Резюме с hh.ru не равно согласию

Как консультант, я часто вижу, что даже в крупных компаниях HR-отделы, сами того не зная, ходят по «минному полю» закона «О персональных данных».

Обыденные задачи — сохранение резюме кандидата «на будущее», оформление ДМС для новичка или работа с базой в Excel — могут обернуться многомиллионными штрафами от Роскомнадзора. Знаете ли вы, что отклик на вакансию не дает права хранить резюме в кадровом резерве? Или что на передачу данных в банк для зарплаты и в страховую для ДМС нужны два разных, отдельных согласия от сотрудника? А что делать с данными сотен кандидатов, которым вы отказали? Просто удалить их — уже недостаточно.

В этой статье я подробно разберу 4 самые частые и неочевидные ошибки, которые HR-специалисты совершают при работе с персональными данными. Мы поговорим о базах кандидатов, «пакетных» согласиях при трудоустройстве, правилах уничтожения данных и о том, как реагировать на внезапный запрос от бывшего сотрудника. Это практический гайд, который поможет вам выстроить процессы и защитить компанию.

Популярное по теме
90 чек-листов по всем направлениям для HR и бизнес-тренеров: подборка от экспертов hrtime.ru
Полезные инструменты по подбору, оценке персонала, обучению, консалтингу, разработке СОТ, корпоративной культуре, коучингу, кадровому учету и карьерному консультированию в одном месте.

Ваш рабочий день: открыть hh.ru, разобрать 50 откликов, внести лучших в базу кандидатов, отправить три оффера. Знакомая рутина? На каждом из этих этапов вы совершаете юридически значимые действия в рамках ФЗ-152 «О персональных данных». И цена ошибки здесь высока как никогда.

Я консультирую бизнес по организационному развитию и регулярно сталкиваюсь с последствиями недооценки этого закона. Давайте вместе разберем 4 ловушки, в которые чаще всего попадают HR-специалисты, и научимся их избегать.

Ошибка №1: Пополнять кадровый резерв «по умолчанию»
Представьте, вы получили резюме отличного специалиста, но на текущую позицию он не подходит. Первое желание — сохранить его контакт в базе «на будущее», чтобы не потерять ценный кадр.

В чем здесь риск? Согласие, которое кандидат дает на работном сайте, как правило, распространяется только на рассмотрение его кандидатуры для конкретной вакансии. Чтобы законно хранить его данные в своей внутренней базе (будь то Excel, E-Staff, Potok или любая другая ATS-система) для будущих предложений, вам необходимо получить от него отдельное, явное согласие именно на эту новую цель.

Лучшая практика: После первого контакта с кандидатом, если вы видите в нем потенциал, направьте ему короткое письмо с просьбой дать согласие на включение в кадровый резерв. Укажите, какие данные вы будете хранить (ФИО, контактные данные, ключевые навыки) и на какой срок (например, 1 год). Это простое действие превращает незаконное хранение в легальный и управляемый процесс.

Ошибка №2: Использовать «единое» согласие при трудоустройстве
Новичок при оформлении подписывает кипу бумаг, среди которых есть общее «Согласие на обработку персональных данных». Казалось бы, дело сделано.

В чем здесь риск? Закон требует, чтобы согласие было предметным. Это значит, что на разные цели обработки нужны разные согласия. Одно общее «на всё» юридически ничтожно. На моей практике я рекомендую внедрять «матрицу согласий» и иметь отдельные документы как минимум для:
- Передачи данных в банк для зачисления заработной платы.
- Передачи данных в страховую компанию для оформления полиса ДМС.
- Передачи данных оператору корпоративного такси или фитнес-клуба, если у вас есть такие бенефиты.
- Публикации данных сотрудника (фото, ФИО, должность) на внутреннем портале или на внешнем сайте компании.
- Трансграничной передачи, если ваша компания использует зарубежные облачные сервисы, где могут оказаться данные сотрудников.

Ошибка №3: Хранить резюме «неподошедших» кандидатов
Вакансия закрыта. Что происходит с резюме тех, кто не прошел отбор? Чаще всего они остаются лежать в папках на компьютере или в почте «на всякий случай».

В чем здесь риск? Как только цель обработки (поиск сотрудника на позицию) достигнута, персональные данные кандидатов, не получивших оффер, должны быть уничтожены в течение 30 дней.

Просто удалить файл недостаточно. Этот процесс необходимо задокументировать, составив «Акт об уничтожении персональных данных». В нем комиссия (из одного или нескольких сотрудников) фиксирует основание, дату, способ уничтожения и перечень уничтоженных данных. Этот Акт — ваше главное доказательство для Роскомнадзора, и хранить его нужно 3 года.

Ошибка №4: Неготовность к запросу от субъекта данных
Любой кандидат, текущий или бывший сотрудник вправе в любой момент обратиться к вам с запросом: предоставить копии его данных, которые вы храните, исправить их или полностью удалить.

В чем здесь риск? На ответ у вас есть всего 10 рабочих дней. За это время вы должны найти все данные этого человека во всех системах (от 1С до переписок в почте), подготовить официальный ответ и выполнить его требование. Не уложиться в срок или проигнорировать запрос — прямое нарушение. Это серьезный тест на зрелость ваших HR-процессов. Вы должны четко знать, где и какие данные хранятся и кто имеет к ним доступ.

HR — ключевой эксперт по данным в компании
Я уверена, что именно HR-департамент сегодня является тем щитом, который защищает компанию от многомиллионных штрафов. Вы работаете с самым чувствительным активом — данными людей.

Приглашаю вас поделиться практикой по ФЗ-152 «О персональных данных» в комментариях

Поделиться статьей
Есть задача по hr-консалтингу?
Ответьте на несколько вопросов и я пришлю вам расчет бесплатно
Екатерина Горшкова- Бекетова
Наталья, спасибо вам за то, что поднимаете такую тему.
Вы знаете, я тоже часто сталкиваюсь с непониманием у коллег, как именно работает закон о персональных данных.

Я более 10 лет работаю карьерным консультантом и коучем, в основном с топ-менеджерами с доходом свыше 20 миллионов рублей в год. У меня есть опция — рекомендовать клиентов среди своих подписчиков (разумеется, анонимно). Сейчас у меня в общей сложности более 50 тысяч подписчиков. И, конечно, для моих клиентов такая схема может быть полезной.

Но что меня удивляет: периодически коллеги пишут и просят прислать резюме клиента, предлагая переслать его дальше заинтересованным лицам в своей компании или агентстве. И вот здесь возникает вопрос. Даже если у меня с клиентами подписано соглашение о передаче персональных данных (и этот пункт там есть), то у моих коллег такого разрешения ведь нет. Как они собираются пересылать резюме?

Каждый раз мне приходится это обсуждать. Как правило, коллеги всё прекрасно понимают, но существует такой нюанс: «по дружбе» часто игнорируют правила. Мне кажется, этого делать всё-таки не стоит.

Как вы думаете?
2025-09-04 19:24 0
Наталья Громова
Наталья, добрый день.
Полностью согласна — тема критически важная, и, к сожалению, многие HR недооценивают её до первого серьёзного запроса или проверки.
Вы чётко показываете, что здесь нет «мелочей»: каждое резюме, согласие или запись в Excel — это уже юридически значимое действие.
Особенно откликается мысль про необходимость отдельных согласий на разные цели и про документирование уничтожения данных — это реально спасает в случае проверки.
Такая осознанность в работе с персональными данными делает HR не просто администратором процессов, а полноценным защитником компании и её репутации.
2025-08-15 14:27 0
Показать все комментарии
avatar-default-icon
Организационный и управленческий консалтинг
Автор 1 публикаций
Вас также может заинтересовать
HRTime_faces
181 специалист сейчас на сайте Опишите задачу. Исполнители откликнутся сами.
Мы используем файлы cookie и рекомендательные технологии. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie (подробнее), а также с пользовательским соглашением.
Согласен
X
Файлы cookie представляют собой файлы или фрагменты информации, которые могут быть сохранены на Вашем компьютере или других интернет-совместимых устройствах конечного пользователя (например, смартфонах и планшетах) при посещении Вами наших веб-сайтов или использовании наших веб-сервисов. Эта информация в большинстве случаев представлена в виде алфавитно-цифровых строк, которые однозначно идентифицируют Ваш компьютер или конечное пользовательское устройство, однако может содержать и иные сведения. На наших веб-сайтах или веб-сервисах мы используем различные типы «cookies» (небольшие текстовые файлы, которые размещаются на Вашем устройстве). Перечень используемых нами файлов cookie, описание целей их использования и дополнительная информация о соответствующих файлах cookie представлена в Инструменте управления файлами cookie, размещенных на соответствующих веб-сайтах и в веб-сервисах нашей компании либо в представленных в них текстах согласий или договоров.