Что НКО нужно знать о новых изменениях в законодательстве в области персональных данных

По словам юриста Василия Романца, риски у общественных организаций связаны исключительно с возросшими размерами штрафов. Изображение с сайта www.pexels.com (СС0)
По словам юриста Василия Романца, риски у общественных организаций связаны исключительно с возросшими размерами штрафов. Изображение с сайта www.pexels.com (СС0)

1 июля 2017 года в силу всту­па­ют поправ­ки, вне­сен­ные в ста­тью 13.11 Кодек­са об адми­ни­стра­тив­ных пра­во­на­ру­ше­ни­ях. Они уста­нав­ли­ва­ют нака­за­ния за нару­ше­ние поряд­ка сбо­ра, хра­не­ния, исполь­зо­ва­ния или рас­про­стра­не­ния пер­со­наль­ных дан­ных граж­дан. Замре­дак­то­ра Теп­ли­цы Ната­лья Бара­но­ва пого­во­ри­ла с экс­пер­том ассо­ци­а­ции «Юри­сты за граж­дан­ское обще­ство» Васи­ли­ем Роман­цом и узна­ла, каким обра­зом ново­вве­де­ния могут отра­зить­ся на рабо­те неком­мер­че­ских орга­ни­за­ций. В интер­вью юрист объ­яс­нил, как гра­мот­но исполь­зо­вать пер­со­наль­ные дан­ные (ПД) и не полу­чить штраф.

– Василий, расскажите, в чем суть поправок?

— Зако­но­да­тель­ные изме­не­ния кон­кре­ти­зи­ру­ют соста­вы адми­ни­стра­тив­ных пра­во­на­ру­ше­ний в сфе­ре обра­бот­ки ПД, кото­рые были и ранее, но в более раз­мы­том виде. Весь­ма суще­ствен­но уве­ли­чи­ва­ют­ся штра­фы, а так­же пра­во состав­ле­ния про­то­ко­лов об адми­ни­стра­тив­ных пра­во­на­ру­ше­ни­ях пере­да­ет­ся от орга­нов про­ку­ра­ту­ры к Рос­ком­над­зо­ру (чест­но гово­ря, нико­гда не пони­мал, поче­му это не было сде­ла­но рань­ше).

Таким обра­зом, все обя­зан­но­сти, воз­ла­га­е­мые феде­раль­ным зако­ном (ФЗ) «О пер­со­наль­ных дан­ных» на опе­ра­то­ров пер­со­наль­ных дан­ных, и НКО в том чис­ле, оста­ют­ся в неиз­мен­ном виде, но ответ­ствен­ность за их неис­пол­не­ние уже­сто­ча­ет­ся.

– По-вашему мнению, как это отразится на работе НКО?

– Прин­ци­пи­аль­ным обра­зом эти изме­не­ния ниче­го в рабо­те НКО не меня­ют. Рис­ки у обще­ствен­ных орга­ни­за­ций свя­за­ны исклю­чи­тель­но с воз­рос­ши­ми раз­ме­ра­ми штра­фов. Напри­мер, если рань­ше за обра­бот­ку ПД без пись­мен­но­го согла­сия субъ­ек­та (в слу­ча­ях, когда пись­мен­ная фор­ма согла­сия обя­за­тель­на) юри­ди­че­ское лицо мог­ли оштра­фо­вать на сум­му от 5 000 до 10 000 руб­лей, то с 1 июля 2017 года раз­мер штра­фа уже будет опре­де­лять­ся в диа­па­зоне от 15 000 до 75 000 руб­лей.

При этом еди­нич­ным штра­фом, как пра­ви­ло, дело не огра­ни­чи­ва­ет­ся, так как каж­дое нару­ше­ние рас­смат­ри­ва­ет­ся отдель­но. То есть если орга­ни­за­ция обра­ба­ты­ва­ет ПД 10 чело­век без полу­че­ния от них соот­вет­ству­ю­ще­го согла­сия, то это будет ква­ли­фи­ци­ро­вать­ся как 10 отдель­ных нару­ше­ний и, соот­вет­ствен­но, речь пой­дет о нало­же­нии на орга­ни­за­цию 10 штра­фов.

– Какие шаги нужно предпринять, чтобы избежать штрафа?

– Оче­вид­но, что­бы не полу­чить штраф, нуж­но соблю­дать тре­бо­ва­ния ФЗ «О пер­со­наль­ных дан­ных» и при­ня­тых в соот­вет­ствии с ним под­за­кон­ных актов. Обя­зан­но­сти опе­ра­то­ров ПД вклю­ча­ют в себя при­ня­тие орга­ни­за­ци­он­ных и тех­ни­че­ских мер по защи­те ПД. Во-пер­вых, в НКО долж­но быть ответ­ствен­ное лицо, кото­рое зани­ма­ет­ся раз­ра­бот­кой локаль­ных актов орга­ни­за­ции (в том чис­ле доку­мен­та, опре­де­ля­ю­ще­го поли­ти­ку опе­ра­то­ра в сфе­ре обра­бот­ки ПД), допуск работ­ни­ков к обра­бот­ке ПД, полу­че­ние согла­сий субъ­ек­тов.

Во-вто­рых, нуж­но при­ме­нять сред­ства защи­ты инфор­ма­ции. Посколь­ку в наш век высо­ких тех­но­ло­гий доку­мен­ты, в том чис­ле содер­жа­щие ПД, созда­ют­ся в элек­трон­ном виде, да еще и при под­клю­че­нии к сети Интер­нет, воз­ни­ка­ет необ­хо­ди­мость тех­ни­че­ской защи­ты ПД от несанк­ци­о­ни­ро­ван­но­го досту­па к ним.

