Что необходимо знать о целях сбора персональных данных

ПДн – персональные данные

ИСПДн – информационная система персональных данных

Субъект ПДн – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Цель обработки ПДн – это результат действий с данными. Она определяет, для чего и зачем мы обрабатываем персональные данные. Задайте себе вопрос: для чего я собираю данные с сотрудника?

Например, для заключения и исполнения трудовых договоров – это и может быть вашей целью.

Однако неправильным будет смешивать различные цели обработки данных различных субъектов.

Например, нельзя использовать единую цель – для заключения и исполнения трудовых договоров, договоров с клиентами/контрагентами. Такая цель неоднозначна и неконкретна.

Исходя из смысла 152-ФЗ и заложенных в нем принципов, цели обработки данных должны быть конкретными. Они должны быть четко и полноценно обозначены, прописаны во внутренних документах (положениях, политике, правилах работы и т. д.), а также фактически выполняться оператором.

Операторы самостоятельно определяют подходы к выбору целей обработки данных. Важно подойти к этому вопросу так, чтобы облегчить себе дальнейшую работу по организации обработки персональных данных, включая исполнение требований, установленных ч. 1 ст. 6, ст. 18.1 и 19 152-ФЗ, ПП РФ № 1119 и иных положений закона.

В противном случае это может привести к нарушению требований законодательства и даже повлечь административную ответственность, например, по ч. 1 ст. 13.11 КоАП РФ, если выяснится, что осуществляется обработка персональных данных несовместима с целями сбора персональных данных, определенных в ваших внутренних документах.

Например: вы прописали в вашей политике и уведомлении, что собираете персональные данные для заключения договоров, а в реальности собираете данные для трудоустройства.

Цели обработки персональных данных обширны и многообразны. Для примера обратимся к электронной форме уведомления об обработке, реализованной на Портале ПДн или в сервисе 152DOC. Здесь операторам предложен выбор из 37 целей обработки данных деятельности. И это только возможные варианты, а не закрытый перечень целей обработки ПДн, вы всегда можете прописывать свои Цели.

Для операторов важно не только полноценно и четко определить все цели обработки, но еще и правильно с ними работать (систематизировать, конкретизировать или обобщать).

Придерживайтесь следующих принципов при описании целей:

  1. Для каждого оператора перечень и содержание целей обработки ПДн будут различны, в зависимости от видов деятельности, внутренних процессов ее организации, наличия передачи третьим лицам, использования ИСПДн, различных информационных ресурсов и технических решений.  Даже похожие по своему виду деятельности компании могут выделять разные Цели, в зависимости от внутренних процессов сбора данных. В законе нет требования, какие Цели обязательно должны быть в той или иной компании.
  2. Каждый оператор по своему усмотрению разделяет цели обработки и определяет основания, по которым данные цели выбирает (кто-то за основу берет виды деятельности, кто-то определяет цели, опираясь на исполнение конкретного закона, кто-то дробит цели по всем процессам обработки, которые есть в компании, кто-то определяет цели по ИСПДн, кто-то ориентируется на правовые основания и т. д.). 
  3.  Внутри компании не должно быть дублирования целей обработки персональных данных. Каждая цель определяется и описывается один раз. Это связано с тем, что процессы обработки ПДн разные, а следовательно, и цели будут различны. В противном случае, вы просто сами запутаетесь в своих локальных документах и в принципе во всей системе обработки ПДн в вашей компании.
  4. Не забывайте, что одна укрупненная (но при этом конкретная) цель может включать несколько однородных «подцелей» и не обязательно увлекаться их излишним «дроблением».

Некоторые компании используют такие понятия как «макроцель» и «микроцель».

МикроцелиМакроцель
Обеспечение сохранности имущества и защита личности от преступных посягательствОбеспечение безопасности деятельности
Управление ситуационной осведомленностью (включая взаимодействие в рамках непредвиденных ситуаций, ЧС, аварийных ситуаций и тд.)
Обеспечение пропускного режима

В таком случае, именно «макроцель» берут за основу определения главных целей обработки ПДн в компании, в том числе, при установлении целей обработки внутри ИСПДн, а также в локальных актах и при подаче уведомления в Роскомнадзор.

Дробить цели удобно компаниям, которые, например, занимаются конкретным видом деятельности и оказывают услуги контрагентам, предположим по подготовке отчетов, – тогда для них будет актуально разбивать цели.

Или, например, когда разные сотрудники работают по разным «мелким» целям и компания хочет в документах четко разграничить доступ к ПДн под каждого сотрудника.

