Цели и условия обработки персональных данных представляют собой фундаментальные элементы правового регулирования деятельности операторов персональных данных. Роскомнадзор цели обработки персональных данных рассматривает как ключевой элемент уведомления оператора и основу для контроля за соблюдением требований законодательства.
Правильное определение целей обработки персональных данных обеспечивает соответствие деятельности оператора принципам законности, справедливости и соразмерности. Обработка персональных данных предусматривает строгое соблюдение установленных целей и недопустимость их расширительного толкования.
Правовые основания обработки персональных данных
Основные правовые основания
Правовое основание обработки персональных данных определяет законность осуществления оператором действий с персональными данными. Федеральный закон "О персональных данных" устанавливает исчерпывающий перечень правовых оснований:
Согласие субъекта персональных данных - добровольное, информированное и конкретное волеизъявление субъекта на обработку его персональных данных для определенных целей.
Исполнение договора - обработка необходима для исполнения договора, стороной которого является субъект персональных данных, или для заключения договора по инициативе субъекта.
Исполнение правовых обязанностей оператора - обработка осуществляется для выполнения возложенных законодательством РФ на оператора обязанностей.
Осуществление правосудия - обработка необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица.
Исполнение полномочий государственных органов - обработка осуществляется для выполнения функций, полномочий и обязанностей, возложенных законодательством на государственные органы.
Специальные правовые основания
Защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо других лиц, если получение согласия субъекта невозможно.
Осуществление прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта.
Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Формулирование целей обработки персональных данных
Принципы определения целей
При решении вопроса "цель обработки персональных данных что писать", операторы должны руководствоваться следующими принципами:
Конкретность и определенность - цели должны быть сформулированы четко и недвусмысленно, исключать различные толкования.
Законность - цели не должны противоречить действующему законодательству и основам правопорядка.
Соразмерность - цели должны соответствовать объему и характеру обрабатываемых персональных данных.
Достижимость - цели должны быть реально достижимыми с помощью заявленных способов обработки.
Примеры правильного формулирования целей
Для кадрового учета:
- Ведение кадрового делопроизводства и учета кадров
- Исполнение требований трудового законодательства
- Обеспечение безопасности труда и контроля доступа на территорию организации
Для клиентского сервиса:
- Исполнение договоров оказания услуг
- Информирование о новых продуктах и услугах организации
- Проведение маркетинговых исследований и анализа потребительских предпочтений
For работы с поставщиками:
- Исполнение договоров поставки товаров и услуг
- Проведение закупочных процедур
- Ведение реестра поставщиков и контрагентов
Недопустимые формулировки целей
Слишком общие формулировки:
- "Для любых целей организации"
- "Для деятельности организации"
- "Для коммерческих целей"
Неопределенные формулировки:
- "Для возможных целей в будущем"
- "Для целей, которые могут возникнуть"
- "Для всех необходимых целей"
Условия обработки персональных данных
Основные условия обработки
Условия обработки персональных данных определяют параметры и ограничения, в рамках которых осуществляется обработка:
Территориальные условия - обработка персональных данных граждан РФ должна осуществляться с использованием баз данных, находящихся на территории Российской Федерации.
Временные условия - обработка должна осуществляться в течение срока, необходимого для достижения заявленных целей.
Технические условия - обработка должна осуществляться с применением технических и организационных мер защиты персональных данных.
Организационные условия - обработка должна осуществляться уполномоченными лицами в соответствии с их служебными обязанностями.
Условия доступа к персональным данным
В отношении обработки персональных данных должны быть установлены четкие условия доступа:
Разграничение доступа - доступ к персональным данным должен предоставляться только лицам, которым он необходим для выполнения служебных обязанностей.
Журналирование доступа - все факты доступа к персональным данным должны фиксироваться в журналах аудита.
Контроль доступа - должна быть обеспечена возможность контроля за действиями лиц, имеющих доступ к персональным данным.
Сроки обработки персональных данных
Определение сроков обработки
Срок или условие обработки персональных данных должны быть четко определены и соответствовать целям обработки:
Определенный срок - конкретный период времени, в течение которого осуществляется обработка (например, "в течение 5 лет с даты заключения договора").
Условие достижения цели - обработка осуществляется до момента достижения заявленной цели (например, "до исполнения договорных обязательств").
Отзыв согласия - обработка прекращается при отзыве согласия субъектом персональных данных.
Истечение срока хранения - обработка прекращается по истечении установленного законодательством срока хранения документов.
Дата начала обработки персональных данных
Дата начала обработки персональных данных должна быть четко зафиксирована:
Момент получения данных - дата поступления персональных данных к оператору любым способом.
Дата заключения договора - при обработке данных в рамках договорных отношений.
Дата трудоустройства - при обработке персональных данных работников.
Дата регистрации - при обработке данных пользователей сервисов.
Дата обработки персональных данных
Дата обработки персональных данных фиксируется для каждого действия с персональными данными:
Автоматическая фиксация - в информационных системах должна обеспечиваться автоматическая фиксация времени каждой операции.
Журналы операций - ведение подробных журналов всех действий с персональными данными.
Аудиторские следы - обеспечение возможности восстановления хронологии обработки данных.
Прекращение обработки персональных данных
Основания для прекращения обработки
Прекращение обработки персональных данных может происходить по следующим основаниям:
Достижение целей обработки - основная цель, для которой осуществлялась обработка, достигнута.
Отзыв согласия субъектом - субъект персональных данных отозвал свое согласие на обработку.
Истечение срока обработки - закончился установленный срок обработки персональных данных.
Прекращение правовых отношений - завершились правовые отношения, в рамках которых осуществлялась обработка.
Решение суда или контролирующего органа - по требованию суда или Роскомнадзора.
Условия прекращения персональных данных
Условие прекращения обработки персональных данных должно быть определено заранее:
Условие достижения результата - конкретный результат, при достижении которого обработка прекращается.
Временное условие - определенная дата или период времени.
Событийное условие - наступление конкретного события (расторжение договора, увольнение сотрудника).
Правовое условие - изменение правового статуса субъекта или оператора.
Срок или условие прекращения обработки персональных данных
Срок прекращения обработки персональных данных должен учитывать:
Требования законодательства - минимальные и максимальные сроки хранения документов, установленные законом.
Цели обработки - время, необходимое для полного достижения заявленных целей.
Права третьих лиц - возможные требования третьих лиц, связанные с обработанными данными.
Архивные требования - необходимость передачи документов в архив.
Срок прекращения обработки персональных данных
После наступления оснований для прекращения обработки оператор должен:
В течение 30 дней - прекратить обработку персональных данных, если иное не предусмотрено федеральным законом.
Уведомить третьих лиц - проинформировать лиц, которым передавались персональные данные, о необходимости прекращения обработки.
Уничтожить или обезличить данные - в установленные сроки уничтожить персональные данные или обеспечить их обезличивание.
Документирование целей и условий обработки
Уведомление Роскомнадзора
В уведомлении об обработке персональных данных должны быть четко указаны:
Цели обработки - конкретные и определенные цели, соответствующие деятельности оператора.
Правовые основания - ссылки на конкретные нормы законодательства, позволяющие осуществлять обработку.
Категории субъектов - группы лиц, персональные данные которых обрабатываются.
Категории персональных данных - виды обрабатываемой персональной информации.
Сроки обработки - временные рамки осуществления обработки.
Локальные документы оператора
Политика обработки персональных данных - основной документ, определяющий подходы организации к обработке персональных данных.
Положение об обработке персональных данных - детальный документ, регламентирующий все аспекты обработки.
Регламенты и инструкции - документы, определяющие конкретные процедуры работы с персональными данными.
Согласия субъектов - документы, содержащие согласие на обработку персональных данных для конкретных целей.
Случаи обработки персональных данных в различных сферах
Трудовые отношения
В сфере трудовых отношений случаи обработки персональных данных включают:
Прием на работу - обработка данных кандидатов для принятия решения о трудоустройстве.
Ведение трудовых отношений - обработка данных для исполнения трудового законодательства.
Обеспечение безопасности - обработка данных для контроля доступа и обеспечения безопасности.
Социальные программы - обработка данных для реализации социальных программ организации.
Коммерческая деятельность
Заключение и исполнение договоров - обработка данных клиентов для выполнения договорных обязательств.
Маркетинг и реклама - обработка данных для продвижения товаров и услуг.
Клиентский сервис - обработка данных для оказания поддержки клиентам.
Финансовые операции - обработка данных для проведения расчетов и соблюдения требований финансового законодательства.
