инструкция 15 января 2028 По состоянию на 15 января 2028

Найм через HH.ru и SuperJob: правовой статус

HH.ru и SuperJob — операторы ПДн соискателей, но с момента передачи резюме в компанию ответственность переходит к работодателю как к самостоятельному оператору по ст. 3 и ст. 6 ФЗ-152.

С 01.09.2025 (ФЗ-156) согласие на обработку ПДн оформляется отдельным документом — включение его в трудовой договор или анкету соискателя нарушает ч. 1 ст. 9 ФЗ-152 и образует состав по ч. 2 ст. 13.11 КоАП (штраф до 700 000 руб.).

Если вы HRD и ещё не выстроили документооборот согласий при найме через job-площадки — проверьте, соответствует ли ваша практика требованиям 2025–2026 годов.

Ежедневно тысячи HR-специалистов скачивают резюме с HH.ru и SuperJob, вносят данные соискателей в АТС и CRM, направляют анкеты по email — и почти никогда не задумываются о том, кто и на каком основании обрабатывает эти персональные данные. Между тем с 30.05.2025 штраф за обработку ПДн без надлежащего согласия вырос в разы, а с 01.09.2025 правила оформления самого согласия изменились. Эта инструкция разбирает правовую цепочку: HH.ru — работодатель — соискатель — сотрудник, и показывает, где в ней обычно возникают нарушения.

Шаг 1. Определите, кто является оператором на каждом этапе найма

При найме через job-площадку одновременно действуют несколько операторов. HH.ru и SuperJob обрабатывают ПДн соискателя на основании пользовательского соглашения с ним — это их зона ответственности. Но как только HR-специалист скачивает резюме или получает отклик и сохраняет данные в корпоративной системе, компания становится самостоятельным оператором по ст. 3 ФЗ-152. Правовое основание для такой обработки необходимо определить до начала работы с данными, а не после.

«Ст. 6 ФЗ-152 устанавливает 11 правовых оснований для обработки ПДн. При найме применимы: согласие субъекта (п. 1), а также обработка в рамках договорных отношений (п. 5) — но лишь после принятия решения о трудоустройстве и заключения договора. До этого момента единственное основание — согласие соискателя.»

На практике HR-служба нередко считает, что отклик соискателя на вакансию уже означает его согласие на обработку ПДн. Это ошибочная позиция: отклик на HH.ru является согласием на обработку данных площадкой, а не работодателем. Для обработки ПДн соискателя компанией требуется отдельное явное согласие, оформленное с учётом требований ст. 9 ФЗ-152 в редакции ФЗ-156.

Согласия соискателей ещё вшиты в анкету или оферту?

Если HRD не перестроил форму согласия соискателя под требования ФЗ-156 — каждая анкета, заполненная после 01.09.2025, создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 руб.). Срок не ждёт: обработка уже ведётся, и каждый день без изменений увеличивает период нарушения. Юристы DATUM проведут аудит HR-документооборота и соберут корректный пакет ОРД.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Оформите согласие соискателя по требованиям ФЗ-156

С 01.09.2025 согласие на обработку ПДн не может входить в состав иного документа: трудового договора, анкеты соискателя, согласия на проверку службой безопасности или политики конфиденциальности. Это отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) требует: ФИО субъекта, его контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, способ его отзыва. Согласие оформляется отдельным документом — не как пункт другого документа.»

Для соискателя, откликнувшегося через HH.ru, согласие можно получить: в электронной форме при первичном контакте по email (с фиксацией факта получения), при очном собеседовании в бумажном виде, через систему КЭДО при наличии подключения до трудоустройства. Важно зафиксировать дату и способ получения согласия — это доказательная база при проверке РКН.

Что подготовить для найма по нормам 152-ФЗ

Отдельная форма согласия соискателя с реквизитами по ст. 9 ФЗ-152 в ред. ФЗ-156 — для каждой стадии: первичный контакт, анкетирование, хранение в кадровом резерве.
Приказ о назначении ответственного за обработку ПДн в HR-службе (ст. 22.1 ФЗ-152) и регламент работы с данными соискателей.
Политика обработки ПДн, размещённая на сайте компании (ст. 18.1 ФЗ-152), с указанием целей и сроков хранения данных кандидатов.
Журнал учёта согласий и обращений соискателей с датами получения и отзыва согласий.
Регламент уничтожения ПДн отказников: сроки, ответственный, способ фиксации уничтожения.

