инструкция 3 февраля 2028 По состоянию на 3 февраля 2028

Проверка кандидата службой безопасности

Проверка кандидата службой безопасности — это обработка персональных данных соискателя, которая допустима только при наличии согласия по ст. 9 ФЗ-152 и в пределах сведений, разрешённых ст. 86 ТК РФ.

С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025). Каждый запрос сверх допустимого объёма — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. За повторное нарушение — до 1 500 000 ₽.

→ Если ваша СБ проверяет кандидатов без актуальной документации — разберём, что переделать.

Служба безопасности получает доступ к анкетам, резюме, результатам проверок баз данных, иногда — к сведениям о здоровье или судимости. Каждое из этих действий — обработка персональных данных. ХРД отвечает за то, чтобы порядок сбора и использования сведений о соискателях соответствовал ФЗ-152, ТК РФ и актуальным требованиям РКН. В 2025 году изменились правила оформления согласия, ужесточилась ответственность, появились новые составы по ст. 13.11 КоАП. В этой инструкции — последовательный порядок действий для HRD: от первого контакта с кандидатом до передачи дела в архив.

Шаг 1. Определите, какие данные вправе запрашивать СБ

Трудовой кодекс разрешает работодателю обрабатывать только те персональные данные, которые необходимы для выполнения трудового договора или прямо предусмотрены законом (ст. 86 ТК РФ). СБ вправе запрашивать: ФИО, дату рождения, адрес, сведения об образовании, предыдущих местах работы, наличие судимости — если должность требует (например, материально ответственные лица, охрана). Гражданство, семейное положение, состав семьи — только если это прямо необходимо для конкретной позиции и предусмотрено локальным актом.

«Ст. 86 ТК РФ запрещает получать и обрабатывать ПДн о политических, религиозных и иных убеждениях, частной жизни. Информация о членстве в профсоюзах, состоянии здоровья — только в случаях, прямо установленных федеральным законом.»

Анкета СБ нередко содержит вопросы, выходящие за допустимый предел: о родственниках за рубежом, долгах, судебных спорах третьих лиц. Каждый такой вопрос без правового основания — нарушение ч. 1 ст. 86 ТК РФ и ст. 5 ФЗ-152 (принцип минимизации). При проверке РКН инспектор запросит анкету и сопоставит её содержание с локальными актами и согласием. Расхождение — протокол.

Практическое правило: перед утверждением формы анкеты СБ — правовой анализ каждого поля. Основание для сбора каждого реквизита должно быть прямо указано в локальном акте или в согласии субъекта.

Шаг 2. Получите согласие на обработку ПДн до начала проверки

С 01.09.2025 согласие соискателя на обработку его персональных данных должно быть оформлено отдельным документом — его нельзя включать в трудовой договор, анкету или оферту (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Если СБ начинает проверку до подписания согласия или использует форму, встроенную в анкету, — нарушение ч. 2 ст. 13.11 КоАП, штраф для юрлица от 300 000 до 700 000 ₽.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие субъекта должно содержать наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок, способ отзыва. Оформляется отдельным документом.»

Обязательные реквизиты согласия для проверки кандидата:

ФИО и контактные данные субъекта (соискателя)
Наименование и реквизиты оператора (работодатель) и, при необходимости, СБ как уполномоченного лица
Конкретная цель: «проверка кандидата при трудоустройстве на должность ___»
Исчерпывающий перечень обрабатываемых данных (ФИО, дата рождения, сведения об образовании, предыдущих местах работы и т. д.)
Перечень действий: сбор, систематизация, хранение, передача третьим лицам (если СБ использует базы данных сторонних провайдеров)
Срок действия согласия и порядок его отзыва

Если СБ передаёт данные соискателя внешнему провайдеру (например, сервису проверки контрагентов или кредитной истории), это — передача третьим лицам. Она должна быть прямо указана в согласии и оформлена договором-поручением по п. 3 ст. 6 ФЗ-152.

Согласия соискателей ещё в анкете или трудовом договоре?

Если HRD не привёл форму согласия в соответствие с ФЗ-156 до 01.09.2025, каждое нарушение — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок переоформления документации не восстанавливается задним числом. Юристы DATUM проверят весь пакет HR-документов и подготовят актуальные формы согласий для проверки кандидатов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите поручение на обработку, если СБ — отдельное юрлицо или внешний провайдер

Если служба безопасности организована как дочернее общество, аутсорсинговый подрядчик или используется внешний сервис проверки, — это поручение обработки ПДн (п. 3 ст. 6 ФЗ-152). Без письменного договора-поручения оператор несёт ответственность за действия подрядчика как за свои собственные.

Договор-поручение должен содержать: перечень разрешённых действий, цель обработки, обязанность обеспечить конфиденциальность, требования к уничтожению данных по окончании поручения, запрет передачи третьим лицам без согласия оператора. Без этого документа при проверке РКН инспектор квалифицирует передачу данных как несанкционированное раскрытие.

Внутренняя СБ (штатное подразделение) поручения не требует, но нуждается в локальном акте, определяющем: кто из сотрудников СБ имеет доступ к ПДн кандидатов, в каком объёме, на каком основании и с какими ограничениями.

Шаг 4. Установите порядок работы с биометрией и специальными категориями

Биометрические данные (фотография, отпечатки пальцев, скан радужки) для СКУД — это биометрические ПДн по ст. 11 ФЗ-152. Их обработка допускается только при наличии письменного согласия субъекта, отдельного от других документов. Для идентификации личности через системы контроля доступа согласие оформляется до момента первой регистрации в системе — до, а не при трудоустройстве.

«Ст. 11 ФЗ-152: биометрические ПДн обрабатываются только с письменного согласия субъекта. Исключения — прямо предусмотренные законом (уголовное судопроизводство, оборона, безопасность государства). СКУД в коммерческой организации под исключения не подпадает.»

Специальные категории ПДн — сведения о состоянии здоровья (результаты медосмотра), о судимости — обрабатываются по ст. 10 ФЗ-152. Для проверки судимости кандидата на должности, связанные с работой с несовершеннолетними или финансами, основание — прямое требование закона. В остальных случаях — только письменное согласие с указанием специальной категории. Запрашивать справку об отсутствии судимости без законного основания или без согласия — нарушение ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000 — 300 000 ₽.

Если в компании используется СКУД с биометрией, а согласия сотрудников и кандидатов не выделены в отдельный документ — нарушение уже существует. Юристы DATUM подготовят комплект документов для биометрии СКУД в соответствии с ФЗ-156 и ст. 11 ФЗ-152.

Собрать ОРД под ключ

Шаг 5. Зафиксируйте результаты проверки и определите сроки хранения

Результаты проверки кандидата СБ — документ с персональными данными. Его хранение регулируется ст. 5 и ст. 21 ФЗ-152: данные хранятся не дольше, чем необходимо для достижения цели обработки. Если кандидат не принят на работу — основания для дальнейшего хранения данных отпадают. По общему правилу: данные соискателя, которому отказано в трудоустройстве, должны быть уничтожены в срок, указанный в согласии (обычно 30–90 дней с момента принятия решения).

Если кандидат принят — его персональные данные переходят в личное дело работника. Результаты проверки СБ становятся частью этого дела. Типовой срок хранения личного дела — 75 лет (для ряда категорий сотрудников). Документы, утратившие актуальность, — уничтожаются по акту с фиксацией в журнале обработки ПДн.

При использовании КЭДО: если согласие на КЭДО и согласие на обработку ПДн совмещены в одном документе — это нарушение с 01.09.2025. КЭДО-согласие и ПДн-согласие — два отдельных документа. Оператором ПДн при использовании КЭДО остаётся работодатель, а платформа КЭДО — уполномоченным лицом по договору-поручению.

