EUR/USD1.1810+0.65% GBP/USD1.3481-0.31% USD/JPY156.02-0.78% USD/RUB76.89-0.83% EUR/RUB90.75+1.05% CNY/RUB11.2215-0.13% BTC/USD64006-2.75% ETH/USD2032-1.03%
Киберпреступники маскируют фишинг под «пасхальные открытки» Схема со «случайными» деньгами на счёте: как действуют мошенники Госдума рекомендует иметь бумажные карты «Союзмультфильм» переходит на гибридную модель с ИИ
Главная / Соцсфера / Как хранить и обрабатывать персональные данные соискателей: правила для работодателя в 2026 году
Соцсфера
Артемий Серебряков · 13 мая, 2026

Как хранить и обрабатывать персональные данные соискателей: правила для работодателя в 2026 году

Как хранить и обрабатывать персональные данные соискателей: правила для работодателя в 2026 году

Резюме кажется обычным рабочим документом: имя, телефон, опыт, образование, иногда фото и ссылка на профиль. Но для закона это персональные данные. Как только работодатель получил отклик на вакансию, сохранил резюме в базе, переслал его руководителю отдела или загрузил в CRM, он стал оператором персональных данных и должен соблюдать правила 152-ФЗ.

Для соискателей тема тоже не формальность. В резюме часто есть телефон, почта, город, возраст, семейное положение, сведения о прошлой работе, иногда данные об инвалидности, воинском учете, детях или состоянии здоровья. Утечка такой базы может ударить по человеку сильнее, чем кажется: от спама и мошеннических звонков до проблем с текущим работодателем.

Ниже — практический разбор для бизнеса и HR: что можно делать с данными кандидатов, где нужна отдельная бумага или электронное согласие, что писать в документах и какие нарушения чаще всего заканчиваются жалобами и штрафами.

Бывали ли утечки и споры с соискателями

Да, такие конфликты встречаются регулярно, хотя не всегда доходят до суда. Самый частый сценарий — компания собирает резюме «на будущее», хранит их годами в общей папке, а потом база оказывается у бывшего сотрудника, подрядчика или в открытом доступе. Для работодателя это уже не бытовая небрежность, а риск по статье 13.11 КоАП РФ и отдельный репутационный удар.

Вторая типовая история — спор из-за отказа в приеме на работу. Соискатель просит объяснить, почему его не взяли, а компания в ответ пересылает внутреннюю переписку, результаты тестов или заметки рекрутера слишком широкому кругу людей. Если в этих материалах есть лишние сведения о здоровье, семье, возрасте, политических взглядах или других чувствительных обстоятельствах, риск резко растет.

Третий вариант — публикация персональных данных в рабочих чатах. Например, HR отправляет скрин паспорта, номер телефона или медицинскую справку кандидата в общий чат отдела, где есть люди, не участвующие в найме. Похожую проблему мы уже разбирали на бытовом примере: публикация личных данных в домовом чате может закончиться штрафом, и в корпоративной среде логика та же — доступ должен быть только у тех, кому данные действительно нужны.

Важно понимать: спор почти всегда начинается не с «большой кибератаки», а с мелкой привычки. Сохранили резюме в личной почте. Отправили паспорт в мессенджер. Не удалили отклики после закрытия вакансии. Дали стажеру доступ к базе кандидатов. Именно такие действия потом трудно объяснять проверяющим.

Что работодатель может делать с данными соискателя

Работодатель вправе собирать и использовать данные, которые нужны для подбора персонала: ФИО, контакты, сведения об образовании, опыте, навыках, портфолио, рекомендациях, желаемой должности и зарплате. Цель должна быть понятной: рассмотреть кандидата на конкретную вакансию или включить его в кадровый резерв, если человек на это согласился.

С резюме можно работать внутри компании: показывать рекрутеру, будущему руководителю, службе безопасности или кадровому специалисту, если они участвуют в оценке кандидата. Но принцип «чем больше людей посмотрит, тем надежнее» здесь не работает. Доступ должен быть ограничен кругом сотрудников, которым информация нужна по должностным обязанностям.

