Перейти к содержанию
инструкция 9 июня 2028 По состоянию на 9 июня 2028

Удаление данных кандидата после отказа

Удаление персональных данных кандидата после отказа — обязанность оператора по ст. 21 ФЗ-152: при достижении цели обработки (подбор не состоялся) данные подлежат уничтожению или обезличиванию.
С 30.05.2025 за невыполнение требования субъекта об уничтожении ПДн штраф для юрлица составляет 50 000–90 000 ₽ по ч. 5 ст. 13.11 КоАП; повторное нарушение — 300 000–500 000 ₽ по ч. 5.1. Если HR хранит резюме без согласия или сверх срока — каждый файл создаёт самостоятельное основание для протокола.
→ Если вы HRD и папка «Резюме отказников» не удаляется годами — ниже пошаговый порядок действий и чек-лист документов.

С 01.09.2025 согласие кандидата на обработку персональных данных оформляется отдельным документом по ФЗ-156 от 24.06.2025 — вне бланка анкеты, трудового договора или оферты. Если HR-департамент не перестроил процесс набора, каждое новое собеседование порождает нарушение ч. 2 ст. 13.11 КоАП с диапазоном штрафа 300 000–700 000 ₽. Инструкция ниже охватывает шесть шагов: от получения резюме до подтверждения удаления и ответа на возможный запрос РКН.

Шаг 1. Получите согласие кандидата до начала обработки данных

До того как HR открыл резюме и начал что-либо вносить в ATS, кандидат обязан дать согласие по ст. 9 ФЗ-152. С 01.09.2025 это отдельный документ — не строчка в анкете и не галочка в форме с условиями конфиденциальности. Обязательные реквизиты: ФИО кандидата, контактные данные, наименование оператора, цель («рассмотрение кандидатуры на должность»), перечень обрабатываемых данных (ФИО, телефон, email, опыт работы, образование), перечень действий (сбор, запись, хранение, использование), срок действия согласия и способ его отзыва.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных с 01.09.2025 оформляется отдельным документом, не объединяемым с иными документами. Ранее полученные согласия обратной силы не имеют — переоформлять их не требуется.»

Если кандидат откликается через job-агрегатор (hh.ru, SuperJob), согласие должен оформить оператор — работодатель — в момент первого контакта. Форму согласия допустимо направить по email или через КЭДО до начала обработки. Срок согласия — на период рассмотрения плюс разумный срок хранения (компания определяет самостоятельно, но не бессрочно).

Шаг 2. Зафиксируйте дату решения об отказе и основание хранения

Цель обработки ПДн кандидата — оценка пригодности к должности (ст. 5 ФЗ-152: обработка допустима лишь в объёме, соответствующем цели). При отрицательном решении цель достигнута. С этой даты начинается отсчёт срока хранения. Если согласие давалось на конкретный срок — срок истекает по его окончании. Если срок в согласии не указан — ориентиром служит разумный период, обычно не превышающий 30 дней после отказа, если иное не согласовано с кандидатом.

Исключение: кандидат дал явное согласие на включение в кадровый резерв. В этом случае обработка правомерна в течение срока, указанного в таком согласии. Без отдельного согласия на резерв — хранить резюме нельзя.

Согласия кандидатов ещё не переоформлены по ФЗ-156?

Если HRD не обновил формы согласий до 01.09.2025, каждое новое собеседование создаёт основание для штрафа 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП. Срок на обновление документов ограничен: чем раньше переделан пакет, тем меньше накопленных нарушений к моменту проверки. Юристы DATUM соберут комплект согласий кандидатов, проверят анкеты и приведут ОРД HR-департамента в соответствие с ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Уничтожьте данные кандидата или обезличьте их

Уничтожение означает, что восстановление данных технически невозможно. Для электронных носителей — безвозвратное удаление из ATS, почтового клиента, облачного хранилища и резервных копий. Для бумажных — шредирование с составлением акта. Обезличивание как альтернатива применимо только если компания планирует использовать обезличенные сведения для аналитики (например, статистика по источникам найма): тогда вместо уничтожения допустимо применить методы по Приказу РКН о методах обезличивания (обобщение, декомпозиция, введение идентификаторов).

На практике в HR-системах данные «удаляются» кликом, но остаются в корзине или в backup-снимках облака. Это не уничтожение по ст. 21 ФЗ-152. HR-директор совместно с IT обязан описать технический процесс удаления в регламенте обработки ПДн и зафиксировать его результат в акте или журнале.

«Ст. 21 ФЗ-152: оператор обязан уничтожить персональные данные в течение 30 дней с момента достижения цели обработки или отзыва согласия субъектом, если иной срок не установлен договором или законом.»

Как удаление данных кандидата оформляется документально?

Каждый факт уничтожения данных фиксируется в акте об уничтожении персональных данных. Форма — произвольная, но документ должен содержать: дату, перечень уничтоженных сведений (не персональные данные целиком, а их категории — ФИО, контакты, резюме), основание (истечение срока или отзыв согласия), способ уничтожения, ответственного. Акт подписывает лицо, ответственное за обработку ПДн по ст. 22.1 ФЗ-152.

