Перейти к содержанию
инструкция 3 февраля 2028 По состоянию на 3 февраля 2028

Согласие кандидата на обработку резюме

Согласие кандидата на обработку персональных данных резюме — самостоятельный документ, обязательный с 01.09.2025 по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
За обработку ПДн без надлежащего согласия или с нарушением требований к его составу грозит штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторном нарушении — до 1 500 000 ₽ по ч. 2.1 той же статьи.
Если вы HRD и согласия кандидатов по-прежнему включены в анкету или оферту — инструкция покажет, что исправить и в каком порядке. →

С 01.09.2025 старые форматы согласия, встроенные в анкету соискателя, трудовой договор или политику конфиденциальности, потеряли юридическую силу для новых случаев обработки. HR-департамент, который не обновил формы, копит нарушения при каждом новом кандидате. Ниже — шесть шагов, которые устранят риск: от проверки текущего состояния до хранения подписанных документов.

Какие данные из резюме требуют согласия по ст. 9 ФЗ-152?

Резюме содержит персональные данные кандидата: фамилию, имя, отчество, дату рождения, контактные данные, сведения об образовании, трудовой биографии. Их обработка — сбор, хранение, систематизация в базе кандидатов — является обработкой ПДн по ст. 3 ФЗ-152. Правовое основание для такой обработки — согласие субъекта по п. 1 ч. 1 ст. 6 ФЗ-152, поскольку цель (подбор персонала) не совпадает ни с исполнением договора, ни с исполнением законодательной обязанности.

Отдельного внимания требуют специальные категории. Сведения о состоянии здоровья, необходимые для допуска к определённым должностям, относятся к специальным категориям ПДн по ст. 10 ФЗ-152. Их обработка без письменного согласия запрещена, за исключением случаев, прямо перечисленных в ч. 2 ст. 10. Фотография в резюме, если она используется для идентификации личности, может квалифицироваться как биометрические ПДн по ст. 11 ФЗ-152. Практика РКН по этому вопросу неоднородна, однако безопаснее получить отдельное согласие на обработку изображения.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта персональных данных оформляется отдельным документом и не может быть объединено с иными документами — договором, офертой, политикой обработки ПДн или анкетой соискателя.»

Данные, которые работодатель не вправе запрашивать у кандидата, прямо ограничены ст. 86 ТК РФ: сведения о политических, религиозных и иных убеждениях, о частной жизни, о членстве в общественных объединениях. Включение таких вопросов в анкету — самостоятельное нарушение ТК и ФЗ-152 одновременно.

Что изменилось с 01.09.2025 и нужно ли переделывать старые формы?

ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152, установив требование об оформлении согласия отдельным документом. До 01.09.2025 согласие могло быть включено в анкету соискателя или трудовой договор — такой порядок считался допустимым. После этой даты каждое новое согласие обязано существовать как самостоятельный документ.

Согласия, подписанные до 01.09.2025, обратной силы закон не имеет: их переподписывать не требуется. Однако если после 01.09.2025 HR-департамент продолжает использовать старую анкету с встроенным согласием для новых кандидатов, каждый такой случай — нарушение ч. 2 ст. 13.11 КоАП. Штраф — от 300 000 до 700 000 ₽ за юридическое лицо, при повторности — от 1 000 000 до 1 500 000 ₽.

Согласие должно содержать обязательные реквизиты по ч. 4 ст. 9 ФЗ-152: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия согласия и способ его отзыва. Отсутствие любого из реквизитов делает согласие ненадлежащим.

Согласия кандидатов ещё в анкете?

Если HRD не вынес согласие в отдельный документ после 01.09.2025, каждый новый кандидат — потенциальный штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Юристы DATUM соберут корректный пакет согласий по требованиям ФЗ-156 и проверят весь кадровый ОРД на соответствие 152-ФЗ. Срок подготовки — от 5 рабочих дней.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проверьте, как оформлено согласие сейчас

Запросите у кадровой службы актуальную форму анкеты соискателя и форму согласия (если она существует отдельно). Проверьте три признака нарушения:

  • текст согласия размещён внутри анкеты, трудового договора или любого другого документа;
  • в согласии отсутствует хотя бы один из обязательных реквизитов по ч. 4 ст. 9 ФЗ-152;
  • в согласии указана цель «трудоустройство», но HR-служба хранит резюме в базе кандидатов дольше срока вакансии — цель обработки фактически расширена без нового согласия.

