Персональные данные в НКО

Основные правовые понятия, используемые в сфере персональных данных, закреплены в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»).
Предлагаем разобраться с базовыми понятиями, которые будут вам встречаться в данной теме путеводителя:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных».

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Первоочередным шагом НКО на пути соблюдения требований законодательства о защите персональных данных является назначение ответственного лица за их обработку.
Назначение лица, ответственного за обработку персональных данных в организациях, его права и обязанности, предусмотрены статьей 22.1 Федерального закона «О персональных данных».
Для назначения ответственного лица за обработку персональных данных необходимо издать приказ с указанием должности, фамилии, имени, отчества (при наличии) ответственного сотрудника НКО.

В приказ рекомендуем включить обязанности для ответственного лица: проводить внутренний контроль за тем, как работодатель и сотрудники соблюдают закон о персональных данных, в том числе требования к их защите; доводить до сведения сотрудников положения закона о персональных данных, локальных актов по вопросам обработки данных, требований к их защите; организовывать приём и обработку обращений и запросов субъектов персональных данных или их представителей, контролировать приём и обработку таких обращений и запросов; и иные функциональные обязанности, предусмотренные частями 2 – 4 статьи 22.1 Федерального закона «О персональных данных». Ознакомьте с приказом ответственное лицо под роспись.

Таким образом вы исключите риск нарушения требований закона о персональных данных и штрафных санкций со стороны контрольно-надзорных органов, а назначение ответственного должностного лица за обработку персональных данных в вашей НКО станет отправной точкой процесса построения системы защиты персональных данных.

В следующем вопросе мы увидим, что указание данных ответственного лица также необходимо и в части заполнения уведомления об обработке персональных данных.

НКО, являясь оператором персональных данных, обязана уведомить уполномоченный орган (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Данная обязанность предусмотрена в статье 22 Федерального закона «О персональных данных».

НКО вправе осуществлять без уведомления Роскомнадзора обработку персональных данных лишь в следующих случаях:
– если персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
– в случае, если НКО осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
– персональные данные обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как видно из перечня, подавляющее большинство некоммерческих организаций подпадают под обязанность направить уведомление в Роскомнадзор и войти в реестр операторов персональных данных. Таким образом, при обработке персональных данных работников, контрагентов, волонтеров и участников мероприятиях, иных лиц, в том числе обработка таких данных с использованием средств автоматизации (с использованием сайта, хранение документов на компьютере, публикации в социальных сетях и пр.) НКО должна подать уведомление в Роскомнадзор и подтвердить свой статус оператора персональных данных.

Уведомление подается в соответствующее территориальное управление Роскомнадзора. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом в НКО (как правило, руководителем).

Соответственно, можно сформировать уведомление в бумажном виде. В этом случае надо заполнить форму, распечатать и отправить уведомление в территориальный орган Роскомнадзора.

В электронном виде уведомление формируется с использованием усиленной электронной подписи. Необходимо заполнить электронную форму на сайте Роскомнадзора и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется.

В уведомлении НКО указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки, меры по обеспечению сохранности полученных сведений и другую информацию в соответствии со статьей 22 Федерального закона «О персональных данных».

На сайте Роскомнадзора размещены методические рекомендации по заполнению уведомления (Приказ Роскомнадзора от 30.05.2017 N 94), а также приведены примеры заполнения уведомления.

Аналогичным образом необходимо уведомить Роскомнадзор об изменении сведений в уведомлении о намерении обрабатывать персональные данные и о прекращении обработки персональных данных.

Сведения включаются Роскомнадзором в реестр операторов, осуществляющих обработку персональных данных в течение 30 дней с момента направления такого уведомления.

Уведомляя Роскомнадзор о намерении начать обработку персональных данных в установленном законом порядке, НКО не только избежит штрафа, но и станет организацией, сведения о которой содержатся в публичном реестре операторов, осуществляющих обработку персональных данных, что повысит к ней доверие со стороны субъектов персональных данных.

