Регламент проверки кандидатов при приёме на работу службой безопасности — внутренний документ, который описывает, кого проверяют, по каким источникам, в какие сроки и кто принимает решение об отказе. Без такого регламента безопасник работает по личному усмотрению, а компания рискует получить штраф за обработку персональных данных без основания и проиграть суд при оспаривании отказа. Разберём, из каких разделов состоит регламент, на какие нормы он опирается, как прописать согласие кандидата на проверку и перечень стоп-факторов, чтобы документ защищал работодателя, а не создавал новые риски. Это часть большого раздела про проверку сотрудников при трудоустройстве, где собраны методы и инструменты скрининга по каждому источнику данных.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое регламент проверки кандидатов и зачем он компании
Регламент проверки кандидатов — локальный нормативный акт, который превращает разрозненные действия безопасника в управляемую процедуру. В нём фиксируют: кто подлежит проверке, какие данные собираются, из каких источников, сколько длится процедура, кто согласует результат и на каком основании можно отказать в приёме. Документ обязателен не по закону — ни одна статья ТК РФ не требует его наличия. Но без него проверка превращается в зону субъективных решений, а каждое такое решение работодателю потом приходится объяснять в суде, в инспекции, перед самим кандидатом.
Зачем это нужно на практике. Кандидат на должность закупщика параллельно учредитель фирмы-поставщика — классическая схема завышения цен. Регламент описывает, как безопасник выявляет такие риски и что с ними делает. Без формализованной процедуры каждый случай решается по наитию, а это и есть главный источник трудовых споров.
Мария Ж, судебный эксперт по трудовому праву:
«Регламент снижает субъективность. Безопасник работает по чёткому алгоритму, а не по личному усмотрению. Когда кандидат оспаривает отказ, у компании на руках документ: вот процедура, вот что проверяли, вот деловое качество, которому соискатель не соответствует. Без регламента в суде остаётся только слово против слова, и работодатель его обычно проигрывает.»
Правовая база регламента проверки кандидатов
Регламент не существует сам по себе — каждый его пункт опирается на норму. Если этого нет, документ становится формальностью, которую инспектор или суд легко развернут против компании. Основа — четыре нормативных блока.
Первое. Статья 64 ТК РФ запрещает необоснованный отказ в заключении трудового договора. Отказать можно только по деловым качествам — образование, квалификация, опыт, навыки. Отказ по полу, возрасту, семейному положению, наличию детей — прямая дискриминация по статье 3 ТК РФ. Регламент формулирует стоп-факторы через деловые качества и реальный риск, а не через личные характеристики.
Второе. Статья 65 ТК РФ устанавливает закрытый перечень документов, которые кандидат предъявляет при заключении договора: паспорт, трудовая книжка или сведения о трудовой деятельности, СНИЛС, документы воинского учёта, документ об образовании (если работа требует специальных знаний). Требовать сверх перечня нельзя. Регламент проверки опирается на эти документы как на отправную точку.
Третье, и самое важное для безопасника. Пункт 3 статьи 86 ТК РФ говорит прямо: все персональные данные работодатель получает у самого работника. Если данные нужно получить у третьей стороны — предыдущего работодателя, учебного заведения, — кандидат даёт письменное согласие и его уведомляют о целях и источниках. Обработка персональных данных регулируется Федеральным законом от 27.07.2006 № 152-ФЗ. Любой запрос в стороннюю организацию или формирование досье без согласия — нарушение.
Четвёртое. Право работодателя оценивать кандидата закреплено в Постановлении Пленума Верховного Суда РФ № 2 от 17.03.2004: работодатель вправе проверять деловые качества и отказывать тем, кто им не соответствует. Это правовое основание самой проверки. Плюс конституционные рамки — статьи 23 и 24 Конституции РФ о неприкосновенности частной жизни задают границу: за пределы деловых качеств заглядывать нельзя.
Мария Ж, юрист со стажем более 20 лет:
«На практике мы рекомендуем оформлять два отдельных документа — согласие на обработку персональных данных и согласие на проведение проверки. В согласии на обработку ПД указываете цель — проверка кандидата на трудоустройство. Это страховка на случай трудовых споров. Если кандидат потом оспорит отказ, у вас на руках обе бумажечки, и претензии по 152-ФЗ снимаются.»
