ПДн – персональные данные
ИСПДн – информационная система персональных данных
Субъект ПДн – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Цель обработки ПДн – это результат действий с данными. Она определяет, для чего и зачем мы обрабатываем персональные данные. Задайте себе вопрос: для чего я собираю данные с сотрудника?
Например, для заключения и исполнения трудовых договоров – это и может быть вашей целью.
Однако неправильным будет смешивать различные цели обработки данных различных субъектов.
Например, нельзя использовать единую цель – для заключения и исполнения трудовых договоров, договоров с клиентами/контрагентами. Такая цель неоднозначна и неконкретна.
Исходя из смысла 152-ФЗ и заложенных в нем принципов, цели обработки данных должны быть конкретными. Они должны быть четко и полноценно обозначены, прописаны во внутренних документах (положениях, политике, правилах работы и т. д.), а также фактически выполняться оператором.
Операторы самостоятельно определяют подходы к выбору целей обработки данных. Важно подойти к этому вопросу так, чтобы облегчить себе дальнейшую работу по организации обработки персональных данных, включая исполнение требований, установленных ч. 1 ст. 6, ст. 18.1 и 19 152-ФЗ, ПП РФ № 1119 и иных положений закона.
В противном случае это может привести к нарушению требований законодательства и даже повлечь административную ответственность, например, по ч. 1 ст. 13.11 КоАП РФ, если выяснится, что осуществляется обработка персональных данных несовместима с целями сбора персональных данных, определенных в ваших внутренних документах.
Например: вы прописали в вашей политике и уведомлении, что собираете персональные данные для заключения договоров, а в реальности собираете данные для трудоустройства.
Цели обработки персональных данных обширны и многообразны. Для примера обратимся к электронной форме уведомления об обработке, реализованной на Портале ПДн или в сервисе 152DOC. Здесь операторам предложен выбор из 37 целей обработки данных деятельности. И это только возможные варианты, а не закрытый перечень целей обработки ПДн, вы всегда можете прописывать свои Цели.
Для операторов важно не только полноценно и четко определить все цели обработки, но еще и правильно с ними работать (систематизировать, конкретизировать или обобщать).
Придерживайтесь следующих принципов при описании целей:
- Для каждого оператора перечень и содержание целей обработки ПДн будут различны, в зависимости от видов деятельности, внутренних процессов ее организации, наличия передачи третьим лицам, использования ИСПДн, различных информационных ресурсов и технических решений. Даже похожие по своему виду деятельности компании могут выделять разные Цели, в зависимости от внутренних процессов сбора данных. В законе нет требования, какие Цели обязательно должны быть в той или иной компании.
- Каждый оператор по своему усмотрению разделяет цели обработки и определяет основания, по которым данные цели выбирает (кто-то за основу берет виды деятельности, кто-то определяет цели, опираясь на исполнение конкретного закона, кто-то дробит цели по всем процессам обработки, которые есть в компании, кто-то определяет цели по ИСПДн, кто-то ориентируется на правовые основания и т. д.).
- Внутри компании не должно быть дублирования целей обработки персональных данных. Каждая цель определяется и описывается один раз. Это связано с тем, что процессы обработки ПДн разные, а следовательно, и цели будут различны. В противном случае, вы просто сами запутаетесь в своих локальных документах и в принципе во всей системе обработки ПДн в вашей компании.
- Не забывайте, что одна укрупненная (но при этом конкретная) цель может включать несколько однородных «подцелей» и не обязательно увлекаться их излишним «дроблением».
Некоторые компании используют такие понятия как «макроцель» и «микроцель».
Микроцели | Макроцель |
Обеспечение сохранности имущества и защита личности от преступных посягательств | Обеспечение безопасности деятельности |
Управление ситуационной осведомленностью (включая взаимодействие в рамках непредвиденных ситуаций, ЧС, аварийных ситуаций и тд.) | |
Обеспечение пропускного режима |
В таком случае, именно «макроцель» берут за основу определения главных целей обработки ПДн в компании, в том числе, при установлении целей обработки внутри ИСПДн, а также в локальных актах и при подаче уведомления в Роскомнадзор.
Дробить цели удобно компаниям, которые, например, занимаются конкретным видом деятельности и оказывают услуги контрагентам, предположим по подготовке отчетов, – тогда для них будет актуально разбивать цели.
Или, например, когда разные сотрудники работают по разным «мелким» целям и компания хочет в документах четко разграничить доступ к ПДн под каждого сотрудника.
Еще пример: предприятие маленькое и работает с небольшими объемами данных о сотрудниках и контрагентов/клиентов. Как показывает опыт, в данном случае целесообразнее пойти по пути укрупнения целей. Можно, например, отталкиваться от субъектов ПДн, что позволит разделить цели обработки ПДн сотрудников и контрагентов/клиентов, но при этом не будет их лишнего дробления. В частности, это могут быть две цели: одна будет связана с обработкой ПДн сотрудников и их родственников (например, трудоустройство и исполнение законодательства РФ, действующего по отношению к организации как работодателю), а вторая будет отражать ведение основной деятельности и работу с контрагентами (например, заключение, сопровождение и исполнение заключенных договоров (можно уточнить сферу, в которой заключаются договоры, если это возможно).
С одной стороны – большое количество целей, вероятнее всего, увеличит объемы локальных документов, усложнит их содержание и работу по их дальнейшей актуализации. С другой стороны – конкретизация целей позволит наиболее глубоко и четко определить процессы обработки, учесть все нюансы, разграничить их и контролировать более детально.
Здесь важно найти баланс между требованиями законодательства, интересами и желаниями оператора относительно организации внутренних процессов обработки данных и разработки локальных актов, плюсами и минусами конкретизации и обобщения целей.
Разберем пример формирования целей в обработке данных Сотрудников.
Если говорить про обработку ПДн сотрудников, то можно выделить различные кадровые процессы, в которых задействованы данные: трудоустройство, формирование и ведение личных дел, направление отчетности в государственные органы, начисление заработной платы и иные расчеты с сотрудниками, выпуск электронных подписей, содействие в получении образования и продвижения по службе, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и многое другое.
Можно ли сгруппировать данные процессы в одну или несколько укрупненных целей (например, «Управление персоналом», «Вознаграждение, поощрение, мотивация и поддержка персонала», «Исполнение требований законодательства РФ, действующих в отношениях: работник и работодатель»)? Попробуем разобраться в данном вопросе.
Конечно, каждый кадровый процесс может рассматриваться в качестве самостоятельной цели обработки ПДн сотрудников. Но обратим внимание на связь между категориями субъектов ПДн и на наличие близких и примерно одинаковых объемов данных для указанных целей.
Если цели связаны с обработкой примерно одних и тех же категорий персональных данных и имеют близких по смыслу субъектов, возможно их объединение по типу моделей «цель – подцели», «макроцель – микроцели».
Микроцели | Макроцель |
Оформление и прием на работу | Управление персоналом |
Кадровый, бухгалтерский, воинский учет | |
Принятие управленческих и кадровых решений, содействие в обучении и продвижении по службе | |
Контроль выполнения трудовой функции | |
Рассмотрение и разрешение трудовых споров и тд. |
Каждый из описанных вариантов определения основных, базовых целей допустим. Каким путем пойти – зависит от оператора и выбранного им подхода к определению целей.
Почему так много внимания уделяется целям?
От правильно сформулированных целей зависит правильное составление многих документов:
- Необходимость учета целей обработки заложена в принципы обработки данных (ст. 5 152-ФЗ), исходя из которых:
- обработка ограничивается конкретными, заранее определенными и законными целями;
- обработка должна быть совместима с целями сбора данных;
- содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, не допускается обработка излишних данных по отношению к целям;
- должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки;
- хранение данных должно осуществляться не дольше, чем этого требуют цели обработки.
- При разработке локальных актов операторы должны исходить из целей обработки. Положения п. 2 ч. 1 ст. 18.1 152-ФЗ обязывают операторов разрабатывать локальные акты таким образом, чтобы для каждой цели обработки ПДн были определены категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований. Пользователи сервиса 152DOC отмечают, что именно в таком порядке формируются документы и указываются цели.
- При подаче в Роскомнадзор уведомления об обработке ПДн, оператор для каждой цели обработки персональных данных указывает категории данных, категории субъектов, ПДн которых обрабатываются, правовое основание обработки, перечень действий с данными и способы их обработки (ч. 3.1 ст. 22 152-ФЗ).
- При получении согласия на обработку персональных данных. Для письменной формы согласия, а также согласия на обработку ПДн, разрешенных субъектом для распространения, законодательно закреплено внесение в них информации о целях обработки (ч. 4 ст. 9 152-ФЗ, приказ РКН от 24.02.2021№ 18). Для согласия в свободной форме указание целей обусловлено требованиями о конкретности, однозначности и информированности любого согласия и принципами обработки (ст. 9 152-ФЗ).
- В случае трансграничной передачи операторы обязаны уведомить Роскомнадзор, в том числе о цели трансграничной передачи и дальнейшей обработки переданных персональных данных (п. 3 ч. 4 ст. 12 152-ФЗ) и т. д.
Важно найти баланс, чтобы цели не были излишне абстрактными, отражали фактические обстоятельства обработки персональных данных, не противоречили закону, но и излишним «дроблением» тоже увлекаться не стоит.