Главная страница категории

Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.

Перейти на страницу

Цель обработки — это не строчка для галочки в уведомлении, а стержень, от которого зависит всё остальное: какие данные вы вправе собирать, в каком объёме, на каком основании и сколько хранить. Если цель сформулирована размыто или задним числом, рассыпается вся конструкция: появляются лишние данные, неясные сроки, риск претензий. Разберём, какие принципы обработки задаёт статья 5 закона 152-ФЗ, как корректно определить цель и почему именно она определяет объём и срок хранения данных.

Если коротко, главное удержать три мысли. Первая: цель определяется заранее и конкретно, а не подгоняется под уже собранные данные. Вторая: объём данных должен соответствовать цели — собирать «про запас» нельзя. Третья: срок хранения ограничен достижением цели, бессрочное хранение по умолчанию недопустимо.

Принципы обработки по статье 5

Статья 5 закона 152-ФЗ перечисляет принципы, которым подчинена любая обработка. Они звучат абстрактно, но на практике каждый из них превращается в конкретное требование к тому, как вы работаете с данными.

ПринципЧто это значит на практике
Законность и справедливостьу обработки есть правовое основание, она не вводит субъекта в заблуждение
Ограничение целямицели конкретны и определены заранее; обработка, несовместимая с целями сбора, запрещена
Соответствие объёма целисобираются только нужные для цели данные; избыточность недопустима
Точность и актуальностьданные достоверны и при необходимости обновляются; неточные уточняются или удаляются
Ограничение срокаданные хранятся не дольше, чем требует цель, затем уничтожаются или обезличиваются

Отдельный принцип запрещает объединять базы данных, созданные для несовместимых между собой целей. То есть нельзя слить клиентскую базу интернет-магазина и базу медицинского сервиса просто потому, что это удобно: цели обработки у них разные.

Как сформулировать цель

Главное требование к цели — конкретность. Формулировки вроде «для уставной деятельности» или «для любых законных целей» не годятся: они ничего не ограничивают, а значит, не выполняют свою функцию. Цель должна отвечать на вопрос, зачем именно вам эти данные. Например, не «обработка персональных данных клиентов», а «обработка данных для оформления и доставки заказа», «для информирования о статусе заявки», «для рассылки рекламных предложений».

Важно, что каждая цель должна соответствовать своему правовому основанию. Оформление заказа опирается на договор, рекламная рассылка — на отдельное согласие. Поэтому цели полезно разносить: одна цель — одно основание. Это заодно упрощает и согласие, и уведомление. Как корректно оформить согласие под конкретную цель, мы разбирали в материале о согласии на обработку персональных данных.

На практике именно размытая цель тянет за собой большинство нарушений. Компания пишет в политике «обработка для улучшения качества обслуживания» и под этим соусом собирает всё подряд: дату рождения, которая не нужна для заказа, паспорт, который требуется один раз, историю переписки. На проверке вопрос звучит просто: зачем вам эти данные для заявленной цели? И если внятного ответа нет, избыточность данных становится самостоятельным нарушением. Поэтому цель выгоднее формулировать узко: она же защищает вас от обвинения в сборе лишнего.

Объём данных следует за целью

Из принципа соответствия вытекает практическое правило: набор собираемых полей определяется целью, а не «пусть будет». Если цель — доставка заказа, нужны имя, телефон, адрес. Дата рождения, место работы или семейное положение к этой цели отношения не имеют, и их сбор уже избыточен. Каждое поле в форме стоит проверять вопросом: для какой заявленной цели оно необходимо. Лишние поля — это не только нарушение принципа, но и лишний риск при утечке.

Сроки хранения и прекращение обработки

Срок хранения тоже определяется целью. Закон запрещает хранить данные в форме, позволяющей определить субъекта, дольше, чем этого требует цель обработки, если только иной срок прямо не установлен законом или договором. Когда цель достигнута или необходимость в данных отпала, их нужно уничтожить или обезличить.

На практике это означает, что у каждой категории данных должен быть понятный срок. Данные для исполнения договора хранятся, пока действует договор и сроки, установленные законом (например, для бухгалтерии); данные для рассылки — пока действует согласие или до его отзыва. Бессрочное «храним всё навсегда» прямо противоречит статье 5. Как именно фиксировать факт уничтожения и какие документы для этого нужны, мы разбирали в материале об учёте, доступе и обработке персональных данных.

Сроки хранения — самое слабое место почти у всех. Удалять данные психологически тяжело: вдруг пригодятся. Но именно накопленные «на всякий случай» старые базы чаще всего и утекают, превращаясь в дорогую проблему. Мы советуем относиться к сроку хранения как к части цели: определили цель — сразу определите, когда данные перестают быть нужны, и заложите их удаление в процесс. Это и требование закона, и снижение реального риска.

Цель должна совпадать во всех документах

Одна и та же цель проходит через несколько документов: уведомление в Роскомнадзор, политику обработки и согласие субъекта. Принцип ограничения целями работает только тогда, когда во всех трёх местах цели сформулированы согласованно. Если в уведомлении указано одно, в политике другое, а в согласии третье, это сигнал, что документы собирали из разных шаблонов, и на проверке такое расхождение читается как недостоверные сведения.

Сравним формулировки на конкретном примере. Размытая цель — «обработка персональных данных для обеспечения деятельности организации»: она ничего не ограничивает и под неё можно подвести любой сбор. Корректный вариант разносит цели по назначению: «оформление и исполнение договора купли-продажи», «доставка заказа», «информирование о статусе заявки», «направление рекламных рассылок с согласия субъекта». Каждая такая цель проверяема, привязана к своему основанию и сама задаёт, какие данные и на какой срок нужны.

Размытая цель (риск)Корректная цель
для уставной деятельностиоформление и исполнение договора с клиентом
улучшение качества обслуживанияобработка обращений и претензий клиентов
маркетинг и аналитиканаправление рекламных рассылок при наличии согласия

Вопросы и ответы

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

Как правильно сформулировать цель обработки персональных данных?

Конкретно и заранее: цель должна отвечать на вопрос, зачем именно вам эти данные (например, «для оформления и доставки заказа»). Размытые формулировки вроде «для уставной деятельности» не годятся.

Можно ли собирать данные «про запас»?

Нет. По статье 5 объём данных должен соответствовать цели, избыточность недопустима. Каждое поле должно быть необходимо для заявленной цели.

Сколько можно хранить персональные данные?

Не дольше, чем требует цель обработки, если иной срок не установлен законом или договором. По достижении цели данные уничтожаются или обезличиваются.

Можно ли использовать данные для новой цели?

Только при наличии для неё своего правового основания. Обработка, несовместимая с целями сбора, запрещена; для новой цели обычно требуется новое согласие.

Можно ли объединять разные базы данных?

Нельзя объединять базы, созданные для несовместимых между собой целей. Это прямой запрет статьи 5.

Что будет, если цель сформулирована размыто?

Это повышает риск: под размытой целью легко собрать избыточные данные, а на проверке избыточность и неопределённость сроков трактуются как нарушение принципов обработки.

Источники