Как не получить штраф: 6 вопросов юристу про персональные данные на сайте НКО

Юрист Светлана Кузеванова подготовила рекомендации для НКО. Изображение с сайта www.mockupworld.co (СС0).
Юрист Светлана Кузеванова подготовила рекомендации для НКО. Изображение с сайта www.mockupworld.co (СС0).

В России действуют строгие правила обработки персональных данных людей, которые необходимо соблюдать как коммерческим, так и некоммерческим организациям. Если их нарушить – заплатите штраф. Старший юрист Центра защиты прав СМИ Светлана Кузеванова специально для Теплицы подготовила краткий обзор законодательства о персональных данных и рекомендации для НКО, как не быть оштрафованными.

Что такое персональные данные?

Персональные данные – это любая информация, относящаяся к определенному или определяемому человеку. Ими являются фамилия, имя и отчество, дата рождения, должность и место работы, адрес, паспортные данные. Исчерпывающий перечень персональных данных человека создать невозможно, потому что это может быть любая информация, которая идентифицирует человека. Напротив, персональными данными не будет являться информация, которая не позволяет определить конкретного человека. Например, если вы пишете «Иван из Санкт-Петербурга», то даже косвенно понять, что вы за человек, нельзя.

Важно, что объем сведений, который дает возможность определить, о ком идет речь, каждый раз может быть разным. Иногда даже полное ФИО не будет идентифицировать человека. А вот в случае если фамилия очень редкая или к ФИО добавляется должность человека в небольшой компании, то понять, о ком идет речь, можно.

Персональные данные содержатся практически во всех документах, начиная от паспорта, диплома об образовании, свидетельства о вступлении в брак и заканчивая грамотами и сертификатами о получении различных квалификаций.

Что такое обработка персональных данных?

Обработка персональных данных – это любые действия, которые с ними совершаются. Например, сбор, хранение, распространение, обезличивание и передача. Абсолютно любая организация так или иначе работает с ПД. Например, НКО может обрабатывать персональные данные своих сотрудников. В этом случае организация как оператор собирает информацию о людях, заводит личные дела или передает информацию, например, в налоговую службу или Пенсионный фонд.

Еще по теме: Фотография и закон: что можно публиковать и как не получить штраф

Кроме того, организация может обрабатывать данные, которые собираются через Интернет. Например, в ходе регистрации на мероприятие. Если в форме оставляется какая-то информация помимо имени и фамилии, к примеру, если человек называет себя и оставляет адрес своей электронной почты, должность и телефон, – вы работаете с персональными данными.

Важно, что персональные данные человека могут обрабатываться только с его согласия.

Какие документы должны быть в НКО, которая обрабатывает персональные данные?

Если НКО не собирает персональные данные через сайт, а обрабатывает только информацию о сотрудниках и других людях, то организация должна разработать пакет документов, в которых будет закрепляться:

– какие именно персональные данные обрабатывает организация;

– каких людей (сотрудников, волонтеров, жертвователей и т.д.);

– в каких целях и как обрабатываются данные;

– где хранится информация и как защищается от утечки;

– кто из сотрудников работает с данными и др.

Если НКО собирает персональные данные через Интернет, например, на сайте организации можно подписаться на рассылку, купить товар, или есть форма регистрации на мероприятия, или форма отправки сообщения, в которых запрашивается какая-то информация, помимо имени и почты, то нужно опубликовать «Политику конфиденциальности». Рекомендации по ее составлению есть на сайте Роскомнадзора. Ссылка на документ и кнопка «Согласен на обработку персональных данных» должны быть рядом с формой.

Так выглядит графа согласия на обработку персональных данных на сайте Теплицы социальных технологий.
Так выглядит графа согласия на обработку персональных данных на сайте Теплицы социальных технологий.

В «Политике конфиденциальности» также нужно указать, какие и чьи данные обрабатываются, зачем и какие меры принимают для их защиты. Этот документ должен быть опубликован на сайте, причем в относительно доступном месте, чтобы при желании его можно было легко найти.

Важно: если организация может безболезненно для работы отказаться от сбора какой-то информации, то надо отказываться. Например, для подписки на рассылку хватает имени и электронной почты, но совсем не нужны должность или место жительства.

В некоторых случаях организация должна получать письменное согласие людей, чьи данные обрабатываются. Например, если дело касается биометрических данных (отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека), а также когда обрабатывается информация о состоянии здоровья, расовой и национальной принадлежности, религиозных или философских убеждениях, интимной жизни или судимости, при трансграничной передаче или при публикации в общедоступных источниках (справочниках, адресных книгах, соцсетях).

Разрешение не нужно, если:

– есть общественный интерес;

– данные обезличены. Например, собранные данные распространяются в виде статистики. В этом случае нужно согласие только на сбор, но не на распространение;

– данные есть в общедоступных источниках. Например, в открытых базах данных и реестрах, которые НКО использует в своей работе и где персональные данные раскрыты на основании закона.

Нужно ли уведомлять Роскомнадзор об обработке персональных данных?

Да, если организация обрабатывает персональные данные на постоянной основе, работает с внештатными сотрудниками (волонтерами), регистрирует на своем сайте пользователей, просит пользователей заполнять формы с персональными данными, которые потом используются в рассылках или публикуются. Важно, что даже если НКО не отправила уведомление в Роскомнадзор, то это не делает организацию оператором персональных данных. Ведомство все равно может провести проверку.

Какие требования предъявляются к хранению данных?

Главное – чтобы оно не допускало несанкционированной утечки данных. Если утечка произошла, то анализироваться будет, насколько полные меры безопасности были приняты. Если виновен какой-то сотрудник, то проверяющие органы будут смотреть, был ли он предупрежден об ответственности, подписывал ли документы о неразглашении, и т.д.

Что будет, если нарушишь?

За нарушение правил обработки персональных данных НКО может грозить штраф. Например, если на сайте нет политики конфиденциальности, или если данные обрабатывались не для того, что указано в целях сбора. Максимальный штраф для организации – 75 тыс. рублей.

Для справки

Центр защиты прав СМИ – экспертная организация, помогающая журналистам, блогерам, фотографам и СМИ в судах. Мы ведем консультации по вопросам медиаправа, а также проводим бесплатные тренинги и вебинары.

Группа в Facebook.

Проект во «ВКонтакте» «Правила выживания в сети».