Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Проверка соцсетей кандидата: правовые риски

Просмотр профиля кандидата в социальных сетях — это обработка персональных данных по ст. 3 ФЗ-152, даже если профиль публичный.
Без правового основания и согласия HR-директор создаёт риск штрафа по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽, а при систематическом сборе — оборотного взыскания по ч. 15 той же статьи.
Если вы HRD и проверяете соцсети кандидатов без письменного согласия — у вас есть конкретный пробел в комплаенсе, который закрывается за одну неделю. → Разберём порядок действий по шагам.

С 01.09.2025 требования к согласиям изменились: по ФЗ-156 от 24.06.2025 согласие на обработку персональных данных оформляется отдельным документом, не встроенным в трудовой договор или анкету кандидата. Параллельно РКН усилил контроль за HR-обработкой: в 2024 году зафиксировано более 135 инцидентов с персональными данными, и кадровые утечки — в числе основных. В этой инструкции — шесть шагов, которые закрывают правовые риски проверки соцсетей кандидата и приводят кадровую обработку в соответствие с действующим законодательством.

Шаг 1. Определите: является ли просмотр соцсетей обработкой персональных данных?

По ст. 3 ФЗ-152 любое действие с персональными данными — сбор, запись, накопление, хранение, уточнение, извлечение, использование, распространение — считается обработкой. Когда HR-специалист открывает страницу ВКонтакте или Telegram-канал кандидата, просматривает публикации и фиксирует выводы в CRM или таблице — это обработка ПДн. Даже без сохранения скриншотов: открытие профиля с целью принятия решения о найме формирует юридически значимое действие.

Данные в публичном профиле не перестают быть персональными. Ст. 3 ФЗ-152 относит к ПДн любую информацию, которая прямо или косвенно идентифицирует человека. Имя, фото, место работы, публикации с геолокацией — всё это ПДн. Дополнительно в профилях встречаются специальные категории по ст. 10 ФЗ-152: политические взгляды, религиозные убеждения, состояние здоровья. Обработка спецкатегорий по общему правилу запрещена — исключения строго перечислены в п. 2 ст. 10.

«Ст. 10 ФЗ-152 запрещает обработку данных о политических взглядах, религиозных убеждениях и состоянии здоровья без явного согласия субъекта или иного основания из закрытого перечня п. 2 той же статьи.»

Практический вывод: перед тем как открыть профиль кандидата с целью оценки — убедитесь, что у вас есть правовое основание. Без него любое зафиксированное действие — потенциальный протокол по ч. 1 ст. 13.11 КоАП.

Шаг 2. Получите согласие до начала проверки — по требованиям ФЗ-156

Единственное универсальное правовое основание для проверки соцсетей на этапе отбора — согласие кандидата по ст. 9 ФЗ-152. С 01.09.2025 согласие оформляется отдельным документом: его нельзя включить в анкету кандидата, в оферту или в текст договора. Это требование ФЗ-156 от 24.06.2025, действующее с даты публикации.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

  • фамилия, имя, отчество кандидата и его контактные данные;
  • наименование и адрес оператора (работодателя);
  • конкретная цель обработки — например, «проверка профессионального соответствия и деловой репутации при рассмотрении заявки на вакансию»;
  • перечень обрабатываемых данных — имя в профиле, публичные публикации, место работы, образование;
  • перечень конкретных действий — сбор, просмотр, фиксация выводов в CRM;
  • срок действия согласия и способ его отзыва.

Согласие на обработку данных из публичных профилей не заменяет отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152. Если работодатель планирует передавать выводы о кандидате третьим лицам — нужен отдельный документ.

Согласия кандидатов ещё в анкете или трудовом договоре?

Если в вашем HR-департаменте согласия на обработку ПДн встроены в анкету или трудовой договор — с 01.09.2025 они не отвечают требованиям ФЗ-156. Каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM соберут пакет согласий по новым требованиям и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Установите внутренние ограничения — какие данные из соцсетей допустимо обрабатывать

Даже при наличии согласия принцип минимизации по ст. 5 ФЗ-152 требует обрабатывать только те данные, которые соответствуют заявленной цели. Для большинства вакансий цель — проверка профессиональных компетенций и деловой репутации. Это означает, что допустимо фиксировать: опыт работы из профиля LinkedIn или hh.ru, публикации профессионального характера, участие в отраслевых сообществах.

Следующие данные из соцсетей нельзя обрабатывать при найме, поскольку они относятся к специальным категориям по ст. 10 ФЗ-152 или нарушают ст. 22.2 ТК РФ:

  • религиозные взгляды, политические убеждения, национальность — даже если кандидат сам разместил такую информацию;
  • сведения о состоянии здоровья, беременности, инвалидности;
  • членство в профсоюзах или политических партиях;
  • информация об интимной жизни.

Ст. 86 ТК РФ прямо запрещает работодателю получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Эта норма распространяется и на кандидатов — по аналогии с принципом ст. 5 ФЗ-152 о соответствии обработки целям найма. Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования ПДн работников в локальных нормативных актах.

«Ст. 86 ТК РФ: работодатель не вправе получать и обрабатывать данные о политических, религиозных и иных убеждениях работника, а также о его частной жизни.»

Шаг 4. Зафиксируйте результаты проверки в личном деле — с соблюдением требований к хранению

Если по итогам проверки соцсетей сделаны выводы, повлиявшие на решение о найме, — они должны быть зафиксированы в структурированном виде. Произвольные заметки HR-специалиста в CRM без привязки к правовому основанию создают дополнительный риск: при проверке РКН инспектор запросит, на каком основании хранится эта информация.

Правила хранения ПДн кандидата:

  • данные кандидата, которому отказано в найме, уничтожаются по истечении срока, указанного в согласии, — или немедленно по отзыву согласия;
  • если кандидат принят на работу, его ПДн переходят в личное дело работника; срок хранения личного дела — 75 лет по типовым перечням;
  • скриншоты профилей, не включённые в личное дело, хранить без отдельного основания нельзя;
  • выводы, основанные на спецкатегориях ПДн (политика, религия, здоровье), уничтожаются немедленно — хранение таких сведений без основания по п. 2 ст. 10 ФЗ-152 является самостоятельным нарушением.

Что подготовить HR-директору для правомерной проверки соцсетей

  • Отдельное согласие кандидата по ст. 9 ФЗ-152 в редакции ФЗ-156 — с перечнем обрабатываемых данных и конкретных действий.
  • Внутренний регламент проверки кандидатов: перечень допустимых источников, запрет на фиксацию спецкатегорий ПДн, порядок уничтожения данных отказных кандидатов.
  • Приказ о назначении ответственного за обработку ПДн в HR по ст. 22.1 ФЗ-152.
  • Журнал обработки ПДн кандидатов с указанием даты, правового основания и срока хранения.
  • Политика обработки ПДн с разделом о кандидатах — опубликованная и доступная до начала обработки (ст. 18.1 ФЗ-152).

Шаг 5. Разграничьте роли оператора при использовании КЭДО и внешних HR-сервисов

При использовании систем электронного документооборота (КЭДО) или внешних платформ для рекрутинга возникает вопрос о разграничении ролей. Работодатель остаётся оператором ПДн кандидата по ст. 6 ФЗ-152. Платформа КЭДО или HRM-система — обработчик по поручению оператора (п. 3 ст. 6 ФЗ-152). Это означает, что работодатель обязан заключить договор-поручение, в котором зафиксированы цели и объём обработки, меры защиты и запрет на самостоятельное использование данных платформой.

Если работодатель использует сторонний сервис для автоматического сбора данных из соцсетей — парсинг профилей, мониторинг публикаций — он должен понимать: правовое основание для такого сбора остаётся его ответственностью, а не ответственностью вендора. Обработчик не снимает с оператора ответственность по ст. 13.11 КоАП.

Если в HR-процессах используется платформа КЭДО или внешний рекрутинговый сервис без договора-поручения — это пробел, который РКН фиксирует при первой проверке. Юристы DATUM подготовят пакет ОРД под ключ, включая поручения обработчикам и согласия по ФЗ-156.

Собрать ОРД под ключ

Шаг 6. Подготовьтесь к типовым ситуациям: сценарии и их правовые последствия

Правовые риски проверки соцсетей концентрируются в трёх типовых ситуациях.

Ситуация 1. HR-специалист просматривает профиль ВКонтакте без согласия, фиксирует религиозные взгляды и отказывает кандидату. Основания для обработки нет. Данные относятся к спецкатегориям по ст. 10 ФЗ-152. Решение об отказе принято на основании незаконно обработанных данных. При обращении кандидата в РКН или суд — протокол по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) и дополнительный протокол за обработку спецкатегорий без основания. Стратегия: немедленно уничтожить зафиксированные данные, оформить согласие с корректным перечнем, исключить спецкатегории из регламента проверки.

Ситуация 2. Компания использует автоматический парсер соцсетей без уведомления кандидата. Уведомление в реестре РКН не отражает такой вид обработки. Согласия на автоматизированный сбор нет. При внеплановой проверке РКН — протоколы по ч. 1 и ч. 10 ст. 13.11 КоАП одновременно: за незаконную обработку (150–300 тыс. ₽) и за несоответствие уведомления реальной обработке (100–300 тыс. ₽). Стратегия: обновить уведомление в реестре операторов по ст. 22 ФЗ-152, оформить согласия с явным указанием на автоматизированный сбор из внешних источников.

Ситуация 3. Согласие кандидата оформлено до 01.09.2025 как часть анкеты. С 01.09.2025 такое согласие не отвечает требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке после этой даты РКН квалифицирует обработку как осуществляемую без надлежащего согласия. Штраф по ч. 2 ст. 13.11 — 300–700 тыс. ₽. Стратегия: переработать форму согласия, выделить в отдельный документ, обеспечить подписание всеми новыми кандидатами после 01.09.2025. Ранее принятых работников переподписывать не требуется — обратной силы у поправки нет.

Как это применяется на практике

Кейс 1. HR-директор торговой компании (Уральский ФО, весна 2025) при подготовке к плановой проверке РКН обнаружил, что в CRM зафиксированы скриншоты соцсетей кандидатов — включая публикации о религиозных праздниках. Правового основания для хранения не было. Компания самостоятельно уничтожила незаконно хранимые данные, представила обновлённый регламент проверки кандидатов и согласия по новым требованиям. РКН ограничился предписанием об устранении нарушений без штрафа — наличие актуальной политики и оперативное реагирование были учтены как смягчающие обстоятельства.

Кейс 2. IT-компания (Центральный ФО, осень 2025) использовала SaaS-платформу для автоматического мониторинга соцсетей кандидатов. Договор-поручение с вендором отсутствовал. После жалобы соискателя в РКН возбуждено дело по ч. 1 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. В ходе разбирательства выяснилось, что платформа также передавала агрегированные данные третьей стороне без ведома оператора. Отсутствие договора-поручения лишило компанию возможности предъявить претензии вендору.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка HR-обработки по чек-листу из 38 пунктов с отчётом и планом устранения нарушений.
  • Комплект ОРД под ключ — полный пакет документов, включая согласия кандидатов, регламент проверки соцсетей и договоры-поручения с КЭДО.
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы субъектов.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 в составе трудового договора или анкеты, продолжают действовать в отношении уже принятых работников — ФЗ-156 не имеет обратной силы. Однако все новые согласия с 01.09.2025 обязаны оформляться отдельным документом по ст. 9 ФЗ-152. Если компания хочет получить от действующих работников обновлённые согласия — это допустимо, но не обязательно. Для кандидатов, проходящих отбор после 01.09.2025, новые требования применяются в полном объёме.

2. Какие данные нельзя спрашивать в анкете кандидата?

По ст. 86 ТК РФ и ст. 10 ФЗ-152 в анкете нельзя запрашивать: политические и религиозные убеждения, национальную и расовую принадлежность, состояние здоровья (кроме случаев, когда это требование установлено федеральным законом для конкретной должности), членство в профсоюзах и партиях, сведения об интимной жизни, данные о судимости (если она погашена и не влияет на должность). Запрашивать разрешено: ФИО, образование, опыт работы, профессиональные навыки, контактные данные.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих зонах допустимо при соблюдении трёх условий: работники уведомлены о факте съёмки (ст. 89 ТК РФ), в трудовом договоре или локальном акте указана цель обработки, оператор уведомил РКН по ст. 22 ФЗ-152. Видеозапись в туалетах, раздевалках и других личных зонах запрещена. Биометрическое видеонаблюдение — то есть когда система идентифицирует личность по лицу — регулируется ст. 11 ФЗ-152 и требует письменного согласия каждого сотрудника.

4. Сколько хранить согласия после увольнения?

Согласие работника на обработку ПДн — часть личного дела. Личное дело по типовым перечням хранится 75 лет. Это означает, что согласие должно быть доступно в течение всего срока хранения, чтобы работодатель мог подтвердить правомерность обработки в случае претензии. Согласие кандидата, которому отказано в найме, хранится в течение срока, указанного в самом согласии; после его истечения — уничтожается с составлением акта.

5. Кто оператор при использовании КЭДО?

Оператором ПДн при использовании КЭДО остаётся работодатель — он определяет цели и объём обработки. Платформа КЭДО выступает обработчиком по поручению по п. 3 ст. 6 ФЗ-152. Работодатель обязан заключить договор-поручение, в котором зафиксированы допустимые действия платформы с данными, меры защиты и запрет на самостоятельное использование данных. Ответственность перед субъектом ПДн и РКН несёт оператор, а не платформа.

6. Что делать, если кандидат отозвал согласие до решения о найме?

По ст. 9 ФЗ-152 субъект вправе отозвать согласие в любой момент. При отзыве оператор обязан прекратить обработку и уничтожить данные в разумный срок, если иное не предусмотрено законом. Для данных кандидата «разумный срок» — не более 30 дней, если договорные отношения не возникли. Принять решение об отказе в найме на основании уже обработанных данных после отзыва согласия — допустимо, если решение обосновано профессиональными критериями, не связанными со спецкатегориями. Факт уничтожения данных фиксируется актом.

Итог

Проверка соцсетей кандидата — законная практика при наличии отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156, внутреннего регламента и ограничения на обработку спецкатегорий. Без этих трёх элементов каждый просмотр профиля создаёт административный риск от 150 000 до 700 000 ₽ по ч. 1–2 ст. 13.11 КоАП.

Практика DATUM по HR-обработке включает аудит кадровых процессов, разработку пакетов согласий под требования ФЗ-156 и сопровождение проверок РКН в HR-департаментах. Типовая работа по приведению кадровой документации в соответствие занимает от двух до четырёх недель.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

14 января 2028 года