Подавали ли данные в Роскомнадзор ИП, которые занимаются подбором персонала?

Татьяна, еще не ответила на вопрос, как заставить кандидата подписывать согласие.
Я сейчас разъясняю, что штрафы возросли, без вашего согласия я не смогу с резюме что-либо делать, и по максимуму собираю согласия. Большинство дают свое согласие.

Татьяна, добрый день!
Вряд ли РКН будет доказывать, что рекрутер обрабатывает ПД — скорее, рекрутеру самому придется доказывать, что он их не обрабатывает :)

На примере моей ситуации:
Я ИП с видом деятельности «Деятельность по подбору персонала».
По этому коду работа с персональными данными соискателей подразумевается по умолчанию.
Фактически я занимаюсь подбором, получаю оплату от заказчиков — значит, ПДн так или иначе обрабатываются.

Теоретически можно заявить, что вся работа идет в CRM заказчика. Но если придут с проверкой:
Нужно будет показать договоры
Доказать, что оператор ПДн — именно заказчик, а не я

Небольшие ИП обычно не трогают, но если будет жалоба, плановая проверка, или РКН увидит вид деятельности, но не найдет вас в реестре операторов, то думаю, могут оштрафовать.

Коллеги, приветствую!
Вот интересно: а что конкретно и каким образом защищает этот закон? Персональные данные, которые находятся в открытом доступе с согласия кандидата? Или данные , которые кандидат сам мне присылает?
Этот закон никак не работает. Закон ради закона. Иначе бы все персональные данные граждан РФ не сливались в базы, которые можно купить. И сливают эти данные в первую очередь БАНКИ!!!!

Еще вопрос: как Роскомнадзор будет доказывать, что я использую чужие ПД?
Каким образом рекрутер должен заставить кандидат подписать согласие, если тот не хочет?

Мария, спасибо за ответ!
На днях стала брать согласие для своего ИП, и также прошу указывать всё по минимуму, кандидаты отправляют своё согласие через электронную почту или мессенджер. Но я прошу указывать своё ФИО полностью и дату рождения, так как дата рождения позволяет идентифицировать личность, и 100 % можно утверждать, что да, это именно тот самый кандидат отправил своё согласие (это если вдруг понадобится при проверке РКН, хотя я сильно сомневаюсь, что ИПешников сильно будут проверять, тем более мы не храним паспортные данные и адрес прописки и т. д.).

Коллеги, добрый день, спасибо за важную тему! Я работаю как ИП и на текущий момент не подавала уведомление в Роскомнадзор. Но, как и многие, внимательно слежу за ситуацией — особенно после того, как стало ясно: штрафы за несоблюдение требований ФЗ-152 теперь не «для галочки», а вполне реальные и значимые даже для частного специалиста.

По сути, если ты сохраняешь резюме, ведешь таблицу с контактами, отправляешь информацию клиенту — ты уже оператор персональных данных. Формально. А значит, обязан встать на учёт, описать процессы, получить согласие, назначить ответственного (чаще всего — это ты и есть).

Согласие — это вообще отдельная головная боль. Много кто не хочет заполнять, многие просто игнорируют. У меня пока практика такая: запрашиваю согласие в свободной форме через мессенджер. Да, это не идеальный вариант, но в разъяснениях Роскомнадзора указано, что отправка текста согласия с подтверждением кандидата считается допустимой формой, если есть привязка к личности. Я фиксирую скрин, дату, канал — завела себе таблицу учёта.

Понимаю опасения коллег по поводу паспортных данных — я их не запрашиваю. В тексте согласия ограничиваюсь ФИО, контактами и данными, содержащимися в резюме. Никаких излишков. Честно говорю кандидатам: без согласия я не могу работать с их данными. Да, кто-то отказывается, но в основном — понимают, когда объясняешь. Особенно, если упоминаешь возможные риски и штрафы.

Если честно, всё это усложняет подбор, особенно для тех, кто работает быстро и гибко. Но игнорировать нельзя. Считаю, что сейчас переходный период — когда приходится лавировать между законом и практикой. Но долго так не протянем, и в итоге всем придётся привести процессы в порядок.

Буду рада ответить на сопутствующие вопросы.
С уважением и наилучшими пожеланиями,
Мария. https://t.me/eclair_career

Коллеги, падала заявление через РКН
Немного дополню HR - Агентство ЯРАБОТА

✅ При заполнении я указывала:
Категории ПД: Фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, пол, адрес электронной почты, номер телефона, профессия, сведения об образовании
Правовое основание обработки ПД: обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД
Перечень действий: сбор, накопление, хранение, использование, передача
Способы доставки – смешанная, без передачи по внутренней сети юр лица, с передачей по сети интернет
Описание мер, предусмотренных статьями 18.1 и 19:
Разработаны локальные акты, по вопросам обработки персональных данных. Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Назначен ответственный за организацию обработки персональных данных. Обеспечивается учет машинных носителей персональных данных. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации.
Использование шифровальных средств: не используется
Срок или условие прекращения обработки персональных данных: Прекращение деятельности ИП
Осуществление трансграничной передачи ПД: не осуществляется
Сведения о нахождения базы данных – тут я указала свой домашний адрес, собственный ЦОД: да. (Не знаю, насколько это верно)
Сведения об обеспечении безопасности: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; утвержден перечень лиц. доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе.