Государственные и муниципальные услуги
Предоставление государственных услуг - обработка данных граждан для оказания государственных и муниципальных услуг.
Исполнение контрольно-надзорных функций - обработка данных в рамках осуществления государственного контроля.
Ведение государственных реестров - обработка данных для формирования и ведения государственных информационных ресурсов.
Контроль за соблюдением требований к целям и условиям обработки
Проверки Роскомнадзора
Роскомнадзор в ходе проверок операторов персональных данных особое внимание уделяет:
Соответствие заявленных целей фактической обработке - проверяется, используются ли персональные данные только для заявленных целей.
Обоснованность сроков обработки - анализируется, соответствуют ли установленные сроки характеру и целям обработки.
Соблюдение условий прекращения обработки - проверяется, прекращается ли обработка при наступлении установленных условий.
Документирование процессов - оценивается качество документирования целей, условий и сроков обработки.
Типичные нарушения
Расширительное толкование целей - использование персональных данных для целей, не указанных в уведомлении или согласии.
Превышение сроков обработки - продолжение обработки после достижения целей или истечения установленных сроков.
Недостаточное документирование - отсутствие или неполнота документов, определяющих цели и условия обработки.
Нарушение условий прекращения - несвоевременное прекращение обработки при наступлении соответствующих оснований.
Практические рекомендации для операторов
Разработка целей обработки
Анализ деятельности - проведите детальный анализ всех бизнес-процессов, связанных с обработкой персональных данных.
Конкретизация формулировок - избегайте общих и неопределенных формулировок целей обработки.
Соответствие правовым основаниям - убедитесь, что каждая цель обработки имеет соответствующее правовое основание.
Регулярный пересмотр - периодически пересматривайте цели обработки при изменении деятельности организации.
Определение сроков и условий
Обоснованность сроков - устанавливайте сроки обработки, обоснованные характером и целями обработки.
Четкость условий прекращения - определите конкретные условия, при наступлении которых обработка должна быть прекращена.
Механизмы контроля - внедрите системы контроля за соблюдением установленных сроков и условий.
Документирование изменений - фиксируйте все изменения в целях, сроках и условиях обработки.
Организация процессов
Обучение персонала - обеспечьте понимание сотрудниками целей и условий обработки персональных данных.
Автоматизация контроля - используйте технические средства для автоматического контроля за соблюдением установленных параметров.
Регулярный аудит - проводите внутренние проверки соблюдения требований к целям и условиям обработки.
Взаимодействие с субъектами - обеспечьте возможность для субъектов персональных данных получать актуальную информацию о целях и условиях обработки их данных.
Технические аспекты реализации требований
Информационные системы
Настройка систем - конфигурируйте информационные системы для автоматического контроля сроков и условий обработки.
Журналирование - обеспечьте ведение подробных журналов всех операций с персональными данными.
Уведомления - настройте автоматические уведомления о приближении сроков прекращения обработки.
Архивирование - реализуйте процедуры автоматического архивирования или уничтожения данных по истечении установленных сроков.
Интеграция с бизнес-процессами
Встраивание контролей - интегрируйте контроль за целями и условиями обработки в основные бизнес-процессы.
Workflow-системы - используйте системы управления бизнес-процессами для автоматизации процедур обработки персональных данных.
Системы управления документооборотом - внедрите решения для автоматического управления жизненным циклом документов, содержащих персональные данные.
Заключение
Правильное определение целей и условий обработки персональных данных является основой законной и эффективной деятельности любого оператора персональных данных. Роскомнадзор цели обработки персональных данных рассматривает как ключевой элемент контроля за соблюдением требований законодательства.
Обработка персональных данных предусматривает строгое соблюдение принципов целевого ограничения, минимизации и срочности. Операторы должны четко понимать, какая цель обработки персональных данных соответствует их деятельности, и обеспечивать соблюдение всех установленных условий.
Срок или условие прекращения обработки персональных данных должны быть определены заранее и строго соблюдаться. Это обеспечивает защиту прав субъектов персональных данных и минимизирует правовые риски для операторов.
Постоянное совершенствование процедур определения целей и условий обработки, внедрение современных технических решений и регулярное обучение персонала являются залогом успешного соблюдения требований законодательства о персональных данных.
Справочник по РКН - техническая поддержка операторов персональных данных в вопросах соблюдения требований законодательства
Полезные ссылки:
