Что делать с персональными данными на сайте НКО: советы и инструкции

7 июля 2017 года в Перми прошел митап Теплицы социальных технологий на тему «Персональные данные: новые требования к владельцам сайтов и НКО». Ирина Михайлова, юрист, фандрайзер ПРОО «Территория семьи», и Алексей Богдановский, директор интернет-агентства «Амадо», рассказали о требованиях к работе…

7 июля 2017 года в Перми прошел митап Теплицы социальных технологий на тему «Персональные данные: новые требования к владельцам сайтов и НКО». Юрист, фандрайзер общественной организации «Территория семьи» Ирина Михайлова и директор интернет-агентства «Амадо» Алексей Богдановский подробно рассказали о том, что изменилось в работе с персональными данными и что нужно сделать, чтобы не получить штраф.

Закон о персональных данных был принят в 2006 году, но наказания за нарушения были небольшими: штрафы до 10 тысяч рублей. С 1 июля 2017 года вступила в силу новая редакция статьи 13.11 КОАП РФ, и сейчас штрафы стали существенными: до 75 тысяч рублей за одно правонарушение, а нарушений может быть несколько.

Ирина Михайлова уточнила, что сейчас Роскомнадзор получил полномочия самостоятельно (без участия прокуратуры) составлять протоколы об административных правонарушениях и направлять их в суд.

Персональные данные – совокупность отдельной информации о человеке: e-mail, телефон, имя, фамилия, отчество (вместе и по отдельности), адрес, дата рождения, фотография. В отдельности эти данные не дадут возможности идентифицировать человека.

«По моим наблюдениям, сейчас пермское управление Роскомнадзора не настроено штрафовать. Сотрудники готовы консультировать и, в первую очередь, выносить предупреждения», – рассказывает Ирина Михайлова.

Ирина Михайлова на митапе о персональных данных. Фото Ивана Печищева.
Ирина Михайлова на митапе о персональных данных. Фото Ивана Печищева.

Обработка данных в соответствии с законом – это сбор анкет или регистрация на мероприятие, работа с базой рассылки, составление списка волонтеров с телефонами. Все эти работы, по словам экспертов, в НКО должны быть регламентированы.

«Важно знать, что НКО самостоятельно определяют состав и перечень мер, необходимых и достаточных для работы с персональными данными. Если вы не регламентируете работу с персональными данными, вам может грозить штраф». Ирина Михайлова.

Михайлова отметила, что по закону все персональные данные должны размещаться на серверах на территории Российской Федерации. Роскомнадзор проводит плановые и внеплановые проверки. Внеплановые могут проводиться по требованию прокуратуры, по заявлениям. Роскомнадзор определяет для каждой организации категорию риска и класс (категорию) опасности.

Советы от Ирины Михайловой

1.Определите группы данных, с которыми вы будете работать. Речь идет о данных сотрудников НКО, благополучателей, волонтеров. У каждой группы может быть свой состав данных, могут отличаться цели и действия по обработке.

2. Создайте политику обработки персональных данных. Опишите в ней цели сбора, состав данных и действия, которые с ними совершаются. Разработанный документ необходимо опубликовать на сайте.

3. Уведомите территориальное управление Роскомнадзора. Вы должны собщить о своем намерении осуществлять обработку персональных данных. Регистрация операторов, осуществляющих обработку персональных данных, проводится в разделе «Оказание государственных услуг».

Еще по теме: Что НКО нужно знать о новых изменениях в законодательстве в области персональных данных

4. Выполните минимум обязательных действий. Назначьте ответственного, разработайте документы, ознакомьте с ними сотрудников и посетителей сайта, контролируйте выполнение закона, защищайте данные.

5. Разработайте согласие на обработку персональных данных. По закону пользователь может дать его «в любой позволяющей подтвердить факт его получения форме» (нажатие «чек-бокса», подпись). Текст согласия необходимо опубликовать на сайте.

Согласие в специальной письменной форме обязательно только в четырех случаях, описанных в законе: при трансграничной передаче данных, биометрические персональные данные, специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья), публикация персональных данных в справочниках, адресных книгах, сайтах.

Скачать презентацию Ирины Михайловой в формате PDF

Алексей Богдановский на митапе о персональных данных. Фото Ивана Печищева.
Алексей Богдановский на митапе о персональных данных. Фото Ивана Печищева.

Советы от Алексея Богдановского

1. Нельзя копировать политику обработки персональных данных с других сайтов. И использовать документ, заменив только название компании. Ваша работа с данными может существенно отличаться от других организаций.

2. Лучше предупреждать посетителя сайта о сборе и хранении cookie-файлов. Дело в том, что cookie-файлы могут содержать или не содержать персональные данные.

3. Разместите ссылку на политику обработки персональных данных и на согласие на обработку персональных данных. Ее нужно поместить в форму, которую заполняет пользователь. Галочка в чек-боксе по умолчанию не рекомендуется. Пользователь должен сам ее поставить, тем самым дав согласие с документами.

С другой стороны, каждая «галочка» – лишний шаг на пути регистрации, который может отсеять аудиторию. На некоторых сайтах пользователь дает согласие, например, нажатием на кнопку «Зарегистрироваться». Чек-бокс в формах реализован еще не во всех конструкторах сайтов («движках»), поэтому не у всех сейчас получится быстро подключить необходимую по закону функцию. Нужно ждать реализации от разработчиков сервисов («движков») или привлекать программистов.

По словам Богдановского, некоторые крупные интернет-магазины и порталы до сих пор не привели сайт в соответствие закону. «Возможно, они заняли выжидательную позицию, ожидая первых прецедентов», – считает эксперт.

Скачать презентацию Алексея Богдановского в формате PDF

Полезные статьи по теме