Можно ли хранить резюме кандидата после отказа: полный разбор по 152-ФЗ

Хранить резюме отказника «на всякий случай» — обычная практика большинства HR-отделов. И потенциальный повод для штрафа до 500 млн рублей. Разбираемся, что говорит закон, когда хранение законно, а когда нет — и что именно нужно сделать после отказа кандидату.

Почему тема перестала быть формальной

Долгие годы папки с резюме «бывших» кандидатов лежали в ящиках стола или в общей папке на сервере — и никого это особо не беспокоило. Штрафы по 152-ФЗ были смешными, проверок почти не было, а сам закон воспринимался как декларативный.

Ситуация изменилась принципиально. С 30 мая 2025 года вступили в силу поправки в КоАП, увеличившие штрафы за нарушения с персональными данными почти в три раза, а максимальная санкция за утечку данных составила 500 млн рублей [1]. С 1 сентября 2025 года изменились правила получения согласия [2]. Роскомнадзор перешёл к риск-ориентированному контролю и проверяет всё чаще.

Для HR-специалистов и работодателей это означает одно: каждое резюме в базе — это либо законно хранящийся актив, либо тикающая «мина» под компанию.

Раздел 1. Резюме = персональные данные: это аксиома, а не мнение

1.1 Что такое персональные данные применительно к резюме

По статье 3 ФЗ-152, персональные данные — это любая информация, которая позволяет прямо или косвенно идентифицировать физическое лицо [3]. Стандартное резюме содержит: ФИО, контактный телефон, e-mail, дату рождения, адрес проживания, сведения об образовании и опыте работы, иногда фотографию. Это набор, который однозначно позволяет установить личность человека.

Важно: даже если компания просто хранит файл с резюме на компьютере и никак его не использует — это уже «обработка персональных данных» по смыслу закона. Статья 3 152-ФЗ прямо называет хранение одним из видов обработки наравне со сбором, записью, систематизацией, использованием и уничтожением [3].

1.2 Компания — оператор ПДн с момента получения резюме

Как только рекрутер открывает входящее письмо с резюме, сохраняет файл или вносит данные в HRM-систему — компания автоматически становится оператором персональных данных [4]. Это не зависит от того, откуда получено резюме: по e-mail, через форму на сайте, с hh.ru или SuperJob. Платформы-агрегаторы вакансий не освобождают работодателя от статуса оператора и от сопутствующих обязанностей [5].

Роскомнадзор формально обязывает операторов регистрироваться в реестре до начала обработки ПДн. С 30 мая 2025 года штраф за уклонение от регистрации составляет от 100 000 до 300 000 рублей для организаций [6].

Раздел 2. Принцип «цели обработки»: ключ к пониманию всей темы

2.1 Что говорит закон

Статья 5, часть 7 ФЗ-152 устанавливает принцип, который определяет всё остальное: персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении [3]. Никаких исключений для HR-практики закон не делает.

Когда кандидат присылает резюме на конкретную вакансию, цель обработки его данных — рассмотрение возможности трудоустройства на эту вакансию [5]. Как только вакансия закрыта или принято решение об отказе, цель достигнута. С этого момента дальнейшее хранение резюме без дополнительных правовых оснований незаконно.

2.2 Срок 30 дней — откуда он берётся

152-ФЗ не устанавливает конкретный срок хранения резюме после отказа [7]. Но правоприменительная практика и разъяснения Роскомнадзора сформировали устойчивый ориентир: если кандидат не прошёл отбор и не дал согласия на дальнейшую обработку данных, его резюме подлежит уничтожению в течение 30 дней с момента принятия решения об отказе [8].

Этот срок не прописан в законе как обязательный, но он активно используется в практике проверок и судебных решениях.

2.3 Что считается «достижением цели»

На практике цель считается достигнутой в любом из следующих случаев:

1. Вакансия закрыта: нашли другого кандидата или решили не нанимать никого.
2. Принято окончательное решение об отказе конкретному соискателю.
3. Прошёл срок, указанный в согласии кандидата.
4. Кандидат отозвал своё согласие на обработку данных.
5. Согласие не было получено в течение 30 дней после начала обработки [9].

Раздел 3. Когда хранить резюме после отказа всё же можно

Закон не запрещает хранение резюме отказанных кандидатов в принципе. Он запрещает хранение без правового основания. Таких оснований два.

3.1 Согласие на кадровый резерв

Если компания хочет сохранить кандидата «на будущее», она обязана получить от него отдельное письменное согласие на обработку персональных данных в целях формирования кадрового резерва [10]. При этом такое согласие должно содержать:

• явно сформулированную цель: «формирование и ведение кадрового резерва»;
• конкретный срок хранения — как правило, 6 или 12 месяцев;
• перечень обрабатываемых данных;
• указание на право отзыва согласия и порядок его реализации.

Устоявшаяся практика — срок до 12 месяцев. Некоторые компании прописывают 90 дней, что считается консервативным и безопасным подходом [11]. Ряд организаций устанавливает срок до 5 лет, однако такой подход может вызвать вопросы у Роскомнадзора как избыточный [12].

С 1 сентября 2025 года это согласие обязательно оформляется как самостоятельный документ, отдельный от анкеты, договора или любого другого документа, который подписывает кандидат [2]. Нельзя просто поставить галочку внизу анкеты — нужен отдельный лист с подписью.

3.2 Переключение цели: две цели — два согласия

Важный нюанс, который часто упускают: нельзя взять согласие «на рассмотрение вакансии» и автоматически распространить его на кадровый резерв. Это разные цели обработки, и для каждой нужно отдельное согласие [13].

Если кандидата изначально рассматривали на конкретную позицию, а потом решили включить в резерв — нужно получить новое согласие с новой целью. Только после этого данные можно оставить в базе.

3.3 Случай с hh.ru и другими агрегаторами

Отдельный вопрос — резюме, опубликованные в открытом доступе на сайтах поиска работы. Здесь позиция регуляторов неоднозначна, но преобладающая трактовка такова: даже если кандидат разместил резюме публично, это не означает, что любая компания может хранить его сколь угодно долго и в любых целях. Факт публикации означает согласие на просмотр, но не на бессрочное хранение в корпоративных системах [14].

Раздел 4. Как правильно уничтожить резюме: процедура шаг за шагом

4.1 Почему «просто удалить» — недостаточно

С 1 марта 2023 года Роскомнадзор требует документального подтверждения уничтожения персональных данных согласно Приказу № 179 от 28.10.2022 [15]. Нажать Delete в папке или очистить корзину — этого недостаточно. Инспектор при проверке запросит акт об уничтожении.

4.2 Порядок уничтожения

Процедура включает следующие шаги:

1. Создание комиссии по уничтожению ПДн (или назначение ответственного лица).
2. Идентификация всех носителей, на которых хранится резюме: электронные файлы, копии в почте, записи в HRM-системе, распечатанные бумажные копии.
3. Непосредственное уничтожение: бумаги — шредером или сжиганием; электронные данные — гарантированным удалением с перезаписью или физическим уничтожением носителя.
4. Составление акта об уничтожении.
5. Если данные обрабатывались в информационной системе — дополнительно делается выгрузка из журнала регистрации событий.

4.3 Что должен содержать акт

Акт об уничтожении ПДн составляется в произвольной форме, но согласно Приказу Роскомнадзора № 179 должен включать обязательные реквизиты [16]:

• наименование и адрес оператора;
• ФИО и должности членов комиссии;
• перечень категорий уничтоженных ПДн (например: «ФИО, контактные данные, сведения об образовании и опыте работы»);
• наименование материального носителя или информационной системы;
• способ уничтожения (шредер, удаление из базы данных и т.д.);
• причину уничтожения;
• дату уничтожения;
• подписи членов комиссии.

Акт хранится три года с момента уничтожения данных [16]. Это тоже требование закона, а не рекомендация.

Раздел 5. Новые штрафы 2025: что грозит за нарушения

С 30 мая 2025 года статья 13.11 КоАП РФ существенно расширилась — добавились девять новых составов нарушений, а действующие штрафы выросли в разы [1].

Применительно к хранению резюме после отказа наиболее актуальны следующие составы:

Обработка данных без согласия или не по целям (ч. 2 ст. 13.11 КоАП) Для организаций: от 150 000 до 300 000 рублей [17].

