Как сформировать цели обработки персональных данных?

Ст. 5 закона № 152-ФЗ определяет, в каких целях допускается обработка персональных данных (ПД) — они должны быть законными, заранее определёнными и конкретными. И именно из-за этих достаточно размытых тезисов сложно понять, как сформировать политику обработки ПД. Можно ли в один документ вписать цели, связанные с обработкой ПД разных субъектов — сотрудников, клиентов, контрагентов? Стоит ли их расписывать подробно, или можно ограничиться общими формулировками? 

Как обосновать цели?

Любая компания, работающая с ПД, становится оператором ПД. Об этом она обязана сообщить Роскомнадзору, заполнив специальную форму уведомления. И вот здесь документ может нам помочь обосновать цели обработки персональных данных в организации. На выбор предлагается 38 целей — от необходимости ведения бухгалтерского учёта до продвижения товаров, услуг. В зависимости от того, для чего именно ваша компания собирает информацию, и будет сформирована итоговая цель. 

Если их несколько, то лучше оформить или несколько документов, связанных с политикой обработки ПД, или один документ, поделённый на крупные разделы, где будут отдельно указаны особенности работы с разными персональными данными. 

Как прописать цели так, чтобы не было претензий от Роскомнадзора?

Цели сбора персональных данных у каждого бизнеса будут свои. Это связано как с отличающимися видами деятельности, так и с различиями в наличии техники, необходимости передавать сведения третьим лицам, локальных процессов внутри самой компании. Законы также не ограничивают бизнес в выборе — нет понятия того, какие цели должны присутствовать у, например, медицинских центров или магазинов розничной торговли. 

Несколько советов по формированию целей обработки персональных данных в 2024 году:

1. Цели можно формировать из чего угодно: для соблюдения законодательства, по видам деятельности, по процессам обработки и т. д. Роскомнадзор при заполнении формы уведомления по большей части ориентируется на законы (например, для обеспечения соблюдения налогового или трудового законодательства), чуть реже — на виды деятельности (например, для обеспечения пропускного режима или для подбора персонала). Потому лучше выбирать цели, связанные с соблюдением законов или обеспечения деятельности бизнеса.

2. Рекомендуется описать одну крупную цель, а для неё сформировать несколько маленьких, более подробных целей. Например, если большая цель — ведение кадрового и бухгалтерского учёта, то маленькими целями могут быть — обеспечение своевременной подачи отчётности в государственные органы, ведение личных карточек сотрудников, учёт количества работников с несовершеннолетними детьми для оказания материальной и нематериальной помощи при необходимости и т.д. Однако не стоит заниматься чрезмерным расщеплением целей — нескольких важных уточнений будет достаточно.

3. Нельзя забывать, что как только цель обработки ПД будет достигнута, информацию о гражданах следует передать на хранение (например, в архивы) или уничтожить, чтобы она не попала в чужие руки. 

Роскомнадзор также следует уведомлять о случаях трансграничной передачи ПД. Поскольку ведомство проверяет, какие страны обеспечивают качественную сохранность информации о физических лицах, оно может одобрить или, напротив, отклонить запрос на трансграничную передачу сведений.

Больше полезной информации для бизнеса — в чек-листах от экспертов СберКорус. В них вы сможете также узнать, как обеспечить работу с самозанятыми — как правильно заключить договор, как избежать его переквалификации в трудовой и как проверить кандидатов на трудоустройство, не нарушая законы о персональных данных.