Перевірка бекграунду кандидата: де межа між due diligence і порушенням прав на захист персональних даних?

Успішний найм — це не тільки про влучний збіг за скілами, а й про довіру, репутацію й безпеку бізнесу. Саме тому процес перевірки кандидатів (так званий background check) стає дедалі важливішим — особливо на чутливих чи стратегічно важливих позиціях.

Але перевірка — це не інспекція з лупою. Це продуманий процес, де рекрутери, юристи, служби безпеки і менеджери шукають відповіді на головне питання: «Чи можемо ми довірити цій людині роль у нашій компанії?»

У цій статті з партнерами з IT-рекрутингової агенції ITExpert розберемо, які саме етапи перевірки проходить кандидат і хто їх проводить, які інструменти юридичної перевірки використовують в Україні, Європі та США та як не перейти межу особистого.

Це гайд для рекрутерів, HR-ів і всіх, хто відповідає за якісний, безпечний та етичний найм.

Як рекрутер перевіряє кандидатів: основні кроки

Щоб знайти не просто хорошого, а свого кандидата, рекрутер проводить низку етапів перевірки. Це не лише про досвід — а й про відповідність культурі, мотивацію, реальні скіли та дійсність вказаної інформації.

1. Аналіз резюме та профілю кандидата.

Рекрутер звертає увагу не лише на досвід і стек, а й на прогалини в кар’єрі, часту зміну роботи чи неконкретні формулювання. Також негативним маркером можуть стати невідповідності між резюме та профілем у LinkedIn — вони можуть свідчити про неправдиві діапазони роботи у компаніях (зазвичай штучне завищення періоду) або поєднання співпраці з кількома роботодавцями без попередження.

2. Первинне інтерв’ю (screening call).

Це коротка розмова (15–30 хв), щоб перевірити базову відповідність очікуванням: рівень англійської, мотивацію, зарплатні очікування, локацію тощо.

3. Оцінка технічних навичок.

Звісно, рекрутер не проводить глибоких технічних інтерв’ю, але має розуміти, що означають заявлені технології. IT-рекрутер може провести попередній технічний скринінг та призначити технічну співбесіду — з відповідальним менеджером або членом команди, який залучений у наймання.

На цьому етапі критично перевірити дійсність досвіду кандидата. Частий кейс: фахівець вказує весь стек проєкту, але на співбесіді виявляється, що він був дотичним лише до 30% технологій. Звісно, це може негативно вплинути на результат спілкування.

4. Перевірка м’яких навичок та цінностей.

Залежно від компанії, можуть оцінювати комунікаційні навички, автономність, резильєнтність тощо. Після повномасштабного вторгнення компанії звертають увагу і на політичні погляди кандидатів, якщо вони є яскраво вираженими. Підтримка агресора у соцмережах — прямий шлях до відмови.

5. Збір фідбеку або рекомендацій.

У випадку сумнівів рекрутер може зв’язатися з попереднім роботодавцем або попросити контакти для рекомендацій. Це допоможе перевірити причину звільнення, зворотний зв’язок про роботу кандидата (його сильні та слабкі сторони), період роботи у компанії, наявність конфліктних ситуацій тощо.

Кейс: кандидат проговорював процес роботи та досягнені показники розмито, називаючи то одні, то інші цифри. Після перевірки рекомендацій виявилося, що цей фахівець не мав досвіду роботи у вказаній компанії.

Також у окремих випадках доречною буде перевірка соцмереж кандидатів — звісно, якщо вони наявні у відкритому доступі та, наприклад, якщо кандидат самостійно зазначив їх у резюме. Дописи на професійну тематику — ще один плюс до кандидатури. А-от меседжі, що стосуються особистого життя, наприклад, наявність/відсутність дітей, не можуть впливати на рішення роботодавця про офер.

Марія Куцевол, Recruitment Team Lead в ITExpert:

Юридична перевірка: реєстри, податки та борги

Перевірка фінансового «портрета» кандидата – важлива частина юридичного due diligence. Наявність значних боргів чи проблем з податками може стати несподіваним ризиком для роботодавця. У цьому розділі ми розберемось, як юристи перевіряють борги, виконавчі провадження та податкову історію в Україні, Європі та США.

Перевірка кандидатів в Україні

У нашій країні існує низка відкритих реєстрів, які юристи використовують для перевірки:

• Єдиний реєстр боржників: містить інформацію про фізичних та юридичних осіб, які мають невиконані рішення судів та інші виконавчі документи. Перевірка цього реєстру допомагає виявити значні борги та наявність виконавчих проваджень.
• Єдиний державний реєстр судових рішень: знаходить судові рішення за прізвищем, ім'ям, по батькові особи. Виявляє судові спори, в яких фігурував кандидат, включаючи справи про стягнення боргів.
• Автоматизована система виконавчого провадження: надає інформацію про стан виконавчих проваджень.
• Дані про взяття на облік платників податків: хоча прямий доступ до податкової історії фізичної особи обмежений, можна перевірити інформацію про реєстрацію фізичної особи як підприємця (ФОП) та її поточний стан.

Щоб мінімізувати час перевірки, використайте Opendatabot або YouControl — ці сервіси спеціалізуються на зборі та аналізі інформації про юридичних та фізичних осіб з відкритих державних реєстрів.

YouControl може бути корисним для отримання інформації про кандидата з відкритих джерел щодо:

• Реєстраційних даних ФОП, якщо кандидат є або був ФОП.
• Участі у судових справах, зокрема щодо боргів, майнових спорів тощо.
• Наявності виконавчих проваджень.
• Податкової історії ФОП в обмеженому обсязі.
• Зв'язків із компаніями, які можуть мати негативну репутацію.
• Присутності у санкційних списках або серед публічних діячів, що може бути важливим для менеджерських та публічних посад.

Юристи перевіряють кримінальне минуле кандидатів. Наприклад, наявності непогашених або незнятих судимостей за кримінальні правопорушення. Це особливо важливо для посад, пов'язаних з фінансовою відповідальністю, доступом до конфіденційної інформації або безпекою. Таких як фінансовий директор чи бухгалтер.

Окремо варто перевірити наявності судових спорів, в яких кандидат виступав стороною, наприклад, у справах про захист честі та гідності, інтелектуальної власності, корпоративних конфліктах тощо.

Уявімо, що компанія розглядає кандидата на посаду Senior Software Engineer. Під час юридичної перевірки з'ясовується, що три роки тому проти нього був поданий позов іншою IT-компанією про порушення авторських прав на програмний код. Справа була врегульована в досудовому порядку, але в судових реєстрах залишилася інформація про сам факт спору. Тепер компанія обізнана про потенційні ризики. HR-відділ та юридична служба можуть провести додаткову співбесіду, щоб з'ясувати деталі інциденту. Залежно від отриманої інформації та політики компанії щодо ризиків, це може стати причиною для відмови або ж для більш ретельного контролю за його роботою на початковому етапі.

Ресурси для перевірки кандидатів у Європі та США

У європейських країнах інформацію для перевірки кандидата варто шукати на загальноєвропейському та національному рівнях. Наприклад, European Business Register надає доступ до реєстрів компаній у багатьох європейських країнах. Корисний для перевірки попередніх місць роботи кандидата, якщо вони були пов'язані з веденням бізнесу. Але у кожній країні є свій реєстр, наприклад, Krajowy Rejestr Sądowy у Польщі.

У деяких європейських країнах існують публічні або частково публічні реєстри судових рішень. Пошук за іменем фізичної особи можливий, але часто обмежений певними типами справ, тому проводити перевірку в ЄС складніше, ніж в Україні. 

Доступ до реєстрів судимостей — найбільш чутливе питання і суворо регулюється законодавством про захист персональних даних. Зазвичай, роботодавці не мають прямого доступу до таких реєстрів. Тому компанії можуть попросити кандидатів надати довідку про відсутність судимостей.

У США роботодавці можуть отримувати кредитні звіти кандидатів від основних кредитних бюро Equifax, Experian, TransUnion.

Влада США ретельно слідкує за тим, щоб інформація, яку надають бюро була точною та правдивою. Так, у 2023 році компанії Instant Checkmate і TruthFinder, що належать до The Control Group, були оштрафовані Федеральною торговою комісією (FTC) на $5,8 млн за порушення FCRA. Вони не перевіряли точність інформації, отриманої від сторонніх постачальників. Внаслідок цієї практики роботодавці приймали рішення про найм на основі неточної або неперевіреної інформації.

Інформація про кримінальні справи у США є публічною і доступна через федеральні, штатні та місцеві судові реєстри. Пошук може здійснюватися онлайн або через запити до судів. Крім того, є безліч сервісів, які спеціалізуються на зборі інформації про кримінальне минуле з різних баз даних. Наприклад, Sterling, Checkr, HireRight, Accurate Background.

Перевірка кандидата і закон: що треба знати, щоб не порушити правила 

В Україні перевірка бекграунду кандидатів регулюється Законом "Про захист персональних даних". Збір та обробка інформації має відповідати 7 принципам:

• Закон вимагає чіткої законної підстави для обробки даних. Найчастіше це згода кандидата — добровільна, інформована і конкретна. 
• Мета обробки має бути чіткою та законною. Наприклад, для розробника метою може бути перевірка його технічних навичок, досвіду роботи, можливо — наявності судових рішень, пов'язаних з інтелектуальною власністю. Цілі перевірки повинні бути сформульовані заздалегідь і доведені до відома кандидата. «Перевіримо все на всякий випадок» — це шлях до порушення закону.
• Закон вимагає мінімізувати обсяг даних. Наприклад, для бухгалтера важливі його освіта, досвід, дані про відсутність майнових судових спорів. Надмірна інформація не лише порушує право на приватність, але й створює ризики для безпеки цих даних.
• Принцип точності вимагає перевіряти дані з надійних джерел та надати кандидату можливість спростувати недостовірну інформацію.
• Персональні дані повинні зберігатися лише до досягнення мети їх обробки (у цьому випадку — завершення процесу найму). Інші дані повинні бути безпечно видалені або знеособлені.
• Уся інформація, отримана у процесі перевірки (копії документів, результати перевірок, записи співбесід), повинна зберігатися в безпечних умовах, захищених від несанкціонованого доступу, втрати чи знищення. Це стосується як електронних, так і паперових носіїв. Недбале ставлення до безпеки персональних даних може призвести не лише до витоку конфіденційної інформації, але й до юридичної відповідальності компанії.
• Кандидат, який дізнався, що компанія проводить його перевірку, має право запитати, які саме дані про нього збираються, з яких джерел, з якою метою, кому вони передаються. Він також має право вимагати виправити неточні дані або навіть видалити їх (за певних умов). Ігнорування прав суб'єкта персональних даних може призвести до скарг та судових позовів.

В Європейському Союзі основним регуляторним актом є Загальний регламент про захист даних (GDPR). Цей регламент має пряму дію у всіх країнах-членах ЄС та встановлює єдині стандарти обробки персональних даних, включаючи дані потенційних працівників. Багато принципів GDPR перегукуються з українським законодавством, але мають свої нюанси та більш жорстке застосування:

• Перевірка кримінального минулого. Зазвичай, прямий доступ до реєстрів судимостей відсутній. Роботодавці можуть вимагати від кандидата надання довідки про несудимість лише у випадках, коли це прямо передбачено законом для певних професій (наприклад, робота з дітьми, фінансова сфера, безпека). 
• Перевірка кредитної історії. У багатьох країнах ЄС перевірка кредитної історії для цілей працевлаштування є менш поширеною, ніж у США, і суворо регулюється. Потрібна явна згода кандидата, і така перевірка має бути обґрунтована специфікою посади (наприклад, фінансові позиції).
• Перевірка соціальних мереж та публічної онлайн-активності. Хоча роботодавці можуть переглядати публічні профілі кандидатів, це слід робити з обережністю та з урахуванням права на приватність. Зібрана інформація повинна бути релевантною для посади та не може використовуватися для дискримінації. 
• Використання сервісів з перевірки бекграунду. При залученні сторонніх сервісів роботодавець несе відповідальність за їх відповідність вимогам GDPR. Необхідно укладати з ними договори про обробку даних (Data Processing Agreement — DPA).
• Права кандидатів. Кандидати мають широкі права згідно з GDPR, включаючи право на доступ до своїх даних, право на виправлення, право на видалення («право бути забутим»), право на обмеження обробки, право на перенесення даних, а також право на заперечення проти обробки. Роботодавець зобов'язаний забезпечити реалізацію цих прав.

Так, у 2024 році Нідерландський орган із захисту даних (DPA) оштрафував рекрутингову компанію Ambitious People Group (тепер The Ambitious Group) на €6 тис. за те, що вона не видалила персональні дані трьох кандидатів після їхніх запитів. Ці дані, включаючи імена, адреси, електронні пошти, телефони, дати народження та резюме, залишалися в базі компанії, і рекрутери продовжували контактувати з кандидатами щодо вакансій, порушуючи їхнє право бути забутим.

А у 2020 році данська компанія JobTeam отримала штраф у розмірі 50 тис. данських крон за те, що видалила персональні дані кандидата після того, як він подав запит на доступ до своїх даних. Це порушило право на доступ до персональної інформації, гарантоване GDPR.

Процес перевірки у США містить такі кроки:

1. Визначення обсягу перевірки. Роботодавець повинен визначити, які типи перевірок є необхідними та обґрунтованими для конкретної посади, враховуючи потенційні ризики та вимоги роботи.
2. Отримання згоди кандидата. Згідно з Fair Credit Reporting Act (FCRA), письмова згода кандидата є обов'язковою перед замовленням "consumer report", яким є більшість звітів про бекграунд (включаючи кредитні звіти та звіти про кримінальне минуле, отримані від комерційних агентств). Згода має бути окремим документом і містити чітке та зрозуміле роз'яснення про характер перевірки.
3. Замовлення звіту. Роботодавець звертається до відповідних агентств або державних органів для отримання необхідної інформації. Важливо працювати з агентствами, які відповідають вимогам FCRA.
4. Аналіз отриманої інформації. Роботодавець аналізує отриману інформацію, враховуючи її релевантність до посади та потенційні ризики.
5. Процедура "Adverse Action" (у разі негативного рішення). Якщо роботодавець планує прийняти негативне рішення щодо найму (відмовити або відкликати пропозицію) на основі інформації, отриманої зі звіту про бекграунд, він зобов'язаний виконати процедуру "adverse action", передбачену FCRA:

• Pre-Adverse Action Notice. Надати кандидату повідомлення про намір прийняти негативне рішення, копію звіту про бекграунд та "Summary of Your Rights Under the Fair Credit Reporting Act".
• Надання часу для оскарження. Дати кандидату розумний час (зазвичай 5–10 робочих днів) для перегляду звіту та оскарження будь-якої неточної або неповної інформації безпосередньо в агентство, що надало звіт.
• Adverse Action Notice. Після прийняття остаточного негативного рішення, надати кандидату письмове повідомлення про це, назву та контактну інформацію агентства, що надало звіт, заяву про те, що рішення було прийнято роботодавцем, а не агентством, та інформацію про право кандидата на отримання додаткової безкоштовної копії звіту протягом 60 днів та право оскаржити точність звіту.

Через порушення правила перевірки бекграунду кандидатів рекрутингова компанія Execu|Search Group отримала позов від співробітника, який стверджував, що через один день після початку роботи, його звільнили через інформацію про кримінальні звинувачення, які вже були погашені. ESG не надала йому повідомлення про намір прийняти негативне рішення, копію звіту про бекграунд та "Summary of Your Rights", що є порушенням FCRA.

Безпечна перевірка: головні правила для роботодавця

У процесі перевірки кандидатів легко перейти межу між професійною необхідністю і вторгненням у приватне життя. Компанія має право знати, з ким працює, — але кандидат має право на приватність і захист персональних даних.

Дотримуйтеся таких принципів для відповідального процесу due diligence в Україні, країнах Європи та Сполучених Штатах Америки:

• Розробіть чітку політику перевірки бекграунду. Визначте, які типи перевірок проводяться для різних посад і чому вони є обґрунтованими. Опишіть крок за кроком процес перевірки, включаючи отримання згоди, джерела інформації, аналіз даних та прийняття рішень.
• Отримуйте письмову згоду кандидата. Згода має бути окремим документом і чітко пояснювати мету, обсяг та методи перевірки. Завжди отримуйте згоду перед замовленням звітів про бекграунд. 
• Будьте прозорими. Надайте кандидату чітку інформацію про те, яка перевірка буде проводитися, які дані будуть збиратися, з яких джерел, з якою метою та як довго зберігатимуться. Повідомте про його права згідно з відповідним законодавством.
• Дотримуйтесь вимог Закону України "Про захист персональних даних", GDPR та FCRA. Забезпечте надання необхідних повідомлень та дотримуйтесь процедур adverse action. Якщо кандидат просить видалити його дані з ваших баз, зробіть це.
• Проводьте індивідуальну оцінку. Не приймайте автоматичних рішень на основі інформації про бекграунд. Оцінюйте релевантність інформації до посади.
• Фокусуйтесь на релевантному. Перевіряйте тільки ті факти, які мають значення для роботи: досвід, технічні навички, репутацію в професійному середовищі.
• Уникайте дискримінації. Переконайтеся, що ваша політика перевірки не має дискримінаційного впливу за ознаками, що охороняються законом (вік, стать, раса, національність, інвалідність тощо).
• Зберігайте конфіденційність отриманої інформації. Зберігайте отриману інформацію про кандидатів у безпечний спосіб, обмежте доступ до неї лише уповноваженими особами та вживайте заходів для запобігання несанкціонованому доступу, втраті або розголошенню.
• Регулярно переглядайте та оновлюйте свої політики перевірки відповідно до змін у законодавстві.

Перевіряйте лише те, що дійсно впливає на роботу. Поважайте межі — і будьте прозорими щодо своїх намірів. І пам’ятайте: етичний рекрутинг — це не тільки про імідж, довіру та відповідальність, але й про законність.