Еще по теме: В Санкт-Петер­бур­ге рас­ска­за­ли о спо­со­бах защи­ты инфор­ма­ции в сети

Для опре­де­ле­ния необ­хо­ди­мых тех­ни­че­ских средств защи­ты инфор­ма­ции закон обя­зы­ва­ет всех опе­ра­то­ров ПД раз­ра­бо­тать «модель угроз» (ста­тья 19 ФЗ «О пер­со­наль­ных дан­ных»). Есть раз­лич­ные сред­ства защи­ты инфор­ма­ции, но при­ме­не­ние кон­крет­ных зави­сит имен­но от тех угроз, кото­рые самим опе­ра­то­ром пер­со­наль­ных дан­ных при­зна­ны акту­аль­ны­ми.

Важ­но, что все сред­ства защи­ты долж­ны иметь сер­ти­фи­ка­ты Феде­раль­ной служ­бы по тех­ни­че­ско­му и экс­порт­но­му кон­тро­лю и Феде­раль­ной служ­бы без­опас­но­сти. Соот­вет­ству­ю­щий сер­ти­фи­кат дол­жен быть и у анти­ви­рус­но­го обес­пе­че­ния.

Лишь после про­ве­де­ния всей этой пред­ва­ри­тель­ной рабо­ты уже мож­но решать вопрос о пода­че соот­вет­ству­ю­ще­го уве­дом­ле­ния в Рос­ком­над­зор (непо­да­ча кото­ро­го кара­ет­ся отдель­ным штра­фом). Поэто­му пер­вым шагом любо­го опе­ра­то­ра ПД явля­ет­ся назна­че­ние лица, ответ­ствен­но­го за обра­бот­ку ПД, и изу­че­ние дан­ным лицом соот­вет­ству­ю­щей обла­сти зако­но­да­тель­ства.

– На сайтах НКО есть разные формы, в которых читателю предлагают подписаться на новости, оставить комментарий, сделать пожертвование, при этом оставив свое имя и адрес электронной почты. Объясните, что в этих случаях считается персональными данными?

– Заме­чу, что фор­му­ли­ров­ка поня­тия «пер­со­наль­ные дан­ные» крайне некор­рект­на. Соглас­но пунк­ту 1 ста­тьи 3 ФЗ «О пер­со­наль­ных дан­ных» – это «любая инфор­ма­ция, отно­ся­ща­я­ся к пря­мо или кос­вен­но опре­де­лен­но­му или опре­де­ля­е­мо­му физи­че­ско­му лицу (субъ­ек­ту пер­со­наль­ных дан­ных)». Несмот­ря на это, в каче­стве ПД все же дол­жен рас­смат­ри­вать­ся некий набор инфор­ма­ции, поз­во­ля­ю­щей иден­ти­фи­ци­ро­вать кон­крет­но­го чело­ве­ка. Напри­мер, ФИО и дата рож­де­ния или адрес про­жи­ва­ния.

Сами по себе ФИО (при абстракт­ной воз­мож­но­сти суще­ство­ва­ния пол­ных тезок) или адрес элек­трон­ной почты, для реги­стра­ции кото­ро­го не тре­бу­ет­ся како­го-либо под­твер­жде­ния досто­вер­но­сти пер­со­наль­ных дан­ных, не долж­ны рас­смат­ри­вать­ся в каче­стве пер­со­наль­ных дан­ных.

Плюс к это­му, если чита­тель, то есть субъ­ект ПД, при запол­не­нии раз­лич­ных форм для уча­стия в меро­при­я­тии или полу­че­ния инфор­ма­ци­он­ной рас­сыл­ки остав­ля­ет свои дан­ные доб­ро­воль­но. То есть нали­чие его согла­сия пре­зю­ми­ру­ет­ся. Вме­сте с тем все­гда нуж­но пом­нить о том, что обра­бот­ка ПД долж­на соот­вет­ство­вать зара­нее опре­де­лен­ным целям. Сто­ит подроб­но изу­чить ста­тью 5 ФЗ «О пер­со­наль­ных дан­ных».

– В каких случаях разрешается использовать персональные данные?

– «Что-то делать» с ПД (соби­рать, хра­нить, обра­ба­ты­вать) мож­но толь­ко в том слу­чае, если на это есть соот­вет­ству­ю­щее согла­сие субъ­ек­та. Если чита­тель под­пи­сы­ва­ет­ся исклю­чи­тель­но на инфор­ма­ци­он­ную рас­сыл­ку (напри­мер, еже­ме­сяч­ный бюл­ле­тень), то адрес его элек­трон­ной почты нель­зя исполь­зо­вать в иных целях: рас­сыл­ки парт­не­рам, при­гла­ше­ния на меро­при­я­тия, про­дви­же­ние това­ров, работ, услуг и так далее. Пря­мой запрет уста­нов­лен в ста­тье 15 ФЗ «О пер­со­наль­ных дан­ных».

Что каса­ет­ся пожерт­во­ва­ний, то нуж­но раз­ли­чать, как имен­но дела­ет­ся пожерт­во­ва­ние. Если речь идет об обез­ли­чен­ном пожерт­во­ва­нии, напри­мер, на элек­трон­ный коше­лек, то ПД не обра­ба­ты­ва­ют­ся. Если же пожерт­во­ва­ние име­ет целе­вой харак­тер или в соот­вет­ствии с зако­но­да­тель­ством под­ле­жит обя­за­тель­но­му оформ­ле­нию дого­во­ром, то в этом слу­чае на обра­бот­ку ПД уже рас­про­стра­ня­ют­ся все тре­бо­ва­ния зако­но­да­тель­ства о ПД.

Читать закон  «О пер­со­наль­ных дан­ных».