Если уведомление не направить, организации грозит административная ответственность в виде штрафа по статье 19.7 КоАП РФ.

В соответствии с действующим законодательством можно выделить два отдельных согласия:
1) Согласие на обработку персональных данных (статья 9 Федерального закона «О персональных данных»)
2) Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (статья 10.1 Федерального закона «О персональных данных»).
Рассмотрим подробнее каждое из вышеуказанных согласий.

Согласие на обработку персональных данных.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя информацию, предусмотренную статьей 9 Федерального закона «О персональных данных».

Когда требуется письменная форма согласия на обработку персональных данных?
В определенных федеральным законом случаях обработка персональных данных может осуществляться только с согласия в письменной форме.
В частности, согласие в письменной форме необходимо, когда требуется:
1) обработка специальных категорий персональных данных,
2) обработка биометрических персональных данных,
3) трансграничная передача персональных данных,
4) а также в случаях принятия решения, порождающего юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки его персональных данных.

Специальная категория персональных данных – обработка данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Согласие на распространение персональных данных.
В марте 2021 вступили в силу важные изменения в Федеральный закон «О персональных данных». Появился термин «персональные данные, разрешенные для распространения» – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Также в правовом поле появился новый документ – согласие на обработку персональных данных, разрешенных для распространения. Порядок работы с ним изложен в статье 10.1 Федерального закона «О персональных данных» и Приказе Роскомнадзора от 24.02.2021 N 18.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Фото- или видеоизображений людей являются биометрическими персональными данными. В данном случае биометрические персональные данные могут обрабатываться НКО только при согласии в письменной форме субъекта персональных данных. Если такие персональные данные публикуются в открытых источниках (сайт или социальные сети НКО, иные общедоступные ресурсы для неограниченного круга лиц), необходимо брать два согласия субъекта персональных данных (или его законного представителя): на обработку персональных данных (статья 9 Федерального закона «О персональных данных») и на распространение персональных данных (статья 10.1 Федерального закона «О персональных данных»). При этом данные согласия не могут быть объединены в одно, соответственно необходимо оформлять два отдельных документа.

Размещение на сайте или в страницах в социальных сетях НКО фото- или видеоизображений субъектов персональных данных и дальнейшее использование изображения субъекта персональных данных возможно только с его согласия (согласия законного представителя), за исключением случаев, предусмотренных статьей 152.1 Гражданского кодекса Российской Федерации, когда наличие такого согласия не является обязательным.

В частности:
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах (например, в целях раскрытия угрозы общественной безопасности или окружающей среде);
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату.

Если вы в своей работе до сих пор не используете практику оформления согласий на обработку и распространение персональных данных, то за обработку (в том числе распространение) персональных данных, осуществляемую без согласия субъекта персональных данных, грозит административная ответственность. Так за несоблюдение письменной формы согласия предусмотрена административная ответственность по части 2 статьи 13.11 Кодекса об административных правонарушениях Российской Федерации (штраф на юридических лиц в размере от 30 000 до 150 000 рублей).

В данном случае рекомендуем утвердить следующие формы:
1) Форма согласия на обработку персональных данных;
2) Форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

При этом в НКО каждая форма согласия с учетом разных целей и разного перечня обрабатываемых персональных данных может быть разработана под различные фактические отношения и ситуации, например:
– согласие на обработку/распространение персональных данных для работников организации;
– согласие на обработку/распространение персональных данных для исполнителей по договорам гражданско-правового характера;
– согласие на обработку/распространение персональных данных для благополучателей;
– согласие на обработку/распространение персональных данных для участников ваших проектов и мероприятий;
– и т.д.

Утвержденные внутри организации формы таких согласий позволят сотрудникам НКО легко ориентироваться в процедурах оформления согласий в различных обстоятельствах. Все утвержденные формы необходимо довести до сотрудников/иных представителей НКО для использования в своей работе.

Применяя формы согласий на обработку персональных данных в деятельности НКО, вы не только минимизируете риск жалоб со стороны граждан в контрольные органы и получения штрафов, но и продемонстрируете субъектам персональных данных свою приверженность выполнения требований законодательства.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных в статье 10 Федерального закона «О персональных данных».

Обработка персональных специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется при наличии отдельного письменного согласия;
3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) в иных случаях, установленных в статье 10 Федерального закона «О персональных данных».

Для обработки специальных категорий персональных данных при наличии законных оснований также требуется получение согласия от субъекта в письменной форме.

За нарушение в виде обработки специальных категорий персональных данных в отсутствие правовых оснований их обработки грозит административная ответственность (часть 1 статьи 13.11 КоАП РФ).

К документам, которые должны быть разработаны и утверждены оператором персональных данных в первоочередном порядке, относятся:

1) Положение об обработке и защите персональных данных. Нормы Трудового кодекса Российской Федерации (статьи 86 – 87), части 1 статьи 18.1 Федерального Закона «О персональных данных», обязывают НКО разрабатывать порядок хранения и использования персональных данных работников. Отсутствие такого порядка, оформленного в виде локального акта, устанавливающего порядок обработки персональных данных работников, квалифицируется как нарушение законодательства о труде и влечет административную ответственность, предусмотренную ст. 5.27 КоАП Российской Федерации.
Положение о защите персональных данных разрабатывается работодателем в произвольной форме. В текст положения в соответствии с требованиями пункта 2 части 1 статьи 18.1 Федерального закона «О персональных данных» рекомендуем включить разделы:
1) «Общие положения» – отражаются вопросы, которые регулирует положение, порядок его вступления в силу, внесения изменений;
2) «Категории субъектов персональных данных» – указываются физлица (например, работники, соискатели), персональные данные которых будут обрабатываться согласно положению;
3) «Цели обработки персональных данных, категории и перечни обрабатываемых персональных данных» - перечисляются цели обработки и данные, которые будут обрабатываться для их достижения;
4) «Порядок и условия обработки персональных данных» – регулируются, например, способы обработки таких данных;
5) «Сроки обработки и хранения персональных данных» – указывается, в частности, сколько нужно хранить документы, которые содержат персональные данные;
6) «Порядок блокирования и уничтожения персональных данных» – определяются, например, сроки уничтожения персональных данных при достижении максимальных сроков хранения документов, в которых они содержатся;
7) «Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений» – перечисляются локальные нормативные акты, которые принимаются во исполнение положения, указывается порядок осуществления контроля за соблюдением у работодателя требований законодательства в области персональных данных и т.п.;
8) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» – указываются последствия нарушения законодательства в области персональных данных.
Положение утверждается локальным актом организации. С ним ознакомляются под роспись сотрудники, в чьи трудовые обязанности входит работа с персональными данными.

2) Политика оператора в отношении обработки персональных данных. Разработка локального акта, регламентирующего политику организации в отношении обработки персональных данных, предусмотрена пунктом 2 части 1 статьи 18.1 Закона «О персональных данных».
Политика является обязательной в случае обработки персональных данных на сайте оператора.

Роскомнадзором разработаны «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». При разработке политики в отношении персональных данных, обрабатываемых в НКО, руководствуйтесь указанными рекомендациями.

Политика оператора в отношении обработки персональных данных утверждается локальным актом организации, размещается на сайте НКО, а также в иных общедоступных для ознакомления местах (например, специализированные стенды в помещениях организации) и актуализируется по мере необходимости.

Неисполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных наказывается в соответствии с частью 3 статьи 13.11 КоАП Российской Федерации.

Также во исполнение отдельных требований Федерального закона «О персональных данных» рекомендуется в НКО:
– Утвердить перечень информационных систем персональных данных. Указанный перечень содержит сведения о всех информационных системах, в которых Оператором обрабатываются персональные данные с использованием средств автоматизации.
– Утвердить порядок обработки персональных данных без использования средств автоматизации.
– Разработать и утвердить инструкцию для работника, ответственного за защиту информации, а также разработать форму обязательства сотрудников НКО о неразглашении персональных данных. С сотрудниками, которые имеют доступ к персональным данным, необходимо подписание обязательства об их неразглашении.
– Утвердить регламент по организации хранения/уничтожения документов, содержащих персональные данные, а также на уровне локальных актов определить перечень лиц, допущенных к обработке персональных данных.

