НКО и персональные данные: базовые вопросы
Статья
Что такое персональные данные?
Это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Включает широкий спектр сведений, которые могут использоваться для идентификации конкретного человека. При этом необходимо понимать, что персональными данными является тот набор сведений, который позволяет определить, т.е. идентифицировать человека, а, например, по отдельности ФИО или адрес электронной почты персональными данными не являются.
ПДн, которые позволяют идентифицировать субъекта: фамилия, имя, отчество, дата рождения, место жительства, номера документов, реквизиты банковских счетов и пр. Эти данные предоставляют полную или достаточную информацию для точного определения личности.
ПДн, которые позволяют идентифицировать субъекта: фамилия, имя, отчество, дата рождения, место жительства, номера документов, реквизиты банковских счетов и пр. Эти данные предоставляют полную или достаточную информацию для точного определения личности.
Что такое специальные категории ПДн?
Это определенные категории ПДн, которые требуют особого внимания и защиты. К ним относятся сведения о расовой или этнической принадлежности, политических убеждениях, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, сведения о судимости. Обработка таких сведений возможна исключительно с письменного согласия субъекта ПДн и они требуют максимальной степени защиты.
Что такое биометрические данные?
Биометрические ПДн — это сведения, которые характеризуют физиологические и биологические особенности человека, такие как отпечатки пальцев, голос, лицо и пр. Эти данные могут быть использованы для установления личности, могут обрабатываться исключительно с письменного согласия субъекта ПДн и требуют максимальной степени защиты.
Распространено ошибочное мнение, что все фотографии и видеоизображения являются биометрическими персональными данными. Однако это не совсем так. Изображения могут считаться биометрическими персональными данными в том случае, если они используются для идентификации личности. Например, фотографии, которые применяются для распознавания лиц на считывателях пропусков. В большинстве случаев обычные фотографии и видеозаписи не считаются биометрическими данными.
В разъяснениях Роскомнадзора было отмечено, что необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте. Т.е. речь идет именно об идентификации личности субъекта ПДн. Фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным. В иных случаях, когда сканирование (ксерокопирование) паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных. Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием.
Распространено ошибочное мнение, что все фотографии и видеоизображения являются биометрическими персональными данными. Однако это не совсем так. Изображения могут считаться биометрическими персональными данными в том случае, если они используются для идентификации личности. Например, фотографии, которые применяются для распознавания лиц на считывателях пропусков. В большинстве случаев обычные фотографии и видеозаписи не считаются биометрическими данными.
В разъяснениях Роскомнадзора было отмечено, что необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте. Т.е. речь идет именно об идентификации личности субъекта ПДн. Фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным. В иных случаях, когда сканирование (ксерокопирование) паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных. Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием.
Кто такой оператор ПДн?
Государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие или осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Распространено заблуждение, что организация становится оператором ПДн только после направления соответствующего уведомления в Роскомнадзор.
Оператором ПДн становится организация фактически с момента государственной регистрации юридического лица, поскольку уже начинает обработку ПДн своих учредителей и членов руководящих органов. Впоследствии начинается обработка ПДн работников, контрагентов, добровольцев, благополучателей и т.д.
Распространено заблуждение, что организация становится оператором ПДн только после направления соответствующего уведомления в Роскомнадзор.
Оператором ПДн становится организация фактически с момента государственной регистрации юридического лица, поскольку уже начинает обработку ПДн своих учредителей и членов руководящих органов. Впоследствии начинается обработка ПДн работников, контрагентов, добровольцев, благополучателей и т.д.
Каковы обязанности оператора ПДн?
В обязанности оператора ПДн входит:
1. Назначение ответственного за обработку ПДн;
2. Издание документов, определяющих политику оператора в отношении обработки ПДн и локальных актов по вопросам обработки ПДн;
3. Применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
4. Осуществление внутреннего контроля;
5. Оценка возможного вреда;
6. Ознакомление работников с положениями законодательства и локальных актов по вопросам ПДн.
7. Определение угроз безопасности;
8. Применение организационных и технических мер безопасности, обеспечивающих уровни защищенности;
9. Применение сертифицированных средств защиты информации;
10. Оценка эффективности принимаемых мер;
11. Учет машинных носителей ПДн;
12. Обнаружение фактов несанкционированного доступа к ПДн;
13. Восстановление модифицированных или уничтоженных ПДн;
14. Установление правил доступа к ПДн и учета всех действий с ними;
15. Контроль за принимаемыми мерами и уровнем защищенности.
1. Назначение ответственного за обработку ПДн;
2. Издание документов, определяющих политику оператора в отношении обработки ПДн и локальных актов по вопросам обработки ПДн;
3. Применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
4. Осуществление внутреннего контроля;
5. Оценка возможного вреда;
6. Ознакомление работников с положениями законодательства и локальных актов по вопросам ПДн.
7. Определение угроз безопасности;
8. Применение организационных и технических мер безопасности, обеспечивающих уровни защищенности;
9. Применение сертифицированных средств защиты информации;
10. Оценка эффективности принимаемых мер;
11. Учет машинных носителей ПДн;
12. Обнаружение фактов несанкционированного доступа к ПДн;
13. Восстановление модифицированных или уничтоженных ПДн;
14. Установление правил доступа к ПДн и учета всех действий с ними;
15. Контроль за принимаемыми мерами и уровнем защищенности.
Что такое обработка ПДн?
Это сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. То есть любое действие или совокупность действий, совершаемых с ПДн с использованием средств автоматизации или без их использования.
В каких случаях происходит обработка ПДн?
В ст. 6 закона перечислены таких 12 случаев, но для НКО, как правило, актуальны:
✓
Согласие субъекта данных. Обработка ПДн допускается при наличии согласия субъекта данных. Это может быть письменное согласие или иное подтверждение факта получения согласия.
✓
Договор с субъектом данных. Если у субъекта данных есть договор с оператором, обработка его ПДн допустима в рамках исполнения этого договора. Это может быть трудовой договор, гражданско-правовой договор, договор добровольчества и т. д.
✓
Общественно значимые цели. Согласно закону, обработка ПДн допустима в целях осуществления прав и законных интересов оператора или третьих лиц, а также для достижения общественно значимых целей при условии, что это не нарушает права и свободы субъектов данных. Определения «общественно значимых целей» в законодательстве нет, поэтому к данному случаю нужно относиться очень внимательно.
Что такое цели обработки ПДн?
Законодательство очень ясно определяет, что обработка ПДн должна иметь конкретные, заранее определенные и законные цели. Все ПДн, которые организация получает и обрабатывает, должны быть использованы исключительно в соответствии с этими целями. По достижении цели, согласно закону, ПДн должны быть уничтожены или обезличены, если дальнейшее их хранение прямо не предусмотрено законом (законодательство о бухучете, налоговое, архивное законодательство и др.).
В зависимости от сферы деятельности организации цели обработки ПДн могут различаться для разных категорий лиц:
В зависимости от сферы деятельности организации цели обработки ПДн могут различаться для разных категорий лиц:
✓
Работники НКО. Цели обработки ПДн работников могут включать учет кадров, начисление заработной платы, организацию рабочего процесса и обеспечение безопасности труда, т. е. обязