Защити себя сам. Меню →

НКО и персональные данные

Что должна знать и делать некоммерческая организация, чтобы защитить личные данные граждан и не попасть под санкции.

Источник фото: www.instagram.com/lanasator
Содержание

Чтобы не пропустить новую памятку
Что должны знать и делать НКО, чтобы защитить личные данные граждан и не попасть под санкции.
1. что такое персональные данные?
Персональные данные — это любая информация, позволяющая идентифицировать человека, определить, о ком именно идет речь, за исключением сведений, подлежащих распространению в СМИ в установленных федеральными законами случаях.

Например: ФИО, дата рождения, паспортные данные, адрес места жительства или регистрации, СНИЛС, ИНН, сведения об имущественном и семейном положении гражданина, его образовании, профессии, доходах, о состоянии здоровья, контактные данные, увлечениях (хобби) человека, национальной принадлежности, членстве в каких-либо организациях.

При этом каждое из перечисленных сведений, взятое отдельно, в отрыве от других, может не относиться к персональным данным, но становится таковым в сочетании с другим. Например, сам по себе номер мобильного телефона не персонален, но вместе с ФИО становится «персональным данным».
Сам по себе номер мобильного телефона не персонален, но вместе с ФИО становится «персональным данным».
Смотреть Указ Президента РФ от 06.03.97 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».
2. зачем защищать персональные данные?
Соблюдая закон по защите персональных данных, НКО защищает права и свободы любого человека. Любая личная информация о человеке, оказавшаяся в недобрых руках, может стать инструментом для нанесения ему вреда.

Защита персональных данных в НКО – это демонстрация заинтересованности в обеспечении защиты персональных данных своих подопечных и сотрудников и забота об улучшении ее имиджа.
Любая личная информация о человеке, оказавшаяся в недобрых руках, может стать инструментом для нанесения ему вреда.
3. риски для НКО при утечке персональных данных
Персональные данные, которыми располагает НКО, могут попасть к злоумышленникам. Имея определенный набор персональных данных, можно совершить множество противоправных действий и нанести ущерб любому человеку: от домашних краж до незаконных сделок с недвижимостью, оформления кредитов и регистрации организаций от имени человека.

Произвольное распространение персональных данных человека чревато доставлением ему определенных неудобств и возникновением проблем у некоммерческой организации. Мало приятного попасть в базу каких-нибудь организаций, занимающихся распространением рекламы неинтересующих вас услуг и/или товаров.

Человек в данном случае вправе обратиться в соответствующие компетентные органы (например, в Роскомнадзор или в прокуратуру) с жалобой о незаконном распространении его персональных данных.

В результате может быть инициирована внеплановая проверка соблюдения законодательства о персональных данных и в случае выявления нарушений организация и ее ответственные сотрудники рискуют получить многотысячные штрафы.
В случае нарушений организация и ее ответственные сотрудники рискуют получить многотысячные штрафы.
Государственный орган, наделенный полномочиями в области защиты персональных данных (проведение
проверок, привлечение к административной ответственности за нарушение законодательства о персональных
данных, рассмотрение жалоб и обращений по вопросам, связанным с обработкой персональных данных).
4. штрафы
Персональные данные — это любая информация, позволяющая идентифицировать человека, определить, о ком именно идет речь, за исключением сведений, подлежащихраспространению в СМИ в установленных федеральными законами случаях[1]

Соблюдая закон по защите персональных данных, НКО защищает права и свободы любого человека. Любая личная информация о человеке, оказавшаяся в недобрых руках, может стать инструментом для нанесения ему вреда.

Защита персональных данных в НКО — это демонстрация ее заинтересованности в обеспечении защиты персональных данных своих подопечных и сотрудников и забота об улучшении ее имиджа.

С 1 июля 2017 года в Кодекс РФ об административных правонарушениях (далее КоАП РФ) введены 7 новых составов административных правонарушений за нарушения в области персональных данных, а штрафы для должностных и юридических лиц существенно увеличились.

Максимальный штраф

  • для юридических лиц – 75 000 рублей;
  • для должностных лиц – 20 000 рублей.
Если НКО или ее сотрудник нарушает законодательство о персональных данных, т. е. не выполняет предписанный законом обязанность, нужно быть готовым к предупреждению и штрафам:

Она может быть привлечена к административной ответственности по одному или сразу нескольким составам административных правонарушений из семи, имеющихся в статье 13.11 КоАП РФ. Также к административной ответственности могут быть привлечены ее сотрудники — должностные лица. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

— 30 000 — 50 000 рублей за обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ);

— 5 000 до 75 000 рублей за обработку персональных данных без согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ);

— 15 000 — 30 000 рублей за неопубликование политики в отношении обработки персональных данных (ч. 3 ст. 13.11 КоАП РФ);

— 20 000 — 40 000 рублей за непредоставление субъекту персональных данных информации, касающейся обработки его персональных данных (ч. 4 ст. 13.11 КоАП РФ);

— 20 000 до 45 000 рублей за невыполнение в установленные законом сроки требования по уточнению персональных данных их блокировки или уничтожению (если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки) (ч.5 ст. 13.11 КоАП РФ). Такое требование может происходить от самого человека, чьи персональные данные затронуты, или от его представителя, или от уполномоченного органа по защите прав человека;

— 25 000 — 50 000 рублей за необеспечение сохранности персональных данных о допущение неправомерного или случайного доступа к персональным данным, включая их уничтожение, изменение, блокирование, копирование, предоставление, распространение и пр. (ч. 6 ст. 13.11 КоАП РФ).

Помимо административной, сотрудника НКО могут привлечь к материальной (п. 7 ст. 243 ТК РФ), дисциплинарной (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовной ответственности (ч. 2 ст. 137 УК РФ).
Помимо административной, сотрудника НКО могут привлечь к материальной, дисциплинарной и даже уголовной ответственности (ч. 2 ст. 137 УК РФ).
5. основные законы, затрагивающие персональные данные и НКО
— Конвенция о защите физических лиц при автоматизированной обработке персональных данных (была ратифицирована Россией в 2005 году).

— Конституция РФ (статьи 23 и 24).
Федеральный закон от 27.07.2006 № 152- ФЗ «О персональных данных».

— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

— Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

— Кодекс РФ об административных правонарушениях (статья 13.11.).

— Трудовой кодекс РФ (глава 14).

Подзаконные акты, устанавливающие порядок сбора, обработки, хранения, защиты персональных данных, издаются Роскомнадзором или Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности.

6. что значит «обработка персональных данных»?
Любые действия, производимые с персональными данными называются их обработкой.

Если в некоммерческой организации собирают, записывают, систематизируют, накапливают, хранят, уточняют (обновляют), используют, передают (распространяют, предоставляют), обезличивают, удаляют и уничтожают персональные данные, то все это, как следует из закона, является обработкой персональных данных.

Обработка персональных данных без соблюдения закона грозит привлечением к административной или даже к уголовной ответственности.
Смотреть часть 3 статьи 3 ФЗ от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
Смотреть статью 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных».
Смотреть статью 137 Уголовного кодекса РФ «Нарушение неприкосновенности частной жизни».
Смотреть статью 10 ФЗ от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
Смотреть часть 2 ст 10 ФЗ от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
7. какие данные запрещено обрабатывать?
Законом запрещено обрабатывать персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни человека.

Закон предусматривает исключения из этого правила, к НКО применима лишь часть из них:

— Субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

— Персональные данные сделаны общедоступными самим человеком (то есть доступ к ним есть у неограниченного круга людей с согласия самого субъекта персональных данных или на эти персональные данные требование о соблюдении конфиденциальности не распространяется согласно закону);

— Обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;

— Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно (например, в случае, когда человек безвестно отсутствует — пропал и объявлен его розыск);

— Обработка персональных данных членов общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; (например, для отправления данных в различные государственные органы в порядке установленном законом — при подаче сведений в Минюст Р Ф в отчетах, предусмотренных законодательством);

— Обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

— Обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

— Обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
8. вправе ли НКО запрашивать сведения о судимости?
Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а иными лицами в случаях и в порядке, которые определяются в соответствии с ФЗ.
9. что означает «сохранять конфиденциальность персональных данных» для НКО?
Организация и ее сотрудники, получившие доступ к персональным данным человека, не могут раскрывать третьим лицам и распространять персональные данные без его согласия. Исключения есть только в тех случаях, которые прямо предусмотрены федеральным законом.
10. когда НКО освобождают от необходимости обеспечивать конфиденциальность персональных данных?
Полный перечень случаев, когда обработка персональных данных может осуществляться без согласия субъекта персональных данных приведен в части 2 статьи 6 Федерального закона от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
11. когда НКО не требуется брать согласие на обработку персональных данных?
Полный перечень случаев, когда обработка персональных данных может осуществляться без согласия субъекта персональных данных приведен в части 2 статьи 6 Федерального закона от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
Смотреть часть 2 ст 10 ФЗ от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
12. является ли обработкой персональных данных использование, хранение в НКО контактов с полученной от кого-либо визитной карточки?
Нет, не является, если информация используется для личной коммуникации и не распространяется/не публикуется без разрешения человека в открытом доступе.

13. может ли НКО принять согласие на обработку персональных данных от родственника?
Нет, согласие об обработке персональных данных необходимо получать у самого человека. Предоставление в организацию чьих-либо персональных данных даже родственником должно быть при наличии письменного согласия того, чьи данные передаются.
14. возможно ли получить согласие на обработку персональных данных по телефону?
Нет, невозможно. Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством РФ не предусмотрено.
15. нужно ли получать согласие на обработку данных ребенка от обоих родителей?
В случае необходимости согласие можно получить от одного из родителей, поскольку согласно части 1 статьи 61 Семейного кодекса РФ, родители имеют равные права и несут равные обязанности в отношении своих детей.

Вместе с тем, отдельно законом вопрос получения такого согласия от родителей не регламентируется и неизвестно, каким образом может отреагировать Роскомнадзор в случае проведения проверки в организации на наличие согласия лишь от одного из родителей.

В связи с этим, если есть возможность получения согласия на обработку персональных данных ребенка от обоих родителей, то лучше получить от обоих.
Если есть возможность получить согласие на обработку персональных данных ребенка от обоих родителей, то лучше это сделать.
16. как НКО защитить персональные данные и соблюсти закон?
Смотреть на сайте Роскомнадзора «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 г. № 152-ФЗ „О персональных данных"».
Утвержденной формы согласия на обработку персональных данных нет, вместе с тем согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя сведения, предусмотренные статьей 9 Федерального закона от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
Смотреть часть 3 статьи 21 Федерального закона от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
Перечень мер, направленных на защиту персональных данных, организация вправе определять самостоятельно. Ниже — рекомендованный минимум таких мер:

  1. Разработать и принять Положение об обработке персональных данных. Оно включит в себя описание порядка обработки, изменения, копирования, распространения персональных данных, о правилах доступа, о мерах предотвращения неправомерного доступа к персональным данным, перечень лиц, которые обрабатывают персональные данные и/или имеют к ним доступ;
  2. Назначить приказом руководителя организации ответственного сотрудника, обеспечивающего исполнение организацией законодательства о персональных данных;
  3. Получить от каждого субъекта согласие на обработку персональных данных;
  4. Уведомить субъект персональных данных о прекращении обработки и об уничтожении его персональных данных;
  5. Осуществить технические меры защиты персональных данных (например, хранить документы с персональными данными в запираемых на замок шкафах; ограничить доступ в помещения с персональными данными домофоном или с помощью организации пропускного режима; обеспечить защиту путем раздельного хранения носителей персональных данных, которые обрабатываются в различных целях — раздельное хранение данных сотрудников и обращающихся в организацию людей; защита паролем компьютеров, где хранятся персональные данные; установка антивирусных программ на компьютеры, чтобы исключить случаи порчи и уничтожения данных на компьютерах и т. п.);
  6. Ознакомить сотрудников с действующим законодательством в области защиты персональных данных и локальными актами организации об этом;
  7. Провести профилактическую работу с сотрудниками организации по предупреждению разглашения ими персональных данных;
  8. Разместить информацию о том, как организована работа с персональными данными в организации (положение об обработке персональных данных или политика конфиденциальности в организации) в доступном для людей месте в офисном помещении, опубликовать ее в интернете, если у организации есть сайт, а также на всех онлайн ресурсах организации, которые собирают персональные данные пользователей.
17. зачем НКО размещать политику конфиденциальности на своем сайте?
Владельцы сайтов, на которых есть, например, личные кабинеты, формы обратной связи, подписки или регистрации, занимаются обработкой персональных данных пользователей и по закону обязаны уведомлять посетителей сайта о том, каким образом у них организована обработка персональных данных.

