Кадровые агентства, hh.ru, Telegram и рекомендации: кто оператор и как законно получать резюме

Когда рекрутинг становится нарушением закона — и что с этим делать

Почему это касается каждого рекрутера и HR-директора

Рекрутинговый процесс в России полностью пронизан персональными данными. ФИО, телефон, дата рождения, фото, предыдущие работодатели — всё это сведения, которые охраняет Федеральный закон №152-ФЗ «О персональных данных». Долгое время бизнес относился к этому требованию как к формальности: штрафы были незначительными, а Роскомнадзор редко добирался до HR-процессов.

Ситуация изменилась кардинально. Федеральный закон №420-ФЗ от 30.11.2024 года, вступивший в силу 30 мая 2025 года, поднял санкции на порядки [1]. За те же действия, которые раньше стоили компании 5 000 рублей, теперь грозит до 300 000 рублей, а при утечке данных — штрафы исчисляются миллионами и могут достигать 500 миллионов рублей или определённого процента от годовой выручки.

При этом сама практика найма становится всё более «гибридной»: резюме летят по Telegram, рекомендации передаются через WhatsApp, кандидатские базы ведут фрилансеры, а data-driven рекрутинг требует загружать данные в ATS-системы, CRM и электронные таблицы. В каждом из этих сценариев скрыт юридический риск, который большинство HR-команд не замечает до первой проверки.

Эта статья — практический разбор того, кто именно является оператором персональных данных в рекрутинге, какие основания нужны для законной обработки резюме из разных источников, и что конкретно нужно сделать, чтобы привести процессы в соответствие с законом.

Часть 1. Правовая рамка: что такое персональные данные в рекрутинге и кто такой оператор

Что считается персональными данными соискателя

Согласно ст. 3 152-ФЗ, персональные данные — любая информация, относящаяся прямо или косвенно к определённому физическому лицу [2]. Применительно к резюме это означает практически весь его состав:

1. ФИО и дата рождения — базовые идентификаторы личности.
2. Фотография — в ряде случаев биометрические данные, требующие усиленной защиты.
3. Адрес проживания и регистрации.
4. Номер телефона и адрес электронной почты — несмотря на продолжающиеся дискуссии в судебной практике, Роскомнадзор квалифицирует их как персональные данные [3].
5. Сведения об образовании и стаже.
6. Предыдущие места работы и должности.
7. Желаемый уровень заработной платы.

Таким образом, типовое резюме — это концентрат персональных данных, и любое действие с ним (получение, открытие, сохранение, пересылка, анализ) формально является обработкой персональных данных.

Кто является оператором

Оператор персональных данных — организация, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет её цели и состав (ст. 3 152-ФЗ) [2].

Из этого определения вытекает несколько важных следствий для рекрутинга:

1. Работодатель, принимающий резюме на вакансию, — оператор.
2. Кадровое агентство, ведущее базу кандидатов, — оператор.
3. hh.ru (ООО «Хэдхантер»), управляющее платформой поиска работы, — оператор.
4. Рекрутер-фрилансер, если он хранит резюме на своих устройствах и самостоятельно определяет цели обработки, — тоже оператор.
5. Любая компания, у которой на сайте есть форма отклика на вакансию с полями для ввода имени и контактов, — оператор [4].

Ключевая ловушка: операторами становятся автоматически, по факту действий с данными, а не по решению. Незнание закона не освобождает от ответственности.

Обязанности оператора

После того как компания признаётся оператором, на неё ложится пакет обязательных мер:

1. Уведомить Роскомнадзор до начала обработки персональных данных (ст. 22 152-ФЗ). С 30 мая 2025 года это требование распространяется практически на всех — ранее существовавшие исключения в значительной мере упразднены [5].
2. Разработать и опубликовать политику обработки персональных данных.
3. Назначить ответственного за организацию обработки.
4. Принять меры по защите данных, включая технические и организационные.
5. Обеспечить возможность реализации прав субъектов: право на доступ, исправление, уничтожение данных, отзыв согласия.
6. При утечке — уведомить Роскомнадзор в течение 24 часов [6].

Часть 2. Три сценария: когда согласие не нужно — и когда нужно обязательно

Вокруг согласия на обработку персональных данных в рекрутинге существует много заблуждений. Разберём каждый сценарий получения резюме.

Сценарий 1. Резюме в открытом доступе на джоб-сайте

Роскомнадзор в своих официальных разъяснениях указывает: если соискатель самостоятельно разместил резюме в интернете, доступное неограниченному кругу лиц, — отдельное согласие для первичной обработки работодателем не требуется [7]. Это исключение из общего правила.

Однако здесь есть существенные ограничения. Во-первых, данное исключение распространяется только на первоначальное ознакомление и рассмотрение кандидатуры — но не на хранение, внесение в базу данных, включение в кадровый резерв. Если вы хотите сохранить резюме и вернуться к кандидату через полгода, нужно получить его согласие. Во-вторых, нельзя считать резюме «открытым», если на платформе оно доступно только платным подписчикам или только авторизованным работодателям — в этом случае у каждой платформы своя правовая конструкция [8].

Особый случай — hh.ru. Когда работодатель приобретает доступ к базе резюме hh.ru, он не просто смотрит «открытые данные»: по условиям соглашения hh.ru выступает оператором, давшим поручение на обработку данных соискателя, а соискатель при регистрации дал согласие на передачу данных работодателям [9]. Это разграничение важно: правовая чистота операции здесь обеспечена офертой платформы, но только в части тех действий, которые она охватывает.

Сценарий 2. Кадровое агентство действует от имени кандидата

Второе законное исключение — когда кандидат заключил договор с кадровым агентством, уполномочив его представлять его интересы при поиске работы. В этом случае работодатель может получить и обработать данные кандидата без его отдельного согласия: агентство действует как его представитель, и правовым основанием служит заключённый договор [7, 10].

Но это исключение работает только при одновременном соблюдении нескольких условий:

1. Между соискателем и агентством должен быть заключён письменный договор (или оферта с акцептом).
2. Агентство должно самостоятельно уведомить Роскомнадзор о своей деятельности как оператора.
3. Договор между агентством и работодателем должен содержать условие о поручении на обработку персональных данных.
4. В согласии соискателя (либо в договоре) должна быть предусмотрена цель передачи данных конкретному работодателю или типу работодателей.

На практике многие небольшие агентства и фрилансеры пренебрегают этой формализацией, что создаёт риски как для них самих, так и для работодателей, которые используют переданные ими данные.

Сценарий 3. Резюме получено по электронной почте или через мессенджер

Это наиболее рискованный сценарий. По разъяснениям Роскомнадзора, при получении резюме по электронной почте работодатель обязан дополнительно провести мероприятия, подтверждающие, что резюме действительно направил сам соискатель — например, пригласить его на встречу или направить ответ [11]. До получения такого подтверждения резюме не рекомендуется заносить в базы или передавать третьим лицам.

При поступлении резюме, из которого невозможно однозначно установить личность отправителя, такое резюме подлежит уничтожению в день поступления [11].

После подтверждения того, что резюме направил именно кандидат, необходимо получить его согласие на обработку персональных данных. И здесь начинается ещё один важный нюанс.

Что нужно знать о рекомендациях от коллег и знакомых

Ситуация, когда коллега присылает резюме своего знакомого «по рекомендации», — одна из самых распространённых в российском найме. С точки зрения 152-ФЗ это передача персональных данных третьим лицом, которая является законной только если [12]:

1. Соискатель знал о том, что его резюме будет передано, и дал на это согласие.
2. Либо резюме находится в открытом доступе (например, публичный профиль в соцсетях или на джоб-сайте).

Если рекомендатель просто выслал резюме из своего личного архива или переслал документ, не спросив разрешения у кандидата, — вы как получатель оказываетесь перед выбором: либо немедленно удалить полученные данные, либо связаться с кандидатом напрямую и только после получения его согласия использовать сведения из резюме.

Хранить такое резюме и тем более загружать в ATS без согласия кандидата — нарушение.

Часть 3. Специфика разных каналов получения резюме

hh.ru и другие джоб-сайты

При работе с hh.ru правовая конструкция выглядит следующим образом. ООО «Хэдхантер» является оператором персональных данных соискателей. В соглашении с соискателем компания фиксирует его согласие на то, что размещаемые данные в форме резюме являются общедоступными и могут быть переданы третьим лицам — работодателям-клиентам платформы [9]. При этом hh.ru может поручить обработку данных соискателя третьему лицу по договору поручения [9].

Для работодателя это означает следующее:

1. Просмотр резюме и приглашение кандидата на собеседование через платформу — правомерно, поскольку охватывается условиями оферты hh.ru.
2. Загрузка резюме в свою ATS/CRM — требует отдельного согласия кандидата или использования ATS-систем, сертифицированных hh.ru (например, Talantix), в которых механизм получения согласия встроен.
3. Передача резюме с hh.ru в кадровое агентство — требует согласия кандидата на передачу третьему лицу.
4. Передача резюме между юридическими лицами в рамках одного холдинга — по разъяснениям hh.ru/Talantix, является незаконной без отдельного согласия или соответствующей организационной структуры с единой политикой обработки ПДн [13].

Принципиальный момент: после того как работодатель скопировал, сохранил резюме или загрузил его в свои системы — он становится самостоятельным оператором персональных данных, со всеми вытекающими обязательствами.

Telegram-каналы и чаты для поиска работы

Telegram — пожалуй, наименее урегулированная зона. В России активно работают сотни Telegram-каналов, где публикуются вакансии, а иногда и анонимизированные профили кандидатов. С правовой точки зрения здесь нужно разграничить несколько ситуаций:

1. Работодатель публикует вакансию в Telegram-канале, а кандидаты откликаются — направляют резюме через личные сообщения. Как только работодатель читает и тем более сохраняет это резюме, он обрабатывает персональные данные. Согласие должно быть получено.
2. Кандидат сам опубликовал своё резюме или анкету в публичном Telegram-канале в открытом доступе. Формально это может квалифицироваться как «самостоятельное размещение в интернете» по аналогии с джоб-сайтами. Однако практика Роскомнадзора по этому вопросу неоднородна, а Telegram как иностранный мессенджер накладывает дополнительные сложности: данные могут обрабатываться на зарубежных серверах, что требует соблюдения требований о локализации [14].
3. Рекрутер пересылает резюме кандидата в рабочий чат для обсуждения с руководителем или коллегами. По разъяснениям, данные не должны покидать юридическое лицо, которому было выдано согласие. Если пересылка происходит «не-сотруднику компании», включая подрядчиков, — это передача третьим лицам, требующая отдельного основания [13].
4. Таблица с телефонами и именами кандидатов в общем Telegram-чате, доступном всем сотрудникам или подрядчикам. Роскомнадзор может квалифицировать это как передачу персональных данных без согласия — с соответствующими штрафами до 700 000 рублей, а после 30 мая 2025 года — существенно выше [15].

Отдельный вопрос — использование Telegram-ботов для сбора анкет кандидатов. По позиции регулятора, сбор персональных данных через формы подразумевает получение согласия. Если бот собирает ФИО, телефон и опыт работы, перед началом сбора данных должна быть реализована процедура получения согласия на обработку персональных данных [3].

Особо нужно отметить: с 1 июля 2025 года первичный сбор персональных данных должен осуществляться на территории РФ [14]. Использование Telegram (серверы которого расположены за рубежом) для первичного сбора данных о кандидатах теоретически создаёт риски нарушения этого требования.

Социальные сети и LinkedIn-аналоги

После блокировки LinkedIn в России часть активности переместилась на отечественные платформы (ВКонтакте, TenChat) и на личные страницы специалистов в открытых источниках. Действуют те же принципы: если профиль публичный — первичное ознакомление и контакт законны. Если профиль закрытый или требует специального доступа — обработка без согласия незаконна.

Важнейший нюанс: даже публично доступные данные становятся объектом регулирования, если работодатель систематически их обрабатывает — например, для целевого парсинга кандидатов, построения баз данных, скоринга или сегментации [16].

Часть 4. Главные изменения 2025 года, которые нужно знать прямо сейчас

Согласие — отдельный документ

С 1 сентября 2025 года вступили в силу изменения в ст. 9 152-ФЗ, внесённые Федеральным законом №156-ФЗ от 24.06.2025: согласие на обработку персональных данных теперь нельзя включать в текст иных документов [17]. Ни в трудовой договор, ни в анкету, ни в оферту, ни в пользовательское соглашение. Только отдельный документ.

Это прямо затрагивает рекрутинговую практику: многие компании до сих пор включают «галочку» о согласии на обработку ПДн в анкету кандидата или в форму отклика на вакансию. После 1 сентября 2025 года такая практика незаконна для новых согласий.

Уведомление РКН обязательно для всех

С 30 мая 2025 года уведомить Роскомнадзор о начале обработки персональных данных обязаны практически все — включая малый бизнес, ИП и даже самозанятых, собирающих контакты клиентов [4]. Исключения настолько узки, что 99% компаний под них не подпадают. При этом штраф за отсутствие уведомления вырос с 3–5 тысяч рублей до 100–300 тысяч рублей для организаций [1].

Штрафы выросли радикально

Законом №420-ФЗ введена дифференцированная система штрафов в зависимости от масштаба нарушения [1, 6]:

1. За незаконную обработку без надлежащего основания — для юрлиц от 150 000 до 300 000 рублей (было 60 000–100 000).
2. За неуведомление РКН о намерении обрабатывать ПДн — от 100 000 до 300 000 рублей.
3. За неуведомление РКН об утечке — от 1 до 3 млн рублей для организаций.
4. За утечку данных 1 000–10 000 человек — от 3 до 5 млн рублей.
5. За утечку данных 10 000–100 000 человек — от 5 до 10 млн рублей.
6. За повторную утечку — оборотные штрафы в размере 1–3% от годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей.

С 28 декабря 2025 года дела по статье 13.11 КоАП вернулись в юрисдикцию мировых судей [18], что на практике означает более предсказуемое и оперативное рассмотрение споров.

Хранение резюме: 30-дневный срок уничтожения

Роскомнадзор в своих разъяснениях указывает: при отказе в приёме на работу резюме со всеми персональными данными кандидата необходимо уничтожить в течение 30 дней [11]. Хранить «отказные» резюме под предлогом «кадрового резерва» без дополнительного согласия кандидата незаконно. Для кадрового резерва нужно получить отдельное согласие, в котором прямо указана цель хранения данных после закрытия текущей вакансии [8].

Часть 5. Структура отношений: кто оператор, кто поручитель, кто субъект

Схема взаимодействия в типовом рекрутинговом процессе

Наиболее частая модель выглядит так:

1. Соискатель (субъект персональных данных) — источник данных и носитель прав.
2. hh.ru (оператор-платформа) — собирает данные, обеспечивает оферту, передаёт работодателям на основании условий регистрации.
3. Работодатель (оператор) — получает данные через платформу, становится самостоятельным оператором в момент загрузки в свои системы.
4. ATS/CRM-система (обработчик по поручению) — обрабатывает данные по поручению работодателя, должна быть указана в согласии или уведомлении.
5. Кадровое агентство — может быть либо самостоятельным оператором (если кандидат обратился в него напрямую), либо обработчиком по поручению работодателя.

Ключевой вопрос при любой передаче данных — это вопрос поручения. Статья 6 ч. 3 152-ФЗ позволяет оператору поручить обработку другому лицу по договору поручения. Такой договор должен содержать: перечень операций, цели обработки, обязанность обработчика соблюдать конфиденциальность и меры защиты [19]. Если передача носит вспомогательный характер — например, кандидат направляет своё резюме через агентство как посредника — это не поручение, а передача без поручения, требующая иной правовой формализации.

Кадровое агентство: два разных правовых режима

Кадровое агентство может действовать в двух принципиально разных ролях.

Первый режим — агентство действует от имени соискателя (по договору с ним). Здесь агентство является представителем кандидата, работодатель может получить данные без отдельного согласия кандидата — на основании договора соискателя с агентством. Это исключение, прямо предусмотренное разъяснениями Роскомнадзора [11].

Второй режим — агентство действует по поручению работодателя (по договору с ним). Здесь агентство является обработчиком данных по поручению работодателя. Оно ищет кандидатов и собирает их данные уже в интересах работодателя. В этом случае кандидат должен дать согласие на обработку его данных агентством в интересах конкретного работодателя (или типа работодателей). В договоре между агентством и работодателем должны быть прописаны условия поручения и ответственность за нарушения [12].

На практике крупные агентства, как правило, совмещают оба режима: формируют собственную базу кандидатов (первый режим) и одновременно выполняют заказы работодателей (второй режим). Именно поэтому юридическая конструкция согласий здесь особенно важна: кандидат должен понимать, что его данные будут переданы конкретным работодателям.

Часть 6. Практические рекомендации: чек-листы и пошаговые действия

Чек-лист для работодателя

1. Убедитесь, что компания подала уведомление в Роскомнадзор о начале обработки персональных данных. Без этого любая работа с резюме незаконна с мая 2025 года.
2. Разработайте и опубликуйте политику обработки персональных данных (в том числе для соискателей).
3. Разработайте форму согласия на обработку персональных данных соискателя как отдельный документ (не как часть анкеты или трудового договора).
4. В форме согласия укажите: наименование оператора, цель обработки, перечень данных, перечень действий, наименование третьих лиц, которым данные будут переданы (например, кадровые агентства, ATS-платформа), срок хранения, порядок отзыва.
5. Если резюме пришло по электронной почте — не сохраняйте его, пока не получили подтверждение от самого кандидата и не запросили согласие.
6. Установите регламент уничтожения: резюме кандидатов-«отказников» удаляются в течение 30 дней после принятия решения, если не получено согласие на кадровый резерв.
7. Если используете ATS — убедитесь, что с вендором заключён договор поручения обработки персональных данных.
8. Если работаете с кадровыми агентствами — убедитесь, что в договоре прописаны условия поручения/передачи данных и ответственность агентства.
9. Обучите рекрутеров: нельзя пересылать резюме в мессенджерах третьим лицам без согласия кандидата.

Чек-лист для кадрового агентства

1. Зарегистрируйтесь в реестре операторов Роскомнадзора — вы однозначно являетесь оператором.
2. Для каждого кандидата в базе получите согласие на обработку ПДн как отдельный документ.
3. В согласии кандидата пропишите: что данные могут передаваться работодателям-клиентам агентства, укажите допустимые категории работодателей или механизм информирования кандидата о конкретной передаче.
4. С каждым работодателем, которому передаёте резюме, подписывайте договор о передаче данных или поручении.
5. Ведите реестр согласий: кто дал согласие, когда, на что, когда истекает.
6. При отзыве согласия — уничтожьте данные кандидата из всех систем.
7. Не передавайте резюме через незащищённые каналы (обычная электронная почта, Telegram без шифрования) без соответствующих мер защиты.

Как законно поделиться резюме с коллегой или руководителем

Самый простой и безопасный вариант — поделиться ссылкой на резюме на платформе (hh.ru), а не пересылать сам документ. В этом случае данные остаются у оператора-платформы, а коллеге передаётся только ссылка [12].

Если нужно передать именно документ — убедитесь, что в согласии кандидата предусмотрена передача данных сотрудникам компании, а получатель является сотрудником того же юридического лица.

Часть 7. Типичные ошибки и как их избежать

Ошибка первая: «резюме само пришло — значит, согласие есть». Это не так. Отправка резюме — это выражение интереса к вакансии, а не согласие на хранение, занесение в базу или передачу данных третьим лицам. Согласие должно быть явным, конкретным и отдельным.

Ошибка вторая: «согласие вшито в анкету». С 1 сентября 2025 года это прямое нарушение закона для новых согласий. Согласие — только отдельный документ [17].

Ошибка третья: «резюме из hh.ru уже в ATS, всё законно». Факт покупки доступа к базе hh.ru не означает, что вы автоматически вправе хранить данные в своей ATS. Для этого нужно либо использовать ATS, интегрированную с hh.ru и охваченную офертой платформы, либо получать отдельное согласие кандидата.

Ошибка четвёртая: «мы передали данные коллеге в другом юрлице холдинга — это же мы». Внутри холдинга — несколько юридических лиц, и передача данных между ними является передачей третьим лицам. Без согласия кандидата — нарушение [13].

Ошибка пятая: «рекрутер прислал резюме знакомого — отличный кандидат, добавляем в базу». Не добавляйте. Данные, полученные из неформального источника без согласия кандидата, нельзя хранить. Свяжитесь с кандидатом напрямую и только после его согласия включайте в базу [12].

Ошибка шестая: «мы храним резюме всех, кто откликался — вдруг пригодится». После 30-дневного срока с момента отказа резюме должно быть уничтожено. Кадровый резерв — только с отдельным согласием [11].

Ошибка седьмая: «у нас маленькая компания, нас не проверяют». С 30 мая 2025 года уведомление в РКН обязательно для всех, включая ИП и самозанятых [5]. А профилактические проверки Роскомнадзора охватывают компании любого размера.

Часть 8. Что происходит при нарушениях: реальные последствия

Административная ответственность по ст. 13.11 КоАП — основной инструмент Роскомнадзора. Поскольку штрафы существенно выросли с мая 2025 года, а рассмотрение дел вернулось к мировым судьям [18], компаниям стоит готовиться к более оперативному и жёсткому правоприменению.

Однако административным штрафом дело может не ограничиться. Гражданская ответственность: кандидат или сотрудник вправе подать иск о компенсации морального вреда за незаконное использование персональных данных [16]. Репутационные риски: крупные утечки получают широкую огласку и снижают привлекательность работодателя для кандидатов. Уголовная ответственность: при умышленных нарушениях, повлёкших тяжкие последствия, возможна уголовная ответственность — вплоть до лишения свободы на срок до пяти лет [16].

Практика проверок Роскомнадзора показывает, что инспекторы обращают особое внимание на кадровое делопроизводство, хранение личных дел, анкеты и формы заявлений — то есть именно на то, что является основой рекрутинговых процессов [20].

Часть 9. Взгляд в будущее: тренды в регулировании

Российское регулирование в области персональных данных продолжает развиваться в сторону ужесточения. Ряд тенденций уже очевиден:

1. Постепенный отказ от иностранных сервисов. Требование о локализации данных на российских серверах становится всё жёстче. Для рекрутеров это означает, что хранение кандидатских баз в зарубежных облачных сервисах (Google Sheets, Dropbox) несёт значительный риск — штраф за такое нарушение составляет от 1 до 3 млн рублей [15].
2. Автоматизация контроля. Роскомнадзор развивает инструменты мониторинга, в том числе проверку реестра операторов и отслеживание утечек данных. Правоприменение будет всё более технологичным.
3. Рост требований к документированию. Тренд на отдельное согласие, строгие реквизиты, хранение документов о согласиях — часть глобального движения к «privacy by design», когда защита данных встраивается в процессы, а не добавляется как поздний юридический слой.
4. Давление на фрилансеров и малый бизнес. Распространение обязанностей на ИП и самозанятых означает, что независимые рекрутеры и небольшие кадровые агентства окажутся под тем же давлением, что и крупные операторы.

Заключение: что делать прямо сейчас

Рекрутинговые процессы в России с 2025 года находятся в зоне высокого регуляторного риска. Хорошая новость — большинство нарушений технически несложно исправить: это вопросы документооборота, регламентов и корпоративной культуры.

Первый шаг: провести аудит всех источников поступления резюме и каналов их хранения и передачи. Второй шаг: убедиться, что компания уведомила Роскомнадзор и имеет актуальную политику обработки ПДн. Третий шаг: разработать отдельные формы согласий на обработку данных соискателей, охватывающие все предполагаемые действия с данными. Четвёртый шаг: обучить рекрутеров и HR-специалистов: что можно и что нельзя делать с резюме в зависимости от источника. Пятый шаг: выстроить регламент уничтожения данных и ведения реестра согласий.

Всё это — не разовая задача, а непрерывный процесс. IT-ландшафт меняется, появляются новые каналы, интеграции, платформы. И каждый раз, когда в компании появляется новый источник резюме или новая система для их хранения — нужно задать вопрос: а как мы законно получаем данные из этого источника и куда они в итоге попадают?

Инструмент для тех, кто хочет навести порядок системно

Именно здесь проявляется ключевая проблема: компании не видят своих данных в полной мере. Резюме хранятся одновременно в ATS, почте, папках на диске, Telegram-чатах и экселевских таблицах. Кадровая база в CRM не синхронизирована с почтой. В 1С есть поля с персональными данными сотрудников, добавленные несколько лет назад и забытые.

