Нужно ли информировать субъектов о целях обработки ПДн при сборе данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, нужно. Это одно из ключевых требований ФЗ-152. Сбор персональных данных без информирования субъекта о целях их обработки считается нарушением. Оператор обязан до начала обработки объяснить, для чего именно данные собираются и как будут использоваться.

Что нужно сообщить субъекту при сборе данных:

• цели обработки (например: заключение договора, кадровый учёт, рассылка информации, участие в мероприятии);
• правовые основания (согласие субъекта, закон, договор);
• перечень обрабатываемых данных (ФИО, контакты, паспортные данные и т. д.);
• способы обработки (сбор, хранение, передача, уничтожение и др.);
• срок хранения;
• кто является оператором (наименование компании, адрес, контакты);
• сведения о лицах, которым будут передаваться данные (например, подрядчики).

Обычно это делается в Политике обработки ПДн, которая размещается на сайте, а также в формах согласия, бланках и договорах.

Обоснование по законодательству

• Ст. 18 ФЗ-152, ч. 3 — оператор обязан предоставить субъекту информацию об обработке персональных данных до начала её осуществления.
• Ст. 14 ФЗ-152 — субъект имеет право знать цели обработки и круг лиц, имеющих доступ к его данным.
• Ст. 6 ФЗ-152 — согласие должно быть конкретным и информированным, без указания целей оно считается недействительным.

Практика проверок Роскомнадзора

• В интернет-магазине собирали e-mail клиентов для «уведомлений о заказах», а затем использовали их для рекламы. Проверка установила, что цели не были корректно определены при сборе, и назначила штраф.
• В образовательной организации у студентов брали копии паспортов, но не объясняли, зачем. Роскомнадзор признал это нарушением — субъекты не были информированы о целях обработки.

Важный нюанс

Цели должны быть конкретными и законными. Формулировка «для улучшения качества услуг» или «для обеспечения деятельности компании» считается слишком общей и может быть признана нарушением.

Если цели меняются, необходимо уведомить субъектов и при необходимости получить новое согласие.

Рекомендации и выводы

Оператор обязан информировать субъектов о целях обработки ПДн при сборе данных. Для этого:

1. Разместите на сайте Политику обработки ПДн в свободном доступе.
2. Прописывайте цели в формах согласия, договорах и анкетах.
3. Следите, чтобы формулировки были конкретными и не допускали двойного толкования.
4. При изменении целей — обновляйте согласие субъектов.
5. Включите порядок информирования в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать корректные формулировки целей обработки, подготовить политику ПДн и формы согласий, включив их в пакет документов по ФЗ-152. Это позволит избежать штрафов и повысить доверие клиентов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге