Как разделять цели обработки персональных данных в компании?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Цели обработки персональных данных — это ключевая часть работы любой организации с ПДн. По ФЗ-152 оператор обязан определять их заранее, конкретно и законно. Разделение целей необходимо, чтобы:
- исключить «избыточную обработку» данных;
- правильно определить, когда согласие требуется, а когда можно обойтись законным основанием (например, договором или законом);
- корректно оформить политику ПДн и уведомление в Роскомнадзор.

Основные возможные категории целей обработки ПДн:

1. Ведение кадрового и бухгалтерского учета
2. Обеспечение соблюдения трудового законодательства РФ
3. Обеспечение соблюдения налогового законодательства РФ
4. Подготовка, заключение и исполнение гражданско-правового договора
5. Продвижение товаров, работ, услуг на рынке
6. Обеспечение пропускного режима на территорию оператора
7. Подбор персонала (соискателей) на вакантные должности
8. Иная

Обоснование по законодательству

• Ст. 5, ч. 2 ФЗ-152 — обработка должна ограничиваться достижением конкретных, заранее определённых и законных целей.
• Ст. 6 ФЗ-152 — перечисляет случаи, когда согласие не требуется.
• Ст. 9 ФЗ-152 — регулирует порядок получения согласия для иных целей.
• Ст. 22 ФЗ-152 — при уведомлении Роскомнадзора оператор обязан указать все цели обработки.

Практика проверок Роскомнадзора

Компания в политике ПДн указала общую формулировку «для оказания услуг и иных целей». Проверка признала её нарушающей ст. 5 ФЗ-152: цели должны быть конкретными.

В другой организации цели были разделены: «ведение кадрового учёта», «ведение бухгалтерии», «маркетинговые рассылки по согласию». Роскомнадзор отметил корректность формулировок.

Важный нюанс

Нельзя объединять несовместимые цели (например, «бухгалтерский учёт» и «маркетинговые рассылки»). Это риск получить предписание. С 01.09.2025 согласие  должно оформляться отдельным документом, а не в составе договора.

Рекомендации и выводы

Чтобы правильно разделить цели обработки ПДн, компании нужно:

1. Составить перечень всех бизнес-процессов, где обрабатываются ПДн.
2. Определить правовое основание (закон/договор/согласие).
3. Для маркетинга, фото, отзывов, видеонаблюдения и кадрового резерва — готовить отдельные согласия.
4. Отразить цели в политике ПДн, уведомлении в Роскомнадзор и в комплекте документов по 152-ФЗ.

Компания ICTech поможет вашей организации описать и структурировать цели обработки ПДн, подготовить корректные согласия и внести всё в пакет документов по ФЗ-152. Это обеспечит соответствие закону и упростит прохождение проверок Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге