КадроффРабота с персональными данными стала одной из самых чувствительных тем для работодателей. С одной стороны, бизнесу нужны сведения, чтобы эффективно подбирать, развивать и удерживать сотрудников. С другой — закон жёстко регулирует, что можно собирать, как хранить и кому передавать.
В этом материале разбираем, какие данные можно собирать без нарушения закона, как выстроить процесс обработки персональных данных корректно и безопасно, и где проходят границы между интересами компании и правами человека.
Почему вопрос стал актуален
После обновлений законодательства (в том числе ФЗ-152 “О персональных данных” и поправок 2023–2024 гг.) компании обязаны:
- получать осознанное согласие на сбор и обработку персональных данных,
- защищать информацию технически и организационно,
- хранить данные на территории РФ,
- минимизировать сбор сведений, не относящихся к целям обработки.
Нарушения караются не только штрафами, но и рисками для репутации — утечка данных HR-службы может стоить компании доверия сотрудников и клиентов.
Какие данные можно собирать законно
1. Общие персональные данные
То, что сотрудник или кандидат предоставляет сам:
- ФИО, дата рождения,
- контактные данные,
- образование, опыт работы,
- сведения, необходимые для трудового договора (паспорт, ИНН, СНИЛС).
⚙️ Главное: использовать только в рамках конкретной цели — найма или трудоустройства.
2. Дополнительные данные с согласия
Сотрудник может дать письменное согласие на сбор и использование:
- фотографии, видеозаписей (например, для корпоративных коммуникаций),
- информации о семье, хобби, соцсетях,
- отзывов с прошлых мест работы.
📝 Важно: согласие должно быть добровольным, информированным и конкретным — с указанием, кто, зачем и как будет использовать данные.
3. Аналитические и обезличенные данные
HR-отделы всё чаще используют аналитику для оценки вовлечённости или эффективности. Закон не запрещает собирать:
- результаты внутренних опросов,
- показатели вовлечённости и удовлетворённости,
- статистику по обучению и аттестациям,
- данные об использовании корпоративных сервисов (в обезличенном виде).
💡 Если данные невозможно связать с конкретным человеком, они не считаются персональными.
4. Профессиональные и поведенческие данные
HR и рекрутеры вправе собирать:
- результаты тестов и интервью,
- профессиональные рекомендации,
- деловую переписку в корпоративных каналах,
- поведенческие данные, если они связаны с выполнением трудовых обязанностей.
🛑 Но нельзя использовать их для дискриминации — по возрасту, полу, взглядам, состоянию здоровья и т.д.
Какие данные собирать нельзя
- Религиозные и политические убеждения.
- Сведения о частной жизни, ориентации.
- Биометрия (отпечатки пальцев, распознавание лица) — только при отдельном письменном согласии.
- Медицинские данные — если не предусмотрено законом (например, для работы с вредными условиями).
Как действовать HR-специалисту
1. Получайте согласие правильно
- Отдельная форма согласия на сбор и обработку персональных данных.
- Понятный язык, конкретная цель, срок и способы хранения.
- Возможность отзыва согласия.
2. Минимизируйте сбор
Если информация не влияет на решение о найме — не собирайте.
3. Храните данные безопасно
- Используйте корпоративные защищённые хранилища,
- Ограничьте доступ сотрудников,
- Регулярно обновляйте пароли и системы защиты.
4. Обучайте персонал
Проводите инструктажи по работе с персональными данными. Особенно — для рекрутеров, которые ежедневно обрабатывают десятки анкет.
Реальные кейсы
🔹 HR-аутсорсер в Новосибирске получил штраф за то, что пересылал клиенту резюме кандидатов без согласия на передачу третьим лицам.
🔹 Одна федеральная сеть использовала фото сотрудников для рекламы без согласия — по иску пришлось выплатить компенсацию морального вреда.
🔹 IT-компания обезличила данные об обучении и вовлечённости, чтобы анализировать эффективность программ — это легально и безопасно.
Роль КАДРОФФ
В КАДРОФФ мы помогаем клиентам выстраивать безопасные HR-процессы:
- разрабатываем шаблоны согласий и внутренних политик,
- консультируем по соответствию ФЗ-152,
- обучаем рекрутеров и HR-специалистов правилам обработки данных.
FAQ
Можно ли использовать данные из открытых источников (например, соцсетей)?
Только если человек сам разместил их в публичном доступе и не ограничил видимость.
Что делать с анкетами не прошедших кандидатов?
Хранить ограниченный срок (обычно до 6 месяцев) и только с письменного согласия.
Нужен ли отдельный документ о политике обработки данных?
Да, и он должен быть доступен всем сотрудникам и кандидатам.
Вывод
Безопасная работа с данными — это не только юридическая обязанность, но и вопрос доверия между компанией и сотрудниками.
💡 Компании, которые грамотно выстраивают политику обработки персональных данных, повышают репутацию работодателя и минимизируют риски, а HR-службы работают увереннее и эффективнее.