Структура регламента: какие разделы должны быть в документе
Рабочий регламент проверки кандидатов состоит из восьми смысловых блоков. Я перечислю все — выкидывать ни один нельзя, иначе в процедуре появится дыра.
Общие положения. Цель, область применения, термины и ссылка на правовое основание — 152-ФЗ, статьи 64, 65, 86 ТК РФ, Постановление Пленума ВС № 2.
Категории кандидатов и уровни проверки. Не всех проверяют одинаково. Линейный персонал — базовая сверка документов и проверка по открытым реестрам. Материально ответственные лица и руководители — расширенная проверка с анализом аффилированности, финансовой истории, предыдущих мест работы. Топ-менеджеры и сотрудники с доступом к коммерческой тайне — максимальная глубина, включая проверку родственных связей.
Перечень проверяемых данных и источников. Конкретный список: какие государственные реестры, какие коммерческие сервисы, какие документы. Об этом отдельный раздел ниже.
Порядок получения согласия. Когда и какие согласия подписывает кандидат, в какой форме, что в них указано.
Стоп-факторы и критерии оценки. Перечень оснований, при которых проверка считается непройденной, с разбивкой на безусловные и оценочные.
Сроки и ответственные. Сколько длится проверка по каждой категории, кто исполнитель, кто согласует и принимает финальное решение.
Оформление результата. Форма заключения СБ, кому оно передаётся и как хранится.
Хранение и уничтожение данных. Сроки хранения досье, порядок уничтожения после отказа, ответственный за это.
Какие данные кандидата можно проверять, а какие нельзя
Здесь проходит граница, которую регламент обязан зафиксировать жёстко. Проверять можно то, что относится к деловым качествам и не нарушает врачебную тайну и частную жизнь.
Что проверять разрешено: подлинность паспорта и документов об образовании, наличие судимости (для должностей, где это законное ограничение — педагоги по ст. 331 ТК РФ, работа с детьми), нахождение в розыске, исполнительные производства через ФССП, банкротство, дисквалификацию, аффилированность с конкурентами и контрагентами, достоверность сведений из резюме. Большинство этих данных — в открытых реестрах, формального согласия на проверку по ним не требуется. Но при включении результатов в досье возникает обработка ПД, и согласие лучше брать.
Что проверять нельзя. Медицинскую историю — статья 13 Федерального закона от 21.11.2011 № 323-ФЗ защищает врачебную тайну. СБ не может запросить диагнозы или узнать в диспансере, состоит ли кандидат на учёте. Даже согласие на обработку ПД этого права не даёт — нужно отдельное согласие на раскрытие врачебной тайны, которое кандидат подписывать не обязан. Нельзя собирать данные о политических и религиозных взглядах, о национальности — это специальные категории ПД по 152-ФЗ, обработка которых для целей найма не обоснована.
Мария Ж, специалист по защите персональных данных:
«Самая частая ошибка в регламентах — размытая формулировка цели обработки. Пишут общо: для обеспечения безопасности компании. Этого мало. Цель должна быть конкретной — проверка соответствия кандидата деловым качествам должности. И перечень данных закрытый. Если в согласии указано пять источников, а безопасник полез в шестой — это уже обработка без основания, штраф по статье 13.11 КоАП до 300 000 рублей.»
Перечень источников и объектов проверки в регламенте
Это ядро документа. Чем точнее перечень, тем меньше произвола. Основа — открытые государственные реестры со свободным доступом.
| Источник / Реестр | Что проверяют | Доступ |
|---|---|---|
| МВД — розыск (mvd.ru) | Нахождение в федеральном розыске | Открытый |
| ФССП (fssp.gov.ru) | Исполнительные производства, долги, алименты | Открытый |
| ФНС — ЕГРЮЛ/ЕГРИП (egrul.nalog.ru) | Учредительство, руководство, статус ИП | Открытый |
| ФНС — дисквалифицированные лица | Запрет занимать руководящие должности | Открытый |
| ЕФРСБ / Федресурс (fedresurs.ru) | Банкротство физлица, ограничения | Открытый |
| Картотека арбитражных дел (kad.arbitr.ru) | Арбитражные споры, банкротства компаний | Открытый |
| ФРДО (Рособрнадзор) | Подлинность диплома и квалификации | Открытый |
| Росфинмониторинг (fedsfm.ru) | Перечень причастных к терроризму и экстремизму | Открытый |
Помимо государственных реестров регламент фиксирует коммерческие источники — Контур.Фокус, СПАРК, CheckPerson и аналоги. Они собирают данные из нескольких реестров в единый отчёт, строят карту связей физлица с юрлицами и выявляют аффилированность, которую ручная проверка по ЕГРЮЛ не покажет. Стоимость — от 300 до 5 000 рублей за кандидата. Отдельный объект — OSINT, анализ открытых источников и соцсетей. Регламент ограничивает OSINT рамками деловых качеств, иначе сбор данных о частной жизни выходит за пределы закона.
Как составить регламент проверки кандидатов: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Опишите цель и правовое основание регламента, сошлитесь на 152-ФЗ, статьи 64, 65, 86 ТК РФ и Постановление Пленума ВС № 2 от 2004 года.
- Шаг 2. Разбейте должности на категории и определите для каждой уровень проверки — базовый, расширенный, максимальный.
- Шаг 3. Составьте закрытый перечень источников и проверяемых данных, исключите врачебную тайну и специальные категории ПД.
- Шаг 4. Подготовьте формы согласия — на обработку ПД с конкретной целью и на проведение проверки.
- Шаг 5. Сформулируйте стоп-факторы через деловые качества, разделите на безусловные и оценочные.
- Шаг 6. Пропишите сроки по каждой категории, назначьте исполнителей и согласующих, утвердите форму заключения СБ.
- Шаг 7. Закрепите сроки хранения досье и порядок уничтожения данных после отказа, утвердите регламент приказом и ознакомьте сотрудников под подпись.
Образцы документов для регламента проверки кандидатов
Открыть список документов
| Документ | Скачать |
|---|---|
| Правила обработки персональных данных | Скачать |
| Образец личной карточки работника | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец штатного расписания | Скачать |
| Форма Т-34 лицевой счёт работника | Скачать |
| Образец табеля рабочего времени | Скачать |
| Приказ о введении КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Образец графика отпусков | Скачать |
| Образец приказа о направлении на курсы повышения квалификации | Скачать |
Стоп-факторы: как формализовать основания для отказа
Стоп-фактор — это основание, при котором проверка считается непройденной, а не личная антипатия безопасника. Регламент делит их на три группы, и это деление защищает компанию от обвинений в дискриминации.
Безусловные стоп-факторы. Отказ практически в любой компании: нахождение в розыске МВД или ФСИН, наличие в перечне Росфинмониторинга, недействительный паспорт, дисквалификация для руководящих должностей, действующая непогашенная судимость для позиций, где это запрещено законом. Поддельный диплом — тоже сюда, плюс это статья 327 УК РФ.
Серьёзные стоп-факторы (зависят от должности). Множественные исполнительные производства, банкротство для руководящих позиций (3 года запрета по ФЗ-127, до 10 лет для банков), связь с фирмами-однодневками, задолженность перед бывшим работодателем, прямая аффилированность с конкурентом для должности с доступом к закупкам.
Оценочные факторы (на усмотрение руководителя). Единичный штраф ГИБДД, погашенная судимость давних лет, наличие ИП без конфликта интересов, ипотека с историей просрочек. Долги безопасник смотрит суммарно: есть разница между ипотекой, которую человек тянет 10 лет, и тремя кредитами в просрочке.
Мария Ж, HR-эксперт с 13-летним стажем:
«Безопасники говорят: долги смотрят в совокупности. Один штраф на 500 рублей — ерунда. Но если к нему прибавляются три кредита в просрочке, долг по алиментам и неоплаченные налоги — это уже картина системных проблем с финансовой дисциплиной. Регламент должен описывать именно совокупную оценку, а не механику отказа за любую запись в реестре.»
Проверка кандидата по базам данных онлайн
Показать пошаговую инструкцию
- Шаг 1. Введите фамилию, имя и отчество сотрудника.
- Шаг 2. Укажите дату рождения в формате ДД.ММ.ГГГГ.
- Шаг 3. Заполните данные паспорта: серия и номер без пробелов, дата выдачи паспорта.
- Шаг 4. При наличии водительского удостоверения укажите: серию и номер без пробелов, дату выдачи удостоверения.
- Шаг 5. Проверьте корректность введённых данных.
- Шаг 6. Нажмите кнопку «Проверить» для запуска проверки сотрудника.
- Шаг 7. Чтобы удалить введённые данные и начать заново, используйте кнопку «Очистить поля».
Сроки, ответственные и согласие кандидата на проверку
Регламент закрепляет сроки проверки по каждой категории, иначе процедура растягивается и кандидат уходит к конкуренту, пока безопасник раскачивается. Базовая проверка по открытым реестрам — от 30 до 60 минут ручной работы, через коммерческий сервис — 10-15 минут. Расширенная проверка с запросами в вузы и звонками предыдущим работодателям — от нескольких дней до пары недель. Регламент фиксирует и предельный срок, после которого решение должно быть принято.
Ответственные. Исполнитель — безопасник или специалист по кадровой безопасности. Согласующий — руководитель СБ. Финальное решение по оценочным факторам — руководитель подразделения или директор. Без этого распределения возникает затык: каждый ждёт, что решит другой.
Согласие — отдельная тема, которую регламент обязан закрыть полностью. Кандидат подписывает согласие на обработку персональных данных с конкретной целью (проверка соответствия деловым качествам) и, отдельно, согласие на проведение проверки с перечнем источников. Получение данных у предыдущего работодателя без письменного согласия — нарушение пункта 3 статьи 86 ТК РФ. Кстати, бывший эйчар нередко отказывается давать рекомендацию, ссылаясь как раз на 152-ФЗ, и это его право.
Согласия, анкета, копии документов и заключение СБ по каждому кандидату быстро превращаются в ворох бумаг, который теряется между отделом кадров и службой безопасности. Когда приходит проверка Роскомнадзора или трудовой спор, найти нужное согласие в этой куче — отдельная задача. В сервисе Добыто весь комплект по кандидату хранится в едином электронном досье: безопасник и кадровик видят одну карточку, с отметками времени по каждому действию.
Хранение и уничтожение данных проверки
Раздел, который чаще всего забывают, а зря — именно за него штрафует Роскомнадзор при проверке оператора ПД. По 152-ФЗ данные хранятся не дольше, чем требуется для цели обработки. Цель — принять решение о найме, и после её достижения держать досье отклонённого кандидата бессрочно нельзя. Регламент устанавливает срок хранения таких данных (на практике 30-60 дней на случай обжалования отказа) и порядок уничтожения. Для принятых кандидатов данные перетекают в личное дело и хранятся по срокам приказа Росархива.
Уничтожение тоже формализуют: кто, когда, на основании чего, с составлением акта. Хранение согласий удобнее вести в электронном виде — это снимает риск, что бумажное согласие потеряется или его уничтожат с нарушением срока.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Логику в требовании об уничтожении искать бессмысленно для тех, кто привык хранить всё. Но 152-ФЗ говорит прямо: нет цели — нет хранения. За избыточное хранение данных отклонённых кандидатов штраф по статье 13.11 КоАП. Мы закладываем в систему автоудаление досье по таймауту — кадровику не нужно помнить про каждую папочку, всё закрывается само.»
Типичные ошибки при составлении регламента проверки
Первая и самая дорогая. Размытая цель обработки ПД. Формулировка для обеспечения безопасности компании — это не цель, это лозунг. Роскомнадзор такую формулировку не принимает, а обработка без законной цели — штраф для организации от 150 000 до 300 000 рублей по части 1 статьи 13.11 КоАП, обработка вовсе без согласия — от 300 000 до 500 000 рублей. Цена ошибки — до полумиллиона за один эпизод.
Вторая. Стоп-факторы через личные характеристики вместо деловых качеств. Если в регламенте написано отказывать кандидатам старше 50 или с детьми до трёх лет — это прямая дискриминация по статье 3 ТК РФ, и первый же суд работодатель проигрывает. Цена — восстановление кандидата, компенсация, репутационный ущерб.
Третья. Отсутствие раздела о хранении и уничтожении — данные копятся годами, при проверке Роскомнадзора это всплывает первым. Четвёртая — проверка медицинских данных в обход врачебной тайны. Пятая — открытый, а не закрытый перечень источников: формулировка и иные доступные источники развязывает безопаснику руки и превращает законную проверку в обработку без основания.
