НКО и персональные данные
Что должна знать и делать некоммерческая организация, чтобы защитить личные данные граждан – членов НКО и не попасть под санкции.
1. Что такое персональные данные?
Персональные данные — это любая информация, позволяющая идентифицировать человека, определить, о ком именно идет речь, за исключением сведений, подлежащих распространению в СМИ в установленных федеральными законами случаях.
Например: ФИО, дата рождения, паспортные данные, адрес места жительства или регистрации, СНИЛС, ИНН, сведения об имущественном и семейном положении гражданина, его образовании, профессии, доходах, о состоянии здоровья, контактные данные, увлечениях (хобби) человека, национальной принадлежности, членстве в каких-либо организациях.
При этом каждое из перечисленных сведений, взятое отдельно, в отрыве от других, может не относиться к персональным данным, но становится таковым в сочетании с другим. Например, сам по себе номер мобильного телефона не персонален, но вместе с ФИО становится «персональным данным».
2. Зачем защищать персональные данные?
Защита персональных данных в некоммерческой организации (НКО) — это демонстрация заинтересованности в обеспечении защиты персональных данных своих подопечных и сотрудников и забота об улучшении ее имиджа.
Персональные данные человека, оказавшиеся в недобрых руках, могут стать инструментом для нанесения ему вреда: от домашних краж до незаконных сделок с недвижимостью, оформления кредитов и регистрации организаций от имени человека.
НКО не должна допускать произвольного распространения персональных данных людей, если не хочет получить многотысячные штрафы.
Человек, чьи данные были незаконно распространены может обратиться в соответствующие компетентные органы (например, в Роскомнадзор или в прокуратуру) с жалобой и это чревато для НКО проведением внеплановой проверки. В случае выявления нарушений законодательства о персональных данных организация, а также ее сотрудники могут быть привлечены к административной ответственности, а ответственные сотрудники НКО могут понести материальную (п. 7 ст. 243 ТК РФ), дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).
Законом предусмотрена ответственность юридических лиц (НКО относится к ним) за следующие нарушения:
— предупреждение или штраф от 30 000 до 50 000 рублей — обработка персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ);
— штраф от 15 000 до 75 000 рублей — обработка персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ);
— предупреждение или штраф от 15 000 до 30 000 рублей — неопубликование политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ);
— предупреждение или штраф от 20 000 до 40 000 рублей — непредоставление субъекту персональных данных информации, касающейся обработки его персональных данных (ч. 4 ст. 13.11 КоАП РФ);
— предупреждение или штраф от 20 000 до 45 000 рублей — невыполнение в сроки, установленные законодательством в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ч.5 ст. 13.11 КоАП РФ);
— штраф от 25 000 до 50 000 рублей — невыполнение при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния (ч. 6 ст. 13.11 КоАП РФ).
НКО может быть привлечена к административной ответственности по одному или сразу нескольким составам административных правонарушений. Ее сотрудники, должностные лица, могут быть привлечены к административной ответственности отдельно. В случае нарушений организация и ее ответственные сотрудники рискуют получить многотысячные штрафы.
— Конвенция о защите физических лиц при автоматизированной обработке персональных данных (была ратифицирована Россией в 2005 году).
— Конституция Р Ф (статьи 23 и 24).
— Федеральный закон от 27.07.2006 № 152- ФЗ «О персональных данных».
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
— Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
— Кодекс Р Ф об административных правонарушениях (статья 13.11.).
— Трудовой кодекс РФ (глава 14).
Подзаконные акты, устанавливающие порядок сбора, обработки, хранения, защиты персональных данных, издаются Роскомнадзором или Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности.
5. Что такое «обработка персональных данных»?
Любые действия, производимые с персональными данными называются их обработкой.
Если в НКО собирают, записывают, систематизируют, накапливают, хранят, уточняют (обновляют), используют, передают (распространяют, предоставляют), обезличивают, удаляют и уничтожают персональные данные, то все это, как следует из закона, является обработкой персональных данных.
