НКО и персональные данные: базовые вопросы
Статья
Что такое персональные данные?
Это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Включает широкий спектр сведений, которые могут использоваться для идентификации конкретного человека. При этом необходимо понимать, что персональными данными является тот набор сведений, который позволяет идентифицировать человека, а, например, по отдельности ФИО или адрес электронной почты персональными данными не являются.
ПДн, которые позволяют идентифицировать субъекта: фамилия, имя, отчество, дата рождения, место жительства, номера документов, реквизиты банковских счетов и пр. Эти данные предоставляют полную или достаточную информацию для точного определения личности.
ПДн, которые позволяют идентифицировать субъекта: фамилия, имя, отчество, дата рождения, место жительства, номера документов, реквизиты банковских счетов и пр. Эти данные предоставляют полную или достаточную информацию для точного определения личности.
Что такое специальные категории ПДн?
Это определенные категории ПДн, которые требуют особого внимания и защиты. К ним относятся сведения о расовой или этнической принадлежности, политических убеждениях, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, сведения о судимости. Обработка таких сведений возможна исключительно с письменного согласия субъекта ПДн и они требуют максимальной степени защиты.
Что такое биометрические данные?
Биометрические ПДн — это сведения, которые характеризуют физиологические и биологические особенности человека, такие как отпечатки пальцев, голос, лицо и пр. Эти данные могут быть использованы для установления личности, могут обрабатываться исключительно с письменного согласия субъекта ПДн и требуют максимальной степени защиты.
Распространено мнение, что все фотографии и видеоизображения являются биометрическими персональными данными. Однако это не совсем так. Биометрическими персональными данными считаются только те изображения, которые используются для идентификации личности. Например, фотографии, которые применяются для распознавания лиц на считывателях пропусков. В большинстве случаев обычные фотографии и видеозаписи не считаются биометрическими данными.
Кто такой оператор ПДн?
Государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие или осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Часто считается, что организация становится оператором ПДн только после подачи соответствующего уведомления в Роскомнадзор. Однако это заблуждение. Оператором ПДн становится организация в момент получения и начала обработки любых ПДн, в том числе данных своих работников или иных физических лиц (благополучателей, добровольцев и т. д.).
Часто считается, что организация становится оператором ПДн только после подачи соответствующего уведомления в Роскомнадзор. Однако это заблуждение. Оператором ПДн становится организация в момент получения и начала обработки любых ПДн, в том числе данных своих работников или иных физических лиц (благополучателей, добровольцев и т. д.).
Каковы обязанности оператора ПДн?
В обязанности оператора ПДн входит:
✓
Назначение ответственного за обработку ПДн
✓
Издание документов, определяющих политику оператора в отношении обработки ПДн и локальных актов по вопросам обработки ПДн
✓
Применение правовых, организационных и технических мер по обеспечению безопасности ПДн
✓
Осуществление внутреннего контроля за обработкой ПДн
✓
Оценка возможного вреда правам субъектов ПДн
✓
Ознакомление работников с положениями законодательства и локальных актов по вопросам ПДн
Что такое обработка ПДн?
Это сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. То есть любое действие или совокупность действий, совершаемых с ПДн с использованием средств автоматизации или без их использования.
В каких случаях происходит обработка ПДн?
В ст. 6 закона перечислены таких 12 случаев, но для НКО, как правило, актуальны:
✓
Согласие субъекта данных. Обработка ПДн допускается при наличии согласия субъекта данных. Это может быть письменное согласие или иное подтверждение факта получения согласия.
✓
Договор с субъектом данных. Если у субъекта данных есть договор с оператором, обработка его ПДн допустима в рамках исполнения этого договора. Это может быть трудовой договор, гражданско-правовой договор, договор добровольчества и т. д.
✓
Общественно значимые цели. Согласно закону, обработка ПДн допустима в целях осуществления прав и законных интересов оператора или третьих лиц, а также для достижения общественно значимых целей при условии, что это не нарушает права и свободы субъектов данных. Определения «общественно значимых целей» в законодательстве нет, поэтому к данному случаю нужно относиться очень внимательно.
Что такое цели обработки ПДн?
Законодательство очень ясно определяет, что обработка ПДн должна иметь конкретные, заранее определенные и законные цели. Все ПДн, которые организация получает и обрабатывает, должны быть использованы исключительно в соответствии с этими целями. По достижении цели, согласно закону, ПДн должны быть уничтожены или обезличены.
В зависимости от сферы деятельности организации цели обработки ПДн могут различаться для разных категорий лиц:
В зависимости от сферы деятельности организации цели обработки ПДн могут различаться для разных категорий лиц:
✓
Работники НКО. Цели обработки ПДн работников могут включать учет кадров, начисление заработной платы, организацию рабочего процесса и обеспечение безопасности труда, т. е. обязанности работодателя в соответствии с трудовым законодательством.
✓
Добровольцы. Для добровольцев цели обработки данных могут быть связаны с организацией их участия в различных мероприятиях или программах, а также с предоставлением компенсаций за их деятельность.
✓
Благополучатели и другие категории. Для благополучателей цели могут включать предоставление помощи и услуг, контроль за их состоянием и т. д.
Закон также требует, чтобы объем ПДн соответствовал цели их сбора. Необходимо избегать сбора избыточных данных, которые не имеют прямого отношения к цели обработки. Например, хранение копий паспортов работников без ясной цели может нарушить закон и повлечь штрафы, поскольку это прямо не предусмотрено трудовым законодательством.
Какие основные нормативные акты регулируют работу с ПДн?
- Федеральный закон от 27.08.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства Р Ф от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»
- Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- и еще ряд подзаконных актов, регулирующих вопросы обеспечения безопасности ПДн.
Какие органы контролируют работу с ПДн?
Основной орган в этой сфере — Роскомнадзор: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Роскомнадзор осуществляет контроль за соблюдением требований по защите ПДн и рассматривает жалобы и обращения граждан в этой области.
В сфере защиты ПДн действуют и другие государственные органы, такие как Государственная инспекция труда и органы Прокуратуры, которые также имеют определенные полномочия по контролю и надзору за соблюдением законодательства в этой области.
В сфере защиты ПДн действуют и другие государственные органы, такие как Государственная инспекция труда и органы Прокуратуры, которые также имеют определенные полномочия по контролю и надзору за соблюдением законодательства в этой области.
Какая ответственность грозит НКО за нарушения в работе с ПДн?
Штрафы за нарушения начинаются от 30 тыс. рублей. (таков минимальный штраф за отсутствие согласия на обработку ПДн или неправильное его оформление)
Ст. 13.11 КоАП РФ включает 12 составов правонарушений. Ранее она содержала всего один состав, но сейчас она постоянно дополняется новыми.
Нарушения, которые чаще всего допускают НКО:
Ст. 13.11 КоАП РФ включает 12 составов правонарушений. Ранее она содержала всего один состав, но сейчас она постоянно дополняется новыми.
Нарушения, которые чаще всего допускают НКО:
✓
Неполучение согласия на обработку ПДн, когда это требуется
✓
Несоответствие содержания согласия требованиям закона
✓
Неразмещение на сайте организации политики обработки ПДн
За ненаправление в Роскомнадзор уведомления об обработке ПДн организация может быть оштрафована на сумму от 3 до 5 тыс. рублей по ст. 19.7 КоАП.
Нужна помощь по вопросам, связанным с персональными данными?
Обратитесь к юристам «Правовой команды»!