НКО и персональные данные

Кокаровцева–Давыдова Наталья Александровна

Юрист-консультант Пермского филиала Ассоциации "Юристы за гражданское общество", Председатель Пермской краевой общественной организации "Ассоциация женщин Прикамья"

НКО и персональные данные

Записали номера телефонов волонтеров? Разместили на сайте фото подопечных? Значит, ваша НКО стала оператором персональных данных.

Информация представляет большую ценность для жизни человека. Ее необходимо хранить, обрабатывать и передавать. Законодательство РФ не только указывает, как это должно быть сделано, но и включает значительные по размеру штрафы за неисполнение требований. Как НКО работать с персональными данными?

В Международный день защиты персональных данных НКО Пермского края встретились с юристом Натальей Александровной Давыдовой-Кокаровцевой, чтобы подробней узнать о том, какие документы должны быть у НКО при работе с персональными данными.

Следующие советы помогут вашей НКО выполнить требования Законодательства и наладить процесс обработки персональных данных.

1. Считайте любую информацию о человеке персональными данными

Если НКО формирует реестры и списки участников различных мероприятий, фамилии, имена, отчества и телефоны волонтеров или благополучателей — это уже обработка персональных данных. Главный признак – персональные данные позволяют идентифицировать личность, значит, к ним относится любая информация о физическом лице (которое является субъектом персональных данных).

С точки зрения закона эта общественная организация – оператор персональных данных, потому что она выполняет их обработку, потому что обработка персональных данных – это «любые действия» с ними, включая сбор, систематизацию, хранение, уточнение и т.п.

Статус оператора персональных данных предполагает ряд обязанностей, а их нарушение влечет за собой санкции. Безусловно, оператор должен обеспечивать безопасное хранение персональных данных, он не имеет права передавать их третьим лицам без согласия субъекта, должен обезличивать или уничтожать данные, когда цель их обработки достигнута и т.п. Кроме того, оператор должен назначить лицо, ответственное за соблюдение режима обработки и опубликовать в открытом доступе свою политику – принципы работы с персональными данными.

2. Составьте политику работы с персональными данными «на все случаи жизни»

В политике, опубликованной на сайте, нужно перечислить, какие именно персональные данные обрабатывает организация, как она это делает, с какой целью, где хранит, кому передает в процессе работы.

Документ должен быть очень подробным и учитывать все возможные ситуации. Но не забывайте, что каждый пункт должен быть логичным и основываться на конкретном опыте работы. Тогда и устранять недоразумения с Роскомнадзором будет проще.

«Продуманная политика помогает предотвратить многие претензии. Например, на практике бывает довольно сложно получить согласие на обработку персональных данных до того, как эта обработка уже началась. Но можно на всякий случай прописать в своей политике, что, обращаясь в организацию, человек фактически соглашается с определенной обработкой своих персональных данных».

3. Заготовьте бланки письменного согласия на обработку персональных данных

Согласие гражданина на обработку его персональных данных – главное условие работы с этой информацией. Закон предусматривает ряд обстоятельств, когда согласие не требуется. Но его формулировки слишком широки, а правоприменительная практика невелика, поэтому юристы советуют НКО всегда стараться запастись согласием на обработку персональных данных — и волонтеров, и благополучателей, и даже сотрудников.

Пример – мероприятие с участием волонтеров, чьи данные затем будут где-то храниться. Лучше перед началом этого события распечатать бланки согласия и каждому дать подписать такой документ, советуют юристы.

В крайнем случае, если регистрация на мероприятие происходит через сайт, можно разместить там специальную форму, чтобы можно было согласиться на обработку персональных данных, поставив «галочку».

4. Предусмотрите в «Согласии» все возможные варианты

Для обработки так называемых специальных категорий персональных данных, а также биометрических персональных данных требуется согласие на бумаге, собственноручно подписанное, или электронное, заверенное электронной подписью. Но на практике бывает сложно отличить специальные персональные данные от простых, поэтому надежнее брать письменное согласие во всех случаях.

Специальные категории персональных данных – это сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Например, если НКО проводит занятия с детьми-инвалидами и составляет список, где упоминается инвалидность, значит, она обрабатывает специальные персональные данные. Ей требуется развернутое письменное согласие на эти действия.

Согласие на обработку персональных данных должно охватывать все возможные варианты действий с ними. Например, если НКО собирается делиться информацией о благополучателях с врачами или юристами - это обязательно нужно упомянуть в тексте. Если все «третьи лица», которые получат доступ к данным, заранее известны, можно их сразу же и перечислить. Если нет – нужно искать подходящую широкую формулировку (вплоть до «любые третьи лица»).

5. Получите согласие, прежде чем использовать фото

Фотографии, позволяющие установить личность человека, относятся к биометрическим данным. Для их использования (например, для публикации на сайте) требуется письменное согласие.

В законе названы случаи, когда получать согласие на использование изображений не требуется. Это съемка на публичных мероприятиях, использование в государственных или общественных интересах, позирование за плату.

Оздоровительные или образовательные мероприятия для детей-инвалидов, безусловно, проводятся в интересах общества. С другой стороны, есть личные интересы каждого ребенка, которому вы помогаете, Роскомнадзор может сказать: «А вот эта мама не хотела публикации фото».

Письменное согласие на обработку персональных данных должно включать:

— фамилию, имя, отчество, адрес, паспортные данные субъекта персональных данных и его законного представителя (если таковой имеется);
— сведения об операторе персональных данных, которому дается это согласие;
— цель обработки;
— перечень персональных данных, на обработку которых дается согласие;
— перечень действий с персональными данными, на совершение которых дается согласие;
— сведения о третьих лицах, которым будут передаваться данные или поручаться их обработка;
— срок, в течение которого действует согласие, а также способ его отзыва;
— подпись субъекта персональных данных.

6. Обязательно уведомите Роскомнадзор

До начала сбора и обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении. Но в этом правиле есть исключения. Например, уведомление не нужно, если речь идет об обработке данных сотрудников по Трудовому кодексу, если субъект данных сам сделал их общедоступными, если при обработке не используются средства автоматизации.

Доказать, что какое-то из этих исключений относится к конкретной НКО, не так легко, как кажется. Например, публикация данных в соцсетях далеко не всегда рассматривается как «общедоступная», поэтому юристы советуют в любом случае уведомлять Роскомнадзор.

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Posted in .

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *