Алексей Ветров
Эксперт по защите данных IC-TECH
Да, документ о целях обработки персональных данных обязателен. Согласно ФЗ-152, оператор должен не только определить, но и зафиксировать цели обработки в письменной форме. Это нужно для того, чтобы сотрудники компании, субъекты ПДн и контролирующие органы (Роскомнадзор) могли однозначно понять, зачем собираются и используются данные.
Какие документы могут содержать цели обработки ПДн:
- Политика обработки ПДн — публичный документ, где для всех категорий субъектов (сотрудники, клиенты, партнёры) указываются цели обработки.
- Положение о ПДн — внутренний акт, где более подробно раскрываются цели обработки в зависимости от процессов (кадровый учёт, бухгалтерия, маркетинг, договорные отношения).
- Перечень обрабатываемых ПДн — фиксирует, какие именно данные собираются и с какой целью.
- Договоры — в них отражаются цели, связанные с исполнением обязательств.
- Согласия субъектов ПДн — в каждом согласии должны быть указаны конкретные цели обработки.
Какие документы могут содержать цели обработки ПДн:
- Политика обработки ПДн — публичный документ, где для всех категорий субъектов (сотрудники, клиенты, партнёры) указываются цели обработки.
- Положение о ПДн — внутренний акт, где более подробно раскрываются цели обработки в зависимости от процессов (кадровый учёт, бухгалтерия, маркетинг, договорные отношения).
- Перечень обрабатываемых ПДн — фиксирует, какие именно данные собираются и с какой целью.
- Договоры — в них отражаются цели, связанные с исполнением обязательств.
- Согласия субъектов ПДн — в каждом согласии должны быть указаны конкретные цели обработки.
Обоснование по законодательству
- Ст. 5 ФЗ-152, ч. 2 — обработка должна ограничиваться достижением конкретных, заранее определённых и законных целей.
- Ст. 6 ФЗ-152, ч. 1 — допускает обработку без согласия только в случаях, прямо связанных с достижением определённых целей (исполнение договора, выполнение обязанностей по закону и др.).
- Ст. 18.1 ФЗ-152 — обязывает оператора утвердить локальные акты, где должны быть указаны цели обработки.
Позиция Роскомнадзора
На проверках Роскомнадзор требует документального подтверждения целей обработки. Если в политике или положении цели сформулированы слишком общо («для деятельности компании»), это расценивается как нарушение. В успешных кейсах компании указывали конкретные формулировки: «ведение кадрового учёта», «расчёт заработной платы», «исполнение договора на оказание услуг» и т. д.
Что важно учесть
- Цели должны быть конкретными и проверяемыми. Общие формулировки («для улучшения сервиса») могут вызвать претензии.
- У разных категорий субъектов цели обработки могут отличаться, это нужно отражать в документах.
- При изменении целей оператор обязан обновлять документы и, при необходимости, получать новые согласия.
Рекомендации и выводы
Да, документ, фиксирующий цели обработки, обязателен для любой компании. Чтобы соответствовать требованиям ФЗ-152 и пройти проверку:
- Укажите цели в политике и положении по ПДн.
- Составьте перечень данных с привязкой к целям.
- Прописывайте цели в согласиях субъектов.
- Обновляйте документы при изменении целей обработки.
Компания ICTech поможет вашей организации правильно оформить документы о целях обработки ПДн и встроить их в полный пакет по ФЗ-152. Это позволит избежать претензий Роскомнадзора и работать с данными в рамках закона.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