Платформа «Пятый фактор» (5factor.ru) создана именно для решения этой проблемы. Это on-premise решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах — базах данных, хранилищах, почте, AD/LDAP, CRM, 1С и API. Ключевое преимущество — платформа работает с метаданными, структурой и агрегатами, не затрагивая «сырые» значения персональных данных. Это значит, что само решение не становится дополнительным источником риска.

Для рекрутинговых компаний и корпоративных HR-функций это означает: живая «карта ПДн» — понимание, где и какие данные о кандидатах и сотрудниках хранятся в организации; раннее обнаружение новых рисков — появление нового поля в базе, новой интеграции с кадровой платформой, нового канала поступления данных; и, главное, сокращение времени на аудит при проверках Роскомнадзора или внутреннем комплаенсе.

В условиях, когда ИТ-ландшафт постоянно меняется и каждое новое поле в CRM потенциально становится новым риском — непрерывный автоматизированный контроль становится не роскошью, а необходимостью.

Источники

[1] Федеральный закон от 30.11.2024 №420-ФЗ — https://www.consultant.ru/legalnews/27142/

[2] Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (ред. от 24.06.2025) — https://normativ.kontur.ru/document?moduleId=1&documentId=501173

[3] ГАРАНТ.РУ: Персональные данные в Telegram и обработка через мессенджеры — https://www.garant.ru/consult/business/1803187/

[4] РБК Компании: Регистрация оператора персональных данных: что изменилось в 2025 году — https://companies.rbc.ru/news/NODbxeTQAJ/registratsiya-operatora-personalnyih-dannyih-chto-izmenilos-v-2025-godu/

[5] Е-Офис 24: Как уведомить РКН об обработке персональных данных в 2025 году — https://e-office24.ru/news/kak-uvedomit-rkn-ob-obrabotke-personalnykh-dannykh/

[6] Правовест Аудит: Обработка персональных данных: изменения с 30.05.2025 — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/izmeneniya-v-obrabotke-personalnykh-dannykh-s-30-maya-2025-goda/

[7] Роскомнадзор: Разъяснения по обработке персональных данных работников и соискателей — https://rkn.gov.ru/news/rsoc/news17877.htm

[8] hh.ru: Рекомендации для рекрутера — всё об обработке персональных данных — https://hh.ru/article/509405

[9] hh.ru: Политика в области обработки и обеспечения безопасности персональных данных — https://hh.ru/article/personal_data

[10] КонсультантПлюс: Разъяснения Роскомнадзора об обработке ПД соискателей — https://www.consultant.ru/document/cons_doc_LAW_139574/

[11] Роскомнадзор: Разъяснения о получении резюме по электронной почте и уничтожении данных — https://rkn.gov.ru/news/rsoc/news17877.htm

[12] Huntflow Media: «Лайк, шер, штраф» — как поделиться резюме и не нарушить закон — https://huntflow.media/po-sekretu-vsemu-svetu/

[13] hh.ru/Talantix: Передача резюме клиентам кадрового агентства — https://feedback.hh.ru/talantix/knowledge-base/article/148283

[14] Klerk.ru: Новые ограничения для иностранных мессенджеров и локализация данных — https://www.klerk.ru/blogs/roskom24/654884/

[15] Хабр: Роскомнадзор ужесточил штрафы — https://habr.com/ru/companies/moysklad/articles/994568/

[16] empldocs.ru: Как работать с персональными данными сотрудников в 2026 году — https://empldocs.ru/obrabotka-personalnyh-dannyh-sotrudnikov

[17] ГАРАНТ.РУ: Согласие на обработку персональных данных с 1 сентября 2025 года — https://www.garant.ru/article/1862510/

[18] pro-ability.ru: Штрафы за персональные данные с 2026 года — https://www.pro-ability.ru/article_hr/tpost/s7v0blul61-shtrafi-za-personalnie-dannie-s-2026-god

[19] RPPA: Условия передачи ПДн на основании поручения и без него — https://rppa.pro/ask/2101_01

[20] Klerk.ru: За что штрафует Роскомнадзор: анкеты и резюме соискателей — https://www.klerk.ru/boss/articles/470473/