Проверка кандидатов при трудоустройстве после ужесточения ФЗ-152 перестала быть формальностью — теперь за ошибки в обработке персональных данных соискателей работодатель рискует получить оборотный штраф до 500 млн рублей. С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ, который радикально изменил правила игры для всех, кто проверяет кандидатов — от HR-специалистов до штатных безопасников. В этой статье разберем, какие именно требования появились, что поменять в документах и процессах компании, и как провести проверку кандидата так, чтобы не попасть под санкции Роскомнадзора.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что изменилось в ФЗ-152 для проверки кандидатов в 2025-2026 году
Федеральный закон № 420-ФЗ от 30.11.2024 стал самым серьезным обновлением законодательства о персональных данных за последнее десятилетие. Для работодателей, которые проводят проверку кандидатов через службу безопасности или HR-отдел, изменения затронули три ключевых направления: порядок получения согласия, ответственность за утечку и обязанность уведомлять Роскомнадзор об инцидентах.
По сути, раньше многие компании собирали данные кандидатов без оглядки на юридическую сторону. Анкета СБ, копии паспорта, проверка по базам — все это делалось на основании устного согласия или вообще без него. Сейчас за такие вещи можно получить штраф от 300 000 до 700 000 рублей для юридического лица уже при первом нарушении.
Мария Ж, юрист со стажем более 20 лет:
«На практике порядка 60-70% компаний, которые обращаются к нам за консультацией, не имеют актуального согласия на обработку ПД кандидатов. Старые формы, которые использовались до 2025 года, в большинстве случаев не соответствуют новым требованиям — нет указания на конкретные цели, нет перечня третьих лиц, которым передаются данные. А штрафы уже прилетают.»
Ключевые изменения для процедуры проверки кандидатов можно свести к нескольким пунктам. Во-первых, согласие на обработку ПД теперь должно содержать исчерпывающий перечень целей обработки — и «проверка благонадежности» или «проверка СБ» должна быть указана отдельной строкой. Во-вторых, если данные кандидата передаются третьим лицам (аутсорсинговой СБ, сервису проверки, внешнему подрядчику), каждый такой получатель указывается в согласии поименно. В-третьих, за утечку данных кандидатов введены оборотные штрафы — от 1 до 3% годовой выручки, но не менее 20 млн рублей при повторном нарушении.
Какие персональные данные кандидата нельзя обрабатывать без письменного согласия
Трудовой кодекс разрешает работодателю запрашивать у соискателя сведения, необходимые для заключения трудового договора: ФИО, дату рождения, данные паспорта, ИНН, СНИЛС, документы об образовании, сведения о воинском учете. Для обработки этих данных в рамках трудовых отношений отдельное согласие по ст. 6 ФЗ-152 не требуется — достаточно трудового договора.
Проблема начинается, когда работодатель выходит за рамки ТК РФ. Проверка судимости, кредитной истории, аффилированности с конкурентами, мониторинг соцсетей, запрос рекомендаций с предыдущих мест работы — все это обработка ПД, для которой нужно отдельное письменное согласие кандидата. Причем в согласии нужно указать каждую конкретную цель и каждый конкретный способ обработки.
Специальные категории ПД — сведения о расовой принадлежности, политических взглядах, состоянии здоровья, судимостях — обрабатываются исключительно с письменного согласия субъекта или в случаях, прямо установленных федеральным законом. С 30 мая 2025 года штраф за утечку специальных ПД составляет от 15 до 20 млн рублей для юридического лица.
В практике сервиса Добыто мы видим, что каждая вторая компания при проверке кандидатов запрашивает сведения о судимостях самостоятельно — через открытые базы или знакомых в правоохранительных органах. По закону получить справку об отсутствии судимости вправе только сам гражданин (или его представитель), обратившись в МВД. Работодатель не входит в перечень субъектов, которым эту информацию предоставляют напрямую.
Новые штрафы за нарушения при проверке кандидатов
Таблица штрафов кардинально изменилась с 30 мая 2025 года. Вот что грозит работодателю за типичные нарушения при проверке соискателей:
| Нарушение | Штраф для организации | Штраф для должностного лица |
|---|---|---|
| Обработка ПД без письменного согласия (первичное) | 300 000 — 700 000 руб. | 100 000 — 300 000 руб. |
| Обработка ПД без согласия (повторное) | до 1 500 000 руб. | до 500 000 руб. |
| Утечка ПД (до 10 000 субъектов) | 3 000 000 — 5 000 000 руб. | 800 000 — 1 000 000 руб. |
| Утечка ПД (повторная) | 1-3% выручки (не менее 20 млн, не более 500 млн руб.) | до 2 000 000 руб. |
| Неуведомление РКН об обработке ПД | 100 000 — 300 000 руб. | 30 000 — 50 000 руб. |
| Утечка специальных ПД (здоровье, судимости) | 15 000 000 — 20 000 000 руб. | 1 500 000 — 2 000 000 руб. |
Оборотные штрафы — нововведение, которое пугает бизнес. Раньше максимальный штраф за утечку составлял 500 000 рублей, и многие компании просто закладывали его в бюджет рисков. Теперь 1-3% от годовой выручки — это уже сотни миллионов для крупного бизнеса. Для компании с выручкой 10 млрд рублей повторная утечка обернется штрафом от 100 до 300 млн рублей.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Мы закладываем время на аудит процессов обработки ПД кандидатов в каждый проект внедрения КЭДО. Когда компания переходит на электронный кадровый документооборот, заодно приводит в порядок все формы согласий, регламенты хранения и уничтожения данных. Это экономит время и денежки — потому что штраф за неправильное согласие уже превышает стоимость годовой подписки на КЭДО.»
Согласие кандидата на проверку СБ: как оформить по новым правилам
С 1 сентября 2025 года действуют обновленные требования к содержанию согласия на обработку ПД (ст. 9 ФЗ-152). Документ должен быть конкретным, информированным, сознательным и содержать ряд обязательных элементов. Для проверки кандидата службой безопасности согласие оформляется отдельно от согласия на обработку ПД в связи с трудоустройством.
Обязательные элементы согласия на проверку СБ:
- ФИО, паспортные данные и адрес регистрации кандидата
- Наименование и адрес работодателя (оператора ПД)
- Цель обработки — «проверка благонадежности кандидата при трудоустройстве», «проверка сведений, представленных кандидатом» (каждая цель указывается отдельно)
- Перечень ПД, подлежащих обработке: ФИО, дата рождения, паспортные данные, адрес, сведения о судимости (если запрашиваются) и т.д.
- Перечень действий с ПД: сбор, запись, хранение, уточнение, извлечение, использование, передача
- Если ПД передаются третьим лицам (аутсорсинговой СБ, сервису проверки) — наименование и адрес каждого получателя
- Срок действия согласия (на период рассмотрения кандидатуры)
- Порядок отзыва согласия
Нюанс в том, что кандидат вправе отказать в даче согласия на проверку — и работодатель не вправе отказать ему в трудоустройстве только на этом основании. Статья 64 ТК РФ запрещает необоснованный отказ в заключении трудового договора. Но на практике СБ находит другие формулировки — «не соответствует квалификационным требованиям», «выбран другой кандидат». Тут важно, чтобы эта формулировка была обоснованной, иначе кандидат оспорит отказ в суде.
Как организовать проверку кандидата СБ в соответствии с ФЗ-152: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Подготовьте актуальную форму согласия на обработку ПД при проверке кандидата. Форма должна соответствовать требованиям ст. 9 ФЗ-152 в редакции 2025 года — с указанием конкретных целей, перечня данных, получателей и сроков.
- Шаг 2. Предложите кандидату подписать согласие до начала проверки. Разъясните ему право отказаться. Согласие подписывается собственноручно или электронной подписью (УКЭП/НЭП). Простая ЭП (логин-пароль) для этих целей не подходит.
- Шаг 3. Передайте данные в службу безопасности (штатную или аутсорсинговую) по защищенным каналам связи. Убедитесь, что получатель данных включен в согласие кандидата.
- Шаг 4. Проведите проверку. СБ вправе проверять данные по общедоступным источникам (ЕГРЮЛ, реестры судов, ФССП, социальные сети) без дополнительного согласия. Для запроса данных у третьих лиц (банки, бывшие работодатели) — нужно отдельное согласие кандидата на передачу ПД.
