Приветствую вас на форуме клерка!
Вопрос объемный, прошу уточнять вопросы, если что-то неясно.
1. Конкретность, целевой характер, предметность
Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона о персональных данных). То есть все ваши действия с персональными данными должны быть связаны с той целью, с которой вы их получили.
Цель должна быть:
-
Законной. Например, сбор информации требует ТК РФ, законодательство о защите прав потребителей и т.д. Если нет конкретных норм закона, то собирать персональные данные нельзя.
-
Заранее определенной. Еще до начала обработки вы должны определиться с целью, которую вы преследуете, и довести ее до гражданина, чьи данные получаете. Для этого укажите цель в согласии на обработку персональных данных. Рекомендуем также закрепить ее в локальном акте, посвященном обработке данных (на каждом предприятии должна быть утверждена политика в области защиты персональных данных или иной подобный документ). Лучше, если цель обработки будет соответствовать той деятельности, которую вы фактически осуществляете и которая предусмотрена вашими учредительными документами. Например, вы некоммерческ4ая организация, которая помогает людям, собрав информацию вы не можете её передать или продать кому-то для других целей.
-
Конкретной. Чтобы у контролирующих органов не было повода придраться к вам, рекомендуем не использовать абстрактные формулировки, а указать цель максимально конкретно. Например, если вы хотите повысить продажи путем СМС-рассылки, в качестве цели должно быть указано не «повышение продаж», а «осуществление рекламной СМС-рассылки». Вы собираете данные для заключения договора об оказании услуг, то так и пишите, не просто для заключения договора.
Как обеспечить целевую обработку персональных данных
Чтобы обработка данных была целевой, удостоверьтесь в том, что (ч. 3 - 7 ст. 5 Закона о персональных данных):
-
содержание и объем данных соответствуют целям их обработки, то есть вы не обрабатываете избыточные данные. Избыточным может быть признано получение данных, никак не связанных с оказываемыми услугами. Например, если салон красоты просит клиентов сообщить их имущественное положение или образование;
-
у вас созданы раздельные базы для персональных данных, обработка которых осуществляется в целях, не совместимых между собой. В частности, рекомендуем иметь раздельные базы для сотрудников и клиентов;
-
вы обеспечиваете точность и достаточность, а при необходимости и актуальность данных по отношению к целям их обработки. Например, время от времени актуализируете базу телефонных номеров клиентов, обновляете полученные ранее копии документов. В противном случае вы рискуете нарушить закон. Например, это произойдет, если сменился владелец телефонного номера, а вы продолжаете отправлять на него рекламные сообщения, хотя новый владелец своего согласия на это не давал.
Также вы должны обеспечить удаление или уточнение неполных, или неточных данных;
- вы уничтожаете либо обезличиваете данные, если цели обработки достигнуты или утрачена необходимость в их достижении (если законом не предусмотрено иное). В частности, не рекомендуем хранить документы, содержащие персональные данные, дольше, чем это необходимо в целях бухгалтерского и налогового учета.
У оператора при сборе персональных данных возникают следующие основные обязанности (ч. 1, 2 ст. 18 Закона о персональных данных):
-
предоставить информацию гражданину, если он об этом просит. Речь идет о сведениях, указанных в ч. 7 ст. 14 Закона о персональных данных. В частности, вы должны сообщить, кто, на каком основании, с какой целью и какими способами будет обрабатывать его данные;
-
разъяснить последствия отказа предоставить данные, если их предоставление является обязательным в соответствии с федеральным законом. Например, если при покупке SIM-карты гражданин отказывается предоставить свои паспортные данные, то последствие, как правило, выражается в отказе предоставить услугу. Факт разъяснения рекомендуем оформить документально, например, получить с гражданина расписку о том, что он его получил.
2. Распространение третьим лицам
Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно от иных подобных согласий физического лица (ч. 1 ст. 10.1 Закона о персональных данных).
Требования к содержанию согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ч. 1 ст. 23 Закона о персональных данных, п. 1 Положения, утвержденного Постановлением Правительства РФ от 16.03.2009 № 228). Они утверждены Приказом Роскомнадзора от 24.02.2021 № 18.
В согласие включаются, в частности:
• фамилия, имя, отчество (при наличии), контактная информация субъекта персональных данных;
• сведения об операторе, его информационных ресурсах, с помощью которых предоставляется доступ к данным;
• цель обработки данных;
• категории и перечень данных, на обработку которых дается согласие;
• срок действия согласия.
Оператор обязан обеспечить физическому лицу возможность определить перечень персональных данных, разрешенных для распространения, по каждой категории данных, указанной в согласии на обработку (ч. 1 ст. 10.1 Закона о персональных данных).
3. Персональные данные для суда, судебных приставов, прокуратуры и т.д.
Закон предусматривает случаи, когда передача конфиденциальной информации (персональных данных) не признается ее разглашением. Как правило, в этих случаях передача сведений необходима для обеспечения интересов государства, прав и законных интересов других лиц. Например, можно свободно передавать персональные данные, если они нужны для осуществления правосудия (п. 3 ч. 1 ст. 6 Закона о персональных данных). А сведения, составляющие коммерческую тайну, их обладатель обязан безвозмездно передать по мотивированному требованию государственного органа (ч. 1 ст. 6 Закона о коммерческой тайне). Судебные приставы-исполнители работают в рамках исполнения решения судов и осуществления правосудные и соблюдения интересов третьих лиц, поэтому согласия не требуется.