Какие бывают цели обработки персональных данных

Любая компания, обрабатывающая персональные данные, должна определить цели обработки, поскольку от этого зависят категории данных, которые компания может собрать. Без целей также невозможно получить согласие пользователя на обработку. Поэтому прописывая Политику конфиденциальности, одним из пунктов станут цели обработки. О том, как правильно их определить, вы можете прочитать в нашей статье.

Содержание:

• Зачем указывать цель обработки персональных данных?
• Как определить цели обработки персональных данных
• Уничтожение персональных данных после достижения целей их обработки

Зачем указывать цель обработки персональных данных?

В соответствии с Законом «О персональных данных» (далее ФЗ-152) вам необходимо получить согласие лица для обработки персональных данных. Получая согласие нужно указать цели обработки персональных данных. Иными словами, нельзя получить согласие без конкретной цели. Поэтому составляя Политику конфиденциальности и оформляя механизм на сайте для получения согласия, нужно заранее продумать цели.

Второй случай, когда вы столкнетесь с целями обработки – сам процесс обработки. Он должен происходит в соответствии с заранее определенными целями, т.е. вы не можете получить больше данных, чем требуется. Если ваши цели отличаются в зависимости от субъектов персональных данных, необходимо создать раздельные базы. Так в одном из кейсов, Банк при заключении кредитного договора попросил указать гражданина лиц, проживающих с ним, а также несовершеннолетних детей. За это он получил предписание от уполномоченного органа. Суд встал на сторону гражданина и указал, что эта информация не соответствуют целям обработки персональных данных, поскольку они не являются стороной кредитного договора (А76-5164/2016).

Когда цели обработки перестают быть актуальными, данные нужно либо обезличить, либо удалить.

Как определить цели обработки персональных данных

Цели обработки зависят от:

• Фактической деятельности. Это ключевой параметр, так как компания получает те персональные данные, которые ей нужны для осуществления деятельности. Например, интернет-магазин, отвечающей за доставку товару, не может не спросить адрес, по которому нужно доставить товар. Поэтому чтобы прописать цели, нужно понять, для чего используются персональные данные;
• Функций, которые закон возлагает на компанию, осуществляющую такую деятельность.
• Бизнес-процессов в информационных системах, которые могут отличаться в зависимости от структурных подразделений и категорий субъектов персональных данных.

Уничтожение персональных данных после достижения целей их обработки

Уничтожение персональных данных также относится к их обработке. После уничтожения невозможно восстановить содержание данных. Компания обязана их уничтожить в следующих случаях:

• Если данные от субъекта были получены незаконно или не нужны для заранее определенных целей обработки. Такое часто встречается в договорах с потребителями, где у него нет возможности повлиять на содержание условий договора (договор присоединения). Суды принуждают компании удалить те или иные данные (А76-5164/2016);
• После достижения цели обработки персональных данных;
• При отзыве субъектом персональных данных согласия на обработку.

Таким образом, цели обработки персональных данных должны быть конкретными, законными и заранее определенными. Чтобы определить их, нужно понять какие данные вам нужны для вашей фактической деятельности. Вероятно, без некоторых данных невозможно будет оказывать услуги. Но неоправданное расширение списка целей может повлечь ответственность за нарушение законодательства в этой сфере. Если у вас возникли вопросы или вам необходима помощь с оформлением Политики конфиденциальности, свяжитесь с юристами A4 Law Firm.