Еще пример: предприятие маленькое и работает с небольшими объемами данных о сотрудниках и контрагентов/клиентов. Как показывает опыт, в данном случае целесообразнее пойти по пути укрупнения целей. Можно, например, отталкиваться от субъектов ПДн, что позволит разделить цели обработки ПДн сотрудников и контрагентов/клиентов, но при этом не будет их лишнего дробления. В частности, это могут быть две цели: одна будет связана с обработкой ПДн сотрудников и их родственников (например, трудоустройство и исполнение законодательства РФ, действующего по отношению к организации как работодателю), а вторая будет отражать ведение основной деятельности и работу с контрагентами (например, заключение, сопровождение и исполнение заключенных договоров (можно уточнить сферу, в которой заключаются договоры, если это возможно).

С одной стороны – большое количество целей, вероятнее всего, увеличит объемы локальных документов, усложнит их содержание и работу по их дальнейшей актуализации. С другой стороны – конкретизация целей позволит наиболее глубоко и четко определить процессы обработки, учесть все нюансы, разграничить их и контролировать более детально.

Здесь важно найти баланс между требованиями законодательства, интересами и желаниями оператора относительно организации внутренних процессов обработки данных и разработки локальных актов, плюсами и минусами конкретизации и обобщения целей.

Разберем пример формирования целей в обработке данных Сотрудников.

Если говорить про обработку ПДн сотрудников, то можно выделить различные кадровые процессы, в которых задействованы данные: трудоустройство, формирование и ведение личных дел, направление отчетности в государственные органы, начисление заработной платы и иные расчеты с сотрудниками, выпуск электронных подписей, содействие в получении образования и продвижения по службе, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и многое другое.

Можно ли сгруппировать данные процессы в одну или несколько укрупненных целей (например, «Управление персоналом», «Вознаграждение, поощрение, мотивация и поддержка персонала», «Исполнение требований законодательства РФ, действующих в отношениях: работник и работодатель»)? Попробуем разобраться в данном вопросе.

Конечно, каждый кадровый процесс может рассматриваться в качестве самостоятельной цели обработки ПДн сотрудников. Но обратим внимание на связь между категориями субъектов ПДн и на наличие близких и примерно одинаковых объемов данных для указанных целей.

Если цели связаны с обработкой примерно одних и тех же категорий персональных данных и имеют близких по смыслу субъектов, возможно их объединение по типу моделей «цель – подцели», «макроцель – микроцели».

МикроцелиМакроцель
Оформление и прием на работуУправление персоналом
Кадровый, бухгалтерский, воинский учет
Принятие управленческих и кадровых решений, содействие в обучении и продвижении по службе
Контроль выполнения трудовой функции
Рассмотрение и разрешение трудовых споров и тд.

Каждый из описанных вариантов определения основных, базовых целей допустим. Каким путем пойти – зависит от оператора и выбранного им подхода к определению целей.

Почему так много внимания уделяется целям?

От правильно сформулированных целей зависит правильное составление многих документов:

  1. Необходимость учета целей обработки заложена в принципы обработки данных (ст. 5 152-ФЗ), исходя из которых:
    • обработка ограничивается конкретными, заранее определенными и законными целями;
    • обработка должна быть совместима с целями сбора данных;
    • содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, не допускается обработка излишних данных по отношению к целям;
    • должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки;
    • хранение данных должно осуществляться не дольше, чем этого требуют цели обработки.
  2. При разработке локальных актов операторы должны исходить из целей обработки. Положения п. 2 ч. 1 ст. 18.1 152-ФЗ обязывают операторов разрабатывать локальные акты таким образом, чтобы для каждой цели обработки ПДн были определены категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований. Пользователи сервиса 152DOC отмечают, что именно в таком порядке формируются документы и указываются цели.
  3. При подаче в Роскомнадзор уведомления об обработке ПДн, оператор для каждой цели обработки персональных данных указывает категории данных, категории субъектов, ПДн которых обрабатываются, правовое основание обработки, перечень действий с данными и способы их обработки (ч. 3.1 ст. 22 152-ФЗ).
  4. При получении согласия на обработку персональных данных. Для письменной формы согласия, а также согласия на обработку ПДн, разрешенных субъектом для распространения, законодательно закреплено внесение в них информации о целях обработки (ч. 4 ст. 9 152-ФЗ, приказ РКН от 24.02.2021№ 18). Для согласия в свободной форме указание целей обусловлено требованиями о конкретности, однозначности и информированности любого согласия и принципами обработки (ст. 9 152-ФЗ).
  5. В случае трансграничной передачи операторы обязаны уведомить Роскомнадзор, в том числе о цели трансграничной передачи и дальнейшей обработки переданных персональных данных (п. 3 ч. 4 ст. 12 152-ФЗ) и т. д.

Важно найти баланс, чтобы цели не были излишне абстрактными, отражали фактические обстоятельства обработки персональных данных, не противоречили закону, но и излишним «дроблением» тоже увлекаться не стоит.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять