Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Согласие при найме через рекрутинговое агентство

Рекрутинговое агентство передаёт резюме кандидата работодателю — значит, оба обрабатывают персональные данные. Каждый оператор обязан получить собственное согласие.
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025): его нельзя включить в анкету, договор с агентством или оферту. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
Если HRD получает кандидатов через агентство, а согласия не разграничены — риск протокола Роскомнадзора возникает у обоих операторов. Ниже — пошаговый порядок устранения этого риска.

Работодатели, использующие рекрутинговые агентства, нередко считают, что достаточно одного согласия, подписанного кандидатом при регистрации в агентстве. Позиция РКН и судебная практика иная: каждый оператор, обрабатывающий ПДн кандидата, должен иметь самостоятельное правовое основание. Эта инструкция описывает шесть шагов, которые позволят HR-департаменту выстроить корректную цепочку согласий — от первого контакта агентства до приёма на работу.

Шаг 1. Определите, кто из участников является оператором

При найме через агентство в схеме участвуют минимум два оператора персональных данных. Рекрутинговое агентство собирает резюме, проводит собеседования и хранит базу кандидатов — оно оператор по ст. 3 ФЗ-152. Работодатель получает анкеты отобранных кандидатов, хранит их в АТС или HR-системе, проводит свои этапы отбора — тоже оператор.

Схема «агентство как обработчик по поручению» применима только если работодатель сам определяет состав собираемых данных, цели и агентство лишь технически их собирает. На практике агентства самостоятельно формируют базы, ведут переговоры с кандидатами и преследуют собственные цели — это признаки самостоятельного оператора. Путать эти роли опасно: поручение обработки по п. 3 ст. 6 ФЗ-152 требует письменного договора с перечнем разрешённых действий, а при его отсутствии каждый участник цепочки несёт полную ответственность.

«Ст. 6 ФЗ-152 — обработка ПДн допускается при наличии согласия субъекта либо иного законного основания. Поручение обработки третьему лицу не освобождает оператора от ответственности перед субъектом.»

Шаг 2. Убедитесь, что агентство получило согласие по актуальным требованиям

С 01.09.2025 согласие — отдельный документ (ФЗ-156 от 24.06.2025). Оно не может быть частью анкеты, трудового договора, договора с агентством или публичной оферты. Проверьте форму, которую агентство даёт кандидату: если согласие объединено с иным документом, оно не отвечает требованиям ст. 9 ФЗ-152 в действующей редакции.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные субъекта, полное наименование и адрес оператора (агентства), цель обработки, перечень обрабатываемых ПДн, перечень допустимых действий с ними, срок действия согласия или условие его прекращения, способ отзыва. Отсутствие хотя бы одного реквизита означает, что согласие юридически ничтожно.

Запросите у агентства образец применяемой формы согласия. Это ваше право как потенциального получателя данных и способ подтвердить добросовестность в случае проверки.

Согласия кандидатов оформлены агентством, но вы не проверяли их форму?

Если HRD получает резюме от агентства и не знает, соответствуют ли согласия требованиям ФЗ-156 с 01.09.2025, — каждый полученный файл кандидата создаёт риск штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Исправить ситуацию можно до проверки РКН. Юристы DATUM проведут аудит ОРД HR-департамента и приведут согласия в соответствие с актуальными требованиями.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Получите собственное согласие работодателя до передачи данных

Даже если агентство получило корректное согласие на хранение резюме в собственной базе, это согласие не распространяется на передачу данных работодателю и последующую обработку с его стороны. Работодатель как самостоятельный оператор обязан получить согласие кандидата до того, как начинает обрабатывать его данные.

На практике возможны два варианта. Первый: агентство включает в своё согласие цель «передача данных конкретному работодателю» с указанием его наименования и адреса — тогда передача правомерна, но работодатель всё равно нуждается в собственном согласии для дальнейшей обработки (хранения в HR-системе, проведения интервью, проверки рекомендаций). Второй: кандидат подписывает отдельное согласие у работодателя — это более надёжная схема.

Оба варианта должны соответствовать требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025: отдельный документ, все обязательные реквизиты, свободное волеизъявление.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие субъекта персональных данных должно быть оформлено отдельным документом, не совмещённым с иными документами, подписываемыми субъектом.»

Шаг 4. Проверьте состав данных, передаваемых агентством

Ст. 86 ТК РФ устанавливает закрытый перечень оснований для обработки персональных данных работника. Работодатель вправе запрашивать только сведения, необходимые для исполнения трудового договора и соблюдения трудового законодательства. Ст. 87 ТК РФ обязывает устанавливать порядок хранения и использования этих данных в локальных актах.

При найме через агентство особое внимание — к составу передаваемых данных. Агентства нередко включают в резюме сведения о семейном положении, состоянии здоровья, фотографию, возраст. Часть из них — специальные категории ПДн по ст. 10 ФЗ-152 или биометрические по ст. 11 ФЗ-152. Их обработка допустима только при наличии письменного согласия с явным указанием этих категорий и специального основания.

Зафиксируйте в договоре с агентством исчерпывающий перечень передаваемых данных. Любое расширение сверх согласованного перечня — нарушение принципа минимизации по ст. 5 ФЗ-152.

Что проверить в договоре с агентством и формах согласия

  • Договор с агентством содержит исчерпывающий перечень передаваемых категорий ПДн и запрет на передачу данных сверх перечня
  • Согласие агентства и согласие работодателя — два отдельных документа с разными операторами, целями и перечнями данных
  • В согласии работодателя прямо указаны специальные категории ПДн (фото, состояние здоровья), если они обрабатываются
  • Форма согласия соответствует требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025: отдельный документ, все обязательные реквизиты
  • Локальный акт работодателя по ст. 87 ТК РФ определяет порядок хранения и уничтожения данных кандидатов, не принятых на работу

Шаг 5. Организуйте хранение и уничтожение данных отказных кандидатов

После завершения конкурса на вакансию данные кандидатов, не принятых на работу, должны быть уничтожены или обезличены. Срок хранения определяет работодатель в локальном акте — типовая практика 3–6 месяцев после закрытия вакансии. Хранить резюме «на будущее» без согласия на конкретную цель нельзя: это нарушение принципа ограничения хранения по ст. 5 ФЗ-152.

Если работодатель намерен формировать кадровый резерв из отказных кандидатов, он обязан получить отдельное согласие на обработку данных в этой цели — с указанием срока хранения в резерве и права отзыва. Без такого согласия хранение резюме после завершения отбора неправомерно.

Уничтожение должно быть задокументировано: акт уничтожения с перечнем уничтоженных файлов, датой и подписью ответственного лица. Это не бюрократия, а доказательство добросовестности при проверке РКН.

Если HR-директор не регламентировал сроки уничтожения данных кандидатов — риск штрафа по ч. 5 ст. 13.11 КоАП (до 90 000 ₽) возникает при первом же запросе субъекта. Разработать регламент и акты уничтожения можно в рамках комплекта ОРД под ключ.

Собрать ОРД под ключ

Шаг 6. Переоформите документацию под требования ФЗ-156 и проверьте КЭДО

КЭДО (кадровый электронный документооборот) создаёт отдельный контур обработки ПДн работников. Оператором КЭДО-платформы, как правило, выступает IT-провайдер — он обрабатывает данные по поручению работодателя. Договор с платформой должен содержать условия поручения по п. 3 ст. 6 ФЗ-152: перечень действий, запрет субпоручения без согласия работодателя, обязательство уничтожить данные после расторжения договора.

Согласие работника на КЭДО — отдельный документ с 01.09.2025. Если в вашей компании согласие на КЭДО включено в трудовой договор или подписывается одновременно с другими кадровыми документами как часть пакета — это нарушение ст. 9 ФЗ-152 в актуальной редакции. Проверьте, чтобы форма была выделена в самостоятельный документ с правом отказа без последствий для трудовых отношений.

Ранее подписанные согласия переоформлять ФЗ-156 не требует — обратной силы нет. Но все согласия, получаемые после 01.09.2025, должны быть в новой форме. Согласия кандидатов, поступающих через агентство с этой даты, — не исключение.

«Ст. 22.2 ТК РФ — работодатель вправе вести кадровый документооборот в электронной форме с письменного согласия работника. Согласие на КЭДО не может служить основанием для принуждения к его подписанию.»

Как ошибки в цепочке согласий проявляются на практике

Кейс 1. Торговая компания (Уральский ФО, осень 2025) нанимала менеджеров по продажам через агентство. Агентство передавало резюме по email без письменного договора. Кандидат, не принятый на работу, подал жалобу в РКН: его данные хранились в HR-системе работодателя 11 месяцев без согласия на такой срок. РКН возбудил дело по ч. 1 ст. 13.11 КоАП. На момент проверки компания не смогла предъявить ни договор с агентством, ни собственное согласие кандидата — штраф составил сумму в верхней части диапазона 150–300 000 ₽ по действующей редакции.

