Как собирать персональные данные и не нарушать закон

Советы юриста, как НКО получать согласия на сбор персональных данных Изображение: Freepik.

Команды НКО собирают разные персональные данные пользователей. Например, для подписки на рассылку или публикации информации о благополучателях на сайте. Как правильно собирать эти данные и соблюдать при этом все юридические требования? Разобраться в теме помогла Ольга Числова, советник трудовой практики и практики по персональным данным Freshfields Bruckhaus Deringer LLP.

Необходимо получить согласие

Согласно Федеральному закону №152-ФЗ «О персональных данных», персональные данные — это любая информация о субъекте. То есть это не только имя, возраст и паспортные данные. Но и, например, фотографии, философские убеждения, политические взгляды, информация о состоянии здоровья.

И практически в каждом случае до начала обработки персональных данных нужно получить согласие физического лица и правильно его оформить. В законе указано, что согласие на обработку персональных данных должно быть информированным и сознательным. Это означает, что из текста согласия человек должен понять, как будут использоваться его персональные данные, будут ли они передаваться, размещаться на сайте, с какой целью НКО их запрашивает.

В некоторых случаях закон разрешает получать согласие в любой форме, даже устной. Но юристы рекомендуют запрашивать любые согласия в той форме, которая позволит при необходимости доказать их получение. Например, при подписке на рассылку пользователю достаточно поставить галочку рядом с формулировкой «Даю согласие на обработку данных…». Но и в этом случае НКО следует сохранять электронные подтверждения всех согласий, собранных на сайте. 

А в других случаях закон требует составления согласия по определенной письменной форме. В таком согласии обязательно должны быть все установленные законом условия, оно должно быть подписано субъектом собственноручно или электронной подписью. Письменное согласие по установленной законом форме требуется, например, на обработку специальных категорий персональных данных (сюда относятся данные о здоровье) или на передачу работодателем данных работников третьим лицам, в том числе в коммерческих целях. 

А вот при передаче организацией ФИО волонтеров в больницу для оформления им пропусков на вход — письменное согласие по установленной законом форме не требуется. В этой ситуации НКО может получить даже устное согласие. Но следует все же помнить, что закон требует от оператора получать согласия в форме, позволяющей подтвердить факт их получения. 

Для каждой цели свое согласие

Особо внимательно следует относиться к согласиям, которые закон требует составлять в установленной законом письменной форме. Первые годы после принятия закона о персональных данных считалось, что в одном письменном согласии по строгой письменной форме можно перечислить все цели обработки персональных данных одного человека. Это было удобно, ведь одним согласием можно было охватить почти все случаи. Но потом сотрудники Роскомнадзора разъяснили, что одно согласие по строгой письменной форме может содержать только одну цель.

Например, вы помогаете ребенку и собираете его данные. Для чего? Для передачи в медицинскую организацию с целью лечения и для публикации информации о нем на сайте с целью сбора средств. Часть собранных данных можно передавать на основании простого согласия (не письменного по строгой форме).

Законом не урегулировано, что нужно вносить в простое согласие. Как мы помним, закон требует, чтобы согласие было конкретным, сознательным и информированным. А уж соответствует ли оно этим требованиям, будут решать Роскомнадзор и суд. Поэтому Ольга Числова считает, что НКО спокойнее указать в простом согласии примерно ту же информацию, что и в строгом письменном, включая реквизиты оператора и субъекта, обрабатываемые данные, цели и виды их обработки, порядок отзыва согласия и срок его действия. А также получить подпись субъекта.

Каждый раз, когда вы для чего-то нового используете имя и фамилию человека, — это новое согласие. Но, к счастью, такое согласие не всегда должно быть составлено по строгой письменной форме.

CHIslova 150x150 - Как собирать персональные данные и не нарушать закон

Ольга Числова,

советник трудовой практики и практики по персональным данным Freshfields Bruckhaus Deringer LLP

Но данные о здоровье ребенка можно обрабатывать исключительно на основании согласия в строгой письменной форме. И тут простого согласия будет недостаточно. Получается, если вы хотите передать данные ребенка медицинской организации и начать сбор для этого же ребенка на своем сайте, вам придется делать два разных письменных согласия под эти цели. Уместить в одно согласие все, что требует закон, сегодня просто невозможно.

Нужно учитывать виды обработки данных

Есть много видов обработки данных: передача, сбор, хранение, использование, уточнение, запись, распространение. Раньше распространение (действия, направленные на раскрытие персональных данных неопределенному кругу лиц) рассматривалось как подвид передачи и не требовало составления специальных документов. Но с 1 марта 2021 года к распространению применяются специальные правила обработки.

