Что НКО нужно знать о новых изменениях в законодательстве в области персональных данных

По словам юриста Василия Романца, риски у общественных организаций связаны исключительно с возросшими размерами штрафов. Изображение с сайта www.pexels.com (СС0)
По словам юриста Василия Романца, риски у общественных организаций связаны исключительно с возросшими размерами штрафов. Изображение с сайта www.pexels.com (СС0)

1 июля 2017 года в силу вступают поправки, внесенные в статью 13.11 Кодекса об административных правонарушениях. Они устанавливают наказания за нарушение порядка сбора, хранения, использования или распространения персональных данных граждан. Замредактора Теплицы Наталья Баранова поговорила с экспертом ассоциации «Юристы за гражданское общество» Василием Романцом и узнала, каким образом нововведения могут отразиться на работе некоммерческих организаций. В интервью юрист объяснил, как грамотно использовать персональные данные (ПД) и не получить штраф.

– Василий, расскажите, в чем суть поправок?

— Законодательные изменения конкретизируют составы административных правонарушений в сфере обработки ПД, которые были и ранее, но в более размытом виде. Весьма существенно увеличиваются штрафы, а также право составления протоколов об административных правонарушениях передается от органов прокуратуры к Роскомнадзору (честно говоря, никогда не понимал, почему это не было сделано раньше).

Таким образом, все обязанности, возлагаемые федеральным законом (ФЗ) «О персональных данных» на операторов персональных данных, и НКО в том числе, остаются в неизменном виде, но ответственность за их неисполнение ужесточается.

– По-вашему мнению, как это отразится на работе НКО?

– Принципиальным образом эти изменения ничего в работе НКО не меняют. Риски у общественных организаций связаны исключительно с возросшими размерами штрафов. Например, если раньше за обработку ПД без письменного согласия субъекта (в случаях, когда письменная форма согласия обязательна) юридическое лицо могли оштрафовать на сумму от 5 000 до 10 000 рублей, то с 1 июля 2017 года размер штрафа уже будет определяться в диапазоне от 15 000 до 75 000 рублей.

При этом единичным штрафом, как правило, дело не ограничивается, так как каждое нарушение рассматривается отдельно. То есть если организация обрабатывает ПД 10 человек без получения от них соответствующего согласия, то это будет квалифицироваться как 10 отдельных нарушений и, соответственно, речь пойдет о наложении на организацию 10 штрафов.

– Какие шаги нужно предпринять, чтобы избежать штрафа?

– Очевидно, чтобы не получить штраф, нужно соблюдать требования ФЗ «О персональных данных» и принятых в соответствии с ним подзаконных актов. Обязанности операторов ПД включают в себя принятие организационных и технических мер по защите ПД. Во-первых, в НКО должно быть ответственное лицо, которое занимается разработкой локальных актов организации (в том числе документа, определяющего политику оператора в сфере обработки ПД), допуск работников к обработке ПД, получение согласий субъектов.

Во-вторых, нужно применять средства защиты информации. Поскольку в наш век высоких технологий документы, в том числе содержащие ПД, создаются в электронном виде, да еще и при подключении к сети Интернет, возникает необходимость технической защиты ПД от несанкционированного доступа к ним.

Еще по теме: В Санкт-Петербурге рассказали о способах защиты информации в сети

Для определения необходимых технических средств защиты информации закон обязывает всех операторов ПД разработать «модель угроз» (статья 19 ФЗ «О персональных данных»). Есть различные средства защиты информации, но применение конкретных зависит именно от тех угроз, которые самим оператором персональных данных признаны актуальными.

Важно, что все средства защиты должны иметь сертификаты Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности. Соответствующий сертификат должен быть и у антивирусного обеспечения.

Лишь после проведения всей этой предварительной работы уже можно решать вопрос о подаче соответствующего уведомления в Роскомнадзор (неподача которого карается отдельным штрафом). Поэтому первым шагом любого оператора ПД является назначение лица, ответственного за обработку ПД, и изучение данным лицом соответствующей области законодательства.

– На сайтах НКО есть разные формы, в которых читателю предлагают подписаться на новости, оставить комментарий, сделать пожертвование, при этом оставив свое имя и адрес электронной почты. Объясните, что в этих случаях считается персональными данными?

– Замечу, что формулировка понятия «персональные данные» крайне некорректна. Согласно пункту 1 статьи 3 ФЗ «О персональных данных» – это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Несмотря на это, в качестве ПД все же должен рассматриваться некий набор информации, позволяющей идентифицировать конкретного человека. Например, ФИО и дата рождения или адрес проживания.

Сами по себе ФИО (при абстрактной возможности существования полных тезок) или адрес электронной почты, для регистрации которого не требуется какого-либо подтверждения достоверности персональных данных, не должны рассматриваться в качестве персональных данных.

Плюс к этому, если читатель, то есть субъект ПД, при заполнении различных форм для участия в мероприятии или получения информационной рассылки оставляет свои данные добровольно. То есть наличие его согласия презюмируется. Вместе с тем всегда нужно помнить о том, что обработка ПД должна соответствовать заранее определенным целям. Стоит подробно изучить статью 5 ФЗ «О персональных данных».

– В каких случаях разрешается использовать персональные данные?

– «Что-то делать» с ПД (собирать, хранить, обрабатывать) можно только в том случае, если на это есть соответствующее согласие субъекта. Если читатель подписывается исключительно на информационную рассылку (например, ежемесячный бюллетень), то адрес его электронной почты нельзя использовать в иных целях: рассылки партнерам, приглашения на мероприятия, продвижение товаров, работ, услуг и так далее. Прямой запрет установлен в статье 15 ФЗ «О персональных данных».

Что касается пожертвований, то нужно различать, как именно делается пожертвование. Если речь идет об обезличенном пожертвовании, например, на электронный кошелек, то ПД не обрабатываются. Если же пожертвование имеет целевой характер или в соответствии с законодательством подлежит обязательному оформлению договором, то в этом случае на обработку ПД уже распространяются все требования законодательства о ПД.

Читать закон  «О персональных данных».