Можно проверять рекомендации, если кандидат сам указал контакты рекомендателей или дал согласие на такую проверку. Лучше не звонить текущему работодателю без прямого разрешения: для человека это может создать трудовой конфликт, а для компании — претензию о чрезмерной обработке данных.

Можно хранить резюме после завершения отбора, но только если есть правовое основание и понятный срок. Например, кандидат согласился на кадровый резерв на 6 или 12 месяцев. Если согласия нет, а вакансия закрыта и спора не ожидается, данные лучше удалить или обезличить.

Отдельно стоит относиться к автоматизированным HR-сервисам и нейросетям. На рынке уже появляются инструменты вроде виртуальных HR-специалистов для найма. Если компания загружает туда резюме, она должна понимать, кто получает доступ к данным, где они хранятся, есть ли поручение обработки и можно ли удалить информацию по запросу кандидата.

Чего работодатель делать не должен

Нельзя собирать данные «на всякий случай». Если вакансия не требует водительских прав, сведений о детях, состоянии здоровья, религии или политических взглядах, такие вопросы лучше не задавать. Закон требует, чтобы объем данных соответствовал цели обработки.

Нельзя передавать резюме третьим лицам без основания. Кадровое агентство, внешний сервис оценки, облачная CRM, подрядчик по проверке службы безопасности — все это отдельные участники процесса. С ними нужно оформить договор или поручение обработки, а кандидата заранее проинформировать, кому и зачем могут передаваться его данные.

Нельзя использовать данные кандидата для других целей. Человек откликнулся на вакансию бухгалтера — это не означает, что его телефон можно добавить в рекламную рассылку, базу продаж или чат «интересных контактов». Новая цель требует отдельного основания, а чаще всего отдельного согласия.

Нельзя хранить копии паспортов и иных документов без необходимости. До оформления трудового договора обычно достаточно резюме, контактов и документов, подтверждающих квалификацию, если они реально нужны для отбора. Паспортные данные, СНИЛС, ИНН, сведения воинского учета и трудовая книжка появляются уже на этапе трудоустройства, а не при первом отклике.

Нельзя оставлять данные без защиты. Общая таблица без пароля, папка с резюме в открытом облаке, доступ у уволенного рекрутера, пересылка документов через личные аккаунты — все это типовые нарушения. Закон не требует невозможного, но требует организационных и технических мер: разграничения доступа, паролей, учета, удаления лишнего и контроля подрядчиков.

Что нужно прописать в согласии и документах

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Для HR это значит: нельзя ограничиться фразой «согласен на обработку персональных данных» внизу анкеты. Человек должен понимать, кто обрабатывает данные, какие именно данные, зачем, как долго и какие действия с ними будут совершаться.

В согласии соискателя стоит указать:

  • полное наименование и адрес работодателя-оператора;
  • цель обработки: рассмотрение кандидатуры на вакансию, проведение интервью, проверка квалификации, формирование кадрового резерва;
  • перечень данных: ФИО, контакты, образование, опыт, сведения из резюме, результаты тестовых заданий и интервью;
  • действия с данными: сбор, запись, систематизация, хранение, уточнение, использование, передача внутри компании, удаление или уничтожение;
  • срок действия согласия и порядок его отзыва;
  • сведения о третьих лицах, если данные передаются кадровому агентству, HR-платформе, сервису тестирования или другому подрядчику;
  • способ связи для запросов кандидата по его персональным данным.

Для кадрового резерва лучше делать отдельный пункт или отдельное согласие. Формулировка может быть простой: кандидат разрешает хранить резюме после завершения отбора, чтобы компания могла предложить другие вакансии в течение конкретного срока. Без такого пункта хранить отклик годами рискованно.

Кроме согласия, компании нужны внутренние документы: политика обработки персональных данных, положение о доступе к резюме, порядок удаления данных кандидатов, инструкция для HR и шаблон ответа на отзыв согласия. Для работников действуют нормы Трудового кодекса о защите персональных данных работника, но соискатели до приема на работу защищаются прежде всего 152-ФЗ и общими правилами обработки.

Как хранить резюме и документы кандидатов

Хранение начинается с простого вопроса: где лежат данные и кто их видит. Если ответ звучит как «у всех HR в почте и в нескольких таблицах», систему нужно приводить в порядок.

Минимальный безопасный набор выглядит так:

  • одна основная база кандидатов вместо разрозненных копий;
  • доступ только у HR, руководителей вакансий и других сотрудников, участвующих в подборе;
  • отдельные права для просмотра, редактирования, выгрузки и удаления;
  • запрет на хранение резюме в личной почте и личных облаках;
  • регулярная проверка доступа после увольнения или перевода сотрудников;
  • срок хранения для закрытых вакансий и кадрового резерва;
  • журнал или иной след действий с важными документами, если система это позволяет.

Сроки стоит закрепить письменно. Например, данные по закрытой вакансии без согласия на резерв удаляются после завершения отбора и разумного срока на возможные претензии. Данные кадрового резерва хранятся 6 или 12 месяцев, затем согласие обновляется или резюме удаляется. Универсального срока для всех ситуаций нет, но вечное хранение «потому что вдруг пригодится» плохо сочетается с принципами 152-ФЗ.

Если кандидат отозвал согласие, данные нужно прекратить обрабатывать и удалить, если нет другого законного основания для хранения. Например, если идет судебный спор, часть документов может сохраняться для защиты прав компании. Но это должно быть исключением, а не предлогом оставить всю базу.

Частые нарушения работодателей

Самое частое нарушение — отсутствие понятного согласия там, где оно нужно. Работодатель скачал резюме с сайта, перенес в свою базу, переслал подрядчику, оставил в резерве, а кандидат об этом не знает. Даже если первоначальный отклик был добровольным, дальнейшие действия должны соответствовать цели и условиям обработки.

Второе нарушение — лишние вопросы в анкетах. Семейное положение, планы по детям, состояние здоровья, религиозные взгляды, наличие кредитов, политические предпочтения обычно не относятся к оценке профессиональных качеств. Чем чувствительнее вопрос, тем выше риск.

Третье — пересылка документов в мессенджерах и общих чатах. Особенно опасны паспорта, медицинские документы, справки, результаты проверок и комментарии службы безопасности. Даже внутри компании такие сведения нельзя раздавать всем подряд.

Четвертое — отсутствие удаления. Компания может годами хранить резюме людей, которые давно не имеют отношения к вакансиям. Когда база утекает, объяснение «мы просто забыли удалить» не помогает.

Пятое — неоформленные подрядчики. HR-платформа, облачный сервис, внешний рекрутер или агентство получают доступ к данным, но в договоре нет поручения на обработку, требований к защите, сроков удаления и запрета использовать базу в своих целях.

Чем это грозит работодателю

Главный риск — административный штраф по статье 13.11 КоАП РФ. По действующей редакции на 2026 год обработка без законного основания или не по заявленной цели может стоить юридическому лицу от 150 тыс. до 300 тыс. рублей, а повторное нарушение — от 300 тыс. до 500 тыс. рублей.

Если письменное согласие обязательно, но его нет или оно составлено с нарушениями, штраф для юрлица выше: от 300 тыс. до 700 тыс. рублей. При повторном нарушении суммы могут доходить до 1,5 млн рублей для организаций.

За утечки и неправомерную передачу данных штрафы зависят от масштаба, состава данных и последствий. Если в открытый доступ попала база кандидатов, Роскомнадзор будет смотреть не только на сам факт утечки, но и на то, какие меры защиты были у компании, как быстро она отреагировала, уведомила ли регулятора и пострадавших, прекратила ли доступ.

