инструкция 14 января 2028 По состоянию на 14 января 2028

Найм через рекрутинговое агентство: договор

Q: Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях допустимо при условии уведомления работников, включения информации о наблюдении в локальный акт и ознакомления работников под подпись. Биометрические системы идентификации по лицу в СКУД требуют отдельного письменного согласия по ст. 11 ФЗ-152. Запись видео без уведомления в зонах, где работники ожидают конфиденциальности, является нарушением ст. 137 УК РФ.

Q: Что делать, если агентство отказывается подписывать приложение о поручении обработки ПДн?

Работать с агентством без надлежащего договора о поручении обработки нельзя: при утечке через агентство ответственность перед РКН несёт работодатель как оператор по п. 3 ст. 6 ФЗ-152. Следует настаивать на включении условий поручения в договор или предложить собственный шаблон. Если агентство отказывается — это основание для смены подрядчика.

Договор с рекрутинговым агентством — это договор поручения обработки персональных данных кандидатов по п. 3 ст. 6 ФЗ-152. Работодатель остаётся оператором и несёт ответственность за утечку, даже если данные хранятся у агентства.

С 01.09.2025 согласие кандидата на обработку ПДн — отдельный документ (ФЗ-156 от 24.06.2025). Включить его в анкету или договор об оказании услуг нельзя. За нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Если HRD не проверил договор с агентством на соответствие этим требованиям — каждая кандидатская анкета создаёт правовой риск. Ниже — пошаговый порядок.

Рекрутинговые агентства работают с персональными данными кандидатов ежедневно: собирают резюме, проводят скрининг, передают анкеты заказчику. Для HR-директора это означает, что каждый этап найма порождает обязанности оператора по ФЗ-152. После вступления в силу ФЗ-420 от 30.11.2024 и ФЗ-156 от 24.06.2025 порядок оформления изменился. Инструкция ниже даёт последовательность действий: от проверки договора до хранения согласий после увольнения.

Шаг 1. Как проверить договор с агентством на соответствие п. 3 ст. 6 ФЗ-152?

Агентство обрабатывает ПДн кандидатов по поручению работодателя. Юридическая конструкция закреплена в п. 3 ст. 6 ФЗ-152: оператор (работодатель) передаёт обработку третьему лицу на основании договора. Это означает, что ответственность перед субъектом несёт оператор, а не агентство.

В договоре должны быть закреплены: перечень категорий ПДн, которые агентство вправе обрабатывать; цели обработки; запрет на использование данных в собственных целях агентства; обязанность соблюдать конфиденциальность; порядок уничтожения данных после завершения отбора; право оператора проводить проверку соблюдения требований.

Отдельно — территория обработки. Если агентство использует иностранные ATS-системы (Applicant Tracking System), данные граждан РФ не должны первично оседать в базах за рубежом: требование локализации по ч. 5 ст. 18 ФЗ-152 распространяется на любые действия по сбору, хранению, систематизации. Нарушение — штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽.

«П. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Ответственность перед субъектом за действия обработчика несёт оператор.»

Шаг 2. Как получить согласие кандидата по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156?

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом. Его нельзя включать в текст анкеты, трудового договора, оферты или политики конфиденциальности. Ранее полученные согласия, включённые в анкеты до 01.09.2025, обратной силы не имеют — переоформлять их закон не требует, но если кандидат повторно взаимодействует с компанией после этой даты, согласие берётся по новой форме.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: фамилия, имя, отчество субъекта; контактные данные; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с ПДн; срок действия согласия; способ отзыва. Если агентство собирает согласие от имени работодателя — в реквизитах указывается работодатель как оператор, агентство — как лицо, осуществляющее обработку по поручению.

Кандидат имеет право отозвать согласие в любое время (ч. 2 ст. 9 ФЗ-152). После отзыва оператор обязан прекратить обработку и уничтожить данные, если иное не предусмотрено законом. Срок уничтожения — 30 дней с момента получения заявления об отзыве.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие субъекта персональных данных — отдельный документ, не объединяемый с иными документами. Действует с 01.09.2025.»

Договор с агентством уже подписан — как проверить, что в нём не хватает?

Если HRD использует типовой договор с агентством без блока о поручении обработки ПДн — это нарушение п. 3 ст. 6 ФЗ-152. При проверке РКН такой договор становится основанием для протокола. Срок проверки не предупреждается заранее в ряде случаев. Юристы DATUM проведут аудит договорной базы по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом исправлений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Какие данные нельзя запрашивать у кандидата по ст. 86 и ст. 87 ТК РФ?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать персональные данные кандидата, не связанные с трудовой деятельностью. Данные о политических взглядах, религиозных убеждениях, национальности, состоянии здоровья (за пределами требований профотбора), членстве в профсоюзах — спецкатегория по ст. 10 ФЗ-152. Их обработка без явного основания запрещена.

Типичные ошибки в анкетах агентства: вопросы о семейном положении и детях (если должность не предполагает льгот), о хроническом состоянии здоровья, о наличии судимостей у родственников. Все эти данные либо относятся к спецкатегории, либо несовместимы с целью найма по принципу ст. 5 ФЗ-152 (соответствие объёма целям).

Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования ПДн работников. Для кандидатов — аналогичный подход: данные хранятся только в период отбора, по итогам которого либо заключается трудовой договор, либо данные уничтожаются. Анкеты отказников без согласия на хранение в кадровом резерве — нарушение ч. 7 ст. 5 ФЗ-152.

«Ст. 86 ТК РФ: обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.»

Шаг 4. Как оформить передачу личного дела кандидата при приёме на работу?

После того как кандидат принят, агентство передаёт работодателю собранные данные. Передача оформляется актом с перечнем документов. В акте фиксируется: что передано, в каком объёме, на каком носителе. Одновременно агентство обязано уничтожить свои копии — срок уничтожения должен быть прописан в договоре.

Если КЭДО уже применяется в компании, личное дело формируется в электронном виде. Ст. 22.2 ТК РФ допускает ведение КЭДО при наличии согласия работника и подключения к платформе (ЕЦП «Работа в России» или корпоративная система). Согласие на КЭДО — отдельный документ, не объединяемый с согласием на обработку ПДн по ФЗ-152.

Биометрические данные для СКУД (фото лица, отпечаток) собираются только с письменного согласия работника по ст. 11 ФЗ-152. Образцы биометрии хранятся строго в ИСПДн работодателя. Передача агентству биометрии запрещена — такие данные не относятся к кандидатскому профилю и собираются исключительно после приёма.

Что подготовить HR-директору при работе с рекрутинговым агентством

Договор с агентством с блоком поручения обработки ПДн по п. 3 ст. 6 ФЗ-152: перечень данных, цели, запрет на использование в целях агентства, порядок уничтожения.
Отдельная форма согласия кандидата по ст. 9 ФЗ-152 (редакция с 01.09.2025): не включать в анкету или оферту.
Форма согласия на хранение в кадровом резерве — отдельно, для тех, кому отказано, но чьи данные планируется сохранить.
Акт приёма-передачи личного дела от агентства работодателю с обязательством уничтожения копий агентством.
Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) с указанием, кто контролирует обработчиков по договорам.

Шаг 5. Как выстроить реагирование на запрос кандидата и хранение после увольнения?

Кандидат — субъект ПДн с момента передачи данных. Он вправе направить запрос о составе обрабатываемых данных, потребовать уточнения или уничтожения. Срок ответа — 10 рабочих дней с даты обращения (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Работник, которому отказано в должности, вправе потребовать уничтожения данных немедленно по завершении отбора. Если согласие не предусматривало хранение в резерве — данные уничтожаются. Сохранять анкеты «на всякий случай» без основания — нарушение ч. 7 ст. 5 ФЗ-152.

После увольнения принятого работника согласие на обработку ПДн не является единственным основанием для хранения личного дела. Данные хранятся 75 лет в соответствии с требованиями архивного законодательства — это самостоятельное основание по п. 2 ст. 6 ФЗ-152 (исполнение обязанностей оператора, возложенных законом). Само согласие — также хранится, чтобы оператор мог доказать правомерность обработки.

«Ст. 20 ФЗ-152: оператор обязан сообщить субъекту информацию об обработке его персональных данных в течение 10 рабочих дней с даты получения запроса; при необходимости срок продлевается ещё на 5 рабочих дней с уведомлением субъекта.»

Типовые ситуации: что происходит, когда процесс выстроен неправильно

Три сценария, с которыми сталкиваются HR-директора при взаимодействии с агентствами.

Сценарий 1. Агентство использует зарубежную ATS-систему. Ситуация: все резюме кандидатов первично загружаются на серверы в ЕС, затем передаются заказчику. Доказательства нарушения: в договоре не указано ограничение географии обработки, агентство ссылается на типовой SaaS-контракт. Вероятный исход: протокол по ч. 8 ст. 13.11 КоАП — штраф от 1 до 6 млн ₽ для работодателя как оператора, поскольку именно он отвечает за выбор обработчика. Стратегия: включить в договор требование локализации, провести аудит ATS-системы агентства до подписания, при необходимости — перейти на российскую платформу или согласовать схему передачи с предварительным уведомлением РКН по ст. 12 ФЗ-152.

Сценарий 2. Согласие кандидата включено в анкету. Ситуация: HR-директор использует форму анкеты, в нижней части которой напечатано «Подписывая анкету, я даю согласие на обработку ПДн». После 01.09.2025 такая конструкция не соответствует требованию отдельного документа по ст. 9 ФЗ-152 в редакции ФЗ-156. Вероятный исход: при проверке РКН — протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽ за обработку без надлежащего согласия. Стратегия: разделить анкету и согласие, выдавать их как два документа, хранить согласие отдельно от анкеты в кадровой системе.

Сценарий 3. Агентство передаёт данные кандидата другому заказчику. Ситуация: агентство работает с несколькими компаниями и направляет один и тот же профиль кандидата нескольким работодателям без уведомления субъекта. Доказательства нарушения: субъект узнаёт об этом и подаёт жалобу в РКН. Вероятный исход: проверка обоих — агентства и работодателя. Работодатель как оператор объясняет, что не давал агентству право на такую передачу — но если договор это прямо не запрещал, позиция слабая. Стратегия: включить в договор явный запрет на передачу данных третьим лицам без поручения оператора, установить ответственность агентства за нарушение.

Если HRD выяснил, что в договоре с агентством нет блока поручения обработки ПДн или согласия кандидатов не соответствуют требованиям с 01.09.2025 — юристы DATUM соберут пакет ОРД под ключ и приведут договорную базу в соответствие с ФЗ-152 за фиксированную стоимость.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Производственная компания (Приволжский ФО, весна 2026) использовала агентство для найма линейного персонала. При внеплановой проверке РКН установил, что в договоре с агентством отсутствовал перечень обрабатываемых ПДн и не был предусмотрен порядок уничтожения данных отказников. Анкеты кандидатов хранились в базе агентства бессрочно. Компания получила предписание об устранении нарушений и протокол по ч. 1 ст. 13.11 КоАП. HR-директор привлечена к административной ответственности как должностное лицо. По итогам DATUM сопроводил переработку договора и всей кандидатской документации.

Кейс 2. IT-компания (Центральный ФО, осень 2025) применяла форму анкеты с встроенным согласием. После 01.09.2025 продолжила использовать ту же форму. Кандидат, которому отказали, направил жалобу в РКН с требованием уничтожить его данные и указанием на несоответствие согласия новым требованиям. РКН возбудил производство по ч. 2 ст. 13.11 КоАП. На момент вынесения постановления компания уже исправила форму и запросила данные об уничтожении у агентства — это учли как смягчающее обстоятельство, итоговый штраф составил сумму в нижней трети диапазона.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка договорной базы, согласий, ОРД за 38 пунктов
Комплект ОРД под ключ — политика, согласия, приказы, регламенты для HR
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют — ФЗ-156 не обязывает их переоформлять. Однако если кандидат или работник повторно взаимодействует с компанией после этой даты и от него требуется новое согласие (например, для нового вида обработки), оно оформляется только в виде отдельного документа. Хранить старые согласия рекомендуется без изменений — они подтверждают правомерность обработки за соответствующий период. Новые анкеты и любые новые согласия с 01.09.2025 — исключительно отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156.

