Обработка персональных данных — важная и ответственная часть деятельности любого бизнеса, особенно в условиях ужесточения требований законодательства. В России этот вопрос регулируется Федеральным законом №152-ФЗ «О персональных данных». Одним из ключевых аспектов этого закона является необходимость определения целей обработки (для чего компания обрабатывает данные, с какой целью?) персональных данных .
Но как подойти к этому процессу правильно? Давайте разбираться.
Что такое цели обработки персональных данных?
Цель обработки — это причина, ради которой компания собирает и использует данные граждан РФ, а может быть и иностранных лиц. Это может быть:
- Заключение или исполнение договора;
- Обеспечение маркетинговой активности;
- Организация кадрового делопроизводства;
- Предоставление услуг;
- Ведение кадрового и бухгалтерского учёта;
- Исполнение требований государственных органов и прочее.
Каждая цель должна быть заранее определена , конкретной , законной и соответствовать ожиданиям субъекта персональных данных (т.е. того гражданина, чьи данные вы собираетесь обрабатывать).
Почему важно правильно определять цели обработки?
- Соблюдение закона. Согласно статье 5 ФЗ-152, обработка персональных данных возможна только при наличии основания и указании цели. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Неправильное или неясное формулирование целей может привести к нарушению законодательства и привлечению компании к юридической ответственности.
- Получение согласия субъекта. Если вы собираете персональные данные на основании согласия, необходимо чётко сообщить гражданину, зачем вы это делаете, какие его данные вы будете обрабатывать и какой срок. Неопределенность целей делает согласие недействительным.
- Избежание штрафов. Роскомнадзор активно контролирует соблюдение прав субъектов персональных данных. Он без ведома компании может проверить её сайт и выписать предписание на устранение выявленных нарушений, а в случае неисполнения его требований - штраф. Нарушения могут повлечь штрафы от 10 до 75 тысяч рублей для должностных лиц и до 1 миллиона рублей для юридических лиц. Однако, существует риск также попасть и под уголовную ответственность за незаконную обработку персональных данных (ст. 272.1 УК РФ).
- Укрепление доверия клиентов. Прозрачность в вопросах обработки персональных данных положительно влияет на репутацию компании и доверие клиентов.
Как определить цели обработки персональных данных?
Шаг 1. Изучите свою деятельность
Начните с анализа, какие данные вы собираете и зачем. Например: На сайте вашей компании есть форма обратной связи. Зачем вы собираете имя и телефон клиента? Чтобы связаться с ним и предоставить информацию.
Вы принимаете сотрудников на работу. Зачем вам паспортные данные? Для оформления трудового договора и взаимодействия с налоговыми и пенсионными органами.
После анализа составьте реестр причин сбора вами персональных данных и их состав.
Шаг 2. Классифицируйте данные и источники их получения
Какие категории персональных данных вы обрабатываете? (ФИО, телефон, email, адрес, номер карты и т.д.). Откуда берутся эти данные? (формы на сайте, договоры, анкетирование, автоматическая сборка через cookie и т.п.).
Внесите эту информацию в реестр причин.
Шаг 3. Укажите конкретные цели обработки
Вместо расплывчатых фраз вроде "для оказания услуг" или "для улучшения работы сайта", используйте точные формулировки:
✅ Хороший пример: Цель обработки: исполнение условий договора между пользователем и компанией.
❌ Плохой пример: Цель обработки: для нужд компании.
Шаг 4. Проверьте соответствие законным основаниям
Все действия с персональными данными должны соответствовать одному из оснований, указанных в статье 6 ФЗ-152:
- Согласие субъекта;
- Исполнение договора;
- Требования законодательства;
- Защита жизни и здоровья и так далее.
Выберите подходящее основание под каждую цель. Для этого можно взять перечень из формы уведомления в Роскомнадзор. Расставьте цели в перечне причин.
Шаг 5. Зафиксируйте всё в локальной документации
Вам понадобятся как минимум следующие документы:
- Политика в отношении обработки персональных данных (если вы юридическое лицо);
- Локальные нормативные акты (внутренние правила);
- Согласия субъектов;
- Реестр обработчиков персональных данных (при наличии, если вы по вашему поручению передали персональные данные другому оператору);
- Журнал учёта мест обработки персональных данных и допущенных к обработке лиц.
Частые ошибки
Общие фразы вместо конкретики: "для внутренних нужд", "для улучшения сервиса".
Необоснованная обработка данных: сбор информации, которая не нужна для достижения заявленной цели.
Отсутствие обновления целей: если бизнес меняет направление, цели обработки тоже должны меняться.
Использование данных вне заявленных целей: например, вы собрали данные для доставки товара, а потом начали использовать их для рекламы без нового согласия.
Отсутствие изменений уведомления поданного в Роскомнадзор, в случае изменения информации указанной в нём, в течение 10 рабочих дней с момента изменения.
Вывод
Правильно определённые цели обработки персональных данных — это не просто формальность. Это важный шаг в обеспечении законности, безопасности и доверия со стороны клиентов. Грамотно оформленные цели помогут избежать штрафов, защитят вас в случае проверок и создадут основу для дальнейшей работы с персональными данными.
Если вы не уверены в том, как правильно сформулировать цели обработки, стоит обратиться к нам на почту f1@cibez.ru. Это инвестиция в надёжность и долгосрочную репутацию вашего бизнеса.
Подписывайтесь на наш блог, чтобы всегда быть в курсе изменений в законодательстве и получать полезные советы по информационной безопасности. А если хотите больше практических советов, то оформляйте подписку нашу услугу "Виртуальный консультант по ИБ".