Есть и трудовые риски. Если кандидат стал сотрудником, включаются нормы главы 14 ТК РФ: работодатель обязан обрабатывать данные работника только в законных целях, получать сведения преимущественно у самого работника и не передавать их третьим лицам без оснований. Нарушения могут привести к жалобам в трудовую инспекцию, судебным спорам и компенсации морального вреда.

Наконец, есть риск доверия. Для работодателя, который конкурирует за сильных специалистов, утечка резюме или небрежная переписка HR иногда вреднее самого штрафа. Кандидаты быстро делают вывод: если компания так обращается с документами до найма, что будет после трудоустройства?

Короткий чек-лист для HR и руководителя

Перед запуском вакансии проверьте пять вещей.

  1. Есть ли понятная цель обработки данных кандидатов и не собираете ли вы лишнее.
  2. Есть ли согласие или другое правовое основание для каждого этапа: отклик, интервью, тестовое, кадровый резерв, передача подрядчику.
  3. Понимает ли кандидат, кто и сколько будет хранить его данные.
  4. Ограничен ли доступ к резюме внутри компании.
  5. Есть ли процедура удаления данных после закрытия вакансии или отзыва согласия.

Если хотя бы на один вопрос ответ «не знаю», лучше исправить процесс до массового подбора. Это дешевле, чем разбирать жалобу после утечки.

FAQ

Можно ли хранить резюме соискателя без согласия?
На период рассмотрения отклика — обычно да, если человек сам направил резюме для конкретной вакансии. Но хранить его после закрытия вакансии «на будущее» безопаснее только с отдельным согласием на кадровый резерв и конкретным сроком.

Нужно ли отдельное согласие на проверку рекомендаций?
Да, особенно если работодатель сам связывается с прежними работодателями или рекомендателями. Оптимально получить прямое разрешение кандидата и использовать только те контакты, которые он предоставил.

Можно ли отправить резюме руководителю подразделения?
Можно, если руководитель участвует в подборе на эту вакансию. Но резюме не стоит пересылать в общие чаты, хранить в личной почте или показывать сотрудникам, которые не принимают решения по кандидату.

Что делать, если кандидат отозвал согласие?
Нужно прекратить обработку и удалить данные, если у компании нет другого законного основания для хранения. Если часть документов нужна для защиты в споре, храните только необходимый минимум и зафиксируйте причину.

Можно ли использовать резюме для рассылки других вакансий?
Да, если кандидат согласился на кадровый резерв или получение предложений о вакансиях. Без такого согласия лучше ограничиться той вакансией, на которую человек откликался.

Какие данные соискателя лучше не запрашивать до оффера?
Паспортные данные, СНИЛС, ИНН, сведения о здоровье, семье, детях, религии, политических взглядах и финансовом положении, если они не требуются законом или объективно не связаны с вакансией.

Главное

Персональные данные соискателей нужно обрабатывать так же аккуратно, как данные сотрудников: с понятной целью, минимальным объемом, ограниченным доступом и сроком хранения. Резюме нельзя превращать в вечный архив, а согласие — в формальную строчку без смысла.

Для работодателя правильная схема проста: собрать только нужные сведения, объяснить кандидату цель, оформить согласие там, где оно требуется, ограничить доступ, удалить данные после завершения цели. Это не бюрократия ради бюрократии, а нормальная гигиена найма.

Источники

  • Федеральный закон N 152-ФЗ «О персональных данных», статьи 5, 6, 9, 18.1, 19.
  • Трудовой кодекс РФ, глава 14, статьи 86-90.
  • КоАП РФ, статья 13.11 о нарушениях законодательства в области персональных данных.
  • Разъяснения Роскомнадзора о согласии субъекта персональных данных и обязанностях оператора.
AvanChange GogoCard
Артемий Серебряков

Артемий Серебряков

Автор и обозреватель

Артемий Серебряков — автор новостей России о технологиях, цифровой повестке, инфраструктуре и экономических изменениях. В материалах опирается на официальные данные и комментарии экспертов.