Шаг 3. Разграничьте, какие данные вправе запрашивать работодатель

Ст. 86 ТК РФ ограничивает перечень ПДн работника, которые вправе обрабатывать работодатель: только данные, необходимые для исполнения трудового договора. Это правило применяется и к соискателям — запрашивать на этапе найма избыточные сведения нельзя. Проверочные анкеты с вопросами о политических взглядах, вероисповедании, состоянии здоровья (кроме медосмотра по закону), семейном положении без явной служебной необходимости образуют нарушение ст. 10 ФЗ-152 (специальные категории).

«Ст. 10 ФЗ-152 запрещает обработку специальных категорий ПДн (расовая и национальная принадлежность, политические и религиозные взгляды, состояние здоровья, интимная жизнь, судимость) без прямого письменного согласия субъекта или иного прямого указания закона. При найме это актуально для вопросов анкеты и проверки СБ.»

Ст. 87 ТК РФ устанавливает, что порядок хранения и использования ПДн работников определяется работодателем самостоятельно, но с соблюдением требований ФЗ-152. Сведения о судимости можно запрашивать только при приёме на должности, для которых это требование прямо установлено законом (педагогическая деятельность, работа с детьми, охранная деятельность и т. д.). Включение такого вопроса в стандартную анкету соискателя на административную должность — нарушение.

Шаг 4. Выстройте порядок работы с КЭДО и ПДн при оформлении трудовых отношений

С момента принятия решения о приёме кандидата на работу правовое основание для обработки его ПДн меняется: к согласию добавляется п. 5 ч. 1 ст. 6 ФЗ-152 (обработка в целях исполнения договора). Одновременно возникают обязательства по ст. 22.2 ТК РФ (КЭДО): если компания использует электронный документооборот, работник должен дать согласие на участие в КЭДО отдельно.

«Ст. 22.2 ТК РФ устанавливает право работодателя вести кадровые документы в электронной форме — только с письменного согласия работника. Согласие на КЭДО не заменяет и не поглощает согласие на обработку ПДн по ст. 9 ФЗ-152: это два отдельных документа с разными реквизитами и целями.»

При использовании КЭДО оператором обрабатываемых ПДн остаётся работодатель. Платформа КЭДО (1С, Контур, СБИС и т. д.) выступает обработчиком по поручению в соответствии с п. 3 ст. 6 ФЗ-152. Это означает: договор-поручение с платформой обязателен, а условия обработки в нём должны строго соответствовать задокументированным целям работодателя.

Если HRD уже перешёл на КЭДО, но поручение с платформой не оформлено или не содержит всех обязательных условий — это готовое основание для предписания РКН при плановой или внеплановой проверке. Приведите документы в порядок до прихода инспектора: на ответ по ст. 20 ФЗ-152 у вас 10 рабочих дней, а на исправление нарушения по предписанию — срок, который РКН устанавливает самостоятельно.

Собрать ОРД под ключ

Шаг 5. Урегулируйте биометрию СКУД и видеонаблюдение в офисе

Системы контроля и управления доступом на основе биометрических данных (отпечатки пальцев, распознавание лица) обрабатывают биометрические ПДн по ст. 11 ФЗ-152. Для их обработки требуется письменное согласие работника — отдельное от трудового договора и согласия на обработку общих ПДн. Отказ работника от биометрической идентификации не является основанием для отказа в приёме на работу или увольнения.

«Ст. 11 ФЗ-152 допускает обработку биометрических ПДн только при наличии письменного согласия субъекта, за исключением случаев, прямо установленных федеральными законами. Изображение лица при распознавании в СКУД квалифицируется как биометрические ПДн. Нарушение — ч. 16 ст. 13.11 КоАП.»

Видеонаблюдение в офисе также требует правового оформления. Работники должны быть уведомлены о ведении съёмки (ст. 86 ТК РФ, ст. 18.1 ФЗ-152): уведомление фиксируется в локальном нормативном акте об охране труда или отдельном приказе, с которым работники знакомятся под подпись. Если видеозаписи хранятся и обрабатываются автоматически (например, системой распознавания), это биометрические ПДн — требуется согласие по ст. 11.

