Персональные данные – любые данные, которые позволяют идентифицировать человека. Например, ФИО, место рождения, дата рождения, место учебы или работы, контактные данные (адрес, телефон), биометрия. Тот, кому принадлежат такие данные, называется субъектом персональных данных.
Алексей Сучилин, юрист группы компаний Philin Philgood: «Иногда в определении персональных данных и того, защищаются ли они законом, возникают сложности. Например, по имени и электронной почте человека я его не идентифицирую (значит, это не персональные данные), а по ФИО и номеру телефона – вполне (и это персональные). Бывают спорные случаи: в адресе электронной почты указаны имя, фамилия и дата рождения – и тогда этот адрес теоретически можно считать персональными данными».
Оператор персональных данных – тот, кто их обрабатывает
Обработкой персональных данных считаются любые действия с ними – от сбора до уничтожения. Обработка может быть автоматизированной (с помощью любых технических средств) или неавтоматизированной (от руки).
Оператор персональных данных – тот, кто их обрабатывает. Операторами могут быть госорганы, физические и юридические лица. Организация или человек становится оператором персональных данных с того момента, когда начинает их обрабатывать, а не когда уведомляет об этом Роскомнадзор (как ошибочно считают многие).
Какой закон регулирует
Все, что касается персональных данных, регулируется Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и подзаконных актах. Надзорный орган, который следит за исполнением закона, – Роскомнадзор. Он может проверять внутренние приказы, политику обработки данных, журналы учета обращений и все остальные документы НКО.
Некоммерческие организации наравне с другими юридическими лицами обязаны соблюдать все требования законодательства в сфере персональных данных. Никаких послаблений для них законодательством не предусмотрено.
Пул документов, который должен приготовить оператор персональных данных, большой. Но главных документа – два:
• политика обработки персональных данных. Обратите внимание, что документ должен называться именно так, а не «политика конфиденциальности», так как соблюдение конфиденциальности – лишь одна из обязанностей оператора, обращают внимание юристы «Правовой команды».
Это типовой документ, в котором указываются основные принципы работы:
1. общие положения: назначение политики, основные понятия, права и обязанности оператора и субъектов персональных данных;
2. цели сбора персональных данных;
3. правовые основания обработки персональных данных (законы и акты; уставные документы; договоры между оператором и субъектом персональных данных; согласие на обработку персональных данных);
4. объем и категории персональных данных и их субъектов (какие данные собираются, в каком объеме и от каких людей);
5. порядок и условия обработки персональных данных (в какие сроки и что делается с персональными данными, какие принципы соблюдаются при обработке);
6. актуализация, исправление, удаление и уничтожение персональных данных; порядок ответов на запросы на доступ к персональным данным;
7. реализуемые требования к защите персональных данных (назначение ответственного лица, ознакомление работников с требованиями законодательства и локальных актов, защита от несанкционированного доступа посторонних лиц, применение техсредств защиты конфиденциальной информации).
• положение об обработке персональных данных. Этот документ уже в деталях описывает процессы внутри конкретной организации: принципы обработки персональных данных, порядок сбора, хранения, уничтожения, передачи данных третьим лицам, трансграничной передачи, а также средства защиты данных, права субъектов (могут требовать удалять данные, вносить в них изменения, отказываться от обработки), доступы к данным (кто из сотрудников НКО и что именно может видеть), ответственность оператора за нарушение норм, порядок действий в случае утечки данных.
НКО стоит помнить: в положении об обработке персональных данных должны быть указаны все категории субъектов персональных данных. У некоммерческой организации это, как правило, 1) работники, 2) благополучатели, 3) жертвователи, 4) волонтеры, 5) контрагенты. Важно указать, какой объем данных собирается по каждой категории и кто отвечает за хранение той или иной информации.
– Этот большой документ очень индивидуален. Положение не может быть шаблоном, в котором каждая НКО только меняет название организации, – замечает Алексей Сучилин. – Все зависит от объема данных, с которыми работает НКО.
Маленький приют для животных обрабатывает минимальное количество персональных данных: скорее всего, в основном это информация о сотрудниках и нанимаемых по ГПХ подрядчиков. У большого фонда, помогающего больным детям, совсем другая ситуация: огромное количество данных несовершеннолетних граждан и их родителей, в том числе очень чувствительная, медицинская информация. Естественно, в этих случах в положении надо учитывать и прописывать совершенно разное количество вещей с разной степенью подробностей.
Что учесть в согласии
Еще один важный документ, который необходимо подготовить каждому оператору, – согласие на обработку данных. Этот документ можно назвать типовым, но в каждом случае также могут быть особенности, которые надо учесть: например, кому передаются данные, есть ли трансграничная передача.
Согласие также должно быть персонализированным (человек передает свои ФИО – и в согласие вставляются они) и разным для каждой категории субъектов: жертвователей, благополучателей, сотрудников, контрагентов. В каждом случае нужно указывать, на сбор каких именно данных дается согласие.
Алексей Сучилин: «Еще в согласии обязательно надо указывать право субъектов ознакомиться с вашими документами: политикой, положением и другими. Укажите в согласии email и адрес ответственного сотрудника. По этим контактным данным любой человек сможет обратиться и попросить ознакомить его с документами. Оператор, в свою очередь, будет обязан предоставить их в электронном и/или бумажном виде».
Публиковать на сайте организации надо только политику обработки данных. Положение – внутренний документ НКО, его нет необходимости размещать в открытом доступе. Согласие размещается только в случае, если данные собираются на сайте (у жертвователей – через форму пожертвования, у благополучателей – через заявку/анкету).
Надо ли вставать на учет и как это делать
В соответствии с законом о персональных данных, оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные.
Не регистрироваться в качестве оператора в Роскомнадзоре организация может только в случае, если обрабатывает персональные данные исключительно без средств автоматизации (пп. 8 п. 2 ст. 22 Закона № 152-ФЗ). Это одно из трех актуальных исключений, которое теоретически может относиться к НКО, однако вряд ли сегодня есть организация, не использующая хотя бы базовые средства автоматизации: электронные почты, компьютеры и любые электронные носители информации.
Заполняется на официальном сайте Роскомнадзора и может быть направлено ему одним из трех способов:
– в бумажном виде;
– в электронном виде с использованием усиленной ЭЦП;
– в электронном виде с использованием средств аутентификации ЕСИА (портал «Госуслуг»).
«Государственный контроль в равной степени осуществляется в отношении операторов персональных данных как направивших уведомление, так и не исполнивших эту обязанность, – говорят юристы «Правовой команды». – Для включения в план проверок Роскомнадзором есть два основания: 1) истечение трех лет с момента регистрации юрлица; 2) истечение трех лет с момента последней плановой проверки».
По каждому этапу обработки данных – отдельный документ
Включением в реестр операторов персональных данных и подготовкой политики и положения обязанности оператора персональных данных не ограничиваются. Все его обязанности закреплены в статьях 18.1 и 19 ФЗ о персональных данных.
Вот основные:
- назначить лицо, ответственное за обработку персональных данных;
- разработать локальные акты по вопросам обработки;
- установить правила доступа к персональным данным;
- определить угрозы их безопасности;
- применять сертифицированные средства защиты конфиденциальной информации;
- осуществлять внутренний контроль за безопасностью данных.
На основе этого списка формируется необходимый минимум документов. Дело в том, что исполнение каждой из обязанностей должно подтверждаться документально. Например, «назначение ответственного за обработку персональных данных» – должен быть соответствующий приказ о назначении одного из сотрудников НКО.
– По каждому этапу обработки персональных данных также должен быть отдельный документ либо все порядки должны быть расписаны в одном большом акте, – рассказывает Алексей Сучилин. – Это значит, что стандартного списка документов по обработке персональных данных нет. Чтобы определить, какие еще, кроме политики и положения, документы необходимы НКО, надо понять, как она обрабатывает данные: на каком этапе какому лицу они передаются, что этот человек делает с ними дальше, как хранятся и как защищаются данные.
Собирайте только информацию, которая необходима
В политике должны быть указаны цели сбора и обработки данных. Цели должны быть прописаны четко, чтобы сам субъект и надзорный орган понимали, для чего вы будете использовать данные, и не возникало разночтений. Формулировки вроде «для заключения договора» в случае проверки могут признать нарушениям. Стоит также самим помнить об указанных целях и держать в голове, что собранные данные нельзя использовать иными способами.
Другой важный момент – принцип минимально необходимого сбора и обработки данных. Во-первых, избегайте чрезмерного сбора данных: собирайте только информацию, которая необходима. Если вы лечите подопечного от одного заболевания, не запрашивайте у него истории всех его диагнозов за всю жизнь. Во-вторых, ограничивайте доступ к данным. У сотрудников не должно быть доступа к информации, которая им не нужна для работы. Излишний доступ к персональным данным также можно отнести к чрезмерной обработке данных.
Многие НКО собирают также особо охраняемую информацию – медицинскую, и здесь стоит быть предельно осторожными. Нужно обеспечивать особые условия хранения таких данных и защитить их по максимуму. Ограничьте доступ к этой информации, используйте системы архивации данных, которые гарантируют ее сохранность и конфиденциальность, обеспечьте безопасные условия хранения физических копий медицинских документов, не передавайте их незащищенным способом (например, через флеш-носители).
Поручите хранение архиву
Часто для НКО может быть проблемно хранить и обрабатывать данные: из-за высокой нагрузки и большого количества задач у сотрудников фондов просто нет возможности заниматься этим. Возможное решение – поручить хранение персональных данных третьему лицу, то есть сторонней организации (например, негосударственному архиву). В этом случае у НКО значительно снижаются риски утечки данных, однако он продолжает нести всю полноту ответственности перед субъектом персональных данных (у организации, которой поручено хранение, ответственность только перед НКО).
«Трудности у НКО также могут возникнуть из-за того, что не успевают тщательно проработать все этапы и относятся к требованиям формально: думают, что достаточно подготовить бумаги и уведомить Роскомнадзор, – говорит Алексей Сучилин. – На самом деле все положения и приказы надо довести до сведения сотрудников НКО, и все они должны соблюдаться. Если это не так, при проверке у организации могут возникнуть проблемы».
Как хранить данные и обеспечивать их безопасность
Согласно закону, персональные данные субъектов из России необходимо хранить в России. Это значит, что сервера сайта и облачного хранилища НКО должны находиться на территории страны. Если организация использует для хранения и сбора данных зарубежный хостинг (например, Google Drive), это считается трансграничной передачей данных. Если оператор не уведомляет Роскомнадзор о такой передаче, он будет оштрафован.
«Прописывать в политике и согласии, где именно вы храните данные, необязательно, но рекомендуется это делать. Используйте российские сервера и, чтобы субъекты данных были спокойны, указывайте это в документах, – объясняет Алексей Сучилин. – Помните также, что у вас должен быть договор на облачное хранилище – недостаточно просто загрузить в него данные».
За внутренний контроль персональных данных отвечает ответственный за их обработку. Он утверждает план внутренних проверок безопасности данных, ведет журнал таких проверок. Ответственный сотрудник также следит за ограничением доступа к персональным данным и чтобы они не передавались тем, кто не указан в политике об обработке (в ней должен быть точный перечень лиц).
Стоит также помнить, что в соответствии со ст. 5 ФЗ о персональных данных, их обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Если цель, для достижения которой были собраны данные (например, оказание благотворительной помощи конкретному человеку), достигнута (помощь оказана), то эти данные должны быть уничтожены или обезличены, объясняет «Правовая команда». Дальнейшее их хранение не допускается, за исключением случаев, когда это прямо определено в законе (например, в соответствии с законодательством о бухучете, архивном деле, налоговым законодательством) или в согласии, полученном от субъекта.
За нарушение закона о персональных данных предусмотрена административная ответственность (ст 13.11 КоАП):
• за непредоставление информации госорганам (например, организация обрабатывает персональные данные, но не уведомила об этом Роскомнадзор) – штраф до 5 тысяч рублей;
• отказ в предоставлении гражданину информации (например, положения и внутренних приказов) – до 10 тысяч;
• чрезмерная обработка данных (не совместимых с целью) – до 100 тысяч, повторно – до 300 тысяч;
• обработка данных без согласия – до 500 тысяч;
• неисполнение обязательств по опубликованию документов либо предоставлению доступа (например, политика об обработке данных не размещена на сайте) – до 50-60 тысяч.
Работая с персональными данными, можно также нарушить трудовой договор – например, сотрудник разгласил персональные данные, и за это его можно уволить по ст. 81 ТК РФ (пп. «в» п. 6 ч. 1). Предусмотрена также гражданская ответственность (ст. 15 ГК РФ) – компенсация морального вреда субъекту данных за нарушение порядка обработки его персональных данных. Уголовная ответственность предусмотрена в случае серьезных нарушений, которые неприменимы к работе НКО (например, раскрытие доступа к охраняемой законом информации).
Привлекайте бесплатных юристов
Основные трудности у НКО возникают из-за финансовых ограничений: они не могут взять юриста в штат или воспользоваться услугами стороннего специалиста. Однако практика показывает, что и при отсутствии штатного юриста руководители или другие работники НКО могут самостоятельно разобраться и выполнить обязательные требования законодательства в сфере персональных данных, рассказывают юристы «Правовой команды». К тому же по возникающим вопросам сотрудники НКО могут обратиться за бесплатной консультацией к ним.
В случае если НКО решает обратиться за помощью к сторонним специалистам, им стоит выбрать юристов, которые специализируются на законодательстве о некоммерческих организациях. Специалисты проводят интервью с сотрудниками НКО, чтобы понять, как ими обрабатываются данные, при необходимости указывают на ошибки, которые необходимо исправить команде фонда (например, перенести данные с зарубежного облачного хранилища), а потом разрабатывают подходящий алгоритм обработки данных (кто на каком этапе получает доступ к ним, какими документами что регулируется и т.д.) и исходя из него готовят пакет документов.
Оценить стоимость такой услуги сложно, здесь все зависит от специфики работы НКО и объема обрабатываемой ей данных, замечает Алексей Сучилин. Средняя стоимость может составить 300–500 тысяч рублей, но у небольших организаций она может быть гораздо меньше, а у крупнейших фондов может доходить до 1-1,5 млн. Стоит также учитывать, что есть специалисты, предлагающие подготовить пакет документов за 10–15 тысяч рублей. Но, скорее всего, они выдадут вам типовой набор документов, который затем НКО надо будет самостоятельно персонализировать.
Как фонд вошел в реестр операторов персональных данных. Кейс «АиФ. Доброе сердце»
В начале 2022 года перед юристом БФ «АиФ. Доброе сердце» Марией Калининой поставили задачу: сделать так, чтобы работа фонда полностью соответствовала законодательству о защите персональных данных.
Необходимый пакет документов уже был разработан, его нужно было индивидуализировать под фонд, с учетом его специфики и особенностей.
Процесс занял порядка двух месяцев. «Мы с коллегами конкретизировали круг субъектов персональных данных, перечень используемых персональных данных и цели их использования, порядок работы с ними, способы их защиты, – говорит Мария Калинина. – Разработали типовые формы согласий на обработку персональных данных, на распространение персональных данных, с учетом требований законодательства и индивидуальных особенностей нашего фонда. Завели ряд журналов для фиксации различных событий, связанных с работой с персональными данными. Разработанную документацию мы должным образом утвердили и довели до сведения сотрудников.
Затем фонд обязан был направить уведомление в Роскомнадзор для включения в реестр операторов, обрабатывающих персональные данные. Юристы заполнили уведомление совместно с другими подразделениями фонда и отправили его почтой России в уполномоченный орган. После отправки уведомления примерно через два месяца фонд появился в реестре.
– Я знаю, что некоторые НКО откладывают подачу уведомления в Роскомнадзор: опасаются, что по этой причине на них обратят лишнее внимание, – говорит Мария Калинина. – Уверена, все наоборот – то, что организация находится в реестре, показывает ее ответственное отношение к защите персональных данных.
По опыту Марии, НКО могут самостоятельно справиться с включением в реестр операторов и подготовкой всех документов, особенно если в организации есть штатный юрист. Главное – держаться юридического сообщества и не выпадать из общего процесса, а также искать проверенные и надежные ресурсы. Следите за новостями от «Правовой команды» и посещайте вебинары Ассоциации «Юристы за гражданское общество».
Иллюстрации Варвары ГРАНКОВОЙ