Что делать с персональными данными на сайте НКО: советы и инструкции

Тема обработки персональных данных вызвала много вопросов аудитории. На фото: Алексей Богдановский и участница митапа. Фото Ивана Печищева.
Тема обработки персональных данных вызвала много вопросов аудитории. На фото: Алексей Богдановский и участница митапа. Фото Ивана Печищева.

7 июля 2017 года в Пер­ми про­шел митап Теп­ли­цы соци­аль­ных тех­но­ло­гий на тему «Пер­со­наль­ные дан­ные: новые тре­бо­ва­ния к вла­дель­цам сай­тов и НКО». Юрист, фанд­рай­зер обще­ствен­ной орга­ни­за­ции «Тер­ри­то­рия семьи» Ири­на Михай­ло­ва и дирек­тор интер­нет-агент­ства «Ама­до» Алек­сей Бог­да­нов­ский подроб­но рас­ска­за­ли о том, что изме­ни­лось в рабо­те с пер­со­наль­ны­ми дан­ны­ми и что нуж­но сде­лать, что­бы не полу­чить штраф.

Закон о пер­со­наль­ных дан­ных был при­нят в 2006 году, но нака­за­ния за нару­ше­ния были неболь­ши­ми: штра­фы до 10 тысяч руб­лей. С 1 июля 2017 года всту­пи­ла в силу новая редак­ция ста­тьи 13.11 КОАП РФ, и сей­час штра­фы ста­ли суще­ствен­ны­ми: до 75 тысяч руб­лей за одно пра­во­на­ру­ше­ние, а нару­ше­ний может быть несколь­ко.

Ири­на Михай­ло­ва уточ­ни­ла, что сей­час Рос­ком­над­зор полу­чил пол­но­мо­чия само­сто­я­тель­но (без уча­стия про­ку­ра­ту­ры) состав­лять про­то­ко­лы об адми­ни­стра­тив­ных пра­во­на­ру­ше­ни­ях и направ­лять их в суд.

Пер­со­наль­ные дан­ные – сово­куп­ность отдель­ной инфор­ма­ции о чело­ве­ке: e-mail, теле­фон, имя, фами­лия, отче­ство (вме­сте и по отдель­но­сти), адрес, дата рож­де­ния, фото­гра­фия. В отдель­но­сти эти дан­ные не дадут воз­мож­но­сти иден­ти­фи­ци­ро­вать чело­ве­ка.

«По моим наблю­де­ни­ям, сей­час перм­ское управ­ле­ние Рос­ком­над­зо­ра не настро­е­но штра­фо­вать. Сотруд­ни­ки гото­вы кон­суль­ти­ро­вать и, в первую оче­редь, выно­сить пре­ду­пре­жде­ния», – рас­ска­зы­ва­ет Ири­на Михай­ло­ва.

Ирина Михайлова на митапе о персональных данных. Фото Ивана Печищева.
Ири­на Михай­ло­ва на мита­пе о пер­со­наль­ных дан­ных. Фото Ива­на Печи­ще­ва.

Обра­бот­ка дан­ных в соот­вет­ствии с зако­ном – это сбор анкет или реги­стра­ция на меро­при­я­тие, рабо­та с базой рас­сыл­ки, состав­ле­ние спис­ка волон­те­ров с теле­фо­на­ми. Все эти рабо­ты, по сло­вам экс­пер­тов, в НКО долж­ны быть регла­мен­ти­ро­ва­ны.

«Важ­но знать, что НКО само­сто­я­тель­но опре­де­ля­ют состав и пере­чень мер, необ­хо­ди­мых и доста­точ­ных для рабо­ты с пер­со­наль­ны­ми дан­ны­ми. Если вы не регла­мен­ти­ру­е­те рабо­ту с пер­со­наль­ны­ми дан­ны­ми, вам может гро­зить штраф». Ири­на Михай­ло­ва.

Михай­ло­ва отме­ти­ла, что по зако­ну все пер­со­наль­ные дан­ные долж­ны раз­ме­щать­ся на сер­ве­рах на тер­ри­то­рии Рос­сий­ской Феде­ра­ции. Рос­ком­над­зор про­во­дит пла­но­вые и вне­пла­но­вые про­вер­ки. Вне­пла­но­вые могут про­во­дить­ся по тре­бо­ва­нию про­ку­ра­ту­ры, по заяв­ле­ни­ям. Рос­ком­над­зор опре­де­ля­ет для каж­дой орга­ни­за­ции кате­го­рию рис­ка и класс (кате­го­рию) опас­но­сти.

Советы от Ирины Михайловой

1.Определите груп­пы дан­ных, с кото­ры­ми вы буде­те рабо­тать. Речь идет о дан­ных сотруд­ни­ков НКО, бла­го­по­лу­ча­те­лей, волон­те­ров. У каж­дой груп­пы может быть свой состав дан­ных, могут отли­чать­ся цели и дей­ствия по обра­бот­ке.

2. Создай­те поли­ти­ку обра­бот­ки пер­со­наль­ных дан­ных. Опи­ши­те в ней цели сбо­ра, состав дан­ных и дей­ствия, кото­рые с ними совер­ша­ют­ся. Раз­ра­бо­тан­ный доку­мент необ­хо­ди­мо опуб­ли­ко­вать на сай­те.

