Цели обработки персональных данных (ПДн) указываются в уведомлении для Роскомнадзора и других документах, которые оформляются в соответствии с ФЗ от 27.07.2006 №152-ФЗ. Разберемся, как правильно их определить, от чего они зависят и что нужно учитывать оператору при оформлении документов.
Особенности определения цели обработки
Обработка ПДн — это действия, совершаемые с ПДн, включая сбор, запись, систематизацию, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление или уничтожение. Она может осуществляться как автоматизированными, так и неавтоматизированными или смешанными способами.
Работать с личной информацией можно только при наличии законных оснований: например, согласия субъекта данных, необходимости исполнения договора, выполнения требований государственных органов или других оснований, указанных в ст.6 ФЗ №152-ФЗ.
Оператор не может просто так брать данные физического лица — его нужно ознакомить с Политикой, в которой указываются цели обработки персональных данных в организации. Цели — это то, для чего берутся ПДн. Они зависят от специфики деятельности.
В Политике цели расписываются подробно, посмотреть шаблон можно на сайте Роскомнадзора. Уведомление заполняется более лаконично.
Какие указывать цели в уведомлении
Заполнить и подать уведомление также можно на сайте РКН. Это нужно сделать до начала работы с ПДн, в противном случае компании или ИП грозит штраф до 300 000 рублей.
Примеры целей, в которых может осуществляться обработка ПДн:
- Ведение бухгалтерского или кадрового учета.
- Соблюдение трудового законодательства: например, если в организации работает хотя бы один сотрудник.
- Исполнение пенсионного законодательства: каждая компания обязана передавать сведения о сотрудниках в СФР и платить за них страховые взносы.
- Соблюдение законодательства в сфере образования, о государственной или муниципальной службе, об исполнительном производстве, и другое.
- Обеспечение пропускного режима на территорию организации.
- Выполнение статистического учета.
- Проведение исследовательских работ.
- Осуществление адвокатской, нотариальной деятельности.
Например, если компания занимается торговлей онлайн, указывается цель “продвижение товаров и услуг на рынке”. При формировании штата сотрудников — “подбор персонала на вакантные должности оператора”.
Что еще важно учитывать
По достижении целей обработки персональных данных оператор обязан удалить сведения о физлицах. Но есть исключения: например, личные документы бывших сотрудников должны храниться до 75 лет, если созданы до 2003 года, если после — 50 лет. Документы контрагентов по договорам хранятся в течение срока действия договора + 5 лет после.
Также не допускается объединение нескольких баз, если обработка данных преследует взаимоисключающие цели. Оператору важно обеспечить полноту, достоверность и актуальность обрабатываемых ПДн. При выявлении неточной или неполной информации он обязан незамедлительно исправить ее или удалить (ст. 5 ФЗ №152-ФЗ).
Заключение
Цели обработки персональных данных по ФЗ №152-ФЗ должны быть конкретными, законными и соответствовать деятельности компании. Они указываются в уведомлении для РКН, Политике обработки ПДн и ряде других документов. Работа с данными физлиц ограничивается заявленными целями, а после их достижения оператор обязан уничтожить все сведения, если нет законных оснований для длительного хранения.