HR-tech и сайты вакансий: обработка резюме без нарушений ФЗ-152

Почему HR-tech попадает под двойной регуляторный удар

Сайты по подбору персонала, корпоративные карьерные страницы, работные порталы, внутренние ATS-системы (Applicant Tracking System) обрабатывают персональные данные в объёмах, сопоставимых с крупными интернет-магазинами, но с гораздо более высоким уровнем чувствительности. Резюме кандидата содержит ФИО, дату рождения, адрес проживания, номер телефона, email, сведения об образовании, опыте работы, семейном положении, наличии детей, военной обязанности, иногда – сведения о состоянии здоровья (для конкретных вакансий) и о судимостях (для вакансий с ограничениями).

HR-tech попадает под удвоенный регуляторный пресс: ФЗ-152 «О персональных данных» и одновременно трудовое законодательство. Трудовой кодекс РФ (глава 14, статьи 85–90) детально регулирует работу работодателя с персональными данными работников и соискателей. В 2026 году кадровые системы – один из приоритетных объектов внимания Роскомнадзора, особенно после серии громких утечек резюме с российских работных сайтов в 2023–2024 годах.

Утечка базы резюме крупного работного сервиса летом 2024 года затронула более 50 миллионов записей. Инцидент привлёк внимание не только РКН, но и Госдумы – именно после него ускорилось принятие закона об оборотных штрафах (ФЗ-420 от 30.11.2024). Оборотный штраф за такой инцидент в 2026 году составил бы от 15 млн до 3% годовой выручки.

Правовые основания обработки резюме и сведений о кандидатах

Обработка ПДн соискателя до заключения трудового договора основывается на двух возможных основаниях:

  1. Согласие субъекта (пункт 1 части 1 статьи 6 ФЗ-152) – работник самостоятельно размещает резюме или заполняет анкету
  2. Исполнение договора (пункт 5 части 1 статьи 6) – только после заключения трудового/гражданско-правового договора

На этапе отклика на вакансию применяется первое основание. Это означает: любая форма на карьерном сайте должна содержать чекбокс согласия на обработку ПДн. Принять резюме на email и начать с ним работать без документального подтверждения согласия – нарушение.

Типичные нарушения на карьерных сайтах

1. Отсутствие согласия на специальные категории

Резюме часто содержит сведения, относящиеся к спецкатегориям: информация о вероисповедании («могу работать в субботу или нет»), о политических взглядах, о членстве в общественных организациях, о состоянии здоровья (например, «не курю, спортивен»). Если такие сведения обрабатываются, необходимо отдельное письменное согласие по статье 10 ФЗ-152.

2. Передача резюме третьим лицам без согласия

Кадровое агентство получает резюме соискателя и передаёт работодателю – конечному заказчику. Это передача ПДн, требующая согласия субъекта или поручения обработки. На практике агентства передают резюме через email, без документального оформления, без уведомления соискателя о конкретном работодателе.

3. Хранение резюме после отказа

Компания получила резюме, провела собеседование, отказала кандидату – а резюме продолжает храниться «в кадровом резерве» годами. По принципу ограничения хранения (пункт 7 части 1 статьи 5 ФЗ-152) данные должны уничтожаться после достижения цели. Если цель – закрытие конкретной вакансии, а вакансия закрыта, резюме должно быть удалено.

4. Профилирование кандидатов без согласия

Современные ATS и рекрутинговые платформы используют алгоритмы скоринга: оценивают резюме по соответствию вакансии, автоматически ранжируют, отсеивают. Автоматизированное принятие решений, влияющих на права субъекта (статья 16 ФЗ-152), требует отдельного согласия и предоставления возможности запросить пересмотр решения человеком.

5. Публикация резюме во внутренних чатах

Рекрутеры часто пересылают резюме в корпоративных чатах (Slack, Microsoft Teams, Telegram) – для согласования с нанимающим менеджером. Если чат не размещён на серверах в РФ, это нарушение локализации (18.1) плюс возможная трансграничная передача (статья 12).

Минимальные требования к карьерному сайту

  1. Политика конфиденциальности с отдельным разделом об обработке данных соискателей
  2. В форме отклика на вакансию – чекбокс согласия, ссылка на политику
  3. Если форма содержит поля, которые могут предполагать спецкатегории (военнообязанность, состояние здоровья, данные о детях), – отдельный чекбокс согласия на спецкатегории
  4. Явное указание срока хранения резюме (например, 6 месяцев, после чего автоматическое удаление)
  5. Информирование кандидата о возможной передаче его резюме третьим лицам (заказчикам при работе через агентство)
  6. Возможность запросить удаление резюме в любой момент
  7. Сайт размещён на серверах в РФ, база – на российском MySQL/PostgreSQL
  8. ATS-система – либо собственная на российской инфраструктуре, либо российский SaaS (FriendWork, Huntflow, E-Staff, Поток Рекрутмент)

Карьерный сайт работодателя (прямой найм)

Если компания ведёт подбор сама, через раздел «Вакансии» на корпоративном сайте, применяются все требования ФЗ-152 к оператору:

  • Компания – оператор ПДн соискателей
  • Уведомление в РКН должно включать цель «подбор персонала» и соответствующий перечень данных
  • Ответственный за обработку ПДн назначается приказом (может быть HR-директор или руководитель HR-отдела)
  • Приём резюме – только через защищённую форму на сайте или защищённый email
  • Резюме сохраняется в ATS или кадровой системе, не в личных файлах рекрутера

Типовая схема соответствия для карьерного сайта

Элемент Правильная реализация
Форма отклика HTTPS, чекбокс согласия, ссылка на политику, поля минимальны
Загрузка файла резюме Антивирусная проверка, лимит размера, проверка типа файла (PDF/DOC)
Хранение ATS на российских серверах, зашифрованное хранилище файлов
Доступ рекрутеров По ролям, с журналированием
Срок хранения отклонённых резюме 6 месяцев – стандартная практика, с автоматическим удалением
Коммуникация с кандидатом Через ATS или корпоративный email на российском хостинге
Внутреннее обсуждение В корпоративной системе (Битрикс24, Яндекс 360), не через Slack/Teams

Кадровые агентства и рекрутинговые сервисы

Работа кадрового агентства – это обработка ПДн соискателя от имени самого соискателя для передачи заказчикам (работодателям). Правовое основание – согласие соискателя на обработку и передачу третьим лицам.

Что должно быть в согласии для соискателя

  1. Чёткое указание, что данные могут быть переданы потенциальным работодателям
  2. Категории работодателей (или конкретный перечень, если возможно): банки, IT-компании, производственные предприятия и т.д.
  3. Срок хранения резюме в базе агентства
  4. Право отозвать согласие и потребовать удаления
  5. Способ уведомления соискателя о каждой передаче его резюме конкретному работодателю

Договорная работа с работодателями

  • Договор с работодателем должен содержать пункт о поручении обработки ПДн (если агентство обрабатывает данные по поручению работодателя)
  • Либо пункт о совместной обработке с распределением ответственности
  • Работодатель обязан обеспечить защиту полученных резюме в соответствии с требованиями ФЗ-152
  • При отказе работодателя от кандидата – возврат или удаление переданных данных в разумный срок

Работа с резюме из открытых источников

Некоторые рекрутинговые сервисы собирают резюме из открытых источников – соцсетей, профессиональных сетей (LinkedIn до 2016 года, сейчас – VK, TenChat, Хабр.Карьера). Даже если данные опубликованы публично, их сбор и обработка требует:

  • Согласия субъекта либо иного правового основания из статьи 6
  • Уведомления субъекта о том, что его данные используются в целях рекрутинга
  • Соблюдения принципа минимальности – не собирать избыточную информацию

Практика парсинга LinkedIn, VK, Хабр.Карьеры без согласия – зона юридического риска. РКН в 2024 году вынес несколько предписаний против сервисов агрегации резюме за обработку без согласия субъектов.

Работные порталы и биржи труда

Для крупных работных порталов (hh.ru, SuperJob, Работа.ру, Авито Работа) применяются все требования ФЗ-152 как к крупным операторам плюс:

  • Обязательное уведомление в РКН с указанием обработки данных соискателей в качестве основной деятельности
  • Внедрение системы управления инцидентами (утечки резюме)
  • Уведомление об утечках в РКН в 24 часа (обязательно с 2023 года)
  • Расширенные технические меры защиты (соответствие УЗ-2 или УЗ-1)
  • Возможность для пользователей ограничить видимость резюме (только для работодателей с определённым статусом)
  • Аутентификация работодателей – исключение фейковых компаний, которые собирают резюме для кражи данных

Внутренние HR-системы: часто забытый объект

Внутренняя кадровая система компании – объект обработки ПДн работников и соискателей, к которому применяются все требования ФЗ-152. Типичные системы: 1С:ЗУП, SAP HR, БОСС-Кадровик, российские HCM (БГУ.Кадры, WebHR, Miro HR).