Стоимость внедрения КЭДО для оформления и хранения досье кандидатов
Сам регламент компания составляет своими силами или с привлечением юриста. А хранение согласий, анкет и заключений СБ в электронном виде — задача системы КЭДО. Стоимость зависит от численности персонала, тарифа и набора модулей.
| Тариф | Стоимость | Что входит |
|---|---|---|
| Старт | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка |
| Бизнес | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив |
| Корпорация | По запросу | Всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции |
Тариф Бизнес рассчитывается от минимальной оплаты 50 сотрудников за 30 000 рублей в год. Итоговая сумма зависит от численности персонала, набора модулей и вида электронной подписи — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Автоматизация хранения согласий и досье снимает риск штрафов по 152-ФЗ за неправильное хранение данных.
Выводы: как составить рабочий регламент проверки кандидатов
Регламент проверки кандидатов держится на правовой базе — 152-ФЗ, статьи 64, 65 и 86 ТК РФ, Постановление Пленума ВС № 2 от 2004 года. Документ описывает категории кандидатов и уровни проверки, закрытый перечень источников и данных, формы согласия, стоп-факторы, сроки, ответственных, а также хранение и уничтожение данных. Все восемь разделов обязательны: пропуск любого создаёт дыру, через которую приходит либо штраф Роскомнадзора, либо проигранный трудовой спор.
Главное при составлении — формулировать стоп-факторы через деловые качества и реальный риск, а не через личные характеристики, и держать цель обработки ПД конкретной. Перечень источников делают закрытым, медицинские данные и специальные категории ПД из него исключают. Согласия оформляют двумя отдельными документами. За обработку без согласия организация платит от 300 000 до 500 000 рублей, за избыточное хранение — отдельный штраф, поэтому раздел об уничтожении данных так же важен, как сама процедура проверки.
В 2026 году штрафы за нарушения в области персональных данных продолжают расти, а проверки Роскомнадзора становятся плотнее. Компании, которые держат согласия и досье кандидатов в электронном виде с фиксацией сроков и автоматическим уничтожением, проходят эти проверки спокойнее, чем те, у кого папки копятся в шкафу годами.
Часто задаваемые вопросы
Обязателен ли регламент проверки кандидатов по закону?
Нужно ли согласие кандидата на проверку по открытым реестрам?
Сколько согласий должен подписать кандидат?
Какой штраф грозит за обработку данных кандидата без согласия?
Можно ли в регламенте прописать проверку медицинской истории?
Как долго можно хранить данные кандидата, который не прошёл проверку?
Можно ли отказать кандидату только на основании заключения СБ?
Кто должен утверждать регламент проверки кандидатов?
Чем отличается проверка СБ от проверки отдела кадров?
Нужно ли проверять родственников кандидата?
Можно ли использовать OSINT и анализ соцсетей в регламенте?
Сколько времени занимает проверка кандидата по регламенту?
Регламент описывает процедуру, но работает она только тогда, когда согласия, анкеты и заключения СБ не теряются между отделами. Сервис Добыто переводит оформление и хранение документов по кандидату в электронный вид: безопасник и кадровик ведут одно досье, каждое согласие подписывается электронной подписью с отметкой времени, а данные отклонённых кандидатов уничтожаются автоматически по заданному сроку.
За время работы мы подключили к КЭДО более 500 компаний — от небольших команд до ритейлеров со штатом в тысячи человек. Знаем практику проверок Роскомнадзора и требования к хранению согласий, поэтому юридическую обвязку отдаём клиенту готовой.
- Единое электронное досье кандидата — анкета, согласия, копии документов и заключение СБ в одной карточке
- Подписание согласий тремя видами подписи — ПЭП, УНЭП, УКЭП — под любой процесс оформления
- Автоудаление данных отклонённых кандидатов по таймауту — без риска штрафа за избыточное хранение
- Вся цепочка действий фиксируется с отметками времени — защита при проверках Роскомнадзора и в суде
- Юридическая обвязка из коробки: шаблоны согласий на обработку ПД, формы и положения
- Соответствие 152-ФЗ, защищённые каналы связи, лицензии ФСТЭК и ФСБ
- Готовый коннектор с 1С (ЗУП, КА) — оформление принятого кандидата отправляется на подписание одной кнопкой