Правовые основания проверки кандидатов службой безопасности держатся на двух законах — 152-ФЗ о персональных данных и главе 14 Трудового кодекса. Без письменного согласия соискателя любая проверка незаконна, и это не формальность — за сбор данных без разрешения работодателю светит штраф, который с мая 2025 года вырос в разы. Здесь разберём, что СБ вправе узнавать о кандидате по закону, какие сведения запрашивать запрещено даже с его согласия, когда можно требовать справку о судимости, а когда нельзя, и чем рискует компания, которая собирает лишнее.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
На каких законах держится проверка кандидата службой безопасности
Отдельного закона «о проверке кандидатов» в России нет. Вместо этого работает связка из нескольких актов, и каждый закрывает свой участок.
Базовый — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Он определяет, что любые сведения о человеке (ФИО, паспорт, место работы, судимость, долги) — это персональные данные, а любое действие с ними считается обработкой. И обрабатывать их можно только с согласия субъекта. Поверх 152-ФЗ лежит Конституция: статья 23 гарантирует неприкосновенность частной жизни, статья 24 запрещает сбор и распространение информации о частной жизни без согласия лица.
Дальше идёт Трудовой кодекс, глава 14 (статьи 86-90) — защита персональных данных работника. Она устанавливает, какие данные работодатель вправе получать, у кого и зачем. Статья 65 ТК РФ задаёт закрытый перечень документов при приёме: паспорт, сведения о трудовой деятельности (СТД-Р или бумажная трудовая), СНИЛС, документы об образовании, для военнообязанных — документы воинского учёта. Всё, что СБ хочет узнать сверх этого списка, нужно обосновывать деловыми качествами кандидата.
И есть профильные законы под конкретные сведения. Кредитную историю регулирует 218-ФЗ «О кредитных историях», банкротство физлица — 127-ФЗ, биометрию — 572-ФЗ. Эти акты говорят, на каких условиях работодатель или нанятая им СБ вправе залезть в соответствующий массив данных.
Мария Ж, судебный эксперт в сфере трудового права:
«Эйчары часто думают, что проверка кандидата — это серая зона, где можно что угодно. Нет. Каждый чих СБ привязан к конкретной норме. Пробить судимость у курьера на доставку нельзя, даже если он сам подписал согласие — это прямой запрет статьи 86 ТК. И вот этот нюанс многие узнают уже от инспектора.»
Согласие на обработку персональных данных: без чего проверка незаконна
Письменное согласие кандидата — это та самая дверь, без которой проверка не стартует. Норма закреплена в пункте 1 части 1 статьи 6 и статье 9 закона 152-ФЗ: обработка персональных данных возможна с согласия субъекта. Нет согласия — проверка нелегальна, точка. И не важно, проверяет компания сама или отдаёт это на аутсорсинг внешней СБ.
Здесь всплывает второй важный момент — кто вправе обрабатывать данные. И работодатель, и сторонняя служба безопасности должны быть операторами персональных данных: подать уведомление в Роскомнадзор и попасть в его реестр. Проверить статус оператора можно в реестре операторов персональных данных на портале Роскомнадзора. Если данные передаются внешнему проверяющему, нужен ещё защищённый канал — на практике это зашифрованные почты и защищённые мессенджеры.
Согласие должно быть конкретным. Размытая формулировка «разрешаю обрабатывать мои данные» не закрывает риск. В документе указывают цель (проверка благонадёжности при трудоустройстве), перечень данных, срок, и кому они могут передаваться. В сервисе Добыто мы оформляем такое согласие электронной подписью прямо в системе КЭДО — кандидат подписывает его до старта проверки, и у работодателя на руках остаётся юридически значимый документ с отметкой времени, а не бумажка, которую потом не найти.
Как оформить согласие кандидата на проверку: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Убедитесь, что компания (или нанятая СБ) состоит в реестре операторов персональных данных Роскомнадзора. Нет статуса оператора — нет права обрабатывать данные.
- Шаг 2. Подготовьте текст согласия: цель обработки, конкретный перечень данных, срок хранения, перечень лиц, которым данные передаются (включая стороннюю СБ).
- Шаг 3. Дайте кандидату ознакомиться с локальным актом о порядке обработки персональных данных в компании — это требование статьи 86 ТК.
- Шаг 4. Получите подпись кандидата на согласии — собственноручную на бумаге или электронную в КЭДО до начала проверки.
- Шаг 5. Для запроса кредитной истории оформите отдельное согласие по 218-ФЗ (оно действует 6 месяцев), для биометрии — своё отдельное согласие.
Что служба безопасности вправе проверять по закону
При наличии согласия и обоснования деловыми качествами СБ работает с довольно широким набором сведений. Уровень проверки разный — от минимального «судим или нет» до подробного досье с рекомендациями. Базовый набор: судимость, административные правонарушения, финансовые и кредитные задолженности, налоговые долги, проблемы с банками, аффилированность кандидата и родственников с другими бизнесами, исполнительные производства ФССП, розыск МВД, действительность паспорта и водительского удостоверения.
Судимость кандидата: когда проверка законна, а когда нет
Самый частый камень преткновения. Справка о судимости в перечень статьи 65 ТК не входит. Требовать её работодатель вправе только для должностей, прямо названных в федеральных законах: педагоги (статья 331 ТК запрещает работу с несовершеннолетними лицам с непогашенной судимостью за тяжкие и особо тяжкие преступления), госслужба, сфера противодействия коррупции, отдельные категории в авиации, охране и финансах. Для обычной офисной, торговой или производственной позиции требование справки незаконно — даже если кандидат готов её принести добровольно. Это прямо нарушает пункт 4 статьи 86 ТК.
Если кандидат претендует на должность из перечня и принёс справку, а у работодателя есть сомнения в её подлинности, он вправе самостоятельно запросить сведения в МВД, приложив копию заявления работника о приёме. На практике службы безопасности смотрят не только на сам факт, но и на контекст: единичный случай или массовый, давность, тяжесть, признался ли человек сам. Судимость по хулиганке двадцатилетней давности при редкой квалификации и честном рассказе часто проходит. Свежая статья по экономике на материально ответственную позицию — почти гарантированный стоп.
Мария Ж, HR-эксперт с 13-летним стажем:
«Я видела, как кандидата с судимостью брали на топовую позицию — потому что он сам пришёл к безопаснику и сказал: ребята, история была по молодости, готов к любому пристальному контролю. А видела, как заворачивали человека с чистой биографией, потому что в анкете нашли расхождение с трудовой книжкой. Дело не в чёрной метке как таковой, дело в том, что ты скрыл.»
Кредитная история, долги и банкротство
Кредитная история относится к персональным данным, и запросить её в бюро кредитных историй (БКИ, НБКИ) работодатель может только с письменного согласия кандидата — это пункт 9 статьи 6 закона 218-ФЗ. Согласие действует 6 месяцев. Запрос в БКИ отображается в самой кредитной истории, так что скрыть факт проверки не получится. Если согласия не было, а запрос ушёл, кандидат вправе пойти в суд, и компания получит штраф.
Долги и исполнительные производства проверяют через открытый банк данных ФССП — тут согласие на саму проверку открытого реестра не нужно, данные публичны. Смотрят не на факт долга, а на совокупность: соотношение суммы долга к окладу, материальная ответственность позиции, отрасль. В финансовой сфере любой невозврат — это, как говорят сами безопасники, чёрная метка. Для рядовой позиции ипотека и пара просрочек на семью с двумя детьми чаще всего никого не пугает. Банкротство физлица проверяют по открытому Федресурсу: после банкротства человеку три года запрещено занимать руководящие должности в кредитных и ряде других организаций (статья 213.30 закона 127-ФЗ).
Образование, прошлые работодатели, аффилированность и соцсети
Подлинность диплома проверяют через реестры Рособрнадзора и прямые запросы в вуз. Прошлые места работы — сверкой по трудовой и, если СБ решит, обзвоном бывших работодателей. Аффилированность — через выписки ЕГРЮЛ и ЕГРИП: учредительство в сторонних ООО, статус ИП, связи родственников с конкурентами и контрагентами. Это уже про экономическую безопасность — риск утечки коммерческой тайны или конфликта интересов.
Соцсети — отдельная тема. СБ смотрит открытые профили: публичную активность, экстремистские проявления, несостыковки с анкетой. Ключевое слово — открытые. Взлом закрытых аккаунтов, покупка слитых баз, доступ к переписке — уже за гранью закона. В практике Добыто мы при настройке проверки всегда разделяем: что в открытом доступе и берётся легально, а что требует отдельного согласия или вообще недопустимо. Эйчары не всегда чувствуют эту грань, и приходится объяснять, где заканчивается публичная информация и начинается частная жизнь.
Что закон прямо запрещает службе безопасности
Тут начинается зона, где компании чаще всего и попадают. Статья 86 ТК (пункт 4) и статья 10 закона 152-ФЗ запрещают собирать особые категории персональных данных без прямой связи с трудовой функцией и без отдельного согласия. Под запретом: политические убеждения, религиозные и философские взгляды, расовая и национальная принадлежность, членство в профсоюзах и участие в забастовках, интимная жизнь. Данные о здоровье работодатель вправе получать только в той части, которая относится к возможности выполнять трудовую функцию.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Сбор данных у третьих лиц без согласия кандидата тоже запрещён. Статья 86 ТК прямо говорит: персональные данные работодатель получает у самого работника, а если у кого-то ещё — то с его письменного согласия и с уведомлением о целях. Обзвонить бывших коллег «по-тихому», не сказав кандидату, что вы запускаете проверку у третьих лиц, — нарушение.
И ещё одно: необоснованный отказ в приёме на работу. Статья 64 ТК запрещает отказывать по причинам, не связанным с деловыми качествами, статья 3 ТК запрещает дискриминацию. Если СБ нашла «не ту» национальность, религию или политические взгляды и кандидата завернули по этой причине — это незаконный отказ, который кандидат может оспорить в суде. Логика простая: проверять можно только то, что говорит о способности человека делать работу. Всё остальное — частная жизнь, в которую закон СБ не пускает.
Грань между законной проверкой благонадёжности и незаконным сбором данных тонкая, и проходит она там, где запрос СБ отрывается от деловых качеств кандидата. Один лишний пункт в анкете про вероисповедание или один запрос судимости там, где он не положен, превращают всю процедуру в нарушение со штрафом. Если вы не уверены, что ваши формы согласий и регламент проверки соответствуют 152-ФЗ и главе 14 ТК — лучше свериться до того, как этим заинтересуется Роскомнадзор.
Специалисты Добыто настраивают согласия на обработку данных и порядок проверки кандидата так, чтобы он закрывал требования закона и не давал кандидату повода для иска.
Полиграф, биометрия и спорные методы проверки
Отдельного закона о полиграфе в России нет. Нет и прямого запрета. Из этого следует главное: проверка на детекторе лжи возможна только с добровольного письменного согласия кандидата. Отказ от полиграфа не может быть основанием для отказа в приёме на работу — тут работает статья 64 ТК и статья 21 Конституции, которая гарантирует, что никого нельзя без согласия подвергать опытам. Запись в трудовом договоре, обязывающая работника проходить полиграф, противоречит ТК и ничтожна — даже если человек её подпишет, силы она не имеет.
Круг вопросов на полиграфе ограничен теми же нормами статьи 86 ТК. Спрашивать про политику, религию, национальность, интимную жизнь, профсоюз — нельзя. Можно — про причастность к хищениям, мошенничеству, про скрытые факты биографии вроде поддельных документов. И помните: результаты полиграфа суд не примет как единственное доказательство.
Биометрия (отпечатки, распознавание лица для пропускной системы) — под 572-ФЗ и статьёй 11 закона 152-ФЗ. Нужно отдельное согласие именно на биометрию плюс усиленные меры защиты. Свалить биометрию в общее согласие на обработку данных нельзя.
Мария Ж, специалист по трудовому праву и КЭДО:
«Полиграф — это история про добровольность от и до. Я всегда говорю клиентам: хотите детектор — пожалуйста, но только с отдельным согласием и без вопросов про личное. И ни в коем случае не вшивайте обязанность проходить полиграф в трудовой договор. Это первый красный сигнал для инспектора и железный повод для кандидата выиграть суд.»
Образцы документов для законной проверки и оформления кандидата
Открыть список документов
| Документ | Скачать |
|---|---|
| Правила обработки персональных данных | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Образец личной карточки работника | Скачать |
| Образец штатного расписания | Скачать |
| Форма Т-34: лицевой счёт работника | Скачать |
| Образец табеля рабочего времени | Скачать |
| Образец графика отпусков | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Образец приказа о направлении на курсы повышения квалификации | Скачать |
Проверка кандидата онлайн через сервис Добыто
Чтобы запустить базовую проверку соискателя, достаточно ввести его данные в форму ниже. Перед этим у кандидата должно быть получено согласие на обработку персональных данных — без него проверка незаконна.
Как заполнить форму: введите фамилию, имя и отчество сотрудника; укажите дату рождения в формате ДД.ММ.ГГГГ; заполните серию и номер паспорта без пробелов и дату выдачи; при наличии водительского удостоверения укажите его серию, номер без пробелов и дату выдачи; проверьте корректность данных и нажмите кнопку «Проверить». Чтобы стереть введённое и начать заново, используйте кнопку «Очистить поля».
Ответственность работодателя за незаконную проверку
С 30 мая 2025 года штрафы за нарушения с персональными данными выросли кардинально — поправки внёс Федеральный закон от 30.11.2024 № 420-ФЗ. Бить будут по статье 13.11 КоАП. Обработка персональных данных без согласия субъекта (часть 2 статьи 13.11) для юрлица теперь обходится в сотни тысяч рублей, при повторе — больше.
Самое тяжёлое — утечка. За допущенную утечку персональных данных по новым составам статьи 13.11 КоАП юрлицу грозит штраф до 500 000 000 рублей при массовой утечке. При повторном нарушении в течение года включается оборотная формула с минимальным порогом 20 млн рублей. Параллельно работает уголовная статья 137 УК за незаконный сбор и распространение сведений о частной жизни. По линии трудового законодательства добавляется статья 5.27 КоАП: необоснованный отказ или требование документов сверх статьи 65 ТК — штраф для компании по практике в диапазоне 30 000-50 000 рублей.
Мини-кейс из практики. Компания (ритейл, материально ответственные позиции) запустила проверку кандидатов через стороннее агентство, но согласие оформила формально — одной строкой в анкете, без цели и перечня данных. Проблема: один из кандидатов, которому отказали, пожаловался в Роскомнадзор на обработку данных без надлежащего согласия. Решение: компании пришлось переоформить все согласия, прописать цель, перечень и сроки, ввести локальный акт. Результат: риск штрафа сняли, но на устранение ушло около трёх недель работы юриста и кадровой службы — дороже, чем настроить корректно на старте.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«После майских поправок 2025 года цена ошибки с персональными данными перестала быть смешной. Раньше штраф был как лёгкое неудобство, сейчас за массовую утечку это полмиллиарда. Мы за время работы подключили сотни компаний и в каждой первым делом проверяем именно согласия и регламент проверки — потому что именно тут зарыты грабли, на которые наступают чаще всего.»
Стоимость оформления согласий и проверки кандидатов в Добыто
Стоимость зависит от численности персонала, выбранного тарифа и набора подключаемых модулей. Согласия на обработку персональных данных, анкеты и кадровые документы кандидата подписывают электронной подписью в системе КЭДО — это часть тарифа, отдельной платы за оформление согласий нет. Ниже — тарифы сервиса Добыто.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны, email-поддержка) | от 30 ₽ за сотрудника / мес | До 25 сотрудников |
| Бизнес — для среднего бизнеса (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив, приоритетная поддержка) | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| Корпорация — для крупного бизнеса с расширенными требованиями (всё из Бизнеса, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции) | По запросу | Индивидуальные условия |
Итоговая сумма зависит от размера штата, нужного вида электронной подписи и набора модулей. Сориентироваться точнее помогут актуальные тарифы сервиса Добыто — там можно собрать конфигурацию под свою компанию.
Выводы: что разрешает и запрещает закон при проверке кандидатов
Проверка кандидата службой безопасности законна, пока держится на двух опорах: письменное согласие соискателя по 152-ФЗ и связь запрашиваемых сведений с деловыми качествами по главе 14 ТК. Без согласия проверка нелегальна целиком, а компания-оператор должна состоять в реестре Роскомнадзора. Справку о судимости разрешено требовать только для должностей из специальных федеральных законов; кредитную историю — лишь с отдельного согласия по 218-ФЗ; долги и банкротство — из открытых реестров ФССП и Федресурса.
Запрещено собирать данные о политических и религиозных взглядах, национальности, интимной жизни, членстве в профсоюзах, а данные о здоровье — сверх связи с трудовой функцией. Нельзя запрашивать сведения у третьих лиц без согласия кандидата и отказывать в приёме по причинам, не связанным с деловыми качествами (статьи 3 и 64 ТК). Полиграф — только добровольно и письменно, без вопросов о личном. Цена несоблюдения после поправок 420-ФЗ от 30 мая 2025 года стала ощутимой: штрафы по статье 13.11 КоАП доходят до 500 млн рублей, добавляются статья 137 УК и статья 5.27 КоАП. Практический вывод один: оформляйте согласия конкретно, проверяйте только то, что относится к работе, и фиксируйте всё документально.
Часто задаваемые вопросы
Может ли служба безопасности проверять кандидата без его согласия?
Имеет ли право работодатель требовать справку о судимости при приёме?
Может ли работодатель запросить кредитную историю кандидата?
Законно ли использовать полиграф при приёме на работу?
Может ли служба безопасности обзванивать прошлых работодателей кандидата?
Какие данные о кандидате собирать запрещено в любом случае?
Чем грозит работодателю незаконная проверка кандидата?
Может ли СБ проверять родственников кандидата?
Влияет ли банкротство физлица на прохождение проверки?
Законно ли проверять социальные сети кандидата?
Нужно ли отдельное согласие на сбор биометрии кандидата?
Проверка кандидата законна ровно настолько, насколько корректно оформлены согласия и насколько проверяемые сведения привязаны к деловым качествам. После поправок 2025 года цена ошибки с персональными данными измеряется уже не тысячами, а миллионами рублей, и Роскомнадзор стал заметно активнее. Чтобы не оформлять согласия задним числом под жалобу несостоявшегося сотрудника, процедуру проверки и пакет документов проще выстроить корректно сразу.
Сервис Добыто закрывает кадровую часть: согласия на обработку персональных данных, анкеты и весь комплект документов кандидата подписываются электронной подписью и хранятся в защищённом архиве. За время работы мы подключили сотни компаний — от малого бизнеса до федеральных сетей — и в каждом проекте первым делом приводим в порядок именно работу с данными.
- Юридическая обвязка из коробки: шаблоны согласий на обработку данных, локальные акты, формы для законной проверки кандидата
- Согласие и кадровые документы подписываются ПЭП, УНЭП или УКЭП — под любой кадровый процесс
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Хранение документов до 50 лет с доступом к архиву даже при расторжении договора с провайдером
- Полностью безбумажное оформление кандидата и дистанционного сотрудника за пару минут