Ответ: Закон не делает разницы между порядком сбора и обработки ПД работника, в т.ч. уволенного, родственников работника, контрагента и/или его представителя, клиента, соискателя или студента. Закон делает разницу в целях обработки. Исходя из того, что цели сбора и обработки ПД, например,  для работников и клиентов совершенно различны – законодатель устанавливает правила целевого сбора и обработки таких ПД. Т.е. для работы с ПД субъекта должна быть четкая цель. Такая цель должна  быть указана и в Уведомлении в адрес Роскомнадзора. Такая цель не должна противоречить Вашему Положению/Политике о ПД.

Обоснование: Обработкой персональных данных считаются любые действия или операции, которые вы проводите с ними, в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление.

Вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, принимать меры по защите персональных данных.

Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона о персональных данных). То есть все ваши действия с персональными данными должны быть связаны с той целью, с которой вы их получили. За обработку персональных данных, не совместимую с целями их сбора, вас могут привлечь к ответственности. Цель должна быть:

  • Законной
  • Заранее определенной. Еще до начала обработки вы должны определиться с целью, которую вы преследуете, и довести ее до гражданина, чьи данные получаете. Для этого укажите цель в согласии на обработку персональных данных. Рекомендуется также закрепить ее в локальном акте, посвященном обработке данных (см. Рекомендации Роскомнадзора).
  • Конкретной. Чтобы у контролирующих органов не возникало вопросов, рекомендуется не использовать абстрактные формулировки, а указать цель максимально конкретно.

Закон не делает разницы между порядком сбора и обработки ПД работника, в т.ч. уволенного, родственников работника, контрагента и/или его представителя, клиента, соискателя или студента.

Закон делает разницу в целях обработки и, исходя из того, что цели сбора и обработки ПД, например,  для работников и клиентов совершенно различны – законодатель устанавливает правила сбора и обработки таких ПД. Так, не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (ч. 3 ст. 5 Закона о персональных данных).

Что касается информации о цели в уведомлении и совпадении ее с Политикой (Положением), можно отметить следующее.  Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).

Уведомление составляется по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем указывается, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных) и цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных.

Ваша Политика ПД должна предусматривать категории субъектов ПД, порядок их обработки, а также, четкую цель. Так, В Положении устанавливаются:

  • Цель, порядок и условия обработки персональных данных.
  • Категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.
  • Положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.

Таким образом, приняв Политику (Положение) о ПД, Вы обязаны ей следовать, но она не должна противоречить законодательству и не может изменять императивные нормы. Цель обработки, указанная в уведомлении в адрес Роскомнадзора не должна противоречить Вашему Положению/Политике о ПД.

Документы по данному вопросу из системы КонсультантПлюс:

Форма: Положение об обработке и защите персональных данных работников (иных лиц) (образец заполнения) (КонсультантПлюс, 2024) {КонсультантПлюс}

Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц (КонсультантПлюс, 2024) {КонсультантПлюс}

Демо-доступ

Не установлен
КонсультантПлюс?


Закажите демо-доступ

Доступ предоставляется бесплатно на 2 дня

Не нашли ответ?

Не нашли ответ?


Задайте вопрос эксперту