Перейти к содержанию
инструкция 21 мая 2028 По состоянию на 21 мая 2028

Тестовое задание и ПДн в нём

Тестовое задание — это сбор персональных данных кандидата. Любые сведения, полученные в ходе отбора, подчиняются требованиям ст. 86–88 ТК РФ и ФЗ-152.
С 01.09.2025 согласие на обработку ПДн кандидата обязано быть отдельным документом (ФЗ-156 от 24.06.2025). Нарушение состава согласия — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
Если вы HRD и тестовые задания выдаёте без отдельного согласия — у вас есть риск прямо сейчас. Разберём, как устранить его пошагово.

Тестовое задание кажется безобидным этапом отбора. Но за ним стоит обработка ПДн: имя, контакты, портфолио, поведенческие характеристики, иногда данные о здоровье. С 01.09.2025 в силу вступил ФЗ-156, который переписал ст. 9 ФЗ-152: согласие на обработку ПДн больше нельзя включать в оферту, договор или политику конфиденциальности. Это отдельный документ с обязательными реквизитами. Ниже — пошаговая инструкция для HR-директора: от проверки текущих согласий до порядка хранения и уничтожения ПДн кандидата.

Какие персональные данные содержит тестовое задание и почему это важно?

Тестовое задание инициирует сбор данных на нескольких уровнях. Первый — идентификационный: имя, email, телефон, ссылки на профили. Второй — профессиональный: портфолио, примеры работ, результаты выполненных задач. Третий — поведенческий: время выполнения, переписка по заданию, комментарии рекрутера.

Статья 86 ТК РФ прямо закрепляет: работодатель вправе обрабатывать только те ПДн, которые необходимы для исполнения трудового договора. На стадии отбора договор ещё не заключён — правовым основанием служит согласие по п. 1 ч. 1 ст. 6 ФЗ-152. Без него получение любого из перечисленных массивов является нарушением.

«Ст. 86 ТК РФ — обработка ПДн работника допускается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе. Состав и объём данных должны соответствовать заявленным целям.»

Если в задании кандидата просят заполнить анкету с вопросами о семейном положении, национальности, состоянии здоровья или религиозных взглядах — это обработка специальных категорий ПДн по ст. 10 ФЗ-152. Для неё требуется отдельное письменное согласие с явным указанием специальной категории. Запросить такие данные «для формы» или «для статистики» недостаточно.

Шаг 1. Проверьте, есть ли у вас согласие до выдачи задания

До того как кандидат получил задание и передал хоть один файл или ответил на вопрос анкеты — у вас должно быть его согласие на обработку ПДн. Согласие, выраженное галочкой «Принимаю политику конфиденциальности» на сайте, после 01.09.2025 не является достаточным основанием для обработки ПДн в рамках найма.

ФЗ-156 от 24.06.2025 ввёл правило: согласие — отдельный документ, не совмещённый с договором, офертой или политикой. Обязательные реквизиты по ст. 9 ФЗ-152 в действующей редакции: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень данных, перечень действий, срок согласия, порядок отзыва.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) — согласие субъекта на обработку ПДн оформляется отдельным документом. Объединение согласия с иными документами не допускается.»

Проверьте: если согласие кандидата включено в текст предложения о прохождении тестового задания, в письмо рекрутера или в шаблон анкеты — оно не соответствует требованиям ФЗ-156. Требуется отдельная форма.

Согласия кандидатов ещё встроены в форму задания?

Если HRD не переоформил согласия после 01.09.2025 — каждый тест без отдельного документа создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽ за нарушение состава согласия). Юристы DATUM подготовят комплект согласий под найм и проведут аудит документооборота HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Определите категорию данных и правовое основание

Не все данные кандидата требуют одинакового основания. Разграничение существенно для определения риска и объёма документации.

  • Общие ПДн (имя, email, телефон, резюме): обрабатываются на основании согласия по п. 1 ч. 1 ст. 6 ФЗ-152. Согласие — отдельный документ с момента 01.09.2025.
  • Специальные категории (здоровье, национальность, религиозные взгляды): обработка по общему правилу запрещена (ст. 10 ФЗ-152). Запрашивать в тестовом задании — недопустимо без явного и обоснованного исключения.
  • Биометрия (видеозапись интервью, скрин-рекординг при выполнении задания): требует письменного согласия на биометрическую обработку по ст. 11 ФЗ-152. Хранение биометрии вне ЕБС регулируется ФЗ-572.
  • СКУД-биометрия: если кандидат проходит очное тестирование в офисе с пропускной системой по лицу или отпечатку — это отдельное согласие на биометрическую обработку для целей СКУД.