3. Уве­до­ми­те тер­ри­то­ри­аль­ное управ­ле­ние Рос­ком­над­зо­ра. Вы долж­ны соб­щить о сво­ем наме­ре­нии осу­ществ­лять обра­бот­ку пер­со­наль­ных дан­ных. Реги­стра­ция опе­ра­то­ров, осу­ществ­ля­ю­щих обра­бот­ку пер­со­наль­ных дан­ных, про­во­дит­ся в раз­де­ле «Ока­за­ние госу­дар­ствен­ных услуг».

Еще по теме: Что НКО нуж­но знать о новых изме­не­ни­ях в зако­но­да­тель­стве в обла­сти пер­со­наль­ных дан­ных

4. Выпол­ни­те мини­мум обя­за­тель­ных дей­ствий. Назначь­те ответ­ствен­но­го, раз­ра­бо­тай­те доку­мен­ты, озна­комь­те с ними сотруд­ни­ков и посе­ти­те­лей сай­та, кон­тро­ли­руй­те выпол­не­ние зако­на, защи­щай­те дан­ные.

5. Раз­ра­бо­тай­те согла­сие на обра­бот­ку пер­со­наль­ных дан­ных. По зако­ну поль­зо­ва­тель может дать его «в любой поз­во­ля­ю­щей под­твер­дить факт его полу­че­ния фор­ме» (нажа­тие «чек-бок­са», под­пись). Текст согла­сия необ­хо­ди­мо опуб­ли­ко­вать на сай­те.

Согла­сие в спе­ци­аль­ной пись­мен­ной фор­ме обя­за­тель­но толь­ко в четы­рех слу­ча­ях, опи­сан­ных в законе: при транс­гра­нич­ной пере­да­че дан­ных, био­мет­ри­че­ские пер­со­наль­ные дан­ные, спе­ци­аль­ные кате­го­рии пер­со­наль­ных дан­ных (расо­вая, наци­о­наль­ная при­над­леж­ность, поли­ти­че­ские взгля­ды, рели­ги­оз­ные или фило­соф­ские убеж­де­ния, состо­я­ние здо­ро­вья), пуб­ли­ка­ция пер­со­наль­ных дан­ных в спра­воч­ни­ках, адрес­ных кни­гах, сай­тах.

Скачать презентацию Ирины Михайловой в формате PDF

Алексей Богдановский на митапе о персональных данных. Фото Ивана Печищева.
Алек­сей Бог­да­нов­ский на мита­пе о пер­со­наль­ных дан­ных. Фото Ива­на Печи­ще­ва.

Советы от Алексея Богдановского

1. Нель­зя копи­ро­вать поли­ти­ку обра­бот­ки пер­со­наль­ных дан­ных с дру­гих сай­тов. И исполь­зо­вать доку­мент, заме­нив толь­ко назва­ние ком­па­нии. Ваша рабо­та с дан­ны­ми может суще­ствен­но отли­чать­ся от дру­гих орга­ни­за­ций.

2. Луч­ше пре­ду­пре­ждать посе­ти­те­ля сай­та о сбо­ре и хра­не­нии cookie-фай­лов. Дело в том, что cookie-фай­лы могут содер­жать или не содер­жать пер­со­наль­ные дан­ные.

3. Раз­ме­сти­те ссыл­ку на поли­ти­ку обра­бот­ки пер­со­наль­ных дан­ных и на согла­сие на обра­бот­ку пер­со­наль­ных дан­ных. Ее нуж­но поме­стить в фор­му, кото­рую запол­ня­ет поль­зо­ва­тель. Галоч­ка в чек-бок­се по умол­ча­нию не реко­мен­ду­ет­ся. Поль­зо­ва­тель дол­жен сам ее поста­вить, тем самым дав согла­сие с доку­мен­та­ми.

С дру­гой сто­ро­ны, каж­дая «галоч­ка» – лиш­ний шаг на пути реги­стра­ции, кото­рый может отсе­ять ауди­то­рию. На неко­то­рых сай­тах поль­зо­ва­тель дает согла­сие, напри­мер, нажа­ти­ем на кноп­ку «Заре­ги­стри­ро­вать­ся». Чек-бокс в фор­мах реа­ли­зо­ван еще не во всех кон­струк­то­рах сай­тов («движ­ках»), поэто­му не у всех сей­час полу­чит­ся быст­ро под­клю­чить необ­хо­ди­мую по зако­ну функ­цию. Нуж­но ждать реа­ли­за­ции от раз­ра­бот­чи­ков сер­ви­сов («движ­ков») или при­вле­кать про­грам­ми­стов.

По сло­вам Бог­да­нов­ско­го, неко­то­рые круп­ные интер­нет-мага­зи­ны и пор­та­лы до сих пор не при­ве­ли сайт в соот­вет­ствие зако­ну. «Воз­мож­но, они заня­ли выжи­да­тель­ную пози­цию, ожи­дая пер­вых пре­це­ден­тов», – счи­та­ет экс­перт.

Скачать презентацию Алексея Богдановского в формате PDF

Полезные статьи по теме