Как правильно формулировать цели обработки персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Правильная формулировка целей обработки — один из ключевых требований ФЗ-152. Закон прямо указывает, что обработка должна быть конкретной, заранее определённой и законной (ст. 5, ч. 2 ФЗ-152). Общие и размытые фразы («для улучшения сервиса», «для иных целей») считаются нарушением и влекут штрафы при проверке Роскомнадзора.

Основные правила формулировки целей:

1. Конкретность — цель должна быть понятной и однозначной.
   Нельзя: «Для обработки персональных данных пользователей».
   Можно: «Для заключения и исполнения договора оказания услуг».
2. Законность — цель должна соответствовать нормам права.
   Нельзя: «Для передачи третьим лицам по усмотрению компании».
   Можно: «Для исполнения обязательств по договору с курьерской службой».
3. Соответствие бизнес-процессам — цель должна реально отражать, зачем компания собирает данные.
   Нельзя: «Для всех видов деятельности организации».
   Можно: «Для ведения кадрового учёта сотрудников».
4. Разделение целей — разные задачи требуют отдельных формулировок.
   Например: «для ведения бухгалтерского учёта» и «для маркетинговых рассылок» должны быть прописаны отдельно.

Обоснование по законодательству

• Ст. 5, ч. 2 ФЗ-152 — обработка должна ограничиваться конкретными, заранее определёнными и законными целями.
• Ст. 6 ФЗ-152 — допускает обработку без согласия только для исполнения договора или по закону.
• Ст. 22 ФЗ-152 — при уведомлении Роскомнадзора цели должны быть указаны чётко.
• Письмо Роскомнадзора от 24.05.2013 № 08АП-1649 — недопустимы расплывчатые формулировки целей.

Примеры корректных формулировок

• «Заключение и исполнение договора оказания услуг связи».
• «Ведение кадрового учёта сотрудников в соответствии с ТК РФ».
• «Формирование и ведение базы подписчиков для рассылки новостей (по согласию)».
• «Организация пропускного режима и видеонаблюдения в офисе».

Практика проверок Роскомнадзора

• В компании указали цель: «для обработки персональных данных клиентов». Проверка признала цель неконкретной, назначен штраф.
• В другой организации цели были разделены: «кадровый учёт», «бухгалтерский учёт», «маркетинг по согласию». Роскомнадзор подтвердил правильность подхода.

Важный нюанс

Нельзя использовать универсальные фразы: «иные цели», «для улучшения качества обслуживания». С 01.09.2025 согласие должно оформляться отдельно для каждой конкретной цели, и формулировка в согласии должна совпадать с политикой и уведомлением в Роскомнадзор.

Рекомендации и выводы

Чтобы правильно формулировать цели обработки ПДн, компании нужно:

1. Проанализировать все процессы, где обрабатываются ПДн.
2. Для каждого процесса прописать отдельную цель.
3. Использовать ясные и юридически точные формулировки.
4. Указать цели в политике ПДн, согласиях и уведомлении Роскомнадзора.
5. Включить порядок определения целей в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации правильно описать цели обработки ПДн для всех бизнес-процессов, корректно их сформулировать и отразить в пакете документов по ФЗ-152. Это обеспечит законность обработки и защитит от штрафов при проверке.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге