Шесть принципов обработки персональных данных
1.Наличие законных оснований
3. Отсутствие избыточности
Нельзя просто так собирать данные пользователей — для этого должны быть основания: согласие на обработку персональных данных, договор, публичная оферта, закон и др.
Например, обработка данных работников осуществляется на основании Трудового, Налогового кодексов и других нормативно правовых актов, внутренних политик и положений организации или согласия на обработку персональных данных, если его нужно получать.
А данные пользователей могут обрабатываться на основании Закона о защите прав потребителей и Публичной оферты или согласия на обработку персональных данных.
Обработка персональных данных не должна быть бесцельной.
Не допустимо собирать и хранить данные физлиц на случай, если они понадобятся в будущем для чего–либо.
Если вам нужно пояснение по вопросу, что является целью обработки персональных данных, мы всегда готовы уточнить спорные моменты.
Состав обрабатываемых данных не должен превышать необходимый для достижения цели. К примеру, для доставки товара не нужна информация о дате рождения пользователя, поэтому запрашивать и обрабатывать ее нельзя.
Но если вы поздравляете пользователя с днем рождения и дарите ему бонусы, то дату рождения можно обрабатывать, но эта цель должна быть описана в согласии или публичной оферте.
4. Прекращение обработки по достижению цели
После того, как цель была достигнута и никаких законных оснований для хранения данных нет, их необходимо удалить, либо уничтожить.
Например, после удаления аккаунта пользователя вы должны хранить часть его данных примерно 5 лет, для финансовой отчетности. Но все остальные данные, которые не требуются для данной цели, вам необходимо удалить.
5. Запрет объединения баз данных с несовместимыми целями
Нельзя хранить данные физлиц, если они обрабатываются в совершенно разных целях, совместно. Например, нельзя хранить данные пользователей совместно с данными представителей подрядчиков.
В данном случае допустимо их хранить в одной системе, но, как минимум, в разных базах данных. То есть необходимо разграничить каким – либо образом места хранения данных, которые хранятся в разных целях.
6. Точность и актуальность
Если организации становится известно, что персональные данные поменялись, их нужно актуализировать. К примеру, если пользователь поменял номер телефона, то он должен предоставить обновленный номер, а организация должна скорректировать данную информацию.
Иначе организация будет звонить человеку, который не является ее клиентом, а он может подать жалобу в Роскомнадзор.
152-ФЗ формирует принципы обработки данных пользователей, которые помогут понять как защитить персональные данные в организации. Некоторые из них, правда, дублируют сами себя.