Как это применяется на практике

Кейс 1. Производственная компания Уральского ФО (осень 2025) использовала унифицированную анкету соискателя, в которую был вшит блок «я даю согласие на обработку персональных данных». В ходе внеплановой проверки РКН инспектор квалифицировал это как нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156: согласие не оформлено отдельным документом. Протокол составлен по ч. 2 ст. 13.11 КоАП. HR-директор инициировал замену анкет и получение отдельных согласий до вынесения постановления — при обжаловании это учли как смягчающее обстоятельство.

Кейс 2. IT-компания Северо-Западного ФО (начало 2026) подключила КЭДО-платформу без заключения договора-поручения на обработку ПДн. После жалобы уволенного сотрудника РКН провёл проверку и выявил отсутствие документа по п. 3 ст. 6 ФЗ-152. Компания получила предписание устранить нарушение в течение 30 дней. Юристы подготовили договор-поручение с платформой, политику обработки ПДн в КЭДО и уведомили РКН об исполнении предписания — постановление о штрафе не выносилось.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка HR-документооборота по чек-листу из 38 пунктов
Комплект ОРД под ключ — согласия, политика, приказы, регламенты для HR-службы
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, сохраняют силу — ФЗ-156 не имеет обратной силы. Но все согласия, которые получаются после 01.09.2025 (новые сотрудники, новые цели обработки, соискатели), должны соответствовать новым требованиям: отдельный документ, не объединённый с другими. Если старые согласия истекают или отзываются — переоформлять по новым правилам.

2. Какие данные нельзя спрашивать в анкете соискателя?

Нельзя запрашивать специальные категории ПДн без законного основания: политические и религиозные взгляды, национальность, состояние здоровья (кроме обязательного медосмотра по закону), данные о судимости (если должность не требует такой проверки), сведения о членстве в профсоюзах. Ст. 86 ТК РФ требует, чтобы запрашиваемые данные были необходимы для исполнения трудовой функции. Избыточный сбор — нарушение ст. 5 ФЗ-152 (принцип минимальности).

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Да, при выполнении двух условий: работники письменно уведомлены о видеонаблюдении (через локальный нормативный акт или приказ, под подпись), и цель — обеспечение безопасности или охрана труда. Письменное согласие по ст. 11 ФЗ-152 нужно только если запись обрабатывается биометрическими методами (распознавание лица). Простая видеозапись без идентификации личности — не биометрия, согласие не требуется.

4. Сколько хранить согласия и ПДн соискателей после отказа в трудоустройстве?

Согласие и ПДн соискателя нужно уничтожить по истечении срока, указанного в согласии, или немедленно по требованию субъекта (ст. 9 ч. 2 ФЗ-152). Если срок не указан — стандартная практика: 3 года (срок исковой давности по трудовым спорам) либо меньше, если соискатель не разрешил хранить данные в кадровом резерве. Факт уничтожения фиксируется в журнале.

5. Кто является оператором ПДн при использовании КЭДО?

Работодатель остаётся оператором в полном смысле ст. 3 ФЗ-152: он определяет цели и состав обрабатываемых данных. Платформа КЭДО — обработчик по поручению (п. 3 ст. 6 ФЗ-152). Это разграничение закреплено договором-поручением, который обязателен. Без него работодатель не вправе ссылаться на платформу как на ответственное лицо: ответственность перед субъектом и РКН остаётся у работодателя.

6. Что делать, если соискатель требует удалить его данные из базы?

По ст. 9 ч. 2 ФЗ-152 соискатель вправе отозвать согласие в любой момент. После отзыва оператор обязан прекратить обработку и уничтожить ПДн, если нет иного правового основания для их хранения. Срок — не позднее 30 дней с момента получения требования, если иное не установлено законом. Факт уничтожения нужно зафиксировать и уведомить субъекта.

Итог

Правовая цепочка при найме через HH.ru и SuperJob включает минимум три точки риска: момент скачивания резюме (нужно основание по ст. 6 ФЗ-152), анкетирование соискателя (отдельное согласие по ФЗ-156 с 01.09.2025) и оформление трудовых отношений (разграничение оснований, договор-поручение с КЭДО, согласие на биометрию СКУД). Каждая точка без документального оформления — отдельный состав по ст. 13.11 КоАП.

Практика DATUM по сопровождению HR-департаментов охватывает полный цикл: аудит существующего документооборота, подготовку согласий и ОРД под новые требования, DPO-аутсорсинг для компаний, которым не нужен штатный специалист по ПДн.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

15 января 2028 года