Статья 87 ТК РФ обязывает работодателя установить порядок хранения и использования ПДн работников. На стадии отбора аналогичный порядок рекомендуется закрепить локальным актом — регламентом обработки ПДн кандидатов. Это снижает риск квалификации действий как «обработки в случаях, не предусмотренных законом» по ч. 1 ст. 13.11 КоАП.

Шаг 3. Проверьте, что данные задания не хранятся дольше необходимого

Принцип п. 4 ч. 1 ст. 5 ФЗ-152 гласит: ПДн не должны обрабатываться дольше, чем требуется для достижения заявленной цели. Если цель — оценка кандидата по конкретной вакансии — по итогам отбора данные должны быть уничтожены или переданы в личное дело (только при трудоустройстве).

Типовые нарушения при хранении:

  • Хранение выполненных тестовых заданий в общей папке без ограничения доступа и без срока удаления.
  • Передача портфолио кандидатов на внутренние серверы без уведомления об этом субъекта.
  • Использование выполненных заданий в обучающих материалах или для сравнительного анализа без отдельного согласия на такое использование.
«Ст. 5 ч. 1 п. 7 ФЗ-152 — оператор обязан уничтожить или обезличить ПДн по достижении целей обработки либо при утрате необходимости в ней, если иное не установлено законодательством.»

Рекомендуемый срок хранения ПДн отклонённого кандидата — до 30 дней с момента отказа, если иное не установлено внутренним регламентом. По истечении срока — уничтожение с фиксацией в акте. Срок должен быть указан в согласии кандидата.

Что подготовить до выдачи тестового задания

  • Отдельная форма согласия на обработку ПДн кандидата — с реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156, с указанием цели «подбор персонала», перечня данных и срока хранения.
  • Локальный регламент обработки ПДн кандидатов — с порядком хранения, доступа и уничтожения по итогам отбора.
  • Отдельное согласие на биометрическую обработку — если тестирование ведётся с видеозаписью или при прохождении СКУД.
  • Журнал уничтожения ПДн кандидатов — фиксация актов удаления данных отклонённых претендентов.
  • Инструкция для рекрутеров — перечень данных, которые нельзя запрашивать (спецкатегории), и порядок работы с выполненными заданиями.

Шаг 4. Урегулируйте КЭДО и дистанционный наём

При дистанционном найме тестовое задание выдаётся и возвращается в электронной форме. Если компания использует КЭДО (кадровый электронный документооборот), возникает вопрос о правовом статусе оператора и об основаниях обработки ПДн в информационной системе КЭДО.

Ст. 22.2 ТК РФ допускает ведение кадровых документов в электронном виде при соблюдении условий, включая уведомление работников (и, по аналогии — кандидатов). КЭДО-платформа, которая обрабатывает ПДн по поручению работодателя, является обработчиком по п. 3 ст. 6 ФЗ-152. Это требует заключения договора поручения с обязательными условиями: цели обработки, перечень действий, обязательство конфиденциальности, требования к техническим мерам защиты.

Если КЭДО-провайдер находится за рубежом — возникает обязанность уведомить РКН о трансграничной передаче ПДн по ст. 12 ФЗ-152 до начала передачи. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Если HR-директор подключил КЭДО-платформу без договора поручения и без проверки локализации данных — это два самостоятельных нарушения. Юристы DATUM подберут состав ОРД под КЭДО-найм и проверят договоры с платформой.

Собрать ОРД под ключ

Шаг 5. Порядок хранения согласий после увольнения или отказа

Согласие — это документ, который подтверждает правомерность обработки. При проверке РКН инспектор вправе запросить согласие по каждому субъекту в реестре операторов. Если согласие уничтожено раньше данных или не может быть представлено — это самостоятельное нарушение.

Для трудоустроенных работников личное дело хранится 75 лет (типовой срок по перечню). Согласие хранится не менее срока хранения самих ПДн плюс разумный период для возможного судебного обжалования. На практике — весь период трудовых отношений и не менее 3 лет после увольнения.

Для кандидатов, не прошедших отбор: если в согласии указан срок 30 дней — по истечении 30 дней данные уничтожаются, согласие хранится ещё 3 года как доказательство правомерности обработки в указанный период. Если кандидат потребовал уничтожения ПДн досрочно по ст. 21 ФЗ-152 — выполнить в течение 7 рабочих дней, зафиксировать актом.

