Если вас интересует благотворительность, вы хотите разбираться в новых технологиях, читать экспертные интервью с яркими фигурами в мире НКО и помогать с умом — подписывайтесь на секторную рассылку Милосердие.РУ. Чем больше мы знаем, тем лучше помогаем!
Считайте любую информацию о человеке персональными данными
Если НКО заносит в таблицу фамилии, имена, отчества и телефоны волонтеров или благополучателей — это уже обработка персональных данных. С точки зрения закона эта организация – оператор персональных данных.
Потому что к персональным данным относится любая информация о физическом лице (субъекту персональных данных), говорится в законе.
«На практике никогда нельзя сказать с уверенностью, что конкретная совокупность данных – это персональные данные. Если это телефон, имя, фамилия – наверное, да, это будут персональные данные. Если рассматривать просто номер телефона без имени и фамилии – здесь уже вопрос», – говорит Ксения Королева, юрист московского офиса международной юридической фирмы Latham & Watkins, специалист по российскому праву.
Главный признак – персональные данные позволяют идентифицировать личность.
Обработка персональных данных – это «любые действия» с ними, включая сбор, систематизацию, хранение, уточнение и т.п. Оператор персональных данных – тот, кто их обрабатывает, точнее – организация или лицо, которые определяют цели и способы обработки. Это не рядовой сотрудник, который просто заносит номера телефонов в таблицу.
Статус оператора персональных данных предполагает ряд обязанностей, их нарушение влечет за собой санкции. Безусловно, оператор должен обеспечивать безопасное хранение персональных данных, он не имеет права передавать их третьим лицам без согласия субъекта, должен обезличивать или уничтожать данные, когда цель их обработки достигнута и т.п.
Кроме того, оператор должен опубликовать в открытом доступе свою политику – принципы работы с персональными данными. И назначить лицо, ответственное за соблюдение режима обработки.
Составьте политику работы с персональными данными «на все случаи жизни»
В политике, опубликованной на сайте, нужно перечислить, какие именно персональные данные обрабатывает организация, как она это делает, с какой целью, где хранит, кому передает в процессе работы.
Документ должен быть очень подробным и учитывать все возможные ситуации. «Все, что сможете придумать, лучше написать. Если, например, вы пока не планируете трансграничную передачу данных, все равно лучше ее упомянуть, вдруг потом пригодится», – советует Ксения Королева.
В таком подходе имеется недостаток. У сотрудников Роскомнадзора – это основной орган, регулирующий работу с персональными данными – может возникнуть вопрос, зачем организации нужен такой «карт-бланш». На него, по словам юриста, можно честно ответить: это на будущее.
Главное – каждый пункт документа должен быть логичным и основываться на конкретном опыте работы. Тогда и устранять недоразумения с Роскомнадзором будет проще.
Продуманная политика помогает предотвратить многие претензии. Например, на практике бывает довольно сложно получить согласие на обработку персональных данных до того, как эта обработка уже началась. Но можно на всякий случай прописать в своей политике, что, обращаясь в организацию, человек фактически соглашается с определенной обработкой своих персональных данных.
Заготовьте кипу письменных согласий
Согласие гражданина на обработку его персональных данных – главное условие работы с этой информацией.
Закон предусматривает ряд обстоятельств, когда согласие не требуется. Но его формулировки слишком широки, а правоприменительная практика невелика, поэтому юристы советуют НКО всегда стараться запастись согласием на обработку персональных данных – и волонтеров, и благополучателей, и даже сотрудников.
Пример – мероприятие с участием волонтеров, чьи данные затем будут где-то храниться. Лучше перед началом этого события распечатать бланки согласия и каждому дать подписать такой документ, советуют юристы.
В крайнем случае, если регистрация на мероприятие происходит через сайт, можно разместить там специальную форму, чтобы можно было согласиться на обработку персональных данных, поставив «галочку».
Предусмотрите в согласии все варианты
«Галочка» в веб-форме – это вариант простого согласия. Для обработки так называемых специальных категорий персональных данных, а также биометрических персональных данных требуется согласие на бумаге, собственноручно подписанное, или электронное, заверенное электронной подписью.
Специальные категории персональных данных – это сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Например, если НКО проводит занятия с детьми-инвалидами и составляет список класса, где упоминается инвалидность, значит, она обрабатывает специальные персональные данные. Ей требуется развернутое письменное согласие на эти действия.
На практике бывает сложно отличить специальные персональные данные от простых, поэтому во всех случаях лучше брать полноценное согласие, считает Ксения Королева.
Причем это согласие, как и политика, должно охватывать все возможные варианты действий с персональными данными. Например, если НКО собирается делиться информацией о просителях с врачами или юристами, об этом обязательно нужно упомянуть в тексте согласия.
Если все «третьи лица», которые получат доступ к данным, заранее известны, можно их сразу же и перечислить (иногда для этого приходится написать приложение к согласию). Если нет – нужно искать подходящую широкую формулировку. Вплоть до «любые третьи лица».
При передаче данных за рубеж помните о двух правилах
Если данные будут передаваться за рубеж, в согласии должна быть упомянута конкретная страна. Это не требуется лишь в двух случаях: когда речь идет о государстве, подписавшем Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных; и когда государство входит в перечень Роскомнадзора (к слову, там есть Израиль, но нет США).
