Кто и как за это ответит?
Обработка персональных данных при подборе сотрудников
Как выстроить работу HR-службы, чтобы не платить штрафы
Ужесточена ответственность за обработку персональных данных с нарушениями
Во время поиска работников компания обрабатывает персональные данные (далее – ПД) соискателей. Поэтому она должна соблюдать требования Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
Нарушения при обработке ПД могут привести не только к ухудшению репутации фирмы, но и к значительным финансовым потерям.
Например, с 30 мая 2025 года штраф для компаний за обработку ПД в не предусмотренных законом случаях или в целях, несовместимых с целями сбора ПД, составит 300 000 рублей вместо 100 000 рублей (Федеральный закон от 30 ноября 2024 г. № 420-ФЗ, ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях).
Рекомендации по обработке данных соискателей
1. Получите согласие на обработку ПД.
До обсуждения с соискателем возможного сотрудничества компания должна получить его согласие на обработку ПД. На данный случай не распространяются установленные законом основания обработки ПД без согласия (ст. 6 Закона № 152-ФЗ).
Недопустимо понуждать соискателя к даче согласия, в том числе угрожать негативными последствиями. Его молчание или бездействие согласием не считается.
2. Сделайте согласие ясным и точным.
Cогласие должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Закона № 152-ФЗ). Как минимум оно должно содержать разъяснение понятия «обработка персональных данных» (дела № А65-15999/2021 и № 2-432/2025).
3. Определите срок обработки ПД.
Согласие не может быть бессрочным или иметь срок, который не соотносится с целью обработки ПД (см. вебинар Роскомнадзора от 27 июля 2023 г.).
Обработка ПД соискателя требуется только до принятия работодателем решения о приеме на работу или об отказе в трудоустройстве (см. разъяснения Роскомнадзора).
4. Установите чекбокс при получении согласий в электронной форме.
Компании не запрещается использовать свой сайт для поиска работников. Через него соискатели могут направлять резюме, заполнив форму. Но в таком случае должен быть предусмотрен чекбокс для дачи согласия на обработку ПД. Причем заранее проставлять галочку в боксе за соискателей запрещено.
Кроме того, компания должна убедиться, что резюме направил соискатель. Например, с помощью обратной связи по электронной почте, телефону или на личной встрече (см. разъяснения Роскомнадзора).
Также компания может получить согласие соискателя в виде скан-копии.
5. Вовремя удаляйте резюме соискателей.
При отказе в приеме на работу ПД соискателя должны быть уничтожены в течение 30 дней (ч. 4 ст. 21 Закона № 152-ФЗ).
Можно сохранить ПД, если соискатель дал согласие на включение его в кадровый резерв. Тогда компания должна ознакомить кандидата с порядком ведения резерва и исключения из него. Срок нахождения в резерве необходимо ограничить. После истечения этого срока резюме подлежит уничтожению (см. разъяснения Роскомнадзора).
В статье «Модульное согласие работника на обработку персональных данных» читайте о том, когда такое согласие нужно работодателю и как его составить.
Для читателей, которые не хотят пропускать юридические советы, у нас есть телеграм-канал @agexpert и сообщество «АГ-эксперт» в соцсети «ВКонтакте». Присоединяйтесь!