И сейчас для распространения требуется получение отдельного согласия. То есть уже нельзя написать «даю согласие на сбор, хранение и распространение моих данных», нужно составить два отдельных согласия. 

Например, если кто-то захотел подписаться на рассылку вашей НКО и передает вам адрес своей электронной почты, это считается передачей данных определенному лицу. Здесь будет достаточно поставить галочку о согласии на обработку данных. А если человек дает разрешение на то, чтобы его данные находились в открытом доступе для сбора средств, то это другая форма обработки данных – распространение.

Важно не путать цель и вид обработки. Цель — это то, для чего собирают данные. Например, чтобы на своем сайте объявить сбор на лечение. А вид обработки — это то, что делают с данными. Например, их собирают, распространяют, хранят, используют, передают, уточняют, записывают. Если данные с одной целью собираются, передаются и распространяются, придется получить два согласия: одно на любые виды обработки, кроме распространения, второе – на распространение. 

В итоге схема примерно такая: НКО нужно проанализировать категории субъектов персональных данных, с которыми они работают, выделить категории обрабатываемых данных, цели обработки, способы, срок, виды обработки.

CHIslova 150x150 - Как собирать персональные данные и не нарушать закон

Ольга Числова,

советник трудовой практики и практики по персональным данным Freshfields Bruckhaus Deringer LLP

Далее эксперт советует определить, для каких случаев требуются письменные согласия на обработку таких данных по строгой форме, а для каких не требуются. И разработать шаблоны таких согласий под каждый случай.

Другие обязательные документы

Кроме согласий, согласно закону, необходимо подготовить еще ряд документов.

  •  Положение об обработке персональных данных. Этот документ устанавливает, как именно НКО обрабатывает персональные данные: в каких целях, как защищаются эти данные, кто имеет к ним доступ. Это локальный нормативный акт, который принимается приказом руководителя и доводится до сведения всех работников под роспись. Публиковать его НКО не обязаны.
  • Приказ о том, кто назначается ответственным за организацию обработки персональных данных в НКО. Обычно это сотрудник отдела кадров или IT-отдела.
  • Еще надо издать политику по обработке персональных данных, в которой НКО объясняют, как будут обрабатываться персональные данные. Политика обязательно должна находиться в открытом доступе. Если у вас есть сайт, ее необходимо разместить там, если нет — политика должна быть доступна для посетителей в вашем офисе (например, распечатанная версия может храниться у секретаря).

Возможные штрафы

Любой субъект, то есть лицо, чьи данные обрабатывает НКО, может пожаловаться в Роскомнадзор на нарушение с вашей стороны. В этом случае НКО ожидает проверка регулирующего органа и, возможно, штраф. Ответственность за нарушение законодательства о персональных данных установлена Кодексом об административных правонарушениях Российской Федерации, в частности, статьями 13.11 и 13.14. Размер штрафа зависит от конкретного нарушения.

С марта 2021 года штрафы за большую часть нарушений законодательства о персональных данных повышены в два раза. Если ранее максимальный размер штрафа не превышал 75 тысяч рублей, то сегодня ситуация изменилась. Если НКО обрабатывает данные в целях, не совместимых с указанной целью их сбора, ее могут оштрафовать на сумму до 100 тысяч рублей, а за повторное совершение того же нарушения — до 300 тысяч рублей. Если НКО не собрала письменные согласия на обработку персональных данных, когда этого требует закон, штраф может составить до 150 тысяч рублей за первое нарушение и до 500 тысяч рублей за повторное.

Куда обращаться за юридической помощью

Если в штате вашей организации нет юриста, Ольга Числова советует обратиться в любую юридическую компанию, которая помогает НКО pro bono. Ее специалисты помогут вам подготовить все необходимые документы. Такую компанию можно найти через PilNet (Институт «Право общественных интересов»).

Сама Ольга Числова совместно с коллегой, юристом Мариной Соколовой, помогала подготовить документы, необходимые для обработки персональных данных, благотворительному фонду Константина Хабенского. Сотрудники фонда предоставили сводную таблицу о том, с кем они работают, какие данные обрабатывают и какие в каждом случае цели обработки. Подготовка всех документов (порядка 60 шаблонов письменных согласий на обработку персональных данных) заняла около восьми месяцев. 

Сегодня фонд может делиться этими документами с другими НКО. Но важно помнить, что в любой момент может потребоваться обновление шаблонов и других документов в случае изменения законодательства и правоприменительной практики. Чтобы убедиться в том, что ваши документы соответствуют требованиям закона, необходимо обратиться к юристам.