Политика обработки персональных данных в некоммерческой организации (НКО): образец документа

Некоммерческая организация как оператор персональных данных в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных"
обязана разработать и опубликовать в открытом доступе Политику в отношении обработки персональных данных. Это документ, к которому должны иметь неограниченный доступ субъекты персональных данных и другие заинтересованные лица.

• Какие цели обработки персональных данных в НКО отразить в Политике?
• С какими субъектами персональных данных взаимодействует НКО?
• Как разработать и утвердить Политику?
• Что необходимо указать в Политике, чтобы не получить штраф?

Разбираемся, как составить Политику обработки персональных данных вместе в новом "коробочном решении" от юристов Правового ресурсного центра "Третий сектор".

Предлагаем сперва разобраться с базовыми понятиями.

НКО при работе с персональными данными выступает оператором,
а значит должна соблюдать требования законодательства - определять цели обработки персональных данных, обеспечивать безопасность информации и пр.

Персональные данные - любая информация, которая позволяет определить конкретного человека. В НКО такой информации попадает много. Субъектами персональных данных могут выступать штатные сотрудники, привлекаемые специалисты, благополучатели, участники мероприятий и т.д.

Процесс обработки персональных данных - это совокупность разных действий, которые НКО совершает при работе с информацией. Достаточно хотя бы одного действия (например, сбора персональных данных), чтобы процесс обработки уже начался.

Ключевая цель законодательства о персональных данных - это обеспечение защиты прав и свобод граждан при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Что это означает на практике?
Во-первых, персональные данные должны попадать в организацию (соответственно и обрабатываться) строго при согласии субъектов персональных данных. Во-вторых, при обработке персональных данных организация должна применять правовые, организационные и технические меры, чтобы обеспечить безопасность персональных данных.

Оператор персональных данных может собирать личную информацию граждан только на законных основаниях. Один из принципов работы с персональными данными - обрабатывать можно только те персональные данные, которые отвечают целям их обработки (статья 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных").

Для применения Федерального закона 152-ФЗ под целью обработки персональных данных понимается определенный результат деятельности оператора, для достижения которого ему нужна информация о человеке. Цели должны быть конкретные, заранее определенные и законные. Роскомнадзор рекомендует при их формулировке анализировать правовые акты по деятельности оператора, уставную деятельность и управленческие процессы.

Типовые цели обработки персональных данных в НКО:

• Ведение кадрового и бухгалтерского учета;
• Соблюдение трудового, налогового законодательства;
• Подготовка, заключение и исполнение гражданско-правовых договоров
• Ведение уставной деятельности, в том числе разработка и реализация программ, проектов и проведение мероприятий;
• Ведение информационной работы организации, включая обеспечение работы сайта и иных информационных каналов.

Оператор не может собирать избыточную личную информацию, которая не относится к целям обработки. Обращаем внимание, что с 1 сентября 2022 года в политике оператора указывают по каждой цели обработки перечень персональных данных, категории персональных данных и субъектов, способы, сроки обработки и хранения, порядок уничтожения.

Субъекты персональных данных в НКО (субъекты - лица, чьи персональные данные попадают в НКО):

• Штатные сотрудники
• Контрагенты (например, исполнители по ГПХ-договорам или самозанятые)
• Волонтеры
• Получатели услуг и благополучатели в т.ч. законные представители
• Участники мероприятий
• Посетители сайта и получатели рассылок
• Благотворители

Список не является исчерпывающим. Организация может выбрать и другую классификацию. Степень детализации по категориям субъектов персональных данных оператор определяет самостоятельно.

Как НКО получают персональные данные?
Точки входа (типовые ситуации, при которых в НКО попадают персональные данные) могут быть разные. Например:

Заключение договоров (оформление разных видов отношений)

• трудовые договоры, ГПХ, договоры с волонтерами, отношения с самозанятыми, благотворительные отношения, оказание платных услуг и пр.

Регистрация и учет участников программ, проектов и мероприятий

• участники очных и онлайн-событий, благополучатели, участники опросов и пр.

