Ответ: Закон не делает разницы между порядком сбора и обработки ПД работника, в т.ч. уволенного, родственников работника, контрагента и/или его представителя, клиента, соискателя или студента. Закон делает разницу в целях обработки. Исходя из того, что цели сбора и обработки ПД, например, для работников и клиентов совершенно различны – законодатель устанавливает правила целевого сбора и обработки таких ПД. Т.е. для работы с ПД субъекта должна быть четкая цель. Такая цель должна быть указана и в Уведомлении в адрес Роскомнадзора. Такая цель не должна противоречить Вашему Положению/Политике о ПД.
Обоснование: Обработкой персональных данных считаются любые действия или операции, которые вы проводите с ними, в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление.
Вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, принимать меры по защите персональных данных.
Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона о персональных данных). То есть все ваши действия с персональными данными должны быть связаны с той целью, с которой вы их получили. За обработку персональных данных, не совместимую с целями их сбора, вас могут привлечь к ответственности. Цель должна быть:
- Законной
- Заранее определенной. Еще до начала обработки вы должны определиться с целью, которую вы преследуете, и довести ее до гражданина, чьи данные получаете. Для этого укажите цель в согласии на обработку персональных данных. Рекомендуется также закрепить ее в локальном акте, посвященном обработке данных (см. Рекомендации Роскомнадзора).
- Конкретной. Чтобы у контролирующих органов не возникало вопросов, рекомендуется не использовать абстрактные формулировки, а указать цель максимально конкретно.
Закон не делает разницы между порядком сбора и обработки ПД работника, в т.ч. уволенного, родственников работника, контрагента и/или его представителя, клиента, соискателя или студента.
Закон делает разницу в целях обработки и, исходя из того, что цели сбора и обработки ПД, например, для работников и клиентов совершенно различны – законодатель устанавливает правила сбора и обработки таких ПД. Так, не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (ч. 3 ст. 5 Закона о персональных данных).
Что касается информации о цели в уведомлении и совпадении ее с Политикой (Положением), можно отметить следующее. Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).
Уведомление составляется по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем указывается, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных) и цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных.
Ваша Политика ПД должна предусматривать категории субъектов ПД, порядок их обработки, а также, четкую цель. Так, В Положении устанавливаются:
- Цель, порядок и условия обработки персональных данных.
- Категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.
- Положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.
Таким образом, приняв Политику (Положение) о ПД, Вы обязаны ей следовать, но она не должна противоречить законодательству и не может изменять императивные нормы. Цель обработки, указанная в уведомлении в адрес Роскомнадзора не должна противоречить Вашему Положению/Политике о ПД.
Документы по данному вопросу из системы КонсультантПлюс: