Регламент проверки СБ — это внутренний документ, который описывает, кого, как и по каким основаниям проверяет служба безопасности перед приёмом на работу и в ходе трудовых отношений. Собрать его с нуля можно за несколько недель, если заранее знать три вещи: что закон разрешает проверять, какие стоп-факторы отсеивать и как оформить отказ, чтобы кандидат не выиграл суд. В этой статье разберём каркас регламента по шагам, перечень источников для пробива, порядок работы с согласиями по 152-ФЗ и типовые ошибки, из-за которых положение работает только на бумаге. Тем, кто ещё только выбирает глубину проверки под должность, пригодится наш разбор причин отказа службы безопасности при приёме на работу.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Зачем регламент проверки СБ, если можно проверять «по чутью»
Компания без регламента проверяет кандидатов так, как сегодня настроен безопасник. Ушёл человек — ушёл и порядок. Регламент фиксирует глубину проверки, перечень источников и основания для отказа, и делает работу воспроизводимой независимо от того, кто сидит на этой функции.
Есть и вторая причина, о которой малый бизнес вспоминает поздно. Проверка кандидата — это обработка персональных данных. Как только вы собираете паспорт, ИНН и запрашиваете сведения о судимости, вы становитесь оператором персональных данных со всеми обязанностями по 152-ФЗ. Регламент нужен, чтобы эти обязанности выполнялись и не превращались в риск.
Практики в корпоративной безопасности делят подход на два лагеря. Классический работает с последствиями: поймать, наказать по факту. Про-бизнес думает о том, что ещё не случилось, и отсекает риск на входе. Регламент проверки при найме относится ко второму лагерю. Отсеять неблагонадёжного кандидата на этапе оффера в разы дешевле, чем расследовать инцидент через полгода.
Мария Ж, судебный эксперт по трудовому праву:
«Первое, что закладывается в регламент, это согласие. Проверка кандидата без письменного согласия на обработку персональных данных незаконна, и любой грамотный кандидат это оспорит. Сначала бумага, потом пробив, обратный порядок ломает всю защиту.»
Согласие на проверку службой безопасности
Без подписанного согласия проверка персональных данных кандидата неправомерна.
.DOCX · БЕСПЛАТНО · ОБНОВЛЕНО В 2026
Скачать согласиеПравовая рамка: что можно и что нельзя проверять
Регламент нельзя строить на том, что «безопасник найдёт всё». Границы задаёт закон, и выход за них дороже, чем пропущенный стоп-фактор.
Что проверять законно. Открытые сведения и данные, на обработку которых получено согласие: действительность паспорта, судимость, исполнительные производства ФССП, банкротство, налоговые и кредитные задолженности, дисквалификация, сведения из ЕГРЮЛ об аффилированности с бизнесами. Всё это доступно через государственные реестры и не требует оперативно-розыскных действий, которых у коммерческой службы безопасности нет и быть не может.
Что проверять нельзя. Статьи 86-88 Трудового кодекса запрещают собирать данные о политических и религиозных убеждениях, частной жизни, членстве в объединениях. Статья 64 запрещает необоснованный отказ в приёме: пол, возраст, национальность и подобные признаки основанием быть не могут. А статья 65 прямо ограничивает перечень документов при приёме — справку об отсутствии судимости законно требовать только для должностей, где это предусмотрено законом, например при работе с несовершеннолетними по статье 351.1 ТК РФ.
По 152-ФЗ обязанностей у оператора несколько. Подать в Роскомнадзор уведомление о намерении обрабатывать персональные данные до старта обработки — ведомство вносит компанию в реестр операторов в течение 30 дней. Получить отдельное согласие: с 1 сентября 2025 года согласие на обработку оформляется самостоятельным документом, встроенный абзац в анкете больше не проходит. Проверить реестр операторов и подать уведомление можно на сайте Роскомнадзора.
Цена ошибки выросла резко. С 30 мая 2025 года действует Федеральный закон № 420-ФЗ, ужесточивший статью 13.11 КоАП. Неуведомление о начале обработки стоит юрлицу до 300 000 рублей. Утечка данных от 1 000 до 10 000 человек — от 3 до 5 млн рублей, свыше 100 000 человек — от 10 до 15 млн. Повторная утечка тянет оборотный штраф от 1 до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей. Об утечке нужно сообщить в Роскомнадзор в течение 24 часов, а в следующие 72 часа направить результаты внутреннего расследования.
Калькулятор соответствия 152-ФЗ для проверки кандидатов
Мария Ж, специалист по цифровой подписи и КЭДО:
«Всё, что находит служба безопасности, это цифровые следы. Из интернета удалить уже ничего нельзя. Регламент поэтому строят вокруг открытых баз и согласия. Выезд к соседям за характеристикой избыточен и юридически шаток.»
В сервисе Добыто согласие на обработку персональных данных и на проверку СБ хранится в электронном виде с отметкой времени, отдельным документом под каждого кандидата. При споре это снимает вопрос, было согласие или нет.
Что проверяет служба безопасности: стоп-факторы
Ядро регламента — перечень стоп-факторов и их вес. Без него безопасник каждый раз решает заново, и решения разъезжаются от кандидата к кандидату.
Базовый набор, который проверяют почти все: судимость, административные правонарушения, финансовые и кредитные задолженности, задолженности по налогам, проблемы с банками, нахождение в чёрных списках. Отдельный экономический блок — аффилированность кандидата и его родственников с другими бизнесами, особенно если человек идёт на закупки или финансы. Дальше идут косвенные признаки: архивные сведения о наркологическом учёте, публичные телеграм-чаты, соцсети.
Глубину проверки регламент привязывает к должности. От настроения безопасника она зависеть не должна. Топ-менеджера с влиянием на бюджет проверяют вдоль и поперёк. Линейного грузчика — по минимуму, судим или не судим. Иначе служба безопасности тратит по часу на каждую анкету, и при массовом найме процесс встаёт.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Мария Ж, HR-эксперт с 13-летним стажем:
«Уровень проверки везде разный. Где-то смотрят только судим-не судим, где-то собирают досье с рекомендациями. Регламент как раз и фиксирует глубину под должность, чтобы безопасник не проверял кладовщика как финдиректора и не сжигал время команды.»
Отдельно про судимость. Единичный случай десятилетней давности и серия свежих статей — разные истории, и регламент должен различать их через градацию. Единое «нет» на любую судимость плодит споры. Показательный пример из практики: кандидата согласовали вплоть до гендиректора, опытный, сменил сферу, а на финише всплыла судимость по жёсткой статье почти десятилетней давности. Ему отказали из-за остаточного риска. Регламент с чёткой градацией снял бы этот спор на входе, без потери времени восьми согласующих.
Для источников проверки регламент фиксирует конкретные государственные базы, чтобы пробив был воспроизводимым: ФССП по исполнительным производствам, ЕФРСБ по банкротству, реестры МВД, ФНС и ЕГРЮЛ по бизнесам и налогам, ГАС «Правосудие» по судебным делам. По контрагентам и аффилированным юрлицам работает тот же принцип — открытые реестры ФНС, включая базы иностранных налоговых администраций, если кандидат связан с зарубежными компаниями.
Мини-кейс про ложное совпадение. Автоматический сервис выдал по кандидату штрафов почти на 100 000 рублей (проблема). При ручной проверке оказалось, что это штрафы всех однофамильцев по стране — совпали фамилия, имя и отчество, но не человек (действие). Регламент, где заключение СБ строится на верификации сырого пробива, отсёк ложные данные и спас кандидату оффер, а компании — репутационный риск клеветы (результат). Автоматический отчёт без ручной сверки такие совпадения по датам и однофамильцам пропускает регулярно.
Образцы документов для регламента проверки СБ
Открыть список документов
| Документ | Скачать |
|---|---|
| Положение о проверке кандидатов СБ | Скачать |
| Положение и приказ о периодической проверке | Скачать |
| Анкета кандидата для службы безопасности | Скачать |
| Согласие на проверку службой безопасности | Скачать |
| Согласие на обработку персональных данных | Скачать |
| Согласие на проверку кредитной истории | Скачать |
| Запрос отзыва прошлому работодателю | Скачать |
| Уведомление об отказе по итогам проверки СБ | Скачать |
| Мотивированный отказ в приёме (ст. 64 ТК РФ) | Скачать |
| Правила обработки персональных данных | Скачать |
Этапы проверки кандидата: онлайн и офлайн
Регламент делит проверку на два этапа. Первый — онлайн: служба безопасности получает данные кандидата (ФИО, дата рождения, ИНН, паспорт) вместе с подписанным согласием и проверяет по базам без участия человека. Второй этап — офлайн, и он выборочный. Личное собеседование назначают, только когда онлайн-проверка дала спорный результат и нужно уточнить конкретный момент. Стандартных офлайн-мероприятий для каждого кандидата регламент не предусматривает.
Срок проверки регламент фиксирует явно, иначе процесс подбора провисает, а кандидата тем временем схантят. У аутсорса на детализированный отчёт с анализом источников уходит порядка часа работы на одного человека, но в компании реальный срок зависит от загрузки службы и уровня должности. Сколько это занимает на практике, мы отдельно разбирали в материале о том, сколько длится проверка службы безопасности при приёме на работу.
Как построить регламент проверки СБ: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите цели и риски бизнеса, которые проверка закрывает: воровство, утечки, аффилированность, недостоверные документы. Стратегия задаёт глубину.