Если кандидат направил письменное требование об уничтожении — ответить ему нужно в срок, установленный ст. 21 ФЗ-152 (30 дней), подтвердив факт уничтожения. Требование и ответ на него хранятся в журнале обращений субъектов. Отсутствие такого журнала при проверке РКН — самостоятельный индикатор нарушения.

Что подготовить HR-директору

  • Форма согласия кандидата на обработку ПДн — отдельный документ по ст. 9 ФЗ-152 в ред. ФЗ-156, с обязательными реквизитами и способом отзыва.
  • Регламент хранения и уничтожения ПДн соискателей — с указанием сроков хранения по категориям данных и порядка технического уничтожения.
  • Акт (журнал) об уничтожении персональных данных кандидатов — для фиксации каждого факта удаления.
  • Журнал обращений субъектов ПДн — для регистрации требований об уничтожении и ответов на них.
  • Порядок проверки облачных хранилищ и ATS на предмет «мягко удалённых» данных — совместно с IT-службой.

Шаг 5. Проверьте смежные точки хранения данных кандидата

Резюме отказника может находиться в нескольких местах одновременно: в ATS, в почтовом ящике рекрутера, в Telegram-чате команды, в облачном диске, в CRM-системе, в мессенджере HR-агентства-подрядчика. Уничтожение только из ATS при наличии копий в остальных точках не является надлежащим уничтожением по смыслу ст. 21 ФЗ-152.

Особое внимание — подрядчики: если кадровое агентство обрабатывает ПДн кандидатов по поручению работодателя (п. 3 ст. 6 ФЗ-152), в договоре поручения должно быть условие об уничтожении данных по запросу оператора. Работодатель несёт ответственность за утечку или несанкционированное хранение у подрядчика так же, как за собственные действия.

Шаг 6. Ответьте кандидату и задокументируйте завершение процесса

Если кандидат направил запрос об информации об обработке его ПДн по ст. 20 ФЗ-152 — ответить нужно в течение 10 рабочих дней с даты обращения (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Если кандидат потребовал уничтожения — подтвердить исполнение в срок по ст. 21 ФЗ-152. Форма ответа — произвольная, но письменная (email с уведомлением или почтовое письмо). Устный ответ при проверке РКН не принимается в качестве доказательства исполнения.

Итоговая точка процесса — запись в журнале обращений субъектов: дата запроса, суть требования, дата уничтожения данных, дата и способ направления ответа кандидату. Этот журнал — основной документ защиты при проверке.

Кандидат направил требование об удалении, а ATS «не умеет» удалять — у вас 30 дней на исполнение по ст. 21 ФЗ-152 и 10 рабочих дней на ответ по ст. 20. Просрочка — штраф 50 000–90 000 ₽ по ч. 5 ст. 13.11 КоАП. Юристы DATUM подготовят регламент уничтожения ПДн и форму ответа субъекту.

Собрать ОРД под ключ

Типовые сценарии: как нарушения возникают на практике

Сценарий 1. HRD хранит «базу резюме» на случай будущих вакансий. Ситуация: компания накапливает резюме отказников в общей папке без согласия на кадровый резерв. Доказательства нарушения: папка на сервере с датами создания файлов за 2–3 года, отсутствие актов уничтожения. Вероятный исход: штраф по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) за обработку ПДн в отсутствие надлежащего основания. Стратегия: немедленно провести инвентаризацию, уничтожить данные по лицам без актуального согласия, ввести регламент хранения.

Сценарий 2. Кандидат отозвал согласие, IT не удалило backup. Ситуация: рекрутер вручную удалил профиль из ATS, но данные сохранились в ежедневном backup облачного хранилища и в почтовом ящике. Кандидат через 6 месяцев обнаружил данные в утечке и подал жалобу в РКН. Доказательства нарушения: метаданные файлов резервной копии, заголовки писем в архиве почты. Вероятный исход: предписание об устранении + протокол по ч. 5 ст. 13.11 (50 000–90 000 ₽). Стратегия: описать технический процесс «глубокого удаления» в регламенте совместно с IT; backup кандидатских данных — по отдельной политике хранения с коротким retention.

Сценарий 3. Кадровое агентство хранит ПДн кандидатов после закрытия заявки. Ситуация: работодатель закрыл вакансию, но агентство-подрядчик продолжает хранить резюме в своей CRM без инструкции от оператора. Кандидат потребовал уничтожения — агентство не ответило, работодатель не знал о наличии данных у подрядчика. Вероятный исход: ответственность работодателя как оператора по п. 3 ст. 6 ФЗ-152. Стратегия: включить в договор с агентством обязанность уничтожения ПДн по завершении поручения и предоставления акта.

Как это применяется на практике

Кейс 1. Логистическая компания (Уральский ФО, осень 2025): HR-директор обнаружил, что ATS хранит резюме за 4 года без актов уничтожения и без согласий по новой форме. До проверки РКН оставалось около 3 месяцев. DATUM провёл экспресс-аудит ОРД, выявил 6 точек хранения ПДн кандидатов (ATS, почта, Telegram HR-команды, облако, подрядчик, архив сервера), подготовил регламент уничтожения и новые формы согласий. По итогам проверки РКН выдал предписание без штрафа — нарушения были устранены до начала надзорных мероприятий.

Кейс 2. Сеть розничных магазинов (Центральный ФО, начало 2026): кандидат направил требование об уничтожении ПДн после отказа в трудоустройстве. HR-департамент не ответил в установленный срок, кандидат подал жалобу в РКН. Арбитражный суд региона назначил штраф по ч. 5 ст. 13.11 КоАП. DATUM подключился на стадии обжалования, применил смягчающие обстоятельства (первичность нарушения, добровольное устранение). Итоговый штраф снизили до нижней границы диапазона. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента по 38 пунктам, включая согласия кандидатов и регламент уничтожения.
  • Комплект ОРД под ключ — формы согласий кандидатов по ФЗ-156, регламент хранения и уничтожения ПДн, журналы субъектов.
  • DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании, включая ответы на запросы кандидатов.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют — переоформлять их не требуется. Требование ФЗ-156 распространяется на новые согласия, получаемые с 01.09.2025. Если компания берёт нового кандидата или заключает договор с новым работником после этой даты — согласие должно быть оформлено отдельным документом по ст. 9 ФЗ-152 в актуальной редакции. Для действующих работников с ранее полученными согласиями — переоформление только по инициативе или при изменении условий обработки.

2. Какие данные нельзя спрашивать у кандидата в анкете?

Ст. 86 ТК РФ запрещает получать сведения о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях без письменного согласия. Данные о состоянии здоровья допустимы только в связи с вопросом о пригодности к должности (ст. 88 ТК РФ). Семейное положение, наличие детей, национальность, вероисповедание — сбор этих данных без явного правового основания нарушает ст. 10 ФЗ-152 о специальных категориях и может стать основанием для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

3. Можно ли вести видеонаблюдение в офисе за кандидатами на собеседовании?

Видеозапись собеседования относится к биометрическим персональным данным по ст. 11 ФЗ-152 (изображение лица). Обработка биометрии допустима только с письменного согласия субъекта — до начала записи. Согласие должно быть отдельным документом с указанием цели (проведение собеседования), состава данных, срока хранения записи и порядка её уничтожения. Скрытое видеонаблюдение на собеседовании без согласия — нарушение ст. 11 ФЗ-152 и ч. 16 ст. 13.11 КоАП.

4. Сколько хранить согласия после увольнения или отказа?

Для работников действующих: срок хранения личного дела, включая согласие, — 75 лет (ст. 22.2 ТК РФ, типовой срок для кадровых документов по Перечню Росархива). Для кандидатов, получивших отказ: согласие хранится не дольше, чем данные кандидата, — то есть до момента их уничтожения. После уничтожения данных само согласие может быть сохранено как доказательство правомерности прошлой обработки — рекомендуемый срок 3 года (срок исковой давности по ГК РФ).

5. Кто является оператором при использовании КЭДО?

При использовании КЭДО оператором персональных данных работников остаётся работодатель — он определяет цели и состав обрабатываемых ПДн. Провайдер КЭДО выступает лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). С провайдером необходимо заключить договор поручения с обязательными условиями: перечень действий, цели, обязанность конфиденциальности и уничтожения данных по истечении поручения. Отсутствие такого договора при проверке РКН — нарушение ч. 1 ст. 13.11 КоАП.

6. Что делать, если кандидат требует удаления данных, а данные нужны для судебного спора?

Ст. 21 ФЗ-152 предусматривает исключение: оператор вправе продолжать обработку данных, если это необходимо для защиты прав оператора в суде или для исполнения судебного акта. Если кандидат оспаривает отказ в трудоустройстве или обвиняет компанию в дискриминации — данные допустимо хранить до завершения судебного разбирательства. После его завершения — уничтожить. Основание для продолжения обработки следует зафиксировать письменно во внутреннем решении ответственного лица.

Итог

Удаление данных кандидата после отказа — не формальность, а обязанность с конкретными сроками и последствиями: 30 дней на уничтожение после достижения цели обработки, 10 рабочих дней на ответ субъекту по запросу, штраф 50 000–90 000 ₽ за неисполнение требования и 300 000–700 000 ₽ за обработку без надлежащего согласия. Все шесть шагов инструкции закрывают типовые точки накопления данных: ATS, почта, облако, подрядчики.

Практика DATUM сопровождает HR-департаменты в части 152-ФЗ: аудит ОРД, подготовка форм согласий по ФЗ-156, регламенты уничтожения данных, представление интересов при проверках РКН по кадровым вопросам.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

9 июня 2028 года