Ответственно подойдя к вопросу подготовки локальных правовых актов в сфере защиты персональных данных, Вы не только продолжите вектор построения системы работы с персональными данными в вашей организации, но и избежите штрафов при проведении проверок Роскомнадзором обязательных документов.

Если в вашей организации отсутствуют документы в сфере защиты персональных данных, вам может грозить административная ответственность (ст. 13.11 КоАП РФ).

НКО как оператор при обработке персональных данных обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Перечень таких мер предусмотрен статьей 19 Федерального закона «О персональных данных». В частности, закон предусматривает, что обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, обеспечивается:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (например, сертифицированные серверы для хранения баз данных, содержащих персональные данные);
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных (такой учет осуществляется путем ведения у Оператора специальных журналов учета машинных носителей – накопителей, флеш-карт, компакт-дисков или иных носителей персональных данных);
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

В настоящее время почти у всех НКО на сайтах есть различные формы для обратной связи, рассылки или регистрации на мероприятия. Также на любом современном сайте, как правило, установлены разные счетчики для аналитики пользовательской активности (Яндекс.Метрика, Google Analytics и пр.).

В каждом из этих случаев НКО как организация-владелец сайта осуществляет обработку персональных данных, а значит с точки зрения Федерального закона «О персональных данных» является оператором персональных данных.

Какая информация, обрабатываемая на сайте, относится к персональных данным? Чаще всего на сайтах обрабатываются следующие персональные данные:
1. Фамилия, Имя, Отчество;
2. Телефон;
3. Электронная почта;
4. Адрес;
5. Дата рождения;
6. Место работы, должность.

Таким образом, если на вашем сайте есть любая форма сбора данных - обратной связи, регистрации, подписки на рассылку или личный кабинет, это считается обработкой персональных данных.

При этом, если вы не накапливаете и не храните такие данные (например, вы удаляете сразу все данные), это будет считаться обработкой персональных данных.

Кроме того, данные, которые собирают программы пользовательской активности и статистики (Яндекс.Метрикой, Google Analytic и пр.), также являются персональными данными. К таким данными можно отнести следующую информацию:
1.IP-адрес;
2. Местоположение;
3. Файлы cookie;
4. Иная обезличенная информация о поведении пользователя на сайте.

Что необходимо сделать, чтобы соблюсти требования законодательства? Проверьте, что вы соблюдаете следующие условия:

1. Необходимо внести вашу организацию в реестр операторов персональных данных Роскомнадзора. Для этого необходимо подать соответствующее уведомление на сайте Роскомнадзора (смотри отдельный вопрос в данном теме).
2. Под каждой формой сбора данных необходимо разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» (рекомендуется использовать вариант с проставлением «галочки» в электронной форме). Рядом с формой в тексте должна быть ссылка на документ — согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.
3. Необходимо разместить на сайте документ — политику организации в отношении обработки персональных данных.
4. Всех новых пользователей сайта необходимо предупреждать о том, что вы собираете для функционирования сайта пользовательские данные cookie, данные об IP-адресе и др.). Стоит сделать оговорку: если пользователь не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт. Технически это можно сделать с помощью всплывающего блока с кнопкой «Согласен».

Таким образом, следуя ряду простых правил при организации обработки персональных данных, вы сможете не только в полной мере соблюсти требования действующего законодательства, но и продемонстрировать пользователям сайта безопасность его посещения.

Да, в соответствии со статьей 18.1 Федерального закона «О персональных данных» НКО как оператор персональных данных обязана опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

НКО, осуществляющая сбор персональных данных с использованием сети интернет на своем сайте, обязана опубликовать на страницах данного сайта, с использованием которого осуществляется сбор персональных данных, документ, определяющий политику в отношении обработки персональных данных.