Кадры / HR
Читать далее »
Любая организация, которая получает и использует персональные данные — от ФИО до сведений о здоровье или биометрии — обязана чётко обозначить, зачем она это делает. Причём цели должны быть не просто формально указаны, а действительно правомерны с точки зрения закона. Это называется соблюдением принципа целевого ограничения. Если организация не может ясно обосновать, какую цель обработки персональных данных она преследует, такая обработка автоматически становится незаконной.
Главная идея — защита частной жизни и прав граждан. Закон требует, чтобы данные собирались только тогда, когда без этого нельзя обойтись. Например, для оформления трудового договора, начисления заработной платы или предоставления доступа к корпоративной системе. Если компания указывает «обработка персональных данных в целях маркетинга» — этого уже недостаточно. Нужно чётко расшифровать: какие именно действия она планирует предпринимать, какие данные задействуются, можно ли без них обойтись. Такой подход помогает избежать юридических рисков и штрафов, особенно при проверках со стороны Роскомнадзора.
Ответ зависит от специфики деятельности организации. Законные цели обработки персональных данных могут включать:
Для каждой категории субъектов целей может быть несколько. Например, в образовательном учреждении — это учёт посещаемости, оформление дипломов и обеспечение доступа к онлайн-платформам. В логистической компании — учёт водителей, организация маршрутов, контроль рабочего времени.
Перечень целей необходимо составлять индивидуально, исходя из конкретных процессов внутри компании. Универсального шаблона не существует, но можно ориентироваться на следующие типовые формулировки:
Важно: нельзя использовать данные, если цель их получения не была заранее определена и зафиксирована. Изменение цели после начала обработки — допустимо только с согласия субъекта данных и при соблюдении всех процедур.
Одна из ключевых задач любой организации — не просто определить цель, а строго следовать ей. Нарушение этого принципа — частая причина претензий со стороны надзорных органов. Например, если данные сотрудников используются для внутренних исследований, но не были уведомлены об этом при сборе, это уже нарушение. Поэтому важно:
Также стоит проводить внутренний аудит: насколько реально цели, прописанные в документах, соответствуют практике. Иногда компания расширяет сферу использования данных без фиксации в документации — и тогда нарушает закон.
Под субъектами персональных данных понимаются те, чьи сведения обрабатываются. Это могут быть сотрудники, клиенты, подрядчики, соискатели. Для каждого из них может быть своя цель. И её важно указывать в уведомлении, договоре или ином документе, подтверждающем легальность обработки.
Например, цель обработки персональных данных сотрудника — оформление трудовых отношений, а у клиента — регистрация заказа. Объединять эти цели в один блок неправильно. Каждая категория субъектов требует отдельного подхода, отдельного перечня целей и, чаще всего, отдельного согласия.
Несоблюдение целей может обернуться для компании не только штрафами, но и утратой доверия со стороны клиентов и сотрудников. Законные цели обработки персональных данных — это не просто формальность. Это основа всей работы с личной информацией, и пренебрегать этим недопустимо.
| Категория субъекта | Цель обработки данных | Документальное оформление |
|---|---|---|
| Сотрудники | Заключение трудового договора, начисление зарплаты | Трудовой договор, согласие, уведомление |
| Соискатели | Оценка квалификации, организация собеседования | Анкета, согласие |
| Клиенты | Оформление заказа, доставка, гарантийное обслуживание | Договор, политика конфиденциальности |
| Подрядчики | Исполнение договора, расчёты | ГПХ-договор, согласие |
| Посетители офиса | Пропускной режим, видеонаблюдение | Журнал учёта, уведомление |
