ФЗ-152 для HR: практическое руководство по обработке персональных данных кандидатов

Федеральный закон 152-ФЗ «О персональных данных» воспринимается многими HR-специалистами как большой, непрозрачный и пугающий документ. На практике требования закона достаточно простые и прагматичные, если понимать базовые принципы. В этой статье разберём, что именно нужно соблюдать при работе с резюме и откликами кандидатов, какие риски возникают при нарушениях и как построить процесс найма так, чтобы он был законным по умолчанию.

Начнём с определения. Персональные данные это любая информация, относящаяся к определённому или определяемому физическому лицу. В рекрутинговом контексте это фамилия, имя, отчество, дата рождения, контактные данные, фотография, сведения об образовании, опыте работы, профессиональных навыках. Даже IP-адрес, с которого кандидат отправил отклик, и cookies, которые собираются на карьерном сайте, формально являются персональными данными.

Обработка начинается в тот момент, когда кандидат заполнил форму отклика или отправил резюме, и продолжается всё время, пока его данные хранятся в вашей системе. Обработка включает сбор, запись, систематизацию, хранение, использование, передачу, блокирование и удаление. Каждый из этих этапов должен иметь законное основание.

Для HR-процессов таких оснований два: согласие субъекта персональных данных и исполнение договора с ним. Поскольку на этапе отклика договор с кандидатом ещё не заключён, основным основанием является согласие. Именно поэтому на карьерных сайтах и в формах откликов обязательно присутствует чекбокс «Даю согласие на обработку персональных данных». Без проставленной галочки отклик не должен приниматься.

Само согласие должно быть информированным и конкретным. Это значит, что кандидат перед его дачей должен понимать: кто оператор его данных, какие именно данные обрабатываются, с какой целью, как долго они будут храниться, кому могут передаваться. Вся эта информация выносится в Политику конфиденциальности, доступную по ссылке рядом с чекбоксом. Политика должна быть написана человеческим языком и быть реально доступной, а не закопанной в подвале сайта.

Теперь о практических правилах хранения. Срок хранения персональных данных должен быть разумным и связанным с целью обработки. Если кандидат не подошёл на позицию, стандартный срок хранения его резюме в базе кадрового резерва составляет от одного до двух лет. По истечении этого срока данные должны быть удалены или обезличены, то есть приведены к виду, когда восстановить личность субъекта по ним невозможно. Бесконечное хранение резюме «просто на всякий случай» является нарушением закона.

Отдельная тема — право на отзыв согласия и удаление данных. Кандидат может в любой момент обратиться с просьбой удалить его данные из вашей базы. Закон даёт оператору тридцать дней на выполнение такого запроса. Хорошая практика — иметь в Политике конфиденциальности отдельный email для таких обращений и автоматизировать процесс удаления через кнопку в личном кабинете кандидата, если такой кабинет у вас есть. При удалении важно удалить данные не только из основной базы, но и из бэкапов, логов, выгрузок в аналитические системы. Это сложно технически, но именно так выглядит корректное выполнение запроса.

Передача данных третьим лицам это отдельная чувствительная тема. Если вы используете HR-систему как SaaS, данные ваших кандидатов физически хранятся у провайдера этой системы. Провайдер с точки зрения 152-ФЗ является либо оператором, либо лицом, осуществляющим обработку по поручению оператора. В договоре с провайдером должны быть прописаны условия обработки, меры защиты данных, обязательства по удалению при расторжении договора. Кроме того, провайдер должен быть зарегистрирован в реестре операторов персональных данных и предоставить вам копию уведомления об обработке.

С июля 2022 года действуют дополнительные требования о локализации данных российских граждан на территории России. Это означает, что сбор, запись, систематизация и накопление персональных данных должны происходить на серверах, физически расположенных в России. Дальнейшая обработка может идти через зарубежные системы, но первичное накопление обязательно локальное. При выборе HR-провайдера обязательно уточните, где расположены их серверы и как они соблюдают это требование.

Штрафы за нарушения выросли многократно в 2024 году. За обработку без согласия юридическое лицо может получить штраф до восьмисот тысяч рублей, а при повторном нарушении до полутора миллионов. За утечку персональных данных штрафы исчисляются уже миллионами, а для крупных компаний могут достигать полутора-трёх процентов годовой выручки. Это уже не формальная ответственность, а реальный финансовый риск, который закладывается в бюджет рисков компании.

Практические шаги для соответствия 152-ФЗ в HR-процессах. Первое — убедитесь, что на всех карьерных страницах и в формах откликов присутствует чекбокс согласия со ссылкой на актуальную Политику конфиденциальности. Второе — установите политику хранения резюме и автоматическое удаление по истечении срока. Третье — настройте процесс обработки запросов на удаление с чётким SLA в тридцать дней. Четвёртое — проверьте, что ваш HR-провайдер соответствует требованиям локализации и предоставил все необходимые документы. Пятое — назначьте ответственного за обработку персональных данных внутри компании и регулярно обучайте HR-команду.

Соблюдение 152-ФЗ это не про бумажную волокиту, а про уважение к кандидатам и защиту компании от реальных финансовых и репутационных рисков. При правильно настроенных процессах все эти требования выполняются автоматически и не создают лишней нагрузки на команду.