Цели обработки персональных данных — рассказываем, какие требования предъявляет закон

цели обработки персональных данных

Что понимается под целями обработки персональных данных?

Согласно Федеральному закону от 27 июля 2006 года №152-ФЗ «О персональных данных», цели обработки персональных данных – это заранее определенные, конкретные и законные ориентиры, ради достижения которых оператор осуществляет сбор, хранение, передачу и иную обработку персональной информации о физических лицах (субъектах персональных данных). Таким образом, цели обработки являются базовым элементом, определяющим правомерность всей деятельности оператора по работе с персональными данными.

Требования, предъявляемые к целям обработки персональных данных.

Российское законодательство устанавливет четкие критерии, которым должны цели обработки персональных данных:

1. Законность.

Цели обработки персональных данных должны соответствовать требованиями публичного порядка, не нарушать закон и иметь правовое основание. Например, оператор не вправе собирать персональные данные, чтобы потом они были использованы их для каких-либо мошеннических действий. Или, обрабатывая персональные данные пользоватей сайта путем использования файлов куки, оператор должен получить согласие от субъекта персональных данных на обработку его персональных данных подобным образом.

2. Конкретность.

Цели должны быть сформулированы максимально ясно и понятно для субъекта персональных данных. Например, формулировка «повышение качества услуг» недостаточно конкретна. Правильнее указать более конкретную цель: «информирование клиентов о новых продуктах и услугах компании».

3. Определенность целей обработки персональных данных.

Цели должны быть заранее определены оператором и не могут формулироваться слишком широко или неопределенно. Например, цель «достижение задач, предсмотренных уставом общества» слишком общая, требующая уточнения.

Дополнительные критерии целей обработки персональных данных.

Кроме основных критериев (законность, конкретность и определенность), цели обработки персональных данных должны соответствовать следующим требованиям:

• Соответствие полномочиям оператора — оператор не вправе устанавливать цели, выходящие за рамки его компетенции или уставной деятельности.

• Совместимость последующих целей обработки с первоначально заявленными — нельзя использовать данные в целях, несовместимых с изначально указанными. Например, оператор собирает персональные данные сотрудников, чтобы потом рассылать им предложения о покупке каких-то товаров.

• Ограничение сроков обработки достижением заявленных целей — персональные данные должны храниться не дольше срока, необходимого для достижения поставленных целей.

Обязанности оператора при определении целей обработки персональных данных.

При установлении целей оператор обязан также четко определить следующие параметры:

1. Категории и перечень обрабатываемых персональных данных.

Необходимо указать конкретный перечень сведений о субъекте, необходимых для достижения каждой цели.

2. Категории субъектов персональных данных.

Следует определить круг лиц, чьи данные обрабатываются: работники организации, клиенты компании, контрагенты по коммерческим договорам и тд.

3. Способы обработки персональных данных.

Оператор должен указать способы обработки: автоматизированная обработка с помощью информационных систем или неавтоматизированная обработка (например, на бумажных носителях), а также условия передачи третьим лицам.

4.  Сроки обработки и хранения персональных данных.

Сроки хранения ограничиваются достижением целей обработки или требованиями законодательства РФ. Например, после прекращения трудовых отношений личные дела сотрудников должны храниться в течение установленного законом периода.

5. Порядок уничтожения или обезличивания персональных данных.

После достижения целей или при отзыве субъектом согласия оператор обязан обеспечить уничтожение или обезличивание персональных данных.

Обязаность по уведомлению Роскомнадзора о целях обработки персональных данных.

В соответствии с частью 3 статьи 22 Федерального закона № 152-ФЗ оператор обязан уведомить уполномоченный орган (Роскомнадзор) о намерении осуществлять обработку персональных данных, указав при этом все цели обработки персональных данных, которые он планирует осуществлять.

Таким образом, законодательство требует от оператора персональных данных указать в уведомлении в Роскомнадзор все цели обработки персональных данных, которые он фактически осуществляет или намерен осуществлять.

В случае, если у вас возникают сложности с подготовкой уведомления в Роскомнадзор, с определением целей обработки персональных данных, с подготовкой внутренних документов, предусмотренных нормативными актами по защите персональных данных — квалифицированные юристы нашей фирмы всегда смогут вам помочь.

Продолжая просмотр настоящего сайта, Вы соглашаетесь с использованием файлов cookies (куки) и иных методов, средств и инструментов интернет-статистики и настройки, применяемых на сайте для целей, указанных в Политике обработки персональных данных.