Если разные цели обработки персональных данных требуют разных правовых оснований, процедур, категорий данных или мер защиты, это должно быть отражено в документах. В противном случае объединение целей в одном документе допускается. Нарушением считается не отсутствие «отдельных документов», а отсутствие чёткого разграничения целей и правил обработки персональных данных.
Что понимается под целями обработки персональных данных
Цель обработки персональных данных — это конкретный, заранее определённый и законный результат, для достижения которого оператор собирает и использует персональные данные. В 152-ФЗ цель является одним из ключевых элементов правомерной обработки.
Цель обработки определяет:
-
какие категории персональных данных обрабатываются;
-
какие субъекты персональных данных затрагиваются;
-
на каком правовом основании осуществляется обработка;
-
какие процедуры и меры защиты применяются;
-
в течение какого срока данные подлежат хранению.
Размытые или объединённые формулировки целей («ведение деятельности», «обеспечение работы компании») при проверках расцениваются как отсутствие конкретизации.
Именно поэтому корректное определение и документальное отражение целей обработки является базой для всей системы документов по персональным данным.
Требует ли 152-ФЗ отдельных документов под каждую цель
Федеральный закон № 152-ФЗ не устанавливает прямого требования разрабатывать отдельный комплект документов для каждой цели обработки персональных данных. В законодательстве отсутствует норма, обязывающая оформлять «отдельные положения» или «отдельные приказы» под каждую цель.
При этом 152-ФЗ требует:
-
чтобы цели обработки были определены и законны;
-
чтобы цели не были избыточно объединены;
-
чтобы правила обработки соответствовали каждой цели.
Это означает, что допустимы разные варианты документального оформления:
-
единый документ с чётким разделением целей;
-
единая ОРД с приложениями под отдельные цели;
-
отдельные документы для принципиально разных целей обработки.
Нарушением является не отсутствие отдельных документов, а ситуация, когда в одном документе смешаны несовместимые цели, не разграничены правовые основания или процедуры обработки персональных данных.
Как цели обработки должны быть отражены в документах
Цели обработки персональных данных должны быть чётко зафиксированы во всех ключевых документах, формирующих систему ОРД. Роскомнадзор при проверках сопоставляет эти документы между собой и с фактическими процессами обработки.
Как правило, цели обработки отражаются:
-
в политике в отношении обработки персональных данных;
-
в локальных положениях и регламентах;
-
в уведомлении оператора персональных данных;
-
в формах согласий (если согласие является правовым основанием);
-
в документах по ИСПДн.
Важно, чтобы:
-
формулировки целей были одинаковыми по смыслу во всех документах;
-
цели были связаны с конкретными категориями персональных данных и субъектов;
-
под каждую цель были определены применимые процедуры и меры защиты.
Расхождения в формулировках целей между документами являются типовым основанием для выводов о формальном характере ОРД и нарушении требований 152-ФЗ.
Когда отдельные документы действительно необходимы
Отдельные документы по персональным данным требуются не формально «под цель», а тогда, когда цели обработки существенно различаются по своему правовому и организационному содержанию. Именно на это обращает внимание Роскомнадзор при проверках.
Отдельное документальное оформление необходимо, если:
-
обрабатываются разные категории субъектов (работники, клиенты, пользователи сайта, кандидаты);
-
применяются разные правовые основания обработки (ТК РФ, договор, согласие);
-
обрабатываются специальные или биометрические персональные данные;
-
используются разные информационные системы с различными мерами защиты;
-
различаются сроки хранения и порядок уничтожения данных;
-
цели обработки не связаны между собой по смыслу и процессам.
В таких случаях объединение целей в одном документе без разделения процедур и правил квалифицируется Роскомнадзором как нарушение принципа определённости целей и организации обработки персональных данных.
Когда допустимы единые документы
Единые документы по персональным данным допустимы в тех случаях, когда цели обработки однородны и предполагают одинаковые правила работы с данными. Закон не запрещает использовать один документ для нескольких целей, если они не противоречат друг другу и реализуются в рамках схожих процессов.
Как правило, единые документы допустимы, если:
-
цели обработки связаны между собой и логически дополняют друг друга;
-
используются одинаковые правовые основания обработки;
-
обрабатываются схожие категории персональных данных;
-
применяются одни и те же меры защиты;
-
задействованы одни и те же подразделения и сотрудники.
Важно, чтобы даже в едином документе цели были чётко разграничены внутри структуры — по разделам, таблицам или приложениям.
Отсутствие внутреннего разграничения рассматривается Роскомнадзором как смешение целей и нарушение принципов 152-ФЗ.
Типичные ошибки операторов
При проверках Роскомнадзора чаще всего выявляются ошибки, связанные не с количеством документов, а с некорректным отражением целей обработки.
Наиболее распространённые ошибки:
-
объединение в одном документе несовместимых целей (например, кадровых и маркетинговых);
-
отсутствие разграничения правовых оснований под разные цели;
-
использование общих формулировок без привязки к конкретным процессам;
-
противоречия между политикой ПДн, ОРД и уведомлением;
-
несоответствие документов фактической обработке персональных данных;
-
формальное разделение целей без изменения процедур и мер защиты.
Такие ошибки квалифицируются Роскомнадзором как нарушение принципа определённости целей и ненадлежащая организация обработки персональных данных.
Цели обработки должны быть чётко сформулированы, одинаково прописаны во внутренних документах (ОРД), политике на сайте и, самое главное, в уведомлении для Роскомнадзора. Любое несоответствие между ними — прямое нарушение закона.
Как Роскомнадзор оценивает цели обработки
При проверках Роскомнадзор анализирует цели обработки в комплексе, сопоставляя:
-
локальные документы по ПДн;
-
политику конфиденциальности;
-
уведомление оператора персональных данных;
-
фактические процессы обработки;
-
используемые ИСПДн и доступ сотрудников.
Проверяющие оценивают:
-
логичность и конкретность целей;
-
соответствие целей категориям персональных данных;
-
корректность правовых оснований;
-
наличие разграничения процедур под разные цели.
Типовая формулировка в актах проверок — «цели обработки персональных данных определены формально и не соответствуют фактической деятельности оператора».
Как правильно структурировать документы под разные цели
Корректный подход заключается не в механическом создании множества документов, а в грамотной структуре ОРД, учитывающей цели обработки.
Практически это означает:
-
фиксацию всех целей обработки в одном реестре или разделе ОРД;
-
разделение целей внутри документов по разделам или приложениям;
-
привязку каждой цели к категориям данных, субъектам и правовым основаниям;
-
установление отдельных процедур и мер защиты при необходимости;
-
актуализацию документов при появлении новых целей обработки.
Для этого необходима разработка организационно-распорядительной документации, где структура документов изначально строится вокруг конкретных и чётко разделённых целей обработки, а не подгоняется под них постфактум. Это позволяет создать логичную и прозрачную систему, которая не вызывает вопросов у проверяющих.
На практике
На практике Роскомнадзор не требует «отдельный документ на каждую цель», но жёстко реагирует на смешение целей без разграничения правил обработки. Именно это чаще всего становится основанием для предписаний.
Вывод прост: разные цели — разные правила, но эти правила могут быть оформлены как в отдельных документах, так и в рамках единой ОРД, если структура выстроена корректно и соответствует фактической деятельности оператора.
