Логотип TalentTech
🌟 Оценка 360: 5 простых шагов для HR. Регистрируйтесь на вебинар 15 октября →
👉 Прокачать HR-процессы
Подписаться на рассылку
подписаться на рассылку
Разделы
Темы

Персональные данные в HR: 152-ФЗ

Практический гайд для HR-специалистов — с примерами и экспертными комментариями

Вы успешно подписались на рассылку

Спасибо, что вы с нами!
персональные данные

Работа с персональными данными — не просто рутинная часть HR-процессов. Это зона повышенной юридической ответственности, где ошибка может обернуться штрафами, судебными исками и репутационным ущербом.

Мы совместно с юристами HRtech-компании «Поток» подготовили практический гайд для HR-специалистов и рекрутеров, чтобы разобраться в том, как закон работает: от сбора резюме до оформления кадровых документов, от проверки судимости до передачи данных третьим лицам. 

Содержание: 

Что такое 152-ФЗ и что он регулирует в рекрутменте и HR

Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006, регламентирует процессы обработки персональных данных.

Обработка персональных данных — любое действие с персональными данными, с использованием компьютера и других средств автоматизации или без них.

Закон напрямую регулирует все этапы рекрутмента, потому что уже с момента получения резюме кандидата компания начинает обрабатывать его персональные данные — а это действие строго регламентировано законом.

Алия Хатыпова
руководитель отдела правовой поддержки «Потока»

Если не соблюдать требования закона о персональных данных, то это грозит штрафами, блокировкой деятельности, судебными исками и репутационным ущербом.

В 2025 году в законодательство о персональных данных был внесен ряд изменений. В частности, усилена ответственность за нарушения, изменены требования к локализации персональных данных, а само согласие теперь необходимо получать в виде отдельного документа.

Работодателям, чтобы оставаться в рамках закона, необходимо провести инвентаризацию процессов, определить правовые основания для обработки персональных данных и при необходимости – «освежить» локальные нормативные акты.

Помните, что согласие является одним из оснований обработки персональных данных, а не единственным. Всего в ФЗ-152 перечислено 12 оснований для обработки персональных данных, включая исполнение требований законодательства и договоров.

Что относится к персональным данным 

Персональные данные (ПД) —  это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

К персональным данным относятся, например:

  • ФИО (при наличии дополнительных данных), 
  • пол,
  • дата рождения,
  • фотография,
  • номер телефона (при наличии дополнительных данных),
  • место рождения, регистрации и проживания,
  • семейное, социальное и имущественное положение,
  • религиозные взгляды,
  • биометрические данные,
  • и некоторая другая информация.

Виды обработки персональных данных

Существуют следующие действия по обработке ПД:

  • сбор,
  • запись,
  • накопление,
  • хранение,
  • систематизация,
  • уточнение,
  • извлечение,
  • использование,
  • передача,
  • распространение,
  • блокирование,
  • обезличивание,
  • уничтожение.

Типичные примеры обработки ПД в рекрутменте:

  • копирование данных кандидата и сохранение их, например, в файл или АТС;
  • звонок кандидату по номеру телефона;
  • удаление резюме кандидата;
  • трудоустройство работника (документы);
  • оформление кадровых документов;
  • передача данных работника третьим лицам (для оформления зарплатных карт, ДМС или служебных командировок).
🌟 Какие еще изменения произошли в ТК РФ с 1 сентября 2025 года? Что нужно срочно поменять HR-специалисту в своей работе? Читайте материал в нашем блоге.

Как обрабатывать персональные данные работников

Чтобы собирать, хранить, обрабатывать (и прочее) персональные данные сотрудников/кандидатов по законодательству, нужно разработать как минимум три внутренних документа:

  1. Положение о хранении и использовании персональных данных работников утверждается и вводится работодателем (ст. 87 ТК РФ).
  2. Согласие на обработку персональных данных подписывают все работники, которые предоставляют персональные данные, в случаях, если обработка этих персональных данных не требуется ТК РФ.
  3. Соглашение о неразглашении персональных данных работников подписывается теми, кто имеет доступ к таким данным (гл. 14 ТК РФ). Это касается сотрудников отдела кадров, бухгалтерии, службы информационной безопасности и далее.

Что еще важно знать о персональных данных

  • По общему правилу, персональные данные работника можно получить только у него самого или с его письменного согласия.
  • Если хотите запросить данные о работнике у другой компании, то необходимо получить письменное согласие работника (пункт о согласии можно включить в анкету).
  • Сведения о бывших сотрудниках также не подлежат разглашению: сначала нужно запросить или удостовериться о наличии письменного согласия работника.
  • При проверках представители Роскомнадзора смотрят документы и уточняют, каким образом собираются данные о сотрудниках.
  • Если персональные данные работника требуют сотрудники полиции или других органов, то нужно получить письменный запрос.
🌟 Как оформлять командировки с 1 сентября 2025 года? Читайте материал в нашем блоге.

Какая ответственность за нарушение 152-ФЗ

В 2025 году в законодательство о персональных данных были внесены следующие изменения: 

  • с 30.05.2025 была усилена ответственность за нарушения;
  • с 01.07.2025 изменились требования к локализации персональных данных —запрещено хранение в базах данных за пределами Российской Федерации. При этом трансграничная передача персональных данных этим пунктом не затронута.
  • с 01.09.2025 законодательно закреплено требование: согласие должно быть получено в виде отдельного документа. Так, теперь нельзя включать согласие в другие документы, например, договор.  

Примеры из жизни рекрутера: обработка данных и закон

Пример 1. Проверка на наличие судимости

Рекрутер запросил данные о судимости у потенциального сотрудника для проверки СБ. Письменное cогласие на обработку данных от кандидата он при этом не получил.

Нарушение: обработка персональных данных без письменного согласия (ч. 2 ст. 13.11 КоАП РФ).

Штраф: на должностных лиц - от 100 000 до 300 000 рублей; на юридических лиц - от 300 000 до 700 000 рублей

Как сделать по 152-ФЗ: взять письменное согласие в корректной форме перед сбором данных у кандидатов в службу безопасности. Не обрабатывайте персональные данные до получения согласия кандидата.

Пример 2: Невыполнение требования об уничтожении

Кандидат отозвал согласие на обработку персональных данных и потребовал уничтожить обрабатываемые персональные данные. Вы не уничтожили персональные данные.

Нарушение: невыполнение требования субъекта персональных данных (ч. 5 ст.13.11 КоАП РФ).

Штраф: на должностных лиц - от 8 000 до 20 000 рублей; на юридических лиц - от 50 000 до 90 000 рублей.

Как сделать по 152-ФЗ: подготовить акт об уничтожении и выгрузку из журнала, уничтожить персональные данные и подписать акт.

🔐 Мы в «Потоке» создаем целую линейку HR-решений для подбора, адаптации и оценки персонала, поэтому:

  • соблюдаем 152-ФЗ — о хранении персональных данных;
  • храним информацию на территории РФ;
  • не раскрываем данные пользователей и результаты оценки в анонимных опросах;
  • наши продукты входят в Единый реестр российского ПО.

Персональные данные: главное

1. Рекрутмент — это сплошная обработка персональных данных.
Уже с момента получения резюме вы становитесь оператором ПД и обязаны соблюдать 152-ФЗ. Любое действие — от сохранения файла до звонка кандидату — требует правового основания, чаще всего — письменного согласия.

 2. Согласие — не формальность, а юридическая необходимость.
С 1 сентября 2025 года включать согласие в анкету, NDA или договор нельзя. Оно должно быть оформлено отдельно, с чётким указанием целей, сроков и способов обработки. Без него — штрафы и риски.

3. Хранить данные кандидатов «на всякий случай» — опасно.
Если кандидат не прошёл отбор или отозвал согласие — его данные нужно уничтожить. Использовать их для рассылок, передачи третьим лицам или «базы контактов» без нового согласия — прямое нарушение закона.

4. Локализация данных — не рекомендация, а требование.
С 1 июля 2025 года хранение ПД российских кандидатов в иностранных базах (например, облачных ATS или CRM) запрещено. Нужно мигрировать на российские серверы или использовать локальные решения.

 5. Ответственность растёт — игнорировать закон дорого.
Штрафы достигают 700 000 ₽ для юрлиц.

Материал обновлен в сентябре 2025 года

Вы успешно подписались на рассылку

Спасибо, что вы с нами!
Ок
Позаботиться о кандидатах и сотрудниках вам помогут:
Облачная платформадля удобного взаимодействия с кандидатами и заказчиками
Искусственный интеллектдля оценки резюме и проведения интервью
Мобильное приложениес чат-ботом и онлайн-квестами для новичков
Онлайн-оценка методом 360°для определения soft skills сотрудника
Готовые опросыдля оперативного выявления проблем в коллективе
Гибкая системадля управления результативностью сотрудников
Вас также может заинтересовать:
Можно ли пить алкоголь на рабочем месте?
Сколько изменений могут «переварить» сотрудники?
Четырехдневная рабочая неделя: что стоит знать HR-менеджеру?
Как удержать команду: 9 проверенных стратегий снижения текучести персонала от HR-экспертов

Скоро мы с вами свяжемся
А пока подпишитесь на наш чат-бот — он будет регулярно присылать полезные посты про управление персоналом!
Подписаться