2. Какие данные нельзя спрашивать в анкете?

Под запретом данные, не связанные с деловыми качествами кандидата и трудовой функцией: сведения о состоянии здоровья (кроме случаев профессионального отбора по медицинским показаниям), политические и религиозные взгляды, национальность, членство в профсоюзах, судимости родственников. Эти категории относятся к специальным по ст. 10 ФЗ-152 и запрещены к обработке без явного основания из п. 2 той же статьи. Ст. 86 ТК РФ дополнительно ограничивает работодателя: запрашивать можно только данные, необходимые для оценки пригодности к работе.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях допустимо при соблюдении трёх условий: работники уведомлены об этом (ч. 1 ст. 9 ФЗ-152 не требует согласия, если есть законная цель — охрана труда, безопасность), информация о наблюдении включена в локальный акт, работники ознакомлены под подпись. Биометрические системы идентификации по лицу в рамках СКУД требуют отдельного письменного согласия по ст. 11 ФЗ-152. Запись видео без уведомления работников в зонах, где они обоснованно ожидают конфиденциальности (раздевалки, комнаты отдыха), — нарушение ст. 137 УК РФ.

4. Сколько хранить согласия после увольнения?

Согласие как документ хранится столько же, сколько личное дело работника — 75 лет. Это обусловлено необходимостью доказать правомерность обработки за весь период трудовых отношений. Само личное дело хранится по ст. 87 ТК РФ и нормам архивного законодательства. При этом основанием для хранения личного дела после увольнения является не согласие, а п. 2 ст. 6 ФЗ-152 — исполнение обязанностей, возложенных законом на оператора. Согласие кандидата-отказника, напротив, хранится только в период, указанный в самом согласии.

5. Кто является оператором при использовании КЭДО?

Оператором персональных данных при ведении КЭДО является работодатель. Платформа (ЕЦП «Работа в России» или корпоративная система) выступает обработчиком по поручению по п. 3 ст. 6 ФЗ-152. Договор с оператором платформы должен содержать условия поручения обработки: перечень данных, цели, порядок хранения и уничтожения. Ст. 22.2 ТК РФ определяет условия применения КЭДО, но не снимает с работодателя обязанности оператора по ФЗ-152. Согласие работника на КЭДО и согласие на обработку ПДн — два отдельных документа с разными реквизитами.

6. Что делать, если агентство отказывается подписывать приложение о поручении обработки ПДн?

Отказ агентства от подписания блока поручения обработки — риск-сигнал. Работать с таким агентством без надлежащего договора нельзя: при утечке через агентство ответственность перед РКН и субъектами несёт работодатель. Выход: настаивать на включении условий поручения в договор, предложить собственный шаблон, разработанный юристом по ФЗ-152. Если агентство по-прежнему отказывается — это основание для смены подрядчика. Принцип ответственности оператора за действия обработчика закреплён в п. 3 ст. 6 ФЗ-152 и подтверждён судебной практикой.

Итог

Найм через рекрутинговое агентство — это поручение обработки ПДн с сохранением ответственности оператора. Договор без блока о поручении, анкеты со встроенными согласиями и хранение данных отказников без основания — три наиболее частых нарушения при работе с агентствами. После 01.09.2025 требования к согласиям ужесточились: отдельный документ обязателен.

DATUM сопровождает HR-департаменты в приведении кандидатской документации и договоров с агентствами в соответствие с ФЗ-152 — от аудита существующей базы до формирования полного пакета ОРД.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

14 января 2028 года