✅ Подписывала заявление на сайте РКН с помощью танцев и бубна. Во-первых, надо подавать заявление через яндекс браузер, на хром не скачивается плагин криптопро, потом приходилось раза по три нажимать кнопку подписать заявление, ждать пока появиться окошко, где можно выбрать подпись, потом несколько раз нажимаешь на эту подпись… как-то не сразу у них отклик идет.

Екатерина, добрый день!

Я изучала этот вопрос. Если бы мы работали в рамках сервиса хх.ру, то как вариант можно было бы это рассмотреть. Но мы скачиваем резюме, храним их у себя и передаем третьим лицам. Поэтому, к сожалению, согласие, которое кандидат дает сервису, для нашей работы уже не применимо.

коллеги, всем добрый день. А как -то наш любимый хх упрощает нам жизнь? Ведь кандидат, заполняя резюме уже дает согласие на обработку ПД и передачу их третьм лица - зарегистрированным компаниям -клиентам этого сайта.
Понятно, что мы не только с хх получаем кандидатов, но может есть тут какие -то лазейки в законе ?

Коллеги, приветствую! Выложите, пожалуйста, шаблон Согласия. Спасибо!

Что нужно знать ИП и рекрутинговым агентствам в России:
Если вы — ИП или компания, занимающаяся подбором персонала, и обрабатываете персональные данные соискателей, то по ФЗ-152 «О персональных данных» вам, возможно, нужно:
1. Уведомить Роскомнадзор о работе с персданными (если не попадаете под исключения, например, если данные собираются только для трудовых договоров).
2. Соблюдать требования по хранению и защите данных (использование сертифицированных CRM, шифрование и т. д.).
3. Получить согласие кандидатов на обработку их данных (в письменной или электронной форме).
Когда подача уведомления в Роскомнадзор обязательна?
- Если вы передаёте данные третьим лицам (например, заказчикам кадров).
- Если используете данные не только для заключения трудового договора (например, для рассылки вакансий).

HR - Агентство ЯРАБОТА, спасибо большое за помощь!

У меня с заполнением возник вопрос - возможно, сможете подсказать :)
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Страна - РФ
Адрес ЦОДа - ???
Адрес - где находится мой ноутбук? ;) + я использую в работе сберподбор - под идее тогда надо уточнить у них?

Спасибо большое за ответ!

Добрый день, Ольга, вы абсолютно правильно поднимаете вопрос — с 1 марта 2023 года (в рамках изменений в 152-ФЗ и подзаконных актах), все операторы персональных данных — включая ИП-рекрутеров и фрилансеров — обязаны встать на учёт в Роскомнадзоре, даже если вы не ведёте сайт, не храните базы на серверах, а просто переписываетесь с кандидатами в мессенджерах или через email.

📌 Ответ на первый вопрос:
Да, ИП-рекрутеры обязаны подать уведомление в Роскомнадзор
Если вы:

получаете резюме (там есть ФИО, контактные данные, фото — это уже ПДн),

записываете информацию о кандидате (в CRM, Excel, Word, Trello — всё считается),

передаёте эти данные заказчику,

👉 вы — оператор ПДн и обязаны:

Подать уведомление в Роскомнадзор до 31 мая 2025

Назначить ответственного за ПДн (можно себя, если работаете одна)

Описать меры защиты и порядок обработки ПДн (можно в шаблонах)

📌 Как подать уведомление ИП в Роскомнадзор?
Перейдите на сайт: https://pd.rkn.gov.ru/operators-registry/notification/

Заполните форму уведомления (в электронном или бумажном виде)

Укажите:

цель обработки — подбор персонала

категории субъектов — физические лица/кандидаты

действия — сбор, хранение, передача

способы — электронная почта, мессенджеры, таблицы, CRM

После подачи вы получите регистрационный номер оператора
(его нужно указывать при проверках, на сайте, в шаблонах согласий)

📌 Как правильно брать согласие кандидата?
✅ Вариант 1: электронная форма (если есть сайт)
Кнопка «даю согласие» с привязкой к тексту

В тексте указать:

кто оператор (ИП ФИО)

цель (подбор персонала)

срок хранения

перечень данных

Хранить согласие в PDF или в базе, делать скриншоты

✅ Вариант 2: без сайта — через email / мессенджер
Присылайте короткий текст:

«Настоящим даю согласие ИП Ивановой О.О. на обработку моих персональных данных (ФИО, контакты, резюме и прочее), в целях подбора персонала и передачи потенциальным работодателям. Срок хранения — до отзыва. Отзыв возможен по письменному запросу.»