- Шаг 5. Оформите результаты проверки. Заключение СБ не должно содержать избыточных ПД — только выводы, релевантные решению о приеме на работу.
- Шаг 6. После принятия решения (прием или отказ) уничтожьте ПД кандидата, если они больше не нужны для целей обработки. Составьте акт об уничтожении. Срок хранения ПД кандидата после отказа — не более 30 дней (если иное не указано в согласии).
- Шаг 7. Если произошла утечка ПД кандидата — уведомите Роскомнадзор в течение 24 часов с момента обнаружения. Второе уведомление с результатами расследования — в течение 72 часов.
Оформление согласий, маршрутизация документов, контроль сроков хранения ПД — все это уже автоматизировано в сервисе КЭДО Добыто. Кадровик формирует пакет документов для кандидата за 10-15 минут, а сотрудник подписывает со смартфона — без визита в офис и без бумаги.
Что проверяет СБ при трудоустройстве и какие данные доступны легально
Российское законодательство не регламентирует перечень проверочных мероприятий при трудоустройстве (за исключением отдельных должностей — госслужба, силовые структуры, работа с детьми). Работодатель сам определяет объем проверки. Но ФЗ-152 устанавливает рамки: объем запрашиваемых данных должен быть адекватен целям обработки.
Из общедоступных источников СБ проверяет без дополнительного согласия: ЕГРЮЛ/ЕГРИП, банк данных ФССП, картотеку арбитражных дел, реестр банкротств, соцсети (открытый профиль). Для проверки кредитной истории, запроса сведений от бывших работодателей, доступа к закрытым базам — нужно согласие. Справку о судимости запрашивает сам кандидат в МВД или через Госуслуги.
Мария Ж, судебный эксперт по трудовому праву:
«В сервисе Добыто мы реализовали автоматическую маршрутизацию документов: когда HR запускает процедуру проверки кандидата, система сама формирует нужное согласие с перечнем целей и получателей, отправляет на подпись, фиксирует дату и время. Без ручного заполнения, без ошибок. Это та самая автоматизация, которая реально защищает от штрафов.»
Ошибки работодателей при проверке кандидатов после ужесточения ФЗ-152
Практика показывает, что компании допускают одни и те же ошибки при организации проверки кандидатов. Каждая из них чревата штрафом.
Ошибка 1: Использование устаревшей формы согласия. Формы согласий образца 2020-2023 года не содержат обязательных реквизитов по новой редакции ФЗ-152. Отсутствие указания на конкретных получателей ПД — самое частое нарушение. Цена ошибки: штраф от 300 000 руб. для юрлица.
Ошибка 2: Хранение данных непрошедших проверку кандидатов без ограничения срока. Многие кадровые службы хранят анкеты и результаты проверок отклоненных кандидатов годами — на случай повторного обращения. Закон требует уничтожить ПД по достижении цели обработки. Нет трудового договора — нет оснований хранить данные. Цена ошибки: штраф от 300 000 руб. + предписание РКН.
Ошибка 3: Передача данных аутсорсинговой СБ без указания этого в согласии. Компания нанимает внешнего подрядчика для проверки кандидатов, но в согласии значится только сам работодатель. Каждый получатель ПД указывается в согласии поименно с реквизитами. Цена ошибки: штраф от 300 000 руб. для каждого оператора.
Ошибка 4: Проверка кандидата по закрытым базам МВД через неофициальные каналы. Сотрудники СБ, имеющие связи в правоохранительных органах, запрашивают данные о судимостях, административных правонарушениях, розыске. Это незаконная обработка ПД, и за нее предусмотрена уголовная ответственность по ст. 137 УК РФ (до 5 лет лишения свободы по новой редакции).
Ошибка 5: Сбор избыточных данных. Запрос сведений о родственниках кандидата, проверка родственников на судимость, мониторинг личных переписок — все это нарушение принципа минимизации данных (ст. 5 ФЗ-152). Объем данных должен соответствовать заявленным целям обработки.
Обязанность уведомить Роскомнадзор: что нужно знать работодателю
Любая организация, которая обрабатывает персональные данные (а это каждый работодатель), обязана направить уведомление в Роскомнадзор о себе как об операторе ПД. До 2025 года штраф за отсутствие уведомления был символическим — 5 000-10 000 рублей для юрлица. Теперь — от 100 000 до 300 000 рублей.