- Шаг 2. Разбейте должности на категории и пропишите глубину проверки под каждую: топ и материально ответственные — полный пробив, линейный персонал — базовый.
- Шаг 3. Закрепите перечень стоп-факторов и их вес, а также конкретные источники: ФССП, ЕФРСБ, МВД, ФНС, ЕГРЮЛ, ГАС «Правосудие».
- Шаг 4. Оформите согласие на обработку персональных данных отдельным документом и подайте в Роскомнадзор уведомление оператора до старта обработки.
- Шаг 5. Опишите этапы онлайн и офлайн, сроки проверки и порядок передачи данных по защищённому каналу.
- Шаг 6. Введите систему оценки результата (принцип светофора) и единую форму заключения СБ.
- Шаг 7. Пропишите порядок отказа: мотивированный, в письменной форме по требованию кандидата, в срок 7 рабочих дней по статье 64 ТК РФ.
- Шаг 8. Утвердите положение приказом руководителя и ознакомьте ответственных сотрудников под подпись.
- Шаг 9. Назначьте ответственных, сроки хранения и порядок удаления данных после закрытия задачи.
- Шаг 10. Заложите периодический пересмотр регламента под изменения законодательства.
Светофор решений и заключение службы безопасности
Результат проверки регламент переводит в понятное решение через принцип светофора. Зелёный — чисто, кандидата берут. Жёлтый — есть вопросы, требуется уточнение или решение руководителя. Красный — стоп-фактор, отказ. Такая шкала снимает субъективность: заказчик получает не сырой массив данных, а структурированное заключение с рекомендацией.
Важный нюанс: заключение СБ носит рекомендательный характер. Итоговое решение принимает заказчик, и регламент это разграничивает. Служба безопасности фиксирует найденные факты и даёт оценку риска, а брать этот риск или нет — зона ответственности руководителя. Такое разделение защищает и от обвинений в самоуправстве СБ, и от необоснованного отказа.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Отдельная боль — отказ. Устное «вы не прошли по линии СБ» без мотивировки прямо ведёт в суд по статье 64. Кандидат вправе потребовать письменный отказ, и он должен опираться на деловые качества. Факт судимости родственника основанием быть не может. Регламент обязан описывать формулировку отказа заранее.»
Мы в Добыто фиксируем ознакомление кандидата и сотрудника с положением о проверке через подпись в КЭДО, чтобы факт согласия на процедуру нельзя было оспорить постфактум. Тонкий момент про отказ из-за родни мы разбирали в материале про то, откажет ли СБ при судимости родственника кандидата.
Формулировка отказа — самое рискованное место всего регламента. Одна неверная фраза в письме кандидату превращает законную проверку в судебный спор о дискриминации, где выручку и репутацию тратят на юристов. Если пишете положение с нуля и не уверены в связке «стоп-фактор — деловые качества — мотивированный отказ», имеет смысл собрать пакет документов на готовых шаблонах, где эти формулировки уже выверены под статью 64 ТК РФ.
Типичные ошибки при построении регламента с нуля
Одни и те же грабли повторяются у большинства компаний, которые пишут положение самостоятельно.
Регламент «для папки». Документ пишут, чтобы он был, а работают по старинке. Мотив понятен: закрыть формальное требование быстрее. Цена ошибки всплывает при проверке или в суде: положение, которое не исполняется на практике, защитой не работает, а расхождение между текстом и реальными действиями трактуется против компании.
Согласия в гугл-формах. Собирают согласие встроенным абзацем или через онлайн-форму ради экономии. С 1 сентября 2025 года согласие на обработку оформляется отдельным документом, и встроенный вариант даёт риск штрафа по статье 13.11 КоАП — до 300 000 рублей юрлицу за нарушения в обработке. Плюс данные из форм приходится сводить руками, и один человек с опечаткой в фамилии превращается в базе в трёх.
Всех проверяют одинаково глубоко. Кладовщика гоняют по полному циклу, как финдиректора. При массовом найме служба безопасности захлёбывается, срок проверки растёт, и кандидаты уходят к тем, кто оформляет быстрее. Цена — десятки часов лишней работы в неделю и сорванные офферы.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Отказ без мотивировки. Кандидату говорят «не прошли СБ» и не выдают письменного обоснования. По статье 64 ТК РФ он вправе потребовать мотивированный отказ в течение 7 рабочих дней и оспорить его. Пример из практики: соискателю отказали, узнав про давнюю операцию с переводом в один из фондов. Формально отказ увязали с рисками, но без выверенной формулировки такое письмо — готовый материал для иска.
Слепое доверие автоматическому пробиву. Сырой отчёт из сервиса берут как истину, без ручной сверки. Совпадения по однофамильцам и датам создают несуществующий компромат. История со штрафами всех Осиповых по стране — ровно этот случай. Регламент обязан требовать верификацию перед заключением.
