ГрамотаИБ ГрамотаИБ

Обработка персональных данных соискателей при найме: согласие, кадровый резерв и сроки

25.06.2026

Как работодателю законно обрабатывать персональные данные соискателей на этапе найма: на каком основании можно рассматривать резюме без отдельного согласия, почему хранение резюме в кадровом резерве требует отдельного согласия и срока, когда нужно согласие на проверку кандидата, принцип минимизации данных и сроки удаления после отказа. Типичные нарушения, за которые штрафует Роскомнадзор.

Воронка найма порождает много персональных данных: резюме, анкеты, тестовые задания, результаты собеседований. Соискатель — это ещё не работник, и правила здесь свои. Два главных риска работодателя — годами хранить резюме в базе без согласия и собирать у кандидата лишнее. Разберём, на каком основании можно обрабатывать данные соискателя, когда нужно согласие и какие сроки соблюдать.

Соискатель — субъект ПДн, вы — оператор

Резюме и анкета кандидата это персональные данные: ФИО, контакты, опыт, иногда дата рождения и фотография. Обрабатывая их, работодатель выступает оператором по 152-ФЗ и отвечает за законность обработки так же, как и в отношении данных работников.

Основание на этапе рассмотрения вакансии

Если соискатель сам откликнулся на конкретную вакансию, обработку его резюме для рассмотрения на эту позицию обычно относят к действиям по заключению договора по инициативе субъекта (пункт 2 части 1 статьи 6 152-ФЗ). В этом случае отдельное согласие на сам факт рассмотрения, как правило, не требуется — но только для этой цели и на время подбора. Как только данные используются шире или хранятся дольше, нужно согласие.

Кадровый резерв — это отдельное согласие

Самый частый подводный камень: компания закрыла вакансию, а резюме отклонённых кандидатов оставляет в базе на будущее. Хранение резюме в кадровом резерве выходит за рамки рассмотрения конкретной вакансии, поэтому допускается только с отдельным согласием соискателя и на указанный в нём срок. Нет согласия — по достижении цели (вакансия закрыта, кандидату отказано) данные нужно удалить или обезличить.

Проверка кандидата и данные от третьих лиц

Если вы проверяете соискателя через сторонние сервисы, звоните прежним работодателям или иным образом собираете сведения о нём не от него самого, нужно его письменное согласие. Это прямо следует из подхода статьи 86 ТК РФ (данные о работнике получают у него самого, а у третьей стороны — только с письменного согласия) и общих правил 152-ФЗ.

Минимизация: не запрашивайте лишнее

Действует принцип минимизации (статья 5 152-ФЗ): собирать можно только данные, необходимые для оценки на конкретную вакансию. Нельзя требовать избыточное — сведения о здоровье, национальности, членстве в профсоюзах, судимости — кроме случаев, когда это прямо предусмотрено законом для конкретной должности. Здесь же работают запрет дискриминации и перечень документов при приёме (статьи 64 и 65 ТК РФ).

Что должно быть в согласии соискателя

Если согласие требуется (кадровый резерв, проверка), оно оформляется отдельным документом и содержит сведения по части 4 статьи 9 152-ФЗ:

  • ФИО, адрес соискателя и реквизиты документа, удостоверяющего личность;
  • наименование и адрес работодателя (оператора);
  • цель — рассмотрение на текущую вакансию и (или) включение в кадровый резерв;
  • перечень данных и действий с ними;
  • срок хранения в кадровом резерве и порядок отзыва согласия;
  • подпись соискателя.

Типичные нарушения

  • Резюме годами в базе. Хранение откликов в кадровом резерве без согласия и без срока — частая причина претензий Роскомнадзора.
  • Не удаляют после отказа. Кандидату отказали, согласия на резерв нет, а данные остались.
  • Избыточные анкеты. Запрашивают данные, не нужные для вакансии (здоровье, национальность, семейное положение без основания).
  • Проверка без согласия. Скрининг кандидата и обзвон прежних работодателей без его письменного согласия.
  • Сорсинг с job-сайтов. Выгружают резюме из внешних баз в свою и обрабатывают без законного основания.

Главное

Резюме откликнувшегося кандидата можно рассматривать без отдельного согласия, но только под конкретную вакансию и на время подбора. Кадровый резерв, проверка кандидата и сбор данных у третьих лиц требуют отдельного согласия, а лишние данные собирать нельзя. После отказа без согласия на резерв данные удаляют или обезличивают. Это логичное продолжение темы согласия на обработку данных работников; общий порядок документов — в статье про политику обработки. ГрамотаИБ помогает определить, где согласие необходимо, и подготовить бланки и сроки под процесс найма — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Бумага и ИСПДн: что хранить, сколько и когда уничтожать персональные данные

Клиент подписал согласие и договор на бумаге, а данные внесли в информационную систему. Нужно ли после этого уничтожать оригиналы документов и сколько их хранить? Когда и как удалять данные из ИСПДн? Разбираем жизненный цикл персональных данных на двух носителях сразу: зачем хранить бумажный оригинал как доказательство законности обработки, какие сроки хранения у согласий и договоров, когда наступает обязанность уничтожить данные (30 дней по статье 21 152-ФЗ) и как оформить уничтожение по Приказу Роскомнадзора №179.

Согласие на обработку персональных данных работников: когда нужно, а когда нет

Разбираемся, когда работодателю действительно нужно согласие работника на обработку персональных данных, а когда хватает закона и трудового договора. Главная ошибка — брать согласие на всё подряд. Что изменилось с 1 сентября 2025 года (отдельный документ), требования ТК РФ и 152-ФЗ, что обязательно должно быть в согласии и типичные нарушения работодателей.

Политика обработки ПДн для сайта на внешнем хранилище Яндекса: передача данных третьим лицам

Разбор на конкретном примере: как сайту, который хранит персональные данные во внешнем облаке Яндекса (Yandex Object Storage, Яндекс Облако), правильно оформить передачу данных. Почему облако — это поручение обработки, а не слив данных на сторону, как закрывается локализация, что отразить в политике, что должно быть в согласии и в договоре поручения с провайдером. С примерами формулировок.

Как разработать политику обработки персональных данных: требования и типичные нарушения

Пошаговое руководство по разработке политики обработки персональных данных: чем регламентирован документ (статья 18.1 152-ФЗ и рекомендации Роскомнадзора), что обязательно должно быть внутри, где и как его публиковать, как составить под реальные процессы компании, а также подводные камни и характерные нарушения, за которые операторов штрафуют по статье 13.11 КоАП.