Нарушение правил обработки ПДн (ч. 1 ст. 13.11 КоАП) Для организаций: от 150 000 до 300 000 рублей [17].

Неуведомление Роскомнадзора о начале обработки данных (ч. 1.1 ст. 13.11) Для организаций: от 100 000 до 300 000 рублей [18].

Утечка данных (если хранение без правовых оснований привело к утечке): При утечке от 1 000 до 10 000 субъектов — от 3 до 5 млн рублей для организаций. При повторной утечке — оборотный штраф от 1% до 3% годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей [19].

Важно: штрафы могут одновременно получить и компания, и конкретное должностное лицо (HR-директор, рекрутер). Наличие «хорошего намерения» или незнание закона — не освобождает от ответственности.

Раздел 6. Типичные ошибки работодателей

Ошибка 1. «Мы получили резюме с hh.ru — значит, кандидат сам согласился»

Нет. Публикация резюме на агрегаторе означает согласие кандидата на его просмотр работодателями, но не на бессрочное хранение в корпоративной базе и не на обработку в иных целях [14].

Ошибка 2. «Согласие включено в анкету — этого достаточно»

С 1 сентября 2025 года — нет. Согласие на обработку ПДн обязательно оформляется отдельным документом. Включение его в анкету, NDA или трудовой договор — прямое нарушение закона [2].

Ошибка 3. «Данные в базе с бессрочным согласием»

Формулировка «до отзыва» в согласии не означает, что можно хранить данные вечно. Роскомнадзор прямо указал: хранить ПДн соискателя можно только до принятия решения о найме или отказе, если нет отдельного соглашения о резерве кадров [8]. Согласие «до отзыва» применительно к рекрутингу — нарушение принципа ограниченности сроков.

Ошибка 4. «Мы передали резюме коллеге из другой компании»

Пересылка резюме третьему лицу без согласия кандидата — незаконная передача ПДн. Даже по дружбе, даже с благими намерениями [20].

Ошибка 5. «Мы удалили файл из папки — данные уничтожены»

Удаление из папки не гарантирует уничтожение данных: они могут остаться в корзине, в резервных копиях, в почтовом клиенте, в HRM-системе, на распечатках. Требуется полное уничтожение со всех носителей и документальное подтверждение этого факта актом [15].

Раздел 7. Практический чек-лист для HR

Ниже — минимально необходимый набор действий для законной работы с резюме кандидатов.

До начала подбора:

1. Зарегистрируйтесь как оператор ПДн в Роскомнадзоре (если ещё не сделали).
2. Разработайте форму согласия кандидата на обработку ПДн как отдельный документ.
3. Разработайте отдельную форму согласия на включение в кадровый резерв с указанием срока (рекомендуется 6–12 месяцев).
4. Утвердите регламент хранения и уничтожения резюме.
5. Создайте комиссию по уничтожению ПДн (или назначьте ответственного).

При получении резюме:

1. Получите согласие кандидата на обработку его ПДн в целях рассмотрения конкретной вакансии.
2. Фиксируйте дату получения и дату принятия решения по каждому кандидату.

После решения об отказе:

1. Предложите кандидату дать согласие на кадровый резерв (если это актуально).
2. Если согласия нет — уничтожьте резюме со всех носителей в течение 30 дней.
3. Составьте акт об уничтожении ПДн по форме с обязательными реквизитами.
4. Сохраните акт в течение трёх лет.

Регулярно:

1. Проводите аудит базы резюме: выявляйте документы с истёкшими сроками хранения.
2. Уничтожайте просроченные данные и документируйте это актами.

Раздел 8. Кейсы из практики

Кейс 1. IT-компания: «просто хранили»

IT-компания хранила резюме всех кандидатов за несколько лет в общей папке на сервере без согласий и без установленных сроков хранения. При плановой проверке Роскомнадзор квалифицировал это как нарушение принципа ограниченности сроков (ст. 5 ФЗ-152) и нарушение правил обработки. Был назначен штраф [21].

Кейс 2. Торговая сеть: кадровый резерв с согласием

Крупная торговая сеть выстроила процесс правильно: для включения в кадровый резерв у кандидатов брали отдельное согласие сроком на 12 месяцев. По окончании срока данные уничтожались с составлением акта. При проверке нарушений выявлено не было [21].

Кейс 3. Пересылка резюме «по дружбе»

Рекрутер из одной компании переслал подходящее резюме коллеге из другой организации, полагая, что помогает кандидату. Это было квалифицировано как незаконная передача персональных данных третьим лицам — без согласия субъекта на такую передачу [20].

Раздел 9. Тренды и изменения: что ожидать дальше

Регуляторный вектор в России устойчив: каждый год требования к защите ПДн ужесточаются, штрафы растут, контроль становится плотнее.

Ключевые тренды, которые повлияют на работу HR в ближайшие годы:

Риск-ориентированный надзор. С августа 2025 года Роскомнадзор перешёл к риск-ориентированному подходу в проверках: компании с большими базами данных и историей нарушений попадут под усиленный контроль [19].

Цифровизация HR и требования к локализации. Облачные HRM-системы с зарубежными серверами создают риски нарушения требования о локализации данных на территории РФ (ст. 18.1 ФЗ-152). При выборе системы автоматизации рекрутинга это становится критическим критерием.

Обезличивание как альтернатива уничтожению. Роскомнадзор в приказе от 19.06.2025 № 140 утвердил методы обезличивания данных. Теоретически, вместо уничтожения резюме можно обезличить его — убрать ФИО, контакты, другие идентификаторы. Но реализация этого подхода на практике требует чёткого регламента [22].

Уголовная ответственность за незаконные базы. За создание «серых» баз ПДн и торговлю персональными данными введена уголовная ответственность. Это напрямую касается ситуаций, когда компании годами накапливают резюме без правовых оснований [19].

Заключение

Вопрос о хранении резюме после отказа имеет чёткий юридический ответ: без дополнительного согласия кандидата — нельзя. После принятия решения об отказе данные нужно уничтожить. Если нужен кадровый резерв — берите отдельное согласие с конкретным сроком.

Это не бюрократическая формальность. В 2025–2026 годах за нарушение этих правил компании получают реальные штрафы — от сотен тысяч до сотен миллионов рублей. Практика проверок активизировалась, жалобы от кандидатов стали рабочим инструментом давления.

Что делать прямо сейчас:

1. Провести аудит текущей базы резюме: есть ли там данные без согласий и с истёкшими сроками.
2. Разработать или обновить формы согласий (с учётом требований 1 сентября 2025 года).
3. Утвердить регламент хранения и уничтожения с конкретными сроками.
4. Обучить HR-команду и рекрутеров базовым требованиям 152-ФЗ.
5. Настроить автоматические напоминания о сроках хранения в HRM-системе.

О решении «Пятый фактор»

Один из самых частых вопросов при аудите: «А мы вообще знаем, где у нас хранятся персональные данные кандидатов?» И для многих компаний честный ответ — нет. Резюме могут лежать в почте, в папках на ПК рекрутера, в HRM-системе, в таблицах Excel, в облачных хранилищах — одновременно и бесконтрольно.

Именно эту проблему решает Пятый фактор — on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах. Она сканирует базы данных, почту, файловые хранилища, CRM и HRM-системы — и строит живую «карту ПДн»: где какие данные хранятся, кто за них отвечает, изменился ли состав данных.

Важно: Пятый фактор работает только с метаданными, структурой и агрегатами — без доступа к «сырым» значениям ПДн. Это означает, что сама платформа не становится источником дополнительного риска.

Для HR-комплаенса это даёт конкретный результат: вы видите, где хранятся резюме отказанных кандидатов, какие из них «просрочены», и можете оперативно инициировать их уничтожение — до того, как Роскомнадзор придёт с проверкой.

Источники

[1] КонсультантПлюс — Персональные данные: новые штрафы с 30 мая 2025 года — https://www.consultant.ru/legalnews/28492/

[2] Huntflow Media — Изменения в законе о персональных данных в 2025 году: что важно знать эйчарам и рекрутерам — https://huntflow.media/kak-izmenilsya-zakon-o-personalnyh-dannyh-v-2025-godu/

[3] Контур.Норматив — Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 24.06.2025) — https://normativ.kontur.ru/document?moduleId=1&documentId=501173

[4] SpectrumData — Что такое персональные данные работника: полный гайд по 152-ФЗ для HR — https://spectrumdata.ru/blog/proverka-soiskatelya/personalnye-dannye-v-hr-kak-rabotat-s-dannymi-kandidatov-i-sotrudnikov-po-152-fz/

[5] Naimee.ai — 152-ФЗ vs рекрутинг: как не превратить резюме в миллионный штраф — https://naimee.ai/hrzavtra/152-fz-vs-rekruting-kak-ne-prevratit-rezyume-v-millionnyi-shtraf

[6] B-152.ru — Закон о персональных данных: что изменилось в 2025–2026 годах — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[7] IC-Tech — Как долго можно хранить резюме кандидатов? — https://ic-tech.ru/blog/faq/questions-152fz/kak-dolgo-mozhno-hranit-rezyume-kandidatov/

[8] Potok.io — Персональные данные в HR: 152-ФЗ — https://potok.io/blog/hr-review/152-fz/

[9] SpectrumData — Обработка персональных данных: пошаговая инструкция по 152-ФЗ для HR — https://spectrumdata.ru/blog/proverka-soiskatelya/obrabotka-personalnykh-dannykh-poshagovaya-instruktsiya-dlya-hr/

[10] IC-Tech — Нужно ли согласие на хранение резюме кандидатов? — https://ic-tech.ru/blog/faq/questions-152fz/nuzhno-li-soglasie-na-hranenie-rezyume-kandidatov/

[11] Evoressystem.ru — Согласие на включение персональных данных кандидата в кадровый резерв — https://evoressystem.ru/doc/Согласие_на_включение_в_кадровый_резерв.pdf

[12] Business.ru — Уничтожение персональных данных в 2025 году: порядок и образец акта — https://www.business.ru/article/2186-unichtojenie-personalnyh-dannyh-gg

[13] SpectrumData — Для законного хранения данных кандидата в кадровом резерве — https://spectrumdata.ru/blog/proverka-soiskatelya/obrabotka-personalnykh-dannykh-poshagovaya-instruktsiya-dlya-hr/

[14] IC-Tech — Является ли обработкой персональных данных хранение резюме кандидатов? — https://ic-tech.ru/blog/faq/questions-152fz/yavlyaetsya-li-obrabotkoy-personalnyh-dannyh-hranenie-rezyume-kandidatov/

[15] XMLDatafeed.com — Уничтожение персональных данных: полное руководство по требованиям Роскомнадзора — https://xmldatafeed.com/unichtozhenie-personalnyh-dannyh-polnoe-rukovodstvo-po-trebovaniyam-roskomnadzora/

[16] КДело — Акт об уничтожении ПДн: реквизиты по Приказу РКН № 179 — https://www.kdelo.ru/qa/295776-v-prikaze-roskomnadzora-ot-28102022-179-akt-ob-unichtojenii-pdn-doljen-soderjat-perechen

[17] СБИС — Штрафы за персональные данные с 30 мая 2025 — https://saby-sbis.ru/blog/shtrafy-pri-rabote-s-personalnymi-dannymi-s-30-maya-2025-goda

[18] Главбух — Миллионные штрафы за персданные с 30 мая 2025 года (Роскомнадзор) — https://www.glavbukh.ru/art/391377-shtrafy-za-obrabotku-rasprostranenie-i-utechku-personalnyh-dannyh-11xx-news

[19] Data-sec.ru — Штрафы за персональные данные в 2026 году — https://data-sec.ru/personal-data/fines/

[20] Naimee.ai — 152-ФЗ vs рекрутинг — https://naimee.ai/hrzavtra/152-fz-vs-rekruting-kak-ne-prevratit-rezyume-v-millionnyi-shtraf

[21] IC-Tech — Кейсы нарушений при хранении резюме — https://ic-tech.ru/blog/faq/questions-152fz/nuzhno-li-soglasie-na-hranenie-rezyume-kandidatov/

[22] SpectrumData — Методы обезличивания данных по Приказу РКН от 19.06.2025 № 140 — https://spectrumdata.ru/blog/proverka-soiskatelya/obrabotka-personalnykh-dannykh-poshagovaya-instruktsiya-dlya-hr/