Обрабатывать персональные данные не запрещено, но делать это нужно при соблюдении законодательства.
Законом запрещено обрабатывать персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни человека. Однако обработка указанных выше персональных данных допускается, если:
· субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
· персональные данные сделаны общедоступными самим человеком (то есть доступ к ним есть у неограниченного круга людей с согласия самого субъекта персональных данных или на эти персональные данные требование о соблюдении конфиденциальности не распространяется согласно закону);
· обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;
· обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
· обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
· обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
· обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
· обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
7. Что означает «сохранять конфиденциальность данных в НКО»?
НКО и ее сотрудники, получившие доступ к персональным данным человека, не могут раскрывать третьим лицам и распространять персональные данные без его согласия.
8. Когда НКО не требуется брать согласие на обработку персональных данных?
Полный перечень случаев, когда обработка персональных данных может осуществляться без согласия субъекта персональных данных приведен в части 2 статьи 6 Федерального закона от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
9. Является ли обработкой персональных данных использование, хранение в НКО контактов с полученной от кого-либо визитной карточки?
Нет, не является, если информация используется для личной коммуникации и не распространяется/не публикуется без разрешения человека в открытом доступе.
10. Может ли НКО принять согласие на обработку персональных данных от родственника или по телефону?
Нет, согласие об обработке персональных данных необходимо получать у самого человека в письменном виде. Предоставление в организацию чьих-либо персональных данных даже родственником должно быть при наличии письменного согласия того, чьи данные передаются. Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений невозможно. Это не предусмотрено действующим законодательством РФ.
11. Нужно ли получать согласие на обработку данных ребенка от обоих родителей?
В случае необходимости согласие можно получить от одного из родителей, поскольку согласно части 1 статьи 61 Семейного кодекса РФ, родители имеют равные права и несут равные обязанности в отношении своих детей.
Вместе с тем, отдельно законом вопрос получения такого согласия от родителей не регламентируется и неизвестно, каким образом может отреагировать Роскомнадзор в случае проведения проверки в организации на наличие согласия лишь от одного из родителей.
В связи с этим, если есть возможность получения согласия на обработку персональных данных ребенка от обоих родителей, то лучше получить от обоих.
Если есть возможность получить согласие на обработку персональных данных ребенка от обоих родителей, то лучше это сделать.
Перечень мер, направленных на защиту персональных данных, организация вправе определять самостоятельно. Ниже — рекомендованный минимум таких мер:
- разработать и принять Положение об обработке персональных данных. Оно включит в себя описание порядка обработки, изменения, копирования, распространения персональных данных, о правилах доступа, о мерах предотвращения неправомерного доступа к персональным данным, перечень лиц, которые обрабатывают персональные данные и/или имеют к ним доступ;
- назначить приказом руководителя организации ответственного сотрудника, обеспечивающего исполнение организацией законодательства о персональных данных;
- получить от каждого субъекта согласие на обработку персональных данных;
- уведомить субъект персональных данных о прекращении обработки и об уничтожении его персональных данных;
- осуществить технические меры защиты персональных данных (например, хранить документы с персональными данными в запираемых на замок шкафах; ограничить доступ в помещения с персональными данными домофоном или с помощью организации пропускного режима; обеспечить защиту путем раздельного хранения носителей персональных данных, которые обрабатываются в различных целях —раздельное хранение данных сотрудников и обращающихся в организацию людей; защита паролем компьютеров, где хранятся персональные данные; установка антивирусных программ на компьютеры, чтобы исключить случаи порчи и уничтожения данных на компьютерах и т. п.);
- ознакомить сотрудников с действующим законодательством в области защиты персональных данных и локальными актами организации об этом;
- провести профилактическую работу с сотрудниками организации по предупреждению разглашения ими персональных данных;
- разместить информацию о том, как организована работа с персональными данными в организации (положение об обработке персональных данных или политика конфиденциальности в организации) в доступном для людей месте в офисном помещении, опубликовать ее в интернете, если у организации есть сайт, а также на всех онлайн ресурсах организации, которые собирают персональные данные пользователей.
13. Зачем НКО размещать политику конфиденциальности на своем сайте?
Владельцы сайтов, на которых есть, например, личные кабинеты, формы обратной связи, подписки или регистрации, занимаются обработкой персональных данных пользователей и по закону обязаны уведомлять посетителей сайта о том, каким образом у них организована обработка персональных данных.
С 1 июля 2017 года в КоАП РФ введено административное правонарушение, предусмотренное частью 3 статьи 13.11. Некоммерческая организация, являющаяся владельцем сайта, за невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику в отношении обработки персональных данных, может быть привлечена к административной ответственности.
— Минимальное административное наказание в случае признания организации виновной — предупреждение.
— Максимальное наказание — штраф в размере от 3000 до 6000 рублей (на должностных лиц организации); от 15 000 до 30 000 рублей (на организацию).
НКО, владеющую сайтом, могут привлечь к административной ответственности за отсутствие документа, определяющего политику обработки персональных данных.
14. Какие госорганы вправе запрашивать персональные данные без согласия субъекта?
Суды и другие правоохранительные органы могут беспрепятственно получать у НКО персональные данные без согласия субъектов персональных данных, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
Запросить персональные данные вправе и другие контролирующие органы, вместе с тем, какие именно необходимо в каждом конкретном случае сверять с нормами законодательства, а иногда и с судебной практикой.
Например, Девятый арбитражный апелляционный суд в своем постановлении от 25.06.09 г. по делу № А 40−76 345/08−122−112 указал, что сотрудник службы судебных приставов не имеет права запрашивать и получать сведения, содержащие личные данные граждан. В частности, суд отметил, что ни Федеральный закон от 21.07.1997 г. № 118-ФЗ «О судебных приставах», ни Федеральный закон от 02.01.2007 г. № 229-ФЗ
«Об исполнительном производстве» не предоставляют судебным приставам-исполнителям права получать персональные данные без согласия их субъектов, не устанавливают условия получения таких данных, не определяют круг субъектов, персональные данные которых подлежат обработке, а также полномочия судебного пристава-исполнителя по их обработке.
15. Когда НКО не должна направлять уведомление в Роскомнадзор о включении в реестр операторов персональных данных?
НКО не должна направлять уведомление об этом в Роскомнадзор, если обрабатывает персональные данные:
— только своих работников в соответствии с трудовым законодательством;
— для целей заключения и исполнения договоров, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия владельца персональных данных;
— сделанные самим владельцем персональных данных общедоступными;
— содержащие только фамилии, имена и отчества субъектов персональных данных;
— для однократного пропуска лица на территорию организации;
— членов (участников) общественного объединения, действующего на законных основаниях, для достижения целей, указанных в его учредительных документах, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
— без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека).
Если некоммерческая организация обрабатывает персональные данные помимо тех, что указаны выше, она является оператором персональных данных и ей необходимо направить уведомление в территориальный орган Роскомнадзора по месту ее регистрации.
Оператор (НКО) обязан направить это уведомление в ведомство до начала обработки персональных данных
— в письменной форме и за подписью уполномоченного лица или в электронной форме, если есть электронная цифровая подпись.
Подробнее узнать о форме и способах регистрации НКО в качестве оператора персональных данных можно в Приказе Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
16. Чего ожидать НКО, зарегистрированной в качестве оператора персональных данных в Роскомнадзоре?
Роскомнадзор может включать организацию в план своих ежегодных проверок юридических лиц.
Периодичность плановых проверок Роскомнадзора — раз в три года. Проверки могут быть выездными и документарными.
Для того, чтобы узнать есть ли НКО в плане проверок Роскомнадзора, можно посмотреть его план проверок на сайте этого ведомства.