Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Согласие на проверку соцсетей кандидата

Проверка профилей кандидата в соцсетях — обработка персональных данных. Без письменного согласия с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП с штрафом до 700 000 ₽.
С 01.09.2025 действует ФЗ-156: согласие на обработку ПДн оформляется отдельным документом — вне трудового договора, оферты или анкеты. Старые форматы «согласие в анкете» создают основание для протокола.
Если вы HRD и до сих пор проверяете соцсети без отдельного согласия — ниже пошаговый порядок, который закрывает риск. →

Просматривать LinkedIn, ВКонтакте или Telegram кандидата без его ведома — стандартная практика службы безопасности и HR. Но с точки зрения ст. 9 ФЗ-152 это обработка персональных данных, требующая правового основания. После вступления в силу ФЗ-156 от 24.06.2025 это основание — только отдельное согласие, а не пункт в анкете или ссылка на будущий трудовой договор. В инструкции — шесть шагов, которые переводят проверку соцсетей кандидата из «серой зоны» в соответствие закону.

Почему согласие в анкете больше не работает?

До 01.09.2025 многие компании включали согласие на обработку ПДн в анкету кандидата или в оффер. ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: согласие теперь оформляется отдельным документом, не объединённым с другими документами. Это означает, что согласие, включённое в текст анкеты или трудового договора, технически не соответствует требованиям закона.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных на их обработку оформляется отдельным документом. Обязательные реквизиты — ФИО субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва.»

Отдельно важен состав данных при проверке соцсетей. Кандидат может указать в профиле политические взгляды, религиозные убеждения, состояние здоровья или семейное положение. Это специальные категории ПДн по ст. 10 ФЗ-152. Их обработка требует не просто согласия, но письменного согласия с явным указанием цели. Если HR скопировал эту информацию в досье кандидата — нарушение налицо.

Ст. 86 ТК РФ ограничивает обработку ПДн работников целями, связанными с трудовыми отношениями. Кандидат ещё не работник, поэтому ст. 86–88 ТК не применяются напрямую — основание полностью строится на ФЗ-152 и отдельном согласии.

Согласия в анкетах кандидатов после 01.09.2025 — риск протокола?

Если HRD не обновил форму согласия после вступления в силу ФЗ-156 — каждая проверка соцсетей без отдельного документа создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Юристы DATUM проведут аудит текущих форм согласий и подготовят пакет документов по новым требованиям.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите, какие данные вы обрабатываете при проверке соцсетей

Перед тем как составлять согласие, зафиксируйте перечень действий и категории данных. Это требование ст. 5 ФЗ-152: объём обрабатываемых ПДн должен соответствовать заявленной цели. При проверке соцсетей типичный перечень выглядит так:

  • Просмотр публичного профиля (ФИО, фото, должность, место работы) — общие ПДн, ст. 6 ФЗ-152, согласие достаточно.
  • Просмотр постов с упоминанием взглядов, здоровья, политических позиций — специальные категории, ст. 10 ФЗ-152, нужно отдельное письменное согласие на обработку этих категорий.
  • Скриншоты и сохранение данных в досье — это уже хранение ПДн, требует указания срока в согласии.
  • Передача данных в службу безопасности или руководителю — это передача третьим лицам, должна быть отражена в согласии.

Важно: просмотр без сохранения технически тоже является обработкой — ФЗ-152 относит к обработке любое действие с ПДн, включая получение и использование. Поэтому согласие нужно в любом случае.

