Может ли субъект ограничить цели обработки своих данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, субъект персональных данных вправе ограничивать цели, для которых его данные могут использоваться. Это одно из базовых прав, закреплённых в ФЗ-152. Когда субъект даёт согласие на обработку, он может указать конкретные цели, срок, способы обработки и условия передачи данных. Оператор обязан строго следовать этим ограничениям: использование данных для иных задач будет считаться нарушением.

Например, человек может дать согласие на обработку ПДн для участия в бонусной программе, но не согласиться на использование этих же данных для рекламных рассылок. В таком случае оператор может обрабатывать ПДн только в пределах согласия.

Обоснование по законодательству

• Ст. 5, ч. 2 ФЗ-152 — обработка должна быть ограничена достижением конкретных, заранее определённых и законных целей.
• Ст. 9, ч. 4 ФЗ-152 — согласие должно содержать цели обработки, а также право субъекта установить ограничения.
• Ст. 14, ч. 1 ФЗ-152 — субъект имеет право требовать уточнения, блокирования или уничтожения ПДн, если оператор нарушает заявленные цели.
• Ст. 13.11 КоАП РФ — нарушение требований обработки и передачи ПДн влечёт штраф.

Позиция и практика Роскомнадзора

Роскомнадзор разъясняет, что согласие на обработку ПДн — это не «бланкетное разрешение», а документ, который должен отражать конкретные цели. Проверки показывают: если оператор обрабатывает данные шире, чем прописано в согласии или политике ПДн, это квалифицируется как нарушение.

Так, в одном случае клиент дал согласие на обработку данных для доставки товара, но компания использовала контакт для рекламных SMS. Роскомнадзор признал это выходом за пределы целей, установленных субъектом. В другом кейсе оператор разработал раздельные согласия: одно — для договора, другое — для маркетинга. Такой подход был признан корректным.

Важный аспект для компаний

Ограничение целей субъектом фактически «связывает руки» оператору. Поэтому организациям важно:

• получать отдельные согласия для разных целей (например, договор и реклама);
• избегать расплывчатых формулировок («иные цели»);
• хранить доказательства согласий, чтобы при проверке подтвердить законность обработки.

Рекомендации и выводы

Да, субъект может ограничить цели обработки своих данных. Для компании это означает необходимость:

1. Чётко разделять согласия по целям (кадровый учёт, договор, маркетинг, фото и т. д.).
2. Указывать конкретные цели в формах согласий и политике ПДн.
3. Соблюдать выбранные субъектом ограничения и фиксировать их.
4. Включить порядок работы с согласиями и ограничениями в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации правильно выстроить процесс получения и хранения согласий, разделить их по целям и подготовить пакет документов по ФЗ-152. Это позволит работать с ПДн законно и избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге