С 30 мая 2025 года в России вступили в силу изменения в Закон о персональных данных № 152-ФЗ.
Звучит тревожно, особенно для тех, кто ежедневно работает с персональными данными: резюме, базами кандидатов, согласиями. Но волноваться не стоит — в статье мы подготовили для вас понятную расшифровку главных изменений и простые подсказки, как поступать, чтобы штрафы обходили вас стороной.
| ❗ А еще прямо сейчас мы работаем над материалом с частыми вопросами об изменениях закона о персональных данных. Если у вас есть вопрос, который важно подсветить в статье — пишите нам на почту editorial@huntflow.ru |
Что такое персональные данные
Персональные данные, или ПДн — это любая информация, по которой можно прямо или косвенно идентифицировать человека: ФИО, телефон, email, паспортные данные, дата рождения, фото, IP-адрес, поведение на сайте и многое другое.
Все данные делятся на три категории:
1️⃣ Обычные — например, имя, контактная информация, адрес, место работы.
2️⃣ Специальные — например, информация о здоровье, национальности, судимостях, политических взглядах.
3️⃣ Биометрические — например, отпечатки пальцев.
👉 В HR-сфере к персональным данным относятся резюме кандидатов, фотографии сотрудников на сайте компании, данные специалистов для оформления пропусков или полиса ДМС, результаты тестовых заданий с указанием ФИО и т. д.
О чем важно помнить
Утечка данных
Если кто-то взломает вашу базу резюме, согласно изменениям закона от 30 мая 2025 года, ответственность может понести ваша компания (не рекрутер). Чтобы избежать взлома, всего лишь нужно:
❌ Не пересылать резюме напрямую и никому не давать логин и пароль от рекрутинговой системы
◾ Контролировать доступ к базе
На каждую цель сбора данных — отдельное согласие
Обрабатывать персональные данные можно только в рамках заявленных целей. Например, если вы добавили кандидата в базу, чтобы рассмотреть его для открытой вакансии, но потом решили занести его в резерв, это уже две разные цели. И два согласия.
Письменное согласие чаще не нужно
В большинстве случаев в работе рекрутеров письменная форма согласия не требуется — достаточно обычного электронного согласия, полученного, например, по email или через рекрутинговую систему.
Но есть исключения. Например, если вы обрабатываете чувствительные данные:
- Состояние здоровья
- Биометрия
- Сведения о судимости и прочее
В таких случаях требуется письменное согласие (ст. 9 152-ФЗ). Это может касаться, например, кандидатов на должность врача, пилота, сотрудников службы безопасности.
Когда удалять резюме кандидата
- Согласие не получено в течение 30 дней
- Достигнута цель обработки. Например, вы получили резюме кандидата для участия в конкретном подборе. Вакансия закрыта, кандидат не подошел и не дал согласия на включение в кадровый резерв — значит, цель обработки утрачена и данные нужно удалить
- Истек срок хранения. Этот срок компания определяет сама, исходя из конкретной цели хранения. Например, если вы храните резюме кандидата более двух лет, — и это тот срок, который описан в согласии на обработку персональных данных специалиста — это будет считаться просрочкой, и резюме нужно будет удалить
- Человек отозвал согласие
Для корректного удаления данных составляется акт об уничтожении — в бумажном или электронном виде, он хранится три года. Использование резюме на джоб-сайтах, вроде hh.ru, регулируется отдельными документами, опубликованными на этих ресурсах.
Неуведомление или несвоевременное уведомление РКН о сборе данных
До изменений в законе компании допускали для себя возможность не уведомлять Роскомнадзор о начале обработки персональных данных — специальной ответственности за это не было. Теперь это серьезное нарушение.
❗ Проверьте, подано ли уведомление и актуальна ли информация о вашей компании в реестре операторов персональных данных.
Три подсказки для рекрутера
🌐 Если сервис с данными находится за пределами России, это может быть нарушением. Например Google, в том числе Таблицы, и некоторые зарубежные CRM-системы не обеспечивают хранение данных на территории РФ. Использовать такие решения для работы с персональными данными — риск. Важно убедиться, что ваши базы размещены в РФ.
🗣️ Если кандидат запрашивает, где и как хранятся его данные, вы обязаны предоставить эту информацию.
🗑️ Если кандидат отозвал согласие, его данные нужно удалить. Иначе это приравнивается к неправомерной обработке.
7 подсказок для руководителей подбора и HRD
- Проверьте наличие необходимых документов в сфере персональных данных: политики обработки персональных данных, актуальных согласий, документов по информационной безопасности в сфере обработки ПДн
- Назначьте ответственного за работу с ПДн
- Создайте регламент действий при утечке
- Введите журнал обращений об удалениях или изменении данных
- Обновите формы согласия на обработку персональных данных
- Создайте реестр обработок персональных данных
- Уведомите Роскомнадзор, если не обновляли форму после 2022 года
✅ Собирайте согласия у кандидатов. Даже если получили резюме с джоб-сайта, убедитесь, что есть согласие на обработку данных
✅ Удаляйте тех, кто отозвал согласие. Нет согласия — нет права на хранение
✅ Не используйте сомнительные источники. Не сохраняйте резюме из чатов или закрытых баз. Запрашивайте ссылки на джоб-платформы и изучайте политику конфиденциальности на сайтах
✅ Не делитесь данными без согласия. Передача резюме коллегам или подрядчикам допустима только при наличии отдельного согласия. Лучше делиться ссылками на резюме, а не файлами
Ольга Ефимова,
операционный директор Хантфлоу
Хантфлоу помогает рекрутерам и эйчарам работать с персональными данными по всем требованиям закона. Система автоматизирует сбор согласий, отслеживает сроки хранения и уведомляет о необходимости повторного запроса.