Как выглядят типовые нарушения на практике

Ситуация 1. Производственная компания (Уральский ФО, начало 2026) выдавала техническое задание кандидатам через форму на сайте. Согласие было частью оферты на сайте, не выделено отдельным документом. По итогам внеплановой проверки РКН составлен протокол по ч. 2 ст. 13.11 КоАП. HR-директор обратился в DATUM: юристы подготовили отдельную форму согласия с полным составом реквизитов по ФЗ-156, обновили регламент найма. В результате рассмотрения с учётом принятых мер штраф снижен до минимального диапазона — в сотни тысяч рублей.

Кейс 2. IT-компания (Северо-Западный ФО, осень 2025) при дистанционном найме использовала зарубежную КЭДО-платформу без договора поручения и без уведомления РКН о трансграничной передаче. Кандидат пожаловался в РКН. Составлено два протокола: по ч. 1 ст. 13.11 (обработка без правового основания) и по ч. 10 ст. 13.11 (неуведомление о намерении осуществлять обработку). Общая сумма штрафов — в диапазоне нескольких сотен тысяч рублей. После подключения юристов заключён договор поручения и подано уведомление о трансграничной передаче.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют: ФЗ-156 не предусматривает обязательного переоформления ранее полученных документов. Однако если старое согласие объединено с трудовым договором или иным документом — при следующем взаимодействии с работником рекомендуется получить отдельное согласие по новой форме. Новые согласия (с 01.09.2025) оформляются только как самостоятельный документ по ст. 9 ФЗ-152 в редакции ФЗ-156.

2. Какие данные нельзя спрашивать в анкете кандидата?

По ст. 86 ТК РФ работодатель не вправе запрашивать данные, не связанные с трудовыми функциями. Ст. 10 ФЗ-152 запрещает обработку специальных категорий без отдельного обоснования: национальность, раса, политические и религиозные взгляды, состояние здоровья, интимная жизнь, судимость. Запрашивать их в анкете при приёме на работу — нарушение, даже с согласия кандидата, если цель трудоустройства не предполагает необходимости в таких данных.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при соблюдении трёх условий: наличие правового основания (как правило — согласие работников или обоснованный законный интерес по ст. 6 ФЗ-152), уведомление субъектов о ведении съёмки, наличие внутреннего регламента с целями обработки и сроками хранения записей. Видеозапись интервью или тестирования кандидата дополнительно требует письменного согласия на биометрическую обработку по ст. 11 ФЗ-152, если по записи можно установить личность.

4. Сколько хранить согласия после увольнения?

Согласие хранится не менее срока хранения самих ПДн. Для личного дела — 75 лет (типовой архивный срок). Для ПДн кандидатов, не принятых на работу, — весь период хранения данных плюс срок исковой давности (обычно 3 года). Досрочное уничтожение согласия при сохранении ПДн лишает оператора доказательства правомерности обработки при проверке РКН.

5. Кто оператор при использовании КЭДО?

При использовании КЭДО оператором остаётся работодатель — он определяет цели и порядок обработки ПДн. КЭДО-платформа выступает обработчиком по п. 3 ст. 6 ФЗ-152. Это требует заключения договора поручения с обязательным перечнем: цели обработки, состав действий, требования к защите, обязательство не передавать данные третьим лицам без поручения оператора. Отсутствие такого договора — нарушение ч. 1 ст. 13.11 КоАП.

6. Что делать, если кандидат потребовал удалить свои данные?

По ст. 21 ФЗ-152 оператор обязан уничтожить ПДн по требованию субъекта, если отсутствуют законные основания для продолжения обработки. Срок исполнения — 7 рабочих дней с момента обращения. Факт уничтожения фиксируется актом. Если ПДн переданы третьим лицам — оператор обязан уведомить их о необходимости уничтожения. Отказ исполнить требование — нарушение ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽.

Итог

Тестовое задание — полноценный этап обработки ПДн, требующий согласия отдельным документом, правильной классификации данных, регламента хранения и порядка уничтожения. С 01.09.2025 нарушение состава согласия влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Специальные категории, биометрия, КЭДО и трансграничные платформы создают дополнительные самостоятельные риски.

DATUM сопровождает HR-директоров в приведении документооборота найма в соответствие с ФЗ-152 в редакции 2025 года: от форм согласий до регламентов обработки ПДн кандидатов и договоров с КЭДО-провайдерами.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 ФЗ-152 (ред. ФЗ-156), КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

21 мая 2028 года