Если кандидат отвечает «согласен» — это юридически значимая форма (согласно разъяснениям Роскомнадзора от 2023 г.).

⚠️ Важно:
Не обязательно иметь «живую» подпись. Ответ с формулировкой «согласен», привязанный к идентифицированной личности (например, в мессенджере с привязанным номером) — допустим.

⚠️ Что грозит, если не подать уведомление?
Штраф: от 15 000 до 75 000 руб за нарушение 22 статьи 152-ФЗ

При повторных нарушениях — могут ограничить обработку и оштрафовать компанию-заказчика, если она работает с вами

💡 Что делать дальше?
Подайте уведомление до 31 мая

Сделайте шаблон согласия (если хотите — пришлю универсальный)

Добавьте себе «реестр согласий» (таблица, где фиксируете: ФИО — дата — способ согласия)

Если есть CRM — проверьте, кто ещё имеет доступ

Ольга, добрый день.
Да, все формы ЮЛ, которые занимаются подбором персонала и работают с персональными данными, действительно обязаны подавать уведомление в Роскомнадзор — это требование закона. Многие ИП уже стали на учет, мы не исключение.
Светлана дала более чем исчерпывающий ответ.
Согласие на обработку данных можно получать в электронной форме — такой вариант считается вполне приемлемым. Например, кандидаты могут отправлять скан согласия по e-mail.
Собирайте минимум нужных данных и рассказывайте кандидатам, для чего они нужны и как вы (и ваш Заказчик) их защищаете, законное требование - раз, два- людям важно доверие. И обязательно храните подтверждения согласий — хотя бы сканы.
Удачи вам.

Светлана, спасибо большое!

Ольга, я рекрутингом не занимаюсь, но, коль ввели новые вводные по ФЗ, то все работодатели обязаны будут его соблюдать, так как штрафы велики, а значит у кандидатов не останется шансов не выслать Согласие. Сейчас переломный момент и я думаю, что это быстро закончится, так как все работодатели начнут это запрашивать у кандидатов, как и должно было быть это уже давно))
Удачи Вам!

Еще как вижу большой проблемой, что в согласии надо указывать паспортные данные и адрес прописки. По сути, кандидаты передают этим согласием еще больше персональных данных :), которые мне совсем не нужны ;)).

Светлана, спасибо за ответ!
Какой процент кандидатов отправляет согласие? И как долго приходится ждать?

У меня есть отказы; говорю про штрафы и о том, что, к сожалению, не смогу дальше работать с резюме, так как мы его просто не можем хранить у себя. Мне отвечают, что им не охота заполнять, никто не спрашивает.

Еще бы это было ок, если бы я работала штатным рекрутером, но кто даст согласие ИП? Подумываю, что в согласии можно указать, что мне дают право передавать личные данные только в ту компанию, для которой я ищу.

Все это усложняет подбор: если раньше можно было бы отправить резюме заказчику здесь и сейчас, то теперь необходимо ждать несколько дней для получения согласия, если его отправят.

Ольга, здравствуйте.
Закон не новый, но вопрос очень актуальный.
Ваша задача единоразово внести себя в реестр Роскомнадзора, как оператора ПД.
На их сайте есть шаблон, по нему и действуете.
Параллельно с этим у Вас должен обязательно быть ЛНА о ПД. И все необходимые приложения в виде шаблонов согласий, обязательств, запросов и ответов по обработке, хранению и прочему ПД, в тч при работе с кандидатами. Это как раз и могут запросить проверяющие органы.
Также Вы, как оператор ПД, не имеете право эти ПД излишне использовать, обязаны уничтожать после окончания срока обработки, отвечать на запросы кандидатов письменно по обработке, хранению и уничтожению их ПД.

Что касается рекрутинга и ПД. Это тоже вопрос не новый, как и закон:
1. Перед собеседованием Вы обязаны брать согласие у кандидата на отработку ПД. Нет согласия-не может быть собеседования. Вот этого не делали до сегодня 90% операторов ПД (работодатели).
2. Согласие может быть отправлено Вам в электронном виде (сканом подписанным), если Вы работаете в удалённом формате. Я в айфоне сделала подпись свою и ею подписываю такие документы. В теле письма и/или в тексте Согласия желательно, чтоб был указан момент отправки его Вам по электронной почте и является действительным. Там же, в Согласии, должен быть указан срок обработки ПД.
Это подстраховка.
3. Аргументацией взятия Согласия новые вводные по ФЗ о ПД, о новых штрафах.
4. Параллельно с аргументацией Вы можете взять для кандидатов Обязательство от работодателя о неразглашении ПД кандидата и отправлять последним. Это подстраховка кандидатов.
Благодарю за вопрос.