Руководство почти по методу SMART 🎯
💡 Цель обработки — это то, для чего вы собирали персональные данные.
Все, что вы делаете с персональными данными, должно быть связано и ограничено целью обработки, иначе могут оштрафовать. Целей может быть несколько. Например, адрес электронной почты может потребоваться как для создания личного кабинета, так и для проведения рекламной рассылки.
Как сформулировать цель?
🔹 Заранее — до начала каких-либо действий с этими данными;
🔹 Конкретно и понятно — избегайте общих формулировок. Например, не стоит писать “повышение уровня продаж” вместо “проведения рекламной рассылки”;
🔹 Законно — цель обработки не должна нарушать закон.
Чтобы сформулировать цели можно, например, изучить подробнее бизнес-процессы, в которых есть персональные данные и определить зачем они там нужны. Роскомнадзор рекомендует обратиться к целям вашей коммерческой деятельности и формулировать цели исходя из них.
📍 Формулируя цель важно помнить, что содержание и объем данных должны им соответствовать. Иными словами Вы не должны собирать данных больше, чем нужно. Например, для оформления доставки не стоит интересоваться уровнем образования или философскими убеждениями заказчика (с последними надо быть очень аккуратными — это специальная категория данных).
Где указывать цели?
Цели надо не только сформулировать, но еще о них рассказать. Вот перечень документов, в которых необходимо это сделать:
🔹 Политика обработки персональных данных;
🔹 Согласие на обработку персональных данных;
🔹 Уведомление о начале обработки персональных данных.
Как указывать?
Закон говорит, что в отношении каждой цели надо указать: чьи персональные данные обрабатываются (пользователя, клиента, покупателя и т.п.), их перечень и категории, а также способы, сроки обработки и порядок уничтожения. Визуально можно оформить в виде таблицы, вынеся какие-то постоянные элементы в текстовую редакцию. Таблица, например, может выглядеть вот так:
Что делать после того, как цели определены?
🔹 создать раздельные базы с персональными данными, обработка которых осуществляется в целях, не совместимых между собой (например, базы данных сотрудников и клиентов);
🔹 следить за актуальностью данных по отношению к целям их обработки. Обновлять базы данных;
🔹 удалять/уточнять неполные или неточные данные;
🔹 удалить данные после окончания срока обработки.