Что проверяет РКН во внутренней HR-системе

  • Размещение серверов – в РФ
  • Разграничение доступа – рекрутер видит только отклики, кадровик – действующих работников, и т.д.
  • Журналирование операций – кто и когда просматривал/редактировал данные
  • Защита от несанкционированного доступа (2FA для HR-специалистов)
  • Резервное копирование в соответствии с требованиями (см. статью о бэкапах ПДн)
  • Интеграции с другими системами (зарплата, учёт рабочего времени) – с договорами о поручении обработки

Тесты и оценка соискателей

Многие компании используют онлайн-тестирование кандидатов (тесты способностей, психологические тесты, технические задания). Результаты тестов – это ПДн, требующие:

  1. Согласия кандидата на прохождение тестирования с обработкой результатов
  2. Уведомления о цели тестирования и использовании результатов при принятии решения
  3. Возможности запросить результаты своего тестирования
  4. Уничтожения результатов после принятия решения или по истечении срока хранения
  5. Для автоматического принятия решения на основе результатов – согласия по статье 16 ФЗ-152

Рекрутинг в соцсетях и мессенджерах

Прямой хантинг через соцсети (VK, TenChat, Telegram) – распространённая практика. Правила игры:

  • Публичное сообщение в соцсети с предложением вакансии – допустимо, это не считается обработкой ПДн в терминологии ФЗ-152
  • Получение резюме от кандидата в личном сообщении – требует сохранения чёткого согласия (согласие дано самим фактом отправки + запрос на подтверждение по email)
  • Ведение базы потенциальных кандидатов в личных аккаунтах рекрутеров в соцсетях – нарушение принципа хранения в защищённой системе; необходимо перенос в корпоративную ATS
  • Telegram-чаты между рекрутерами с обсуждением конкретных кандидатов – зона риска, рекомендуется перенос в российский мессенджер

Чек-лист соответствия HR-tech сайта ФЗ-152

  1. Политика конфиденциальности включает отдельный раздел об обработке данных соискателей
  2. Форма отклика – HTTPS, чекбокс согласия, минимальные поля
  3. Если резюме может содержать спецкатегории – отдельный чекбокс
  4. Срок хранения резюме чётко определён в политике и технически реализован
  5. Сайт и ATS – на серверах в РФ
  6. Ответственный за обработку ПДн назначен приказом
  7. Уведомление в РКН подано
  8. Со всеми контрагентами (работодателями при работе агентства, кадровыми подрядчиками) – поручения обработки
  9. Внутреннее обсуждение кандидатов – только в корпоративных системах на российской инфраструктуре
  10. Доступ к базе резюме – по ролям, с журналированием
  11. Технические меры соответствуют УЗ-2 (или УЗ-1 для массовых сервисов)
  12. Есть процедура реагирования на инциденты с уведомлением РКН в 24 часа
  13. Автоматическое принятие решений (скоринг резюме) оформлено отдельным согласием
  14. Тесты и оценка – с информированием кандидата
  15. Есть регламент ответа на запросы субъектов в 10-дневный срок

Стратегия для HR-отдела на 2026 год

Чтобы войти в 2026 год с соответствием ФЗ-152, HR-отделу рекомендуется:

  1. Провести аудит карьерного сайта и ATS на наличие всех элементов согласия и защиты
  2. Проверить и обновить все договоры с внешними контрагентами (рекрутинговые сервисы, оценочные платформы, провайдеры тестов)
  3. Внедрить автоматическое удаление резюме по истечении срока хранения
  4. Обучить рекрутеров работе в корпоративных системах, а не в личных аккаунтах и мессенджерах
  5. Подготовить план реагирования на утечку – потому что массовые утечки резюме в 2023–2024 годах показали, что эта категория ПДн – приоритетная цель для злоумышленников
  6. Разделить базу действующих работников и базу соискателей на уровне прав доступа
  7. Настроить регулярный аудит (раз в квартал) журналов доступа к резюме – выявление аномального поведения

Инвестиции в корректную настройку HR-tech – это не только соответствие закону, но и защита от репутационных рисков. Утечка кадровой базы по оборотным штрафам 2026 года легко превратится в потерю нескольких десятков миллионов рублей и серьёзный удар по HR-бренду работодателя.