С 1 июля 2017 года в КоАП РФ введено административное правонарушение, предусмотренное частью 3 статьи 13.11. Некоммерческая организация, являющаяся владельцем сайта, за невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику в отношении обработки персональных данных, может быть привлечена к административной ответственности.

— Минимальное административное наказание в случае признания организации виновной — предупреждение.

— Максимальное наказание — штраф в размере от 3000 до 6000 рублей (на должностных лиц организации); от 15 000 до 30 000 рублей (на организацию).
НКО, владеющую сайтом, могут привлечь к административной ответственности за отсутствие документа, определяющего политику обработки персональных данных.
18. какие госорганы вправе запрашивать
персональные данные без согласия субъекта?
Суды и другие правоохранительные органы могут беспрепятственно получать у организации персональные данные без согласия субъектов персональных данных, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

Другие контролирующие органы.

Перечень персональных данных следует сверять в каждом отдельном случае с нормами в законодательстве, а иногда и с судебной практикой.
Например, Девятый арбитражный апелляционный суд в своем постановлении от 25.06.09 г. по делу № А 40−76 345/08−122−112 указал, что сотрудник службы судебных приставов не имеет права запрашивать и получать сведения, содержащие личные данные граждан.
В частности, суд отметил, что ни Федеральный закон от 21.07.1997 г. № 118-ФЗ «О судебных приставах», ни Федеральный закон от 02.01.2007 г. № 229-ФЗ «Об исполнительном производстве» не предоставляют судебным приставам-исполнителям права получать персональные данные без согласия их субъектов, не устанавливают условия получения таких данных, не определяют круг субъектов, персональные данные которых подлежат обработке, а также полномочия судебного пристава-исполнителя по их обработке.
19. уведомление и неуведомление
Роскомнадзора о включении в реестр операторов персональных данных
Некоммерческая организация не должна направлять уведомление об этом в Роскомнадзор, если обрабатывает персональные данные:

— только своих работников в соответствии с трудовым законодательством;

— для целей заключения и исполнения договоров, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия владельца персональных данных;

— сделанные самим владельцем персональных данных общедоступными;

— содержащие только фамилии, имена и отчества субъектов персональных данных;

— для однократного пропуска лица на территорию организации;

— членов (участников) общественного объединения, действующего на законных основаниях, для достижения целей, указанных в его учредительных документах, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

— без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека).

Если некоммерческая организация обрабатывает персональные данные помимо тех, что указаны выше, она является оператором персональных данных и ей необходимо направить уведомление в территориальный орган Роскомнадзора по месту ее регистрации.

Оператор (НКО) обязан направить это уведомление в ведомство до начала обработки персональных данных — в письменной форме и за подписью уполномоченного лица или в электронной форме за электронной цифровой подписью в соответствии с законодательством РФ в территориальные управления Роскомнадзор.
Подробнее узнать о форме и способах регистрации некоммерческой организации в качестве оператора персональных данных можно в Приказе Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
Смотреть часть 2 статьи 22 Федерального закона от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
Смотреть Постановление Правительства Р Ф от 15.09.08 г. № 687.
Смотреть часть 1 статьи 22 Федерального закона от 27.07.2006 г. № 152 — ФЗ «О персональных данных».
Смотреть пункт 5 по адресу www.pd.rkn.gov.ru/law/p132/p137/?
20. последствия регистрации НКО
в качестве оператора персональных данных
Роскомнадзор может включать организацию в план своих ежегодных проверок юридических лиц.

Периодичность плановых проверок Роскомнадзора — раз в три года.

Проверки могут быть выездными и документарными.

Для того, чтобы узнать есть ли некоммерческая организация в плане проверок Роскомнадзора, можно посмотреть его план проверок на сайте этого ведомства.
Периодичность плановых проверок Роскомнадзора — раз в три года.
Юристы рекомендуют
Как повысить безопасность
себя, своих родных и близких
Над памяткой работали
Фонд «Общественный вердикт».
Единственная в России некоммерческая организация,
совмещающая судебную практику с психологической,
аналитической и просветительской работой
в сфере защиты от произвола правоохранительных органов.


Авторы

Елена Першакова

Редактор
Асмик Новикова

Продюсер
Инга Пагава