Что необходимо знать о целях сбора персональных данных

Цель обработки ПДн – это результат действий с данными. Она определяет, для чего и зачем мы обрабатываем персональные данные. Задайте себе вопрос: для чего я собираю данные с сотрудника? Например, для заключения и исполнения трудовых договоров – это и может быть вашей целью.

Однако неправильным будет смешивать различные цели обработки данных различных субъектов. Например, нельзя использовать единую цель — для заключения и исполнения трудовых договоров, договоров с клиентами/контрагентами. Такая цель неоднозначна и неконкретна.

Исходя из смысла 152-ФЗ и заложенных в нём принципов, цели обработки данных должны быть конкретными. Они должны быть чётко и полноценно обозначены, прописаны во внутренних документах (положениях, политике, правилах работы и т.д.), а также фактически выполняться оператором.

Операторы самостоятельно определяют подходы к выбору целей обработки данных. Важно подойти к этому вопросу так, чтобы облегчить себе дальнейшую работу по организации обработки персональных данных, включая исполнение требований, установленных ч. 1 ст. 6, ст. 18.1 и 19 152-ФЗ, ПП РФ № 1119 и иных положений закона. В противном случае это может привести к нарушению требований законодательства и даже повлечь административную ответственность, например, по ч. 1 ст. 13.11 КоАП РФ, если выяснится, что осуществляется обработка персональных данных, несовместимая с целями сбора персональных данных, определённых в ваших внутренних документах. Например: вы прописали в вашей политике и уведомлении, что собираете персональные данные для заключения договоров, а в реальности собираете данные для трудоустройства.

Цели обработки персональных данных обширны и многообразны. Для примера обратимся к электронной форме уведомления об обработке, реализованной на Портале ПДн или в сервисе 152DOC.

Для операторов важно не только полноценно и чётко определить все цели обработки, но ещё и правильно с ними работать (систематизировать, конкретизировать или обобщать).

Придерживайтесь следующих принципов при описании целей:

• Для каждого оператора перечень и содержание целей обработки ПДн будут различны, в зависимости от видов деятельности, внутренних процессов её организации, наличия передачи третьим лицам, использования ИСПДн, различных информационных ресурсов и технических решений. Даже похожие по своему виду деятельности компании могут выделять разные Цели, в зависимости от внутренних процессов сбора данных. В законе нет требования, какие Цели обязательно должны быть в той или иной компании.
• Каждый оператор по своему усмотрению разделяет цели обработки и определяет основания, по которым данные цели выбирает (кто-то за основу берёт виды деятельности, кто-то определяет цели, опираясь на исполнение конкретного закона, кто-то дробит цели по всем процессам обработки, которые есть в компании, кто-то определяет цели по ИСПДн, кто-то ориентируется на правовые основания и т.д.).
• Внутри компании не должно быть дублирования целей обработки персональных данных. Каждая цель определяется и описывается один раз. Это связано с тем, что процессы обработки ПДн разные, а следовательно, и цели будут различны. В противном случае вы просто сами запутаетесь в своих локальных документах и в принципе во всей системе обработки ПДн в вашей компании.
• Не забывайте, что одна укрупнённая (но при этом конкретная) цель может включать несколько однородных «подцелей» и не обязательно увлекаться их излишним «дроблением».

Некоторые компании используют такие понятия как «макроцель» и «микроцель».

В таком случае именно «макроцель» берут за основу определения главных целей обработки ПДн в компании, в том числе при установлении целей обработки внутри ИСПДн, а также в локальных актах и при подаче уведомления в Роскомнадзор.

Дробить цели удобно компаниям, которые, например, занимаются конкретным видом деятельности и оказывают услуги контрагентам, предположим, по подготовке отчётов, — тогда для них будет актуально разбивать цели. Или, например, когда разные сотрудники работают по разным «мелким» целям, и компания хочет в документах чётко разграничить доступ к ПДн под каждого сотрудника.

Ещё пример: предприятие маленькое и работает с небольшими объёмами данных о сотрудниках и контрагентов/клиентов. Как показывает опыт, в данном случае целесообразнее пойти по пути укрупнения целей. Можно, например, отталкиваться от субъектов ПДн, что позволит разделить цели обработки ПДн сотрудников и контрагентов/клиентов, но при этом не будет их лишнего дробления. В частности, это могут быть две цели: одна будет связана с обработкой ПДн сотрудников и их родственников (например, трудоустройство и исполнение законодательства РФ, действующего по отношению к организации как работодателю), а вторая будет отражать ведение основной деятельности и работу с контрагентами (например, заключение, сопровождение и исполнение заключённых договоров (можно уточнить сферу, в которой заключаются договоры, если это возможно)).