Уведомление подается один раз, но при изменении целей обработки, перечня данных или способов обработки нужно подать обновленное уведомление. Добавили проверку кандидатов через внешний сервис — обновите уведомление. Поменяли подрядчика по проверке СБ — обновите уведомление. Роскомнадзор внесет сведения в реестр операторов в течение 30 календарных дней.
Отдельная обязанность — уведомление об утечке. Если произошел инцидент (несанкционированный доступ к данным кандидатов, потеря носителя с анкетами, взлом базы данных), работодатель обязан уведомить РКН в течение 24 часов. Результаты внутреннего расследования — в течение 72 часов. Неуведомление — отдельный состав правонарушения со штрафом до 3 млн рублей.
Образцы документов для проверки кандидатов и обработки персональных данных
Открыть список документов
| Документ | Скачать |
|---|---|
| Правила обработки персональных данных | Скачать |
| ФЗ № 152-ФЗ «О персональных данных» | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Образец личной карточки работника | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
Как автоматизировать проверку кандидатов и не нарушить закон
Автоматизация проверки кандидатов — тренд, который усиливается с каждым годом. Сервисы проверки благонадежности позволяют за несколько минут получить сводку по открытым источникам: исполнительные производства, участие в юрлицах, банкротство, реестр дисквалифицированных лиц. При этом автоматизированный сервис проверки — это тоже оператор ПД, и он тоже должен быть указан в согласии кандидата.
Наши специалисты в Добыто рекомендуют включать в процесс найма стандартизированный чек-лист по ФЗ-152. До начала проверки — получить согласие. В процессе — фиксировать все действия с данными. После принятия решения — уничтожить данные с составлением акта. КЭДО позволяет автоматизировать весь этот цикл, включая выпуск электронной подписи для кандидата и подписание согласия со смартфона.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«При массовом найме — а у нас есть клиенты, которые нанимают по 200-300 человек в месяц — ручное оформление согласий занимает от 2 до 4 часов в день у одного кадровика. КЭДО сводит это к нулю. Кандидат получает ссылку на анкету, заполняет данные, подписывает согласие ПЭП или НЭП — и все данные уже в системе, защищены, зафиксированы. Никаких бумажек, никаких потерянных анкет.»
Стоимость организации проверки кандидатов с соблюдением ФЗ-152
Стоимость зависит от способа организации проверки: штатная СБ, аутсорсинг, автоматизированный сервис или комбинированный подход. Отдельная статья расходов — приведение документации по ПД в соответствие с новыми требованиями (аудит, разработка политик, обновление форм). Для компании от 100 сотрудников бюджет на приведение в порядок документации по ФЗ-152 составляет от 50 000 до 300 000 рублей при привлечении внешнего консультанта.
КЭДО-система позволяет закрыть вопрос с документальным оформлением проверки: формы согласий, маршруты подписания, электронный архив с фиксацией всех действий.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| КЭДО Добыто — тариф Старт | от 30 ₽ за сотрудника / мес | До 25 сотрудников |
| КЭДО Добыто — тариф Бизнес | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников |
| КЭДО Добыто — тариф Корпорация | По запросу | Выделенный сервер, SLA 99.9% |
Итоговая сумма зависит от численности персонала, выбранного тарифа и объема подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Тариф Бизнес включает ПЭП, УНЭП и УКЭП, кастомные шаблоны документов (в том числе согласий на обработку ПД), интеграцию с 1С и электронный архив с юридически значимым хранением.
Проверка кандидатов и антидискриминационное законодательство
Статья 3 ТК РФ запрещает дискриминацию в сфере труда. Отказ в приеме на работу допускается только по деловым качествам кандидата. Наличие у кандидата задолженности по алиментам или штрафов за нарушение ПДД не может служить основанием для отказа на должность, не связанную с материальной ответственностью или вождением. Кандидат вправе потребовать письменное обоснование отказа по ст. 64 ТК РФ.
Мария Ж, HR-эксперт с 13-летним стажем:
«Тут есть нюанс, о котором мало кто задумывается. Если кандидат запросит обоснование отказа, а компания укажет результаты проверки СБ как причину — это одновременно и дискриминация по ТК, и подтверждение обработки ПД. Два штрафа в одном, грубо говоря. Поэтому формулировки в заключении СБ должны быть выверены юристом.»
Хранение и уничтожение данных проверки кандидатов
После принятия решения о приеме или отказе кандидату данные проверки подлежат уничтожению в срок, установленный в согласии, или в течение 30 дней с момента достижения цели обработки. Работодатель обязан составить акт об уничтожении ПД. Если данные обрабатывались автоматизированным способом — добавить запись в журнал регистрации событий информационной системы.
Хранение анкет отклоненных кандидатов «про запас» — прямое нарушение ст. 5 ФЗ-152. Если кандидат отозвал согласие, данные уничтожаются в течение 30 дней. В системе КЭДО Добыто реализован механизм автоматического уничтожения данных по истечении срока хранения — кадровику не нужно вручную отслеживать сроки.
Выводы: проверка кандидатов в условиях ужесточения ФЗ-152
Ужесточение ФЗ-152 с мая 2025 года кардинально изменило правила проверки кандидатов при трудоустройстве. Оборотные штрафы до 500 млн рублей за утечку, штрафы до 700 000 рублей за обработку без согласия и уголовная ответственность до 5 лет за незаконный доступ к специальным категориям ПД — это реальность, в которой работает каждый работодатель. Согласие на проверку СБ оформляется отдельным документом с указанием конкретных целей, перечня данных и каждого получателя. Срок уведомления Роскомнадзора об утечке — 24 часа.
Для приведения процедуры проверки кандидатов в соответствие с ФЗ-152 работодателю нужно обновить все формы согласий, разработать регламент обработки ПД кандидатов, назначить ответственного, зарегистрироваться в реестре операторов ПД (если еще не сделано) и внедрить процедуру уничтожения данных с фиксацией в акте. Автоматизация этих процессов через КЭДО существенно снижает трудозатраты и риски.
Тренд 2026 года — переход от ручной проверки кандидатов к автоматизированным сервисам с встроенным контролем соответствия ФЗ-152. Компании, которые продолжают работать по старым регламентам без обновления документации, рискуют получить штраф при первой же проверке Роскомнадзора.
Проверьте кандидата онлайн — сервис Добыто
Часто задаваемые вопросы
Нужно ли согласие кандидата для проверки его профиля в социальных сетях?
Может ли кандидат отказаться от проверки службой безопасности?
Сколько дней можно хранить данные непрошедшего проверку кандидата?
Что делать, если кандидат отозвал согласие на обработку ПД?
Можно ли использовать ПЭП (простую электронную подпись) для подписания согласия на обработку ПД?
Обязан ли работодатель регистрироваться в реестре операторов ПД Роскомнадзора?
Какие документы нужно разработать работодателю для проверки кандидатов по ФЗ-152?
Как ФЗ-152 влияет на проверку кандидатов через автоматизированные сервисы?
Распространяются ли новые штрафы на проверку кандидатов, проведенную до 30 мая 2025 года?
Вправе ли работодатель проверять родственников кандидата?
Нужно ли уведомлять Роскомнадзор об утечке данных кандидата, если утечка затронула только одного человека?
Проверка кандидатов при трудоустройстве — процесс, который требует не только компетенций СБ, но и юридически выверенной документации по ФЗ-152. Сервис КЭДО Добыто закрывает документальную сторону: от выпуска электронной подписи для кандидата до автоматического уничтожения данных по истечении срока хранения. За время работы сервиса мы подключили более 500 компаний — и в каждом проекте вопрос соответствия ФЗ-152 решался в рамках внедрения КЭДО.
Сервис Добыто помогает работодателю не только подписывать кадровые документы, но и выстраивать юридически безопасный процесс обработки персональных данных — от приема до увольнения.
- Поддержка всех трех видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Юридическая обвязка из коробки: шаблоны ЛНА о ЭДО, порядок осуществления, формы согласий сотрудников
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Защищенные каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) — ставится за час без привлечения разработчиков
- Скорость внедрения от 1 дня для небольших компаний