽). Юристы DATUM проведут аудит форм обработки ПДн соискателей и соберут корректный пакет документов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите согласие на кадровый резерв по новым требованиям

С 01.09.2025 согласие кандидата на хранение резюме в кадровом резерве обязано быть самостоятельным документом. ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 152-ФЗ: согласие не объединяется ни с каким другим документом.

Обязательные реквизиты согласия на кадровый резерв:

ФИО кандидата и его контактные данные
наименование и адрес работодателя-оператора
цель обработки: «формирование кадрового резерва по должности [наименование]»
перечень ПДн: ФИО, дата рождения, контакты, сведения об образовании и трудовой деятельности
перечень действий: хранение, систематизация, использование при открытии вакансии
срок действия согласия: например, «2 года с даты подписания»
способ отзыва: письменное заявление или электронное обращение на указанный email

Если согласие подписывалось до 01.09.2025 в составе анкеты соискателя или иного документа — оно продолжает действовать. Обратной силы ФЗ-156 не имеет. Но при очередном взаимодействии с кандидатом рекомендуется переоформить.

Кандидаты, направившие резюме через внешние платформы (hh.ru, SuperJob), как правило, дают согласие на передачу данных работодателю через правила платформы. Проверьте, охватывает ли такое согласие хранение в вашем кадровом резерве — как правило, нет.

Шаг 4. Организуйте уничтожение резюме в установленный срок

Уничтожение ПДн — не удаление файла из папки. По ст. 19 152-ФЗ и Приказу ФСТЭК №21 оператор обязан обеспечить необратимое уничтожение с фиксацией факта в акте.

Порядок уничтожения резюме соискателей:

Бумажные носители — шредирование до степени, исключающей восстановление, с составлением акта об уничтожении (дата, перечень носителей, ответственное лицо).
Электронные файлы — удаление с перезаписью или криптографическое уничтожение. Простое перемещение в корзину не засчитывается.
Облачные сервисы и КЭДО — направление требования об удалении оператору сервиса со ссылкой на договор поручения обработки (ч. 3 ст. 6 152-ФЗ). Хранить подтверждение удаления.
Резервные копии — если резюме попало в бэкап, это тоже носитель ПДн. Срок и порядок удаления из бэкапа должен быть закреплён в регламенте.

Что подготовить для правомерного хранения резюме

Отдельная форма согласия на кадровый резерв — соответствует ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025
Регламент хранения и уничтожения ПДн соискателей с указанием сроков и ответственных
Журнал учёта уничтожения ПДн с подписью ответственного лица
Договор (соглашение) о поручении обработки ПДн — если резюме обрабатывают внешние платформы или КЭДО-провайдер
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 152-ФЗ

Шаг 5. Ответьте на запрос соискателя об уничтожении его данных

Соискатель вправе в любой момент отозвать согласие и потребовать уничтожения своих данных. Это право закреплено в ч. 2 ст. 9 и ст. 21 152-ФЗ. Срок исполнения — 7 рабочих дней с момента получения требования (если иное не предусмотрено договором или законом).

Алгоритм ответа на запрос:

Зафиксировать факт поступления запроса с датой и способом обращения.
Проверить, нет ли законного основания для продолжения обработки вне согласия (судопроизводство, исполнение обязательств по закону).
Уничтожить данные на всех носителях, включая облако и бэкапы, составить акт.
Направить кандидату письменное подтверждение об уничтожении в течение 10 рабочих дней с момента его запроса (ст. 20 152-ФЗ).

Невыполнение требования субъекта в срок — нарушение ч. 5 ст. 13.11 КоАП, штраф для юрлица 50 000–90 000 ₽. Повторное нарушение по ч. 5.1 — уже 300 000–500 000 ₽.

Если HRD получил требование кандидата об удалении данных — у компании 7 рабочих дней на исполнение. Без задокументированного акта уничтожения РКН расценит нарушение как продолжающееся. Юристы DATUM соберут ОРД под ключ: регламент, акты, журналы.

Собрать ОРД под ключ

Как нарушения по хранению резюме выглядят на практике

Сценарий 1 — архив без согласий. Крупная торговая компания (Сибирский ФО, осень 2025) хранила базу из нескольких тысяч резюме кандидатов за пять лет. Согласий на кадровый резерв не было — только галочка «даю согласие» в электронной анкете, встроенной в оферту. Роскомнадзор в ходе плановой проверки выявил нарушения ч. 1 и ч. 2 ст. 13.11 КоАП: обработка без надлежащего согласия и в объёме, превышающем цели. Штраф составил несколько сотен тысяч рублей. После этого HR-служба полностью переработала форму согласия и регламент хранения.

