Уведомление в РКН: Четко формулируем цели обработки персональных данных

Определяем цели обработки персональных данных

Пункт “Цели обработки персональных данных” в уведомлении в Роскомнадзор (РКН) – один из самых важных. Он определяет, зачем вы собираете и обрабатываете персональные данные. Нечеткие, расплывчатые или слишком общие формулировки могут привести к проблемам с РКН и нарушению прав субъектов персональных данных. Ваша задача – максимально конкретно и понятно описать каждую цель обработки.

Основные принципы при определении целей обработки:

• Законность: Цели должны соответствовать требованиям законодательства РФ, включая Федеральный закон № 152-ФЗ “О персональных данных”.
• Конкретность: Цель должна быть четко сформулирована и понятна, без двусмысленности.
• Ограниченность: Обрабатывайте только те данные, которые необходимы для достижения заявленной цели.
• Заранее определены: Цели должны быть определены до начала обработки персональных данных.
• Совместимость: Новые цели не должны быть несовместимы с первоначально заявленными.

Как формулировать цели:

1. Определите все бизнес-процессы, в которых используются персональные данные: Составьте полный список всех операций, для которых вам нужны персональные данные. Это могут быть как основные бизнес-процессы (например, продажа товаров, оказание услуг), так и вспомогательные (например, ведение кадрового учета, рассылка новостей).
2. Сформулируйте конкретную цель для каждого процесса: Для каждого бизнес-процесса сформулируйте четкую цель, для которой необходима обработка персональных данных. Избегайте общих фраз типа “для улучшения качества обслуживания” или “для повышения эффективности работы”.
3. Увяжите цели с категориями субъектов персональных данных: Укажите, для каких категорий субъектов (например, клиенты, сотрудники, посетители сайта) предназначена каждая цель обработки.

Примеры формулировок целей:

• Для клиентов интернет-магазина:
• “Оформление и исполнение заказов на товары, представленные в интернет-магазине, включая обработку платежей, доставку товаров и предоставление информации о статусе заказа.”
• “Оказание технической поддержки и консультаций по вопросам, связанным с использованием интернет-магазина и приобретенных товаров.”
• “Информирование о новых товарах, акциях и специальных предложениях (при условии получения согласия на рассылку).”
• “Анализ покупательского поведения и предпочтений с целью улучшения качества обслуживания и разработки новых товаров и услуг.” (Необходимо обязательно обезличивать данные или получать отдельные согласия на такую обработку!)
• Для сотрудников компании:
• “Обеспечение соблюдения трудового законодательства РФ, включая оформление трудовых договоров, ведение кадрового учета и расчет заработной платы.”
• “Организация обучения и повышения квалификации сотрудников.”
• “Обеспечение безопасности труда и охраны здоровья сотрудников.”
• “Ведение бухгалтерского учета и отчетности.”
• Для посетителей сайта:
• “Предоставление возможности связаться с компанией через форму обратной связи.”
• “Анализ посещаемости сайта и пользовательского поведения с целью улучшения его функциональности и содержания (с использованием cookies).” (Необходимо уведомить пользователей об использовании cookies и получить их согласие, если это требуется законодательством.)
• Для соискателей:
• “Рассмотрение резюме и кандидатур соискателей на замещение вакантных должностей в компании.”
• “Проведение собеседований и оценка профессиональных качеств соискателей.”
• “Формирование кадрового резерва.”

Примеры неправильных формулировок:

• “Улучшение качества обслуживания.” (Слишком обще)
• “Повышение эффективности работы компании.” (Слишком обще)
• “В маркетинговых целях.” (Недостаточно конкретно)
• “Для любых целей, не запрещенных законом.” (Неприемлемо)

Что важно учитывать:

• Согласие на обработку: Если обработка персональных данных осуществляется на основании согласия, цели обработки должны быть четко указаны в форме согласия.
• Политика конфиденциальности: Цели обработки должны быть отражены в вашей политике конфиденциальности.
• Контроль: Регулярно проверяйте, соответствуют ли ваши цели обработки действующему законодательству и вашим бизнес-процессам.
• Изменение целей: Если вы планируете изменить цели обработки, вы должны уведомить об этом субъектов персональных данных и, при необходимости, получить их согласие.

Как избежать ошибок:

1. Проведите аудит обработки персональных данных: Выявите все процессы, в которых используются персональные данные, и определите цели обработки для каждого процесса.
2. Привлекайте юристов и специалистов по защите персональных данных: Они помогут вам правильно сформулировать цели обработки в соответствии с требованиями законодательства.
3. Обучите сотрудников: Объясните сотрудникам, как правильно собирать и обрабатывать персональные данные в соответствии с установленными целями.

Рекомендации:

• Разработайте шаблон с целями обработки для разных категорий субъектов. Это упростит процесс заполнения уведомления и других документов.
• Регулярно пересматривайте и обновляйте список целей обработки в соответствии с изменениями в вашей деятельности.
• Не бойтесь быть конкретными и подробными. Чем четче вы сформулируете цели обработки, тем меньше вероятность возникновения вопросов со стороны РКН.

Какие у вас самые распространенные цели обработки персональных данных? Поделитесь в комментариях!