Кроме того, существует закон о локализации персональных данных. Он предписывает все действия по обработке персональных данных гражданина РФ производить на территории России. «Операторы должны обеспечить, чтобы все действия по обработке персональных данных сначала осуществлялись на территории России, и только потом дублировались в базе данных за рубежом», – поясняет Ксения Королева.
Закон легко нарушить, даже не подозревая об этом. Например, зарубежная клиника обновила персональные данные лица, с которым работает благотворительный фонд, а фонду об этом не сообщила.
«Мы советуем при передаче персональных данных за рубеж дописать в конце просьбу учитывать российское законодательство, и прежде чем вносить изменения, сообщить о них российской организации, чтобы она сделала это первой», – говорит юрист. Не факт, что клиника учтет просьбу, но у НКО будет хоть какое-то оправдание.
Получите согласие, прежде чем использовать фото
Фотографии, позволяющие установить личность человека, относятся к биометрическим данным. Для их использования (например, для публикации на сайте) требуется письменное согласие.
Но если фото не годится для идентификации гражданина – это не биометрические данные. Например, ксерокопии документов с фотографией, фото в истории болезни, фотографии в профиле в соцсети. Или, если снимали помещение, а человек оказался в кадре случайно и изображение нечеткое.
В законе названы случаи, когда получать согласие на использование изображений не требуется. Это съемка на публичных мероприятиях, использование в государственных или общественных интересах, позирование за плату.
Но ссылаться на эти исключения бывает нелегко. «Митинг на площади – публичное мероприятие. А если вход, допустим, на круглый стол, происходит по приглашениям, то здесь могут возникнуть вопросы», – говорит Александра Самсонова, помощник юриста в Latham & Watkins, специалист по российскому праву.
Оздоровительные или образовательные мероприятия для детей-инвалидов, безусловно, проводятся в интересах общества. «С другой стороны, есть личные интересы каждого ребенка, которому вы помогаете, – отмечает Ксения Королева. – Роскомнадзор может сказать: а вот эта мама не хотела публикации фото».
Если письменного согласия субъекта нет, его действия – тоже аргумент
К НКО часто обращаются просители со всей России. Допустим, в фонд пишет житель Алтайского края: помогите моему ребенку пройти реабилитацию. В ответ сотрудники НКО должны написать: мы рассмотрим вашу просьбу, после того как вы пришлете нам собственноручно заполненное согласие на обработку персональных данных.
Если НКО этого не сделала, во избежание штрафов и других санкций на случай почтовой переписки Ксения Королева предлагает такой аргумент для проверяющих органов: отправку письма с просьбой о помощи можно считать конклюдентным действием (поведение лица, показывающее, что он согласен вступить в определенные правоотношения).
«Лицо направило вам письмо с определенной информацией и с определенным указанием, что с этой информацией делать. Это не стопроцентный, но все же аргумент», – объясняет она.
Переложите часть ответственности за безопасность на субъекта данных
Обеспечить безопасность чужих персональных данных просто: их нужно хранить так же, как вы храните конфиденциальную информацию о себе, говорят специалисты Latham & Watkins.
Например, бумажные документы с персональными данными должны находиться в шкафу, запертом на ключ, чтобы доступ к ним был только у ответственного лица.
Если персональные данные хранятся в электронной базе, могут возникать различные сомнения: надежно ли облачное хранилище, в России ли находится сервер и т.п. В этом случае Ксения Королева советует указать в согласии, что персональные данные будут передаваться третьим лицам, предоставляющим средства IT для их хранения. Таким образом часть ответственности за сохранность данных будет переложена на человека, подписывающего согласие, говорит она.
Обязательно уведомите Роскомнадзор
До начала сбора и обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении. Но в этом правиле есть исключения. Например, уведомление не нужно, если речь идет об обработке данных сотрудников по Трудовому кодексу, если субъект данных сам сделал их общедоступными, если при обработке не используются средства автоматизации.
Доказать, что какое-то из этих исключений относится к конкретной НКО, не так легко, как кажется. Например, публикация данных в соцсетях далеко не всегда рассматривается как «общедоступная».
Поэтому юристы советуют в любом случае уведомлять Роскомнадзор. Но на практике клиенты стараются этого не делать, так как не хотят привлекать внимание, отмечает Ксения Королева.
Роскомнадзор проводит в первую очередь документарную проверку того, как организации работают с персональными данными. Если у него возникают сомнения, что персональные данные хранятся правильно и безопасно, проверку продолжают уже правоохранительные органы.
Зарегистрируйте сайт на того, кому он принадлежит на самом деле
Штрафы для нарушителей закона «О защите персональных данных» колеблются в промежутке от 15000 до 75000 рублей. Самая серьезная мера – блокировка сайта. Она не происходит за один день, сначала владелец получает предупреждения от Роскомнадзора. Однако, если сайт зарегистрирован не на человека, которому принадлежит на самом деле, санкция действительно может оказаться неожиданной для НКО.
Статья создана на основе круглого стола «Использование некоммерческими организациями изображений и персональных данных граждан» в «Благосфере» .