Наши специалисты закладывают в маршрут согласования отдельный шаг для заключения СБ — до приказа о приёме, чтобы кандидат не выходил на работу раньше, чем проверка закрыта. В КЭДО этот шаг автоматически блокирует оформление, пока нет зелёного статуса.
Проверка кандидата онлайн — форма сервиса Добыто
Стоимость регламента и автоматизации проверки
Сам регламент денег не стоит, кроме времени юриста и безопасника. Основные расходы возникают на двух участках: проверка кандидатов и хранение документов проверки. Стоимость самой проверки зависит от глубины и объёма и у аутсорса, и внутри компании считается индивидуально под задачу. А документооборот проверки — согласия, положения, уведомления об отказе, ознакомления — удобнее вести в КЭДО, и здесь цена привязана к тарифу и численности.
| Тариф | Стоимость | Что входит |
|---|---|---|
| Старт | от 30 ₽ / сотрудник / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка |
| Бизнес | от 50 ₽ / сотрудник / мес | Неограниченно сотрудников, ПЭП/УНЭП/УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив |
| Корпорация | По запросу | Всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции |
Итоговая сумма зависит от численности персонала, выбранного тарифа и набора модулей. Тариф Бизнес закрывает интеграцию с 1С и электронный архив, куда ложатся согласия и заключения СБ со сроком хранения по кадровым правилам. В Добыто пакет согласий, положений и уведомлений об отказе идёт из коробки шаблонами, отдельно платить за их разработку не нужно. Сориентироваться точнее помогут актуальные тарифы сервиса Добыто.
Выводы: регламент проверки СБ с нуля
Регламент проверки СБ держится на трёх опорах: перечень стоп-факторов с привязкой глубины к должности, законное оформление согласия по 152-ФЗ и выверенный порядок отказа по статье 64 ТК РФ. Без любой из них документ превращается в риск. Проверять можно только открытые сведения и данные, на которые получено отдельное согласие, а справку о судимости требовать законно лишь для должностей, прямо указанных в законе. Обязанности оператора персональных данных с 2025 года подкреплены штрафами до сотен миллионов рублей, поэтому уведомление Роскомнадзора и правильные согласия — не формальность, они снимают конкретные суммы риска.
Начать построение стоит с категорий должностей и глубины проверки под каждую, затем зафиксировать источники и стоп-факторы, оформить согласия отдельными документами и описать светофор решений с формой заключения. Отдельно пропишите формулировку мотивированного отказа — именно здесь чаще всего проигрывают суды. Утвердите положение приказом, ознакомьте ответственных под подпись и заложите пересмотр под изменения законодательства.
Проверка при найме работает на предотвращение. Разбирать инцидент внутри уже работающей компании дороже, чем отсеять риск на входе. Регламент как раз и переводит эту логику из головы одного безопасника в воспроизводимый процесс, который не рушится с его уходом.
Часто задаваемые вопросы
Обязателен ли регламент проверки СБ по закону?
Можно ли проверять кандидата без его согласия?
Какие стоп-факторы включить в регламент?
Можно ли отказать в приёме из-за судимости?
Что нельзя проверять по закону?
По каким базам проверяет служба безопасности?
Свою СБ или аутсорс проверки?
Как правильно оформить отказ по итогам проверки?
Нужно ли уведомлять Роскомнадзор?
Сколько хранить данные проверки и когда удалять?
Можно ли включить в регламент периодическую проверку работающих сотрудников?
Как автоматизировать документооборот проверки?
Регламент проверки СБ — это половина задачи. Вторая половина — чтобы согласия, положения и заключения не жили в разрозненных папках и гугл-формах, а хранились доказуемо и подписывались юридически значимо. Добыто закрывает документооборот проверки: кандидат подписывает согласие электронной подписью с телефона, документ уходит в электронный архив с отметкой времени, а маршрут согласования не пропускает приказ о приёме до готового заключения службы безопасности.
Сервис работает с компаниями по всей России, поддерживает штатных сотрудников, самозанятых и ГПХ в одном интерфейсе, а пакет кадровых шаблонов, включая согласия и уведомления об отказе, идёт из коробки. Юридическая значимость обеспечена по 63-ФЗ и 377-ФЗ, защита данных — по 152-ФЗ.
- Подписание согласий с телефона через мобильное приложение, без похода в отдел кадров
- Электронный архив согласий и заключений СБ с отметками времени — защита при проверках и в суде
- Гибкая маршрутизация: заключение СБ отдельным шагом до приказа о приёме
- Юридическая обвязка из коробки: шаблоны согласий, положений и форм отказа
- Работа со штатными, самозанятыми и ГПХ в одном сервисе
- Готовый коннектор с 1С (ЗУП, КА, ERP) — без разработчиков
- Защищённые каналы и соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