Если хотя бы один признак подтверждается — переходите к шагу 2. Если согласие уже оформлено отдельным документом и содержит все реквизиты — переходите к шагу 4 для проверки сроков хранения.

Шаг 2. Составьте форму согласия с обязательными реквизитами

Форма согласия кандидата на обработку резюме должна включать следующее.

  • Субъект: ФИО, адрес (или иные контактные данные, позволяющие идентифицировать лицо).
  • Оператор: полное наименование юридического лица, адрес, ИНН.
  • Цель: подбор персонала на конкретную должность или группу должностей. Если вы планируете сохранять резюме в резервном пуле — указать это отдельной целью.
  • Перечень ПДн: перечислить конкретно — ФИО, дата рождения, гражданство, контакты, образование, опыт работы. Не писать «все данные, указанные в резюме» — РКН расценивает такую формулировку как нарушение принципа минимизации по ст. 5 ФЗ-152.
  • Перечень действий: сбор, запись, систематизация, хранение, использование для целей отбора.
  • Срок действия: конкретный период — например, «в течение 6 месяцев с момента подписания» или «до замещения вакансии, но не более 1 года».
  • Способ отзыва: адрес для направления письменного заявления или электронная почта ответственного лица.

Если кандидат направил резюме через HH.ru или иной агрегатор, согласие агрегатора не заменяет согласие оператора-работодателя: вы как оператор обязаны получить собственное согласие при первом контакте.

Шаг 3. Определите порядок получения согласия при разных каналах отклика

Канал поступления резюме определяет момент, в который нужно получить согласие.

  • Прямое резюме (email, мессенджер): согласие направляется кандидату в ответном письме с просьбой подписать и вернуть либо подтвердить через КЭДО. До получения подписанного согласия обработка данных допускается в минимальном объёме — только для первичного контакта.
  • Отклик на сайте компании: форма отклика должна содержать чекбокс с отдельным согласием (не совмещённым с пользовательским соглашением). Чекбокс не должен быть предварительно проставлен.
  • КЭДО-система: согласие кандидата, поданное через систему КЭДО, должно быть подписано квалифицированной или простой электронной подписью. При использовании простой ЭП оператор обязан подтвердить личность подписанта иными средствами (ст. 22.2 ТК РФ).
  • Кадровое агентство: агентство действует как лицо, осуществляющее обработку по поручению (ст. 6 ч. 3 ФЗ-152). Договор поручения должен содержать перечень действий, цели, обязательство конфиденциальности и уничтожения данных по завершении. Согласие субъекта при этом всё равно нужно — но может быть получено агентством от имени оператора, если такое полномочие прямо следует из договора.

Если HR-служба принимает резюме через агрегаторы, КЭДО и прямую почту одновременно — пакет согласий нужен для каждого канала отдельно. Аудит ОРД DATUM выявит пробелы по чек-листу из 38 пунктов за 5 рабочих дней.

Заказать аудит 152-ФЗ

Шаг 4. Установите сроки хранения данных кандидатов

Принцип хранения по ст. 5 ФЗ-152 — не дольше, чем необходимо для достижения цели. Для кандидатов это означает следующее.

  • Если кандидат не принят — данные подлежат уничтожению по истечении срока, указанного в согласии. Практика: 6–12 месяцев с момента последнего контакта.
  • Если кандидат переходит в статус работника — данные из резюме включаются в личное дело. Срок хранения личного дела — 75 лет (Перечень типовых управленческих архивных документов). На этот этап оформляется отдельное основание обработки — исполнение трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152) и исполнение трудового законодательства (п. 2 ч. 1 ст. 6 ФЗ-152).
  • Резервный пул кандидатов допустим только при наличии отдельного согласия с явно указанной целью и сроком хранения в пуле.

Журнал учёта согласий (таблица с датами получения, истечения и фактического уничтожения) — обязательный элемент ОРД HR-подразделения. Отсутствие журнала при проверке РКН фиксируется как нарушение ст. 18.1 ФЗ-152.