Что подготовить для проверки кандидата в соответствии с 152-ФЗ

Форма согласия на обработку ПДн при проверке кандидата — отдельный документ, реквизиты по ст. 9 ФЗ-152 в редакции с 01.09.2025
Форма согласия на обработку биометрических ПДн (СКУД) — письменная, отдельная, с указанием цели и перечня данных
Локальный акт (положение о защите ПДн или регламент СБ): допустимый перечень проверяемых сведений, доступ сотрудников СБ, сроки хранения результатов
Договор-поручение с внешними провайдерами проверки (если используются), с перечнем допустимых действий
Журнал учёта согласий и результатов проверок, порядок уничтожения данных по отказанным кандидатам

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025) при внеплановой проверке РКН представила анкету кандидата с 14 полями, включая вопросы о членах семьи и наличии кредитов. Согласие было вшито в анкету как последний абзац. РКН составил протокол по ч. 2 ст. 13.11 КоАП (отсутствие отдельного согласия в редакции с 01.09.2025) и ч. 1 ст. 13.11 (обработка ПДн сверх необходимого). Компания получила штраф в сотни тысяч рублей. После обращения к юристам: анкета сокращена до допустимых полей, согласие оформлено отдельным документом, добавлен договор-поручение с кадровым агентством.

Кейс 2. Торговая сеть (Центральный ФО, начало 2026) внедрила СКУД с распознаванием лица для сотрудников склада. Согласие на биометрию было встроено в трудовой договор. При аудите выявлено нарушение ст. 11 ФЗ-152: письменное биометрическое согласие не выделено отдельно. Организация обратилась за ОРД под ключ: подготовлено отдельное согласие на обработку биометрии для СКУД, разработан локальный акт о порядке использования системы, установлен срок уничтожения биометрических шаблонов при увольнении. Риск штрафа по ч. 16 ст. 13.11 КоАП устранён до проверки.

Типовые ситуации при проверке кандидатов

Ситуация 1. СБ запросила данные о кредитной истории без основания. Работодатель не является банком и не имеет статуса, дающего право запрашивать кредитную историю без согласия субъекта и без оснований по ФЗ-218. Если в анкете есть такой вопрос — это нарушение ст. 86 ТК РФ и ст. 5 ФЗ-152. Стратегия: исключить вопрос из анкеты; при необходимости проверки — получать отдельное согласие с указанием цели и запрашивать данные через уполномоченное БКИ.

Ситуация 2. Кандидат отозвал согласие в процессе проверки. По ст. 9 ФЗ-152 субъект вправе отозвать согласие в любой момент. При отзыве обработка должна быть прекращена, данные — уничтожены (если нет иного законного основания для хранения). Затянуть уничтожение — нарушение ч. 5 ст. 13.11 КоАП, штраф 50 000 — 90 000 ₽. Стратегия: зафиксировать дату получения отзыва, уничтожить данные по акту в установленный срок (обычно не позднее 30 дней), направить уведомление субъекту.

Ситуация 3. СБ использует внешний сервис проверки без договора-поручения. Передача ПДн кандидата внешнему сервису без письменного договора-поручения по п. 3 ст. 6 ФЗ-152 — несанкционированная передача третьему лицу. Дополнительно: если сервис расположен за рубежом — трансграничная передача без уведомления РКН по ст. 12 ФЗ-152. Стратегия: заключить договор-поручение, уведомить РКН об обновлении реестра операторов, при необходимости — подать уведомление о трансграничной передаче.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим анкеты, согласия и ОРД HR-департамента по чек-листу из 38 пунктов
Комплект ОРД под ключ — подготовим формы согласий для проверки кандидатов в редакции с 01.09.2025
DPO-аутсорсинг — возьмём функцию ответственного за обработку ПДн на абонентское сопровождение

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы закон не имеет: ФЗ-156 не предусматривает обязательного переоформления ранее подписанных документов. Однако если компания вносит новую форму согласия в оборот — все новые согласия (в том числе от соискателей) должны соответствовать требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025: отдельный документ, полный состав реквизитов. Проверьте также, не были ли старые согласия встроены в трудовой договор: при перезаключении договора или внесении изменений возникнет обязанность выделить согласие отдельно.

2. Какие данные нельзя спрашивать в анкете СБ?

Запрещено запрашивать сведения о политических, религиозных убеждениях, членстве в партиях и профсоюзах — прямой запрет по ч. 4 ст. 86 ТК РФ. Данные о состоянии здоровья — только при наличии законного основания (обязательный медосмотр). Сведения о частной жизни, отношениях, долгах — без законного основания или согласия с явным указанием цели. Вопросы об иностранных гражданствах родственников — только при наличии прямого требования закона для конкретной должности. Любое поле анкеты, не имеющее обоснования в локальном акте или согласии, создаёт правовой риск.

3. Можно ли вести видеонаблюдение в офисе и использовать записи при проверке?

Видеонаблюдение в служебных помещениях допустимо при соблюдении трёх условий: работники уведомлены о ведении съёмки (локальный акт + ознакомление под подпись), цель съёмки — обеспечение безопасности или охраны имущества, а не тотальный контроль, данные хранятся в течение чётко установленного срока и уничтожаются по истечении. Использование видеозаписей при проверке кандидата — отдельная операция с ПДн: нужно собственное правовое основание. Если записи передаются СБ для проверки, это поручение обработки по п. 3 ст. 6 ФЗ-152 — требует договора.

4. Сколько хранить согласия после увольнения работника?

Согласие работника — первичный учётный документ по обработке ПДн. Его хранят не менее срока хранения самого личного дела. По приказу Росархива № 236 от 20.12.2019 для большинства категорий работников это 50 лет (для документов, созданных с 2003 года) или 75 лет (для более ранних). Конкретный срок зависит от должности и статуса сотрудника. Согласие соискателя, которому отказано, — уничтожается в срок, указанный в самом согласии (как правило, 30–90 дней с момента отказа).

5. Кто считается оператором ПДн при использовании КЭДО?

При использовании КЭДО оператором ПДн остаётся работодатель — он определяет цели и состав обрабатываемых данных. Платформа КЭДО выступает лицом, осуществляющим обработку по поручению, по п. 3 ст. 6 ФЗ-152. Договор с платформой должен содержать перечень разрешённых действий, обязанность по конфиденциальности и уничтожению данных. С 01.09.2025 согласие на КЭДО и согласие на обработку ПДн — два отдельных документа: их нельзя объединять ни между собой, ни с трудовым договором.

6. Что делать, если кандидат отказывается подписывать согласие на проверку СБ?

Согласие — добровольное (ст. 9 ФЗ-152). Принудить кандидата к подписанию нельзя. При отказе работодатель вправе принять решение об отказе в трудоустройстве по собственным основаниям, не связанным с дискриминацией, — если проверка безопасности является обоснованным требованием для данной должности и предусмотрена внутренними актами. Необходимо зафиксировать факт отказа от согласия и не обрабатывать данные без него. Привязывать трудоустройство к согласию на избыточный сбор данных (сверх допустимого по ТК РФ) — нарушение.

Итог

Проверка кандидата службой безопасности — стандартная кадровая практика, которая становится источником правовых рисков, когда документация не обновлена под актуальные требования. С 01.09.2025 ключевое изменение — отдельное согласие по ФЗ-156; с 30.05.2025 — существенно возросшие штрафы по ст. 13.11 КоАП (до 1 500 000 ₽ за повторное нарушение по ч. 2.1). Два направления риска: содержание анкеты (избыточные данные) и форма согласия (неотдельный документ).

Практика DATUM по HR-блоку 152-ФЗ включает аудит анкет и форм согласий, подготовку комплекта ОРД для кадровых департаментов, сопровождение при проверках РКН в части обработки ПДн работников и соискателей.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

3 февраля 2028 года