Сайт

• посетители, участники рассылок, пользователи личных кабинетов и пр.

Какие персональные данные (категории персональных данных), как правило, обрабатываются в НКО?

– фамилия, имя, отчество
– год рождения
– месяц рождения
– дата рождения
– место рождения
– семейное положение
– доходы
– пол
– адрес электронной почты
– адрес места жительства
– адрес регистрации
– номер телефона
– СНИЛС
– ИНН
– гражданство
– данные документа, удостоверяющего личность
– реквизиты банковской карты
– номер расчетного счета
– номер лицевого счета
– профессия
– должность
– сведения о трудовой деятельности
– отношение к воинской обязанности, сведения о воинском учете
– сведения об образовании

В некоммерческих организациях также часто обрабатываются специальные категории персональных данных (например, сведения о здоровье благополучателей).

Правовые основания обработки персональных данных. Правовые основания прямо связаны с целями обработки информации о физическом лице. Это те нормативные документы, которые регулируют конкретный вид деятельности оператора.

Способы обработки персональных данных. В Федеральном законе N 152-ФЗ таких способов всего два: с использованием средств автоматизации и исключительно без средств автоматизации. На практике бывает смешанная форма, когда часть информации о человеке обрабатывается вручную, а часть — на компьютере.

Перечень действий с персональными данными составляют исходя из определения обработки персональных данных.

Порядок хранения и уничтожения персональных данных. По общему правилу персональные данные хранятся не дольше, чем это требуют цели их обработки, если иное не установлено законом или условиями договора с субъектом персональных данных.

Роскомнадзор рекомендует также указывать в политике порядок актуализации, исправления, уничтожения сведений граждан, регламент ответов на их запросы, а также порядок отзыва согласие на обработку персональных данных.

Политика обработки персональных данных разрабатывается организацией самостоятельно без согласования с Роскомнадзором. Порядок действий будет следующим:

1. Оформите и утвердите документ.
2. Ознакомьте всех работников организации с политикой обработки персональных данных под личную подпись.
3. Разместите документ в открытых информационных источниках организации (сайт, социальные сети).

Напомним, оператор должен обеспечить неограниченный доступ к политике. За нарушение этого требования организацию могут привлечь к административной ответственности с достаточно большим административным штрафом.

Общее правило - оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных
(статья 22 Федерального закона № 152-ФЗ "О персональных данных").

Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа на сайте Роскомнадзора и подписывается уполномоченным лицом.

В уведомлении указывают данные оператора, правовые основания для обработки персональных данных, цели сбора данных, меры защиты и пр.

30 мая 2025 года в статью 13.11 КОАП РФ внесли изменения. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных влечет наложение большого административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей.

Важно обеспечить соответствие информации в политике обработки персональных данных и сведений, которые отражены в реестре операторов персональных данных в части:

• Сведений об операторе;
• Цели обработки персональных данных;
• Перечень обрабатываемых персональных данных;
• Категории субъектов персональных данных, с кем НКО работает;
• Перечень действий с персональными данными в рамках их обработки.

2025 год стал насыщенным на изменения законодательства в сфере персональных данных. Изменения в Федеральный закон N 152-ФЗ "О персональных данных", в другие нормативные акты требуют особого внимания операторов персональных данных, в том числе некоммерческих организаций.

Ключевые изменения касаются новой ответственности за отсутствие уведомления Роскомнадзора об обработке персональных данных, ограничений на использование иностранных сервисов при обработке персональных данных граждан России, а также изменения порядка оформления согласий на обработку персональных данных с 1 сентября 2025 года.

Подробнее о работе с персональными данными в НКО с учетом последних изменений законодательства можно узнать в нашем новом дайджесте про работу с персональными данными в условиях меняющегося законодательства.

Юристы Правового ресурсного центра "Третий сектор" подготовили также актуальные формы согласий на обработку персональных данных. Материал сделан в форме "коробочного решения" и включает в себя ключевые разъяснения, а также разные варианты согласий на обработку и распространение персональных данных в некоммерческих организациях.