Шаг 5. Проверьте смежные риски: СКУД, видеонаблюдение, КЭДО

Кандидат на этапе собеседования может столкнуться с тремя дополнительными каналами сбора ПДн.

СКУД с биометрией. Если проходная оснащена СКУД с распознаванием лица или сканером отпечатков, кандидат, приходящий на собеседование, проходит биометрическую идентификацию. Биометрические ПДн по ст. 11 ФЗ-152 обрабатываются только с письменного согласия, отдельного от любых иных документов. Шаблон «общего» согласия на обработку резюме биометрию не покрывает.

Видеонаблюдение в офисе. Запись видео с идентификацией личности — обработка биометрических ПДн. Работодатель обязан уведомить посетителя до входа в зону наблюдения с помощью хорошо заметного знака. Для кандидатов, приходящих на очное интервью, рекомендуется получать отдельное согласие на видеофиксацию либо ограничивать зону записи так, чтобы исключить помещения, где кандидаты находятся без сотрудников.

КЭДО и обработка ПДн. При переводе кадрового документооборота в электронный формат (ст. 22.1 ТК РФ и далее) оператором КЭДО-системы становится работодатель или провайдер платформы. Если оператор — провайдер, необходимо заключить договор поручения обработки по ч. 3 ст. 6 ФЗ-152. Кандидат, получивший оффер через КЭДО, должен подписать согласие на обработку ПДн в рамках КЭДО до начала обмена документами.

Шаг 6. Назначьте ответственного и внедрите процедуру отзыва

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 в HR-блоке — конкретное должностное лицо, назначенное приказом. На него возлагается: контроль соответствия форм согласия, ответы на запросы субъектов в течение 10 рабочих дней по ст. 20 ФЗ-152, ведение журнала обращений.

Процедура отзыва согласия должна быть описана в регламенте и доведена до кандидатов. После получения заявления об отзыве оператор обязан прекратить обработку и уничтожить данные в срок, установленный регламентом, — как правило, не позднее 30 дней. Уничтожение подтверждается актом с подписью ответственного.

Если кандидат впоследствии трудоустраивается, ранее выданное согласие не прекращает действие автоматически — его следует отозвать и заменить обработкой на иных правовых основаниях (исполнение трудового договора).

Что подготовить HR-директору

  • Форма согласия кандидата — отдельный документ с реквизитами по ч. 4 ст. 9 ФЗ-152 (не совмещать с анкетой).
  • Форма согласия на обработку биометрических ПДн — если в офисе работает СКУД с идентификацией или ведётся видеозапись.
  • Договор поручения обработки с кадровым агентством или провайдером КЭДО — с перечнем допустимых действий и обязательством уничтожения данных.
  • Журнал учёта согласий — дата получения, срок истечения, дата уничтожения, подпись ответственного.
  • Приказ о назначении ответственного за обработку ПДн в HR-блоке по ст. 22.1 ФЗ-152.

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025) использовала единую анкету соискателя с встроенным согласием — форма не обновлялась с 2022 года. После плановой проверки РКН составил протокол по ч. 2 ст. 13.11 КоАП. Компания представила доказательства разработки новых форм до даты проверки и сослалась на первичность нарушения. Штраф был назначен в нижней части диапазона. Юристы, сопровождавшие дело, добились применения ст. 4.1 КоАП со смягчающими обстоятельствами — оперативное устранение и документально подтверждённый план комплаенса.

Кейс 2. Торговая сеть (Сибирский ФО, начало 2026) вела базу резюме кандидатов в общем хранилище без разграничения по срокам хранения — данные части кандидатов хранились свыше 3 лет без действующего согласия. Один из кандидатов направил запрос на уничтожение данных; компания не ответила в течение 10 рабочих дней. РКН возбудил дело по ч. 5 ст. 13.11 КоАП (штраф 50 000–90 000 ₽ для юрлица). Параллельно был выявлен состав по ч. 2 ст. 13.11 за обработку без актуального согласия. Совокупность нарушений обошлась компании в сотни тысяч рублей штрафов.

Типовые ситуации для HR-директора

Ситуация 1 — кандидат прислал резюме по email, согласия нет. Обработка уже началась в момент открытия письма. Необходимо немедленно направить кандидату форму согласия. До его получения — хранить только первичные контакты. Если согласие не получено в течение разумного срока — данные удалить и зафиксировать факт удаления.

Ситуация 2 — кандидат отозвал согласие до выхода на работу. Данные подлежат уничтожению. Если кандидату уже направлен оффер — он теряет силу в части обработки ПДн, но не в части трудовых отношений как таковых. Рекомендуется заблаговременно предусмотреть в регламенте порядок работы с офферами при отзыве согласия.

Ситуация 3 — проверка РКН: запрошены журналы согласий за последние 12 месяцев. Если журнал не ведётся или содержит неполные сведения, РКН фиксирует нарушение ст. 18.1 ФЗ-152 — отсутствие внутреннего контроля. Штраф по ч. 3 ст. 13.11 (непубликация политики или нарушение обязанностей по ст. 18.1) — 30 000–60 000 ₽. Риск небольшой, но фиксируется в акте проверки и учитывается при повторных нарушениях.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, обратной силы требование ФЗ-156 не имеет. Согласия, оформленные до 01.09.2025 в составе трудового договора или анкеты, сохраняют действие для уже работающих сотрудников. Новые согласия — для кандидатов и работников, принятых после 01.09.2025, — обязаны быть отдельным документом. Если вы оформляете дополнительное согласие на новые виды обработки для действующих работников, оно также должно быть самостоятельным.

2. Какие данные нельзя спрашивать в анкете?

Статья 86 ТК РФ прямо запрещает работодателю требовать и обрабатывать сведения о политических, религиозных и иных убеждениях работника, о его частной жизни, о членстве в общественных объединениях и профсоюзах. Эти ограничения распространяются на кандидатов так же, как и на работников. Включение соответствующих вопросов в анкету создаёт нарушение ТК и основание для штрафа по ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение с идентификацией личности является обработкой биометрических ПДн по ст. 11 ФЗ-152. Для работников необходимо письменное согласие или иное правовое основание, предусмотренное ч. 2 ст. 11. Посетители и кандидаты должны быть уведомлены о ведении съёмки до входа в зону наблюдения — с помощью хорошо заметного знака. Отсутствие такого уведомления и согласия — нарушение ч. 2 ст. 13.11 КоАП со штрафом до 700 000 ₽.

4. Сколько хранить согласия после увольнения?

Само согласие работника (кандидата) хранится вместе с документами личного дела. Для работников личное дело хранится 75 лет согласно типовому перечню управленческих архивных документов. Для кандидатов, не принятых на работу, — в течение срока, указанного в согласии (как правило, 6–12 месяцев), после чего подлежит уничтожению с составлением акта.

5. Кто оператор при использовании КЭДО?

Оператором является работодатель вне зависимости от того, чья платформа используется. Если КЭДО-система предоставляется внешним провайдером, провайдер выступает лицом, осуществляющим обработку по поручению оператора по ч. 3 ст. 6 ФЗ-152. С провайдером необходимо заключить договор поручения, определяющий перечень допустимых действий, цели обработки и обязательства по защите данных. Ответственность перед субъектами и РКН несёт оператор — работодатель.

6. Как подтвердить уничтожение данных кандидата при отзыве согласия?

Факт уничтожения подтверждается актом уничтожения ПДн с подписью ответственного лица и, при необходимости, комиссии. Акт хранится в журнале учёта обработки. Унифицированной формы акта в законодательстве нет — оператор разрабатывает её самостоятельно. При получении запроса от субъекта ответить нужно в течение 10 рабочих дней (ст. 20 ФЗ-152), представив сведения о принятых мерах или уже уничтоженных данных.

Итог

С 01.09.2025 согласие кандидата на обработку резюме — это отдельный документ с полным составом реквизитов по ч. 4 ст. 9 ФЗ-152. Использование встроенных форм закрывает HR-директора в зону штрафов от 300 000 до 1 500 000 ₽ при каждом новом найме. Шесть шагов инструкции — минимальный контур комплаенса: проверка текущих форм, составление корректного согласия, выстраивание канальных процедур, учёт сроков хранения, проработка СКУД и КЭДО, назначение ответственного.

Практика DATUM сопровождает HR-департаменты среднего и крупного бизнеса в приведении кадровых ОРД в соответствие с 152-ФЗ: от разработки форм согласий до представления интересов при проверке РКН.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

3 февраля 2028 года