Статья 5 152-ФЗ гласит, что цели сбора ПДн должны быть конкретными и законными. Обработка личной информации, не соответствующая этим целям, запрещается.
Согласно требованиям Роскомнадзора, формулировка целей учитывает:
- подзаконные акты, регламентирующие деятельность организации;
- цели фактически ведущейся деятельности;
- цели, предусмотренные учредительной документацией;
- конкретные бизнес-процессы в определенных информационных системах ПДн, включая структурные подразделения и их процедуры в отношении конкретных категорий владельцев персональных данных.
Цели обработки персональных данных обширны и многообразны. Некоторые из них:
Цель №1: Выполнение нормативно-правовых требований, в том числе в области трудового законодательства.
Перечень обрабатываемых ПДн:
- паспортные данные;
- ИНН;
- СНИЛС;
- сведения о воинском учете;
- данные об образовании;
- данные о трудовом стаже;
- банковские реквизиты;
- сведения о доходах;
- сведения о семейном положении и детях.
Категории субъектов, данные которых обрабатываются для этой цели:
- сотрудники предприятия;
- кандидаты на вакантные должности;
- уволенные работники (в части архивного хранения).
Действия с ПДн, которые совершают для этой цели:
- сбор и фиксация;
- систематизация;
- хранение;
- передача в государственные органы (СФР, ФНС, военкоматы);
- актуализация;
- архивирование.
Цель №2: Профессиональное развитие персонала.
Перечень обрабатываемых ПДн:
- сведения об образовании и квалификации;
- данные о профессиональных навыках;
- история обучения и сертификации;
- результаты аттестаций;
- сведения о карьерных предпочтениях;
- данные о профессиональных достижениях.
Категории субъектов, данные которых обрабатываются для этой цели:
- действующие сотрудники компании;
- стажеры;
- участники программ корпоративного обучения.
Действия с ПДн, которые совершают для этой цели:
- анализ профессионального потенциала;
- формирование индивидуальных планов развития;
- направление на обучение;
- оценка результатов профессиональной подготовки;
- создание кадрового резерва;
- планирование карьерного продвижения.
Цель №3: Обеспечение безопасности и охраны здоровья.
Перечень обрабатываемых ПДн:
- медицинские сведения (в объеме, предусмотренном законодательством);
- данные о прохождении инструктажей по технике безопасности;
- сведения о контактных лицах для экстренной связи;
- информация о группе крови и аллергических реакциях (при необходимости);
- данные о специальных средствах защиты.
Категории субъектов, данные которых обрабатываются для этой цели:
- сотрудники, включая занятых во вредных и опасных условиях труда;
- посетители режимных объектов;
- представители подрядных организаций.
Действия с ПДн, которые совершают для этой цели:
- регистрация прохождения инструктажей;
- учет выдачи средств индивидуальной защиты;
- контроль своевременного прохождения медицинских осмотров;
- обеспечение экстренного оповещения;
- организация эвакуационных мероприятий при ЧС.
Цель №4: Мониторинг эффективности трудовой деятельности.
Перечень обрабатываемых ПДн:
- данные о выполнении плановых показателей;
- сведения о рабочем времени;
- информация о производительности труда;
- результаты оценки профессиональных компетенций;
- показатели качества выполняемых работ;
- данные о соблюдении трудовой дисциплины.
Категории субъектов, данные которых обрабатываются для этой цели:
- штатные сотрудники организации;
- временные работники;
- сотрудники на испытательном сроке.
Действия с ПДн, которые совершают для этой цели:
- фиксация результатов труда;
- анализ эффективности деятельности;
- учет рабочего времени;
- проведение аттестационных мероприятий;
- формирование отчетности о производительности;
- разработка мотивационных программ.
Цель №5: Защита материальных активов организации.
Перечень обрабатываемых ПДн:
- биометрические данные для систем контроля доступа (СКУД);
- сведения о выданных материальных ценностях;
- данные видеонаблюдения;
- информация о доступе к информационным системам;
- сведения о материальной ответственности.
Категории субъектов, данные которых обрабатываются для этой цели:
- сотрудники, имеющие доступ к материальным ценностям;
- работники с доступом к конфиденциальной информации;
- посетители территории предприятия;
- материально-ответственные лица.
Действия с ПДн, которые совершают для этой цели:
- организация пропускного режима;
- мониторинг систем видеонаблюдения;
- учет выданного оборудования и материальных ценностей;
- контроль доступа к информационным ресурсам;
- проведение служебных расследований при выявлении нарушений.
В Политике также нужно прописать информацию об условиях обработки ― категории субъектов, перечень ПДн, действия с ними и прочую информацию, указанную в п. 2 ч. 1 ст. 18.1, по каждой цели обработки.