С одной стороны — большое количество целей, вероятнее всего, увеличит объёмы локальных документов, усложнит их содержание и работу по их дальнейшей актуализации. С другой стороны — конкретизация целей позволит наиболее глубоко и чётко определить процессы обработки, учесть все нюансы, разграничить их и контролировать более детально.

Здесь важно найти баланс между требованиями законодательства, интересами и желаниями оператора относительно организации внутренних процессов обработки данных и разработки локальных актов, плюсами и минусами конкретизации и обобщения целей.

Пример формирования целей в обработке данных Сотрудников

Если говорить про обработку ПДн сотрудников, то можно выделить различные кадровые процессы, в которых задействованы данные: трудоустройство, формирование и ведение личных дел, направление отчётности в государственные органы, начисление заработной платы и иные расчёты с сотрудниками, выпуск электронных подписей, содействие в получении образования и продвижения по службе, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и многое другое.

Можно ли сгруппировать данные процессы в одну или несколько укрупнённых целей (например, «Управление персоналом», «Вознаграждение, поощрение, мотивация и поддержка персонала», «Исполнение требований законодательства РФ, действующих в отношениях: работник и работодатель»)? Попробуем разобраться в данном вопросе.

Конечно, каждый кадровый процесс может рассматриваться в качестве самостоятельной цели обработки ПДн сотрудников. Но обратим внимание на связь между категориями субъектов ПДн и на наличие близких и примерно одинаковых объёмов данных для указанных целей.

Если цели связаны с обработкой примерно одних и тех же категорий персональных данных и имеют близких по смыслу субъектов, возможно их объединение по типу моделей «цель — подцели», «макроцель — микроцели».

Каждый из описанных вариантов определения основных, базовых целей допустим. Каким путём пойти — зависит от оператора и выбранного им подхода к определению целей.

Почему так много внимания уделяется целям? От правильно сформулированных целей зависит правильное составление многих документов. От правильно сформулированных целей зависит правильное составление многих документов:

1. Необходимость учёта целей обработки заложена в принципы обработки данных (ст. 5 152-ФЗ), исходя из которых:
   • обработка ограничивается конкретными, заранее определёнными и законными целями;
   • обработка должна быть совместима с целями сбора данных;
   • содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки, не допускается обработка излишних данных по отношению к целям;
   • должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки;
   • хранение данных должно осуществляться не дольше, чем этого требуют цели обработки.
2. При разработке локальных актов операторы должны исходить из целей обработки. Положения п. 2 ч. 1 ст. 18.1 152-ФЗ обязывают операторов разрабатывать локальные акты таким образом, чтобы для каждой цели обработки ПДн были определены категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований. Пользователи сервиса 152DOC отмечают, что именно в таком порядке формируются документы и указываются цели.
3. При подаче в Роскомнадзор уведомления об обработке ПДн оператор для каждой цели обработки персональных данных указывает категории данных, категории субъектов, ПДн которых обрабатываются, правовое основание обработки, перечень действий с данными и способы их обработки (ч. 3.1 ст. 22 152-ФЗ).
4. При получении согласия на обработку персональных данных. Для письменной формы согласия, а также согласия на обработку ПДн, разрешённых субъектом для распространения, законодательно закреплено внесение в них информации о целях обработки (ч. 4 ст. 9 152-ФЗ, приказ РКН от 24.02.2021№ 18). Для согласия в свободной форме указание целей обусловлено требованиями о конкретности, однозначности и информированности любого согласия и принципами обработки (ст. 9 152-ФЗ).
5. В случае трансграничной передачи операторы обязаны уведомить Роскомнадзор, в том числе о цели трансграничной передачи и дальнейшей обработки переданных персональных данных (п. 3 ч. 4 ст. 12 152-ФЗ) и т. д.

Важно найти баланс, чтобы цели не были излишне абстрактными, отражали фактические обстоятельства обработки персональных данных, не противоречили закону, но и излишним «дроблением» тоже увлекаться не стоит.