Обмен персональными данными при найме: что (не) передавать подрядчикам и как фиксировать согласия

И здесь легко ошибиться: передать лишнее, забыть про согласие или ограничиться устной договоренностью. Закон таких вольностей не прощает, а Роскомнадзор ценит аккуратность сильнее красивых HR-презентаций.

При подборе персонала работодатели не всегда действуют в одиночку. В процесс вовлекают сторонние организации, с которыми заключается договор на обмен персональными данными или передачи ПДн третьим лицам. На практике подрядчиками чаще всего становятся кадровые агентства, фрилансеры-рекрутеры, онлайн‑платформы для размещения вакансий, сервисы оценки персонала, компании по проверке благонадежности кандидатов, а также провайдеры HR‑CRM и ATS‑систем.

Здесь возможны разные схемы, например:

1. Отбором кандидатов полностью занимается рекрутер: размещает объявления, проводит собеседования и т.д. Здесь сбором ПДн занимается рекрутинговое агентство, данные передаются заказчику-работодателю. 

2. Работодатель сам публикует объявления, но собеседования проводит сторонний HR. Данные собирает заказчик и передает их подрядчику. 

Ключевой принцип прост: передаются только те сведения, без которых невозможно рассмотреть кандидатуру. Такой обмен персональными данными по договору должен быть ограничен целью подбора персонала и ничем больше.

Как правило, обмениваются следующими ПДн соискателей:

• фамилия, имя, отчество;

• контактные данные (телефон, электронная почта);

• сведения об образовании;

• информация об опыте работы;

• данные о профессиональных навыках и квалификации;

• иные сведения, которые кандидат сам указал в резюме для трудоустройства.

Любое расширение этого перечня требует отдельного обоснования и согласия соискателя.

Запрет здесь логичен: нельзя обмениваться тем, что не нужно для оценки анкеты. Передача персональных данных выходит за рамки закона, если подрядчик или заказчик получают сведения об имущественном положении, составе семьи, состоянии здоровья, религиозных или политических взглядах или иных категориях ПДн, не связанных напрямую с вакансией.

Даже если информация кажется удобной для HR‑аналитики, но не влияет на решение о найме, ее передача будет избыточной.

Подготовка документов для работы с персональными данными 2026 для организаций

Консультация

Начнем с базовых понятий. Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку. Такое определение закреплено в ст. 3 закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Компания, которая собирает и использует эти сведения, считается оператором ПДн. Именно оператор определяет, для чего нужны данные и что с ними будут делать. Если доступ к информации получает подрядчик по поручению заказчика, он не вправе раскрывать или передавать сведения третьим лицам без согласия субъекта ПДн. Это общее правило установлено ст. 7 № 152-ФЗ, и исключения из него прямо перечислены в законе.

При найме важно учитывать, что соискатель и работник — разные категории субъектов данных. Но принцип для обеих одинаков: человек сам решает, кому и в каком объеме разрешено передавать информацию о нем. Однако если для обработки ПДн сотрудника согласие не нужно, то для работы с данными соискателя оно потребуется при условии, что работодатель или рекрутинговое агентство самостоятельно запрашивает резюме у претендента на вакантное место. 

Согласие соискателя на обработку и передачу персональных данных оформляют с учетом требований ч. 4 ст. 9 ФЗ №152-ФЗ. В нем обязательно нужно зафиксировать:

• сведения об операторе: полное наименование работодателя, адрес, при необходимости ИНН, ОГРН;

• цель обработки ПДн: например подбор персонала, рассмотрение кандидатуры, оформление трудового договора;

• перечень данных, которые будут обрабатываться: ФИО, контакты, сведения об образовании, опыте работы и иная информация из резюме;

• перечень действий с данными, включая обработку и передачу ПДн подрядчикам, если это планируется;

• правовые основания обработки с указанием ФЗ № 152-ФЗ;

• срок действия согласия и срок хранения данных соискателя;

• указание на возможность отзыва согласия в любое время;

• способ обработки данных — с использованием средств автоматизации или без них.

Согласие может быть оформлено как на бумаге, так и в электронном виде, в том числе через КЭДО. Главное, чтобы волеизъявление соискателя было однозначным, осознанным и подтвержденным.

Ситуация: компания размещает анкету для кандидатов, но не запрашивает согласие на обработку персональных данных, при этом в анкете должны быть указаны сведения, которые не нужны для заключения трудового договора и исполнения законодательства. 

Решение: необходимо встроить получение согласия прямо в анкету. Чекбокс должен быть пустым по умолчанию, чтобы согласие было осознанным. Кандидату нужно заранее сообщить цели, сроки и способы обработки. Эту информацию удобно вынести в отдельное положение и дать на него ссылку. Такой подход снижает риски при обмене персональными данными и показывает регулятору, что процесс выстроен осмысленно.

Ситуация: резюме отклоненного кандидата сохраняют в базе как кадровый резерв.

Решение: резюме нужно удалить в течение 30 дней после отказа. Дольше можно хранить только при наличии согласия соискателя. В тексте согласия следует прямо указать цель — например, информирование о будущих вакансиях. Без этого хранение данных будет признано незаконным, даже если намерения работодателя были благими.

Ситуация: резюме кандидата передают внутри холдинга между разными юридическими лицами.

Решение: каждая компания — отдельный оператор ПДн. Для обмена персональными данными между организациями требуется отдельное согласие. В нем указывают получателей и цель передачи. Для международных групп дополнительно соблюдают правила трансграничной передачи по ст. 12 № 152‑ФЗ и учитывают перечень стран из приказа Роскомнадзора № 128 от 05.08.2022.

Ситуация: данные сотрудников и клиентов объединены в одну базу без разграничения доступов.

Решение: необходимо разделить базы данных и настроить разные уровни доступа. Цели обработки у клиентов и сотрудников различаются, а смешивание данных повышает риск утечек и нарушений. Техническое разделение — не прихоть юристов, а базовая мера комплаенса.

Ситуация: договор заключен, но подрядчика никто не проверял.

Решение: до начала обмена персональными данными стоит убедиться, что подрядчик соблюдает требования № 152‑ФЗ и зарегистрирован в реестре операторов ПДн. Также важно оценить меры защиты информации и закрепить их в договоре. Иначе ответственность за нарушения ляжет на работодателя.

Ситуация: согласие получено, но про передачу данных третьим лицам в нем ничего не сказано.

Решение: если согласие не предусматривает передачу, передавать данные нельзя, в том числе и заказчику. Необходимо либо оформить новое согласие, либо скорректировать существующее. Иначе любая передача будет считаться незаконной.

Ситуация: данные передают заказчику или подрядчику без письменного договора.

Решение: устные договоренности не имеют юридической силы. Для законного обмена персональными данными нужен договор с описанием целей, объема передаваемых данных и мер защиты. Это минимальный набор, который спасает от штрафов.

Подготовка документов для работы с персональными данными 2026 для организаций

Консультация

Если обработка и передача персональных данных работодателем или рекрутером осуществляется без письменного согласия субъекта либо с нарушением требований к его содержанию, применяется административная ответственность по ч. 2 ст. 13.11 КоАП. Штрафы составляют: для граждан — от 10 000 до 15 000 рублей, для должностных лиц — от 100 000 до 300 000 рублей, для юридических лиц — от 300 000 до 700 000 рублей. Суммы внушительные, а репутационные потери часто обходятся дороже.

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGj39jE