Шаг 2. Составьте согласие как отдельный документ

Форма согласия должна содержать все реквизиты, перечисленные в ч. 4 ст. 9 ФЗ-152. Для проверки соцсетей в согласии обязательно указывают:

  • Полное наименование оператора — юридическое лицо или ИП.
  • Цель обработки — конкретная: «оценка профессионального соответствия и деловой репутации при рассмотрении кандидатуры на должность [название]».
  • Перечень ПДн — публичный профиль в соцсетях (ВКонтакте, LinkedIn, Telegram, и т. д.) с указанием конкретных платформ.
  • Перечень действий — просмотр, фиксация, хранение, передача конкретным должностным лицам.
  • Срок — «до принятия решения о трудоустройстве, но не более 30 дней с момента подписания».
  • Способ отзыва — письменное заявление на электронную почту или нарочно.

Не включайте согласие в анкету, оффер или любой другой документ. Это отдельная страница с подписью кандидата. Если используется КЭДО — подписание через УКЭП или НЭП кандидата с фиксацией в системе; без этого электронная форма не равнозначна письменному согласию для специальных категорий ПДн.

Шаг 3. Получите согласие до начала проверки

Согласие должно быть получено до начала обработки — это прямое требование ч. 1 ст. 9 ФЗ-152. На практике это означает: кандидат подписывает форму до того, как HR или служба безопасности открывают его профиль.

Типичная ошибка: HR сначала проверил соцсети «для понимания», а потом попросил подписать согласие. Это нарушение — обработка уже состоялась без правового основания. При проверке РКН журнал доступа в систему или переписка в мессенджере может зафиксировать хронологию.

Порядок встраивания в процесс найма: форму согласия направляют кандидату вместе с приглашением на собеседование или анкетой. Подписанная форма поступает в HR до собеседования. После получения — проверка соцсетей правомерна.

Если согласия кандидатов хранятся в CRM или ATS без выделения в отдельный документ — это риск по ч. 2 ст. 13.11 КоАП. Юристы DATUM соберут пакет ОРД для HR-департамента под ключ, включая формы согласий по новым требованиям ФЗ-156.

Собрать ОРД под ключ

Шаг 4. Определите срок хранения и порядок уничтожения

Ст. 5 ФЗ-152 запрещает хранить ПДн дольше, чем необходимо для достижения цели. Цель при проверке соцсетей — принятие решения о трудоустройстве. Как только решение принято, основание для хранения исчезает.

На практике применяются два подхода. Первый: при отказе кандидату — уничтожение данных в течение 30 дней после уведомления об отказе. Второй: при трудоустройстве — данные из проверки не переносятся в личное дело, так как основание обработки (проверка кандидата) не совпадает с основанием для личного дела (трудовые отношения, ст. 86 ТК РФ).

Само согласие как документ хранится согласно номенклатуре дел. Типовой срок — 3 года с момента окончания обработки, если внутренними актами не установлен иной срок. Акт уничтожения ПДн составляется и хранится.

Шаг 5. Зафиксируйте процедуру во внутреннем регламенте

Разовое согласие — это тактика. Системная защита — это регламент. Ст. 18.1 ФЗ-152 обязывает оператора принимать меры по обеспечению соответствия: назначить ответственного, утвердить политику, ознакомить сотрудников, работающих с ПДн.

Для HR-департамента минимально необходимый пакет включает: политику обработки ПДн (публичная, на сайте), положение об обработке ПДн кандидатов, инструкцию для рекрутера с описанием порядка получения согласия, журнал учёта согласий кандидатов и актов уничтожения.

Ст. 22.1 ФЗ-152 требует назначить лицо, ответственное за организацию обработки. Если ответственный не назначен — при проверке РКН это самостоятельное нарушение. Функцию ответственного может выполнять штатный сотрудник (юрист, HR) или внешний DPO-аутсорсер.

Шаг 6. Проверьте смежные риски: видеонаблюдение, СКУД, специальные данные

Проверка соцсетей — часть более широкого контура обработки ПДн при найме. HR-департамент, который упорядочил согласие на соцсети, нередко обнаруживает смежные пробелы.

Видеонаблюдение в офисе и на собеседовании — это биометрические ПДн, если система идентифицирует личность (ст. 11 ФЗ-152). Требует отдельного согласия или иного основания из п. 2 ст. 11 ФЗ-152. Обычное видеозапись «для безопасности» без идентификации — не биометрия, но требует уведомления и отражения в политике.

СКУД с биометрией (отпечаток пальца, распознавание лица) для прохода сотрудников — ст. 11 ФЗ-152, письменное согласие обязательно. С 01.06.2023 хранение исходных биометрических шаблонов вне ЕБС запрещено (ФЗ-572).

Медицинские данные — если при трудоустройстве требуется медосмотр (ст. 213 ТК), обработка его результатов — это специальная категория по ст. 10 ФЗ-152. Передача данных медорганизацией работодателю требует отдельного согласия.

Что подготовить HR-департаменту

  • Форма согласия на проверку соцсетей — отдельный документ с реквизитами ч. 4 ст. 9 ФЗ-152 в редакции ФЗ-156.
  • Порядок встраивания согласия в процесс найма: точка получения, ответственный, хранение подписанных форм.
  • Регламент хранения и уничтожения данных кандидатов с актами уничтожения.
  • Положение об обработке ПДн кандидатов как часть общего пакета ОРД.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Типичные ситуации при проверке соцсетей кандидата

Ситуация 1. Кандидат отозвал согласие до принятия решения. По ч. 2 ст. 9 ФЗ-152 оператор обязан прекратить обработку в течение 30 дней с момента получения заявления об отзыве. Хранение уже собранных данных после отзыва — нарушение. На практике: уничтожить скриншоты и записи, составить акт, направить кандидату подтверждение. Решение об отказе в найме не может быть основано на данных, собранных после отзыва.

Ситуация 2. При просмотре профиля обнаружены политические взгляды или данные о здоровье. Если эти данные зафиксированы в досье — это обработка специальных категорий по ст. 10 ФЗ-152. Без отдельного явного согласия на обработку именно этих категорий — нарушение. Стратегия: форма согласия должна предусматривать вариативность (общие ПДн и/или специальные категории). Если специальные категории не нужны для оценки — прямо зафиксировать в инструкции рекрутера запрет на их фиксацию.

Ситуация 3. Проверку соцсетей ведёт кадровое агентство. Агентство является обработчиком по поручению оператора (п. 3 ст. 6 ФЗ-152). Ответственность за нарушение остаётся на операторе — работодателе. Требуется договор поручения обработки с агентством, где прописаны допустимые действия, требования по безопасности и запрет на использование данных в иных целях. Отсутствие такого договора — самостоятельное нарушение.

Как это выглядит на практике

Кейс 1. Торговая компания (Центральный ФО, лето 2025) прошла плановую проверку РКН. Инспектор запросил форму согласия кандидатов на проверку соцсетей. Компания представила анкету с включённым согласием — документ 2023 года. Поскольку ФЗ-156 вступил в силу 01.09.2025, а проверка прошла до этой даты, нарушение не было зафиксировано. Однако инспектор выдал предписание привести форму в соответствие с новыми требованиями в течение трёх месяцев. После обращения к юристам HR-директор получил пакет документов: отдельную форму согласия, положение об обработке ПДн кандидатов и инструкцию рекрутера.

Кейс 2. IT-компания (Северо-Западный ФО, осень 2025) использовала кадровое агентство для закрытия вакансий. Агентство проверяло соцсети самостоятельно, передавало работодателю резюме с выпиской из профилей. Договора поручения обработки не было. После жалобы одного из кандидатов РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Штраф для юрлица — в диапазоне 300 000–700 000 ₽. По результатам сопровождения в деле применены смягчающие обстоятельства: компания добровольно устранила нарушение, заключила договор поручения с агентством и переработала форму согласия. ⚠️ Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка форм согласий, ОРД и процессов HR-департамента по чек-листу из 38 пунктов.
  • Комплект ОРД под ключ — пакет документов для кадрового направления: политика, согласия кандидатов и работников, регламенты.
  • DPO-аутсорсинг — абонентское исполнение функции ответственного по ст. 22.1 ФЗ-152, включая ответы на запросы кандидатов.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее полученные согласия обратной силы не имеют — ФЗ-156 не требует переоформлять согласия, подписанные до 01.09.2025. Однако для новых согласий, оформляемых с этой даты, форма обязана соответствовать новым требованиям ч. 1 ст. 9 ФЗ-152: отдельный документ с обязательными реквизитами. Если форма не обновлена — новые согласия уязвимы. Рекомендуется обновить формы сразу и провести аудит действующего пакета ОРД.

2. Какие данные нельзя спрашивать в анкете кандидата?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн кандидата, не связанные с его деловыми качествами и трудовой функцией. Нельзя запрашивать политические и религиозные взгляды, членство в партиях и профсоюзах, сведения о состоянии здоровья (кроме случаев, когда медосмотр обязателен по закону), данные о семейном положении и детях без связи с трудовыми условиями, а также национальность. Включение таких вопросов в анкету создаёт риск по ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе без отдельного согласия сотрудников?

Видеонаблюдение без идентификации личности (просто запись помещения) не является биометрической обработкой ПДн, если личность по записи не устанавливается. Но работники должны быть уведомлены о ведении съёмки — это требование ст. 22.2 ТК РФ о информировании об условиях труда и ст. 18.1 ФЗ-152 о мерах обеспечения. Наличие камер отражается в ПВТР или отдельном приказе. Если система видеонаблюдения используется для идентификации личности (биометрия) — требуется письменное согласие по ст. 11 ФЗ-152.

4. Сколько хранить согласия кандидатов после увольнения или отказа в трудоустройстве?

Согласие кандидата, которому отказано в найме, хранится в течение срока, установленного номенклатурой дел — как правило, 3 года с момента окончания обработки (уничтожения данных). Само согласие подтверждает правомерность обработки в период, когда она велась, поэтому уничтожать его вместе с данными не следует. Для принятых на работу сотрудников согласие на проверку соцсетей хранится как документ HR отдельно от личного дела, так как основание обработки различается.

5. Кто является оператором при использовании КЭДО от стороннего поставщика?

При использовании КЭДО работодатель остаётся оператором ПДн по ФЗ-152 — он определяет цели и состав обрабатываемых данных. Поставщик КЭДО-платформы — обработчик по поручению (п. 3 ст. 6 ФЗ-152). Обязательно наличие договора поручения обработки с поставщиком, описывающего допустимые действия, меры безопасности и запрет на использование данных в иных целях. Без такого договора ответственность за действия платформы полностью лежит на работодателе.

6. Что делать, если кандидат закрыл профиль в соцсети после подписания согласия?

Закрытие публичного доступа к профилю не отзывает согласие на обработку и не запрещает использование уже собранных данных. Однако сбор новых данных после закрытия профиля (например, через знакомых или другие аккаунты) выходит за рамки согласия и создаёт риск нарушения ст. 6 ФЗ-152. Рекомендуется зафиксировать в регламенте, что проверка ведётся только через публичный доступ, и установить конкретную дату проверки как точку сбора данных.

Итог

Согласие на проверку соцсетей кандидата — это не формальность, а обязательное правовое основание обработки ПДн по ст. 9 ФЗ-152. С 01.09.2025 это основание работает только как отдельный документ. Проверка без согласия или на основании устаревшей анкеты — нарушение, которое при проверке РКН квалифицируется по ч. 2 ст. 13.11 КоАП с штрафом до 700 000 ₽.

Юристы DATUM сопровождают HR-департаменты в части ОРД по ФЗ-152: аудит форм согласий, разработка регламентов найма, договора поручения с кадровыми агентствами и КЭДО-платформами, функция DPO-аутсорсинга по ст. 22.1 ФЗ-152.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

14 января 2028 года