Сценарий 2 — резюме через КЭДО-платформу. Производственное предприятие (Приволжский ФО, начало 2026) подключило КЭДО-провайдера для ведения кандидатских профилей. Договор поручения обработки ПДн с провайдером отсутствовал. Кандидат потребовал удаления данных, компания направила требование провайдеру, но документального подтверждения удаления не получила и не сохранила. Арбитражный суд региона квалифицировал ситуацию как нарушение ч. 5 ст. 13.11 (неисполнение требования субъекта). ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Что меняется, если в офисе установлен СКУД с биометрией

Если компания использует биометрическую систему контроля доступа (СКУД) и кандидатов при собеседовании проводят через турникет с распознаванием лица — фиксируется биометрический шаблон. Это биометрические ПДн по ст. 11 152-ФЗ. Обработка допустима только с отдельного письменного согласия.

Хранить биометрический шаблон кандидата после отказа — грубое нарушение. Санкция: ч. 16 ст. 13.11 КоАП (нарушение требований к биометрии). Если данные утекут — ч. 17 ст. 13.11 устанавливает штраф 15 000 000–20 000 000 ₽ для юрлица.

Рекомендация: при входном контроле для кандидатов использовать СКУД без биометрической идентификации либо обеспечить уничтожение биометрического шаблона немедленно после визита.

«Ст. 11 152-ФЗ: обработка биометрических ПДн допускается только при наличии письменного согласия субъекта. Исключения установлены ч. 2 ст. 11 и не распространяются на кандидатов при собеседовании.»

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм согласий, регламентов хранения, ОРД HR-департамента
Комплект ОРД под ключ — полный пакет: согласия соискателей, регламент уничтожения, договоры поручения
DPO-аутсорсинг — постоянное сопровождение обработки ПДн в HR без штатного специалиста

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, в обязательном порядке не нужно. ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, подписанные до 01.09.2025, остаются действительными. Однако если согласие было включено в трудовой договор или анкету и срок его действия не истёк — оно юридически продолжает работать. При очередном переоформлении любого HR-документа рекомендуется перейти на отдельный бланк согласия, соответствующий новым требованиям ст. 9 152-ФЗ.

2. Какие данные нельзя запрашивать в анкете соискателя?

Работодатель не вправе запрашивать данные, не связанные с оценкой деловых качеств кандидата. Это прямо следует из ст. 86 и ст. 65 ТК РФ в связке со ст. 5 152-ФЗ (принцип минимизации). Под запретом: сведения о членстве в партиях и профсоюзах, религиозных взглядах, национальности, состоянии здоровья (до трудоустройства на должности, где это не требуется по закону), семейном положении и доходах членов семьи. Запрашивать ИНН, СНИЛС и паспортные данные на этапе анкетирования до принятия решения о найме — также избыточно.

3. Можно ли вести видеонаблюдение в офисе во время собеседований?

Видеозапись собеседования означает обработку изображения кандидата — это ПДн. Для правомерной видеозаписи необходимо: информировать кандидата о ведении съёмки (ст. 18.1 152-ФЗ), получить письменное согласие на запись и хранение видеоматериала, установить срок хранения и уничтожить запись после отказа. Видеозапись без согласия и без уведомления — нарушение ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽).

4. Сколько хранить согласия после увольнения сотрудника?

Согласие — документ кадрового учёта. Согласно ст. 22.2 ТК РФ и Перечню типовых управленческих документов (Приказ Росархива), документы по личному составу хранятся 50 лет (для документов, созданных после 2003 года). Согласие работника на обработку ПДн относится к этой категории. На практике минимальный срок — весь период трудовых отношений плюс 3 года для возможных трудовых споров по истечении срока исковой давности.

5. Кто является оператором ПДн при использовании КЭДО-платформы?

Оператором остаётся работодатель. КЭДО-провайдер действует как лицо, осуществляющее обработку по поручению (ч. 3 ст. 6 152-ФЗ). Это означает: работодатель обязан заключить с провайдером договор поручения обработки ПДн, где прописаны перечень действий, цели, сроки и обязанность уничтожения по требованию. Без такого договора ответственность за нарушения, допущенные провайдером, несёт работодатель в полном объёме.

6. Что делать, если в архиве обнаружены резюме без согласий за прошлые годы?

Немедленно провести инвентаризацию архива: разделить резюме на те, по которым есть действующее согласие, и те, по которым согласие отсутствует или просрочено. Резюме без актуального основания подлежат уничтожению с составлением акта. Факт самостоятельного выявления и устранения нарушения фиксируется документально — при последующей проверке РКН это учитывается как смягчающее обстоятельство по ст. 4.2 КоАП.

Итог

Хранение резюме после отказа — зона высокого регуляторного риска: одновременно действуют принцип минимизации ст. 5 152-ФЗ, требования к согласию по ст. 9 в редакции ФЗ-156 и санкции ст. 13.11 КоАП. Правомерная схема проста: отдельное согласие на кадровый резерв с фиксированным сроком, регламент уничтожения с актами, договор поручения с КЭДО-провайдером.

Практика DATUM по сопровождению HR-департаментов в части 152-ФЗ включает аудит форм согласий, разработку регламентов хранения и уничтожения, а также подготовку к проверкам Роскомнадзора. Работаем с HR-службами среднего и крупного бизнеса с 2014 года.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.