Кейс 2. ИТ-компания (Центральный ФО, начало 2026) использовала КЭДО-платформу. Согласие на КЭДО было частью пакета документов при трудоустройстве — один файл с трудовым договором и соглашением о коммерческой тайне. После вступления в силу требований ФЗ-156 новый работник отозвал согласие, ссылаясь на нарушение формы. HR-директор обратился к юристам: потребовалось переоформить формы для 40+ новых сотрудников и выстроить отдельный процесс подписания. Штрафа удалось избежать — нарушение устранили до жалобы в РКН.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет — ФЗ-156 не имеет обратной силы. Согласия, полученные до 01.09.2025 в прежней форме, сохраняют юридическую силу. Переоформление требуется только для новых согласий, которые получаете после указанной даты: они должны быть отдельными документами с обязательными реквизитами по ст. 9 ФЗ-152 в действующей редакции.

2. Какие данные нельзя спрашивать в анкете кандидата?

Ст. 86 ТК РФ ограничивает сбор данных кандидата теми сведениями, которые необходимы для оценки пригодности к работе и исполнения трудового законодательства. Нельзя запрашивать данные о религиозных и политических взглядах, членстве в профсоюзах, состоянии здоровья (если это не обусловлено характером работы), судимости (кроме должностей, для которых это требование прямо установлено законом). Такие сведения относятся к специальным категориям ПДн по ст. 10 ФЗ-152 и требуют письменного согласия с явным указанием оснований обработки.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе правомерно при соблюдении нескольких условий. Работники должны быть уведомлены о нём в письменной форме — как правило, путём подписания локального акта или отдельного документа об ознакомлении. Цель — безопасность и охрана труда — должна быть закреплена в локальном акте по ст. 87 ТК РФ. Видеозапись, позволяющая идентифицировать лицо, является биометрическими ПДн по ст. 11 ФЗ-152 только в случае автоматической идентификации; запись для просмотра вручную — ПДн общей категории. При использовании системы распознавания лиц (СКУД с биометрией) требуется отдельное письменное согласие каждого работника.

4. Сколько хранить согласия после увольнения?

Согласие работника является документом кадрового учёта. Типовой срок хранения кадровых документов — 75 лет по Приказу Росархива № 236 от 20.12.2019 (для документов, созданных до 01.01.2003). Для согласий, полученных после этой даты, срок — 50 лет. На практике срок хранения согласия должен не быть меньше срока хранения связанных с ним кадровых документов. Уничтожение согласия до истечения срока хранения при наличии возможного спора — риск невозможности доказать правомерность обработки.

5. Кто оператор при использовании КЭДО?

При использовании КЭДО-платформы оператором остаётся работодатель: он определяет цели и состав обрабатываемых данных. IT-провайдер платформы — лицо, осуществляющее обработку по поручению в соответствии с п. 3 ст. 6 ФЗ-152. Договор с платформой должен включать условия поручения: перечень разрешённых действий, запрет субпоручения без согласия работодателя, обязательство уничтожить данные после прекращения договора. Отсутствие договора поручения означает, что платформа обрабатывает данные без законного основания — это риск для обоих участников.

6. Как правильно оформить договор с рекрутинговым агентством в части ПДн?

В договоре с агентством необходимо зафиксировать: исчерпывающий перечень категорий ПДн, которые агентство вправе передавать работодателю; цель передачи (отбор кандидата на конкретную должность или категорию должностей); обязанность агентства получить согласие кандидата на передачу данных конкретному работодателю; запрет передачи сверх согласованного перечня; срок хранения данных у агентства и обязательство уничтожить их по истечении. Без этих условий договор не разграничивает ответственность операторов и не защищает работодателя при проверке РКН.

Итог

Схема найма через рекрутинговое агентство создаёт двух самостоятельных операторов ПДн с раздельной ответственностью. Каждый обязан иметь собственное правовое основание для обработки, а с 01.09.2025 — отдельный документ согласия по ст. 9 ФЗ-152 в редакции ФЗ-156. Разграничение ролей закрепляется в договоре с агентством; данные отказных кандидатов подлежат уничтожению с документированием.

Практика DATUM включает аудит HR-цепочек обработки ПДн, разработку форм согласий под требования ФЗ-156 и договоров с агентствами и КЭДО-платформами. Обращения от HR-директоров после проверки РКН составляют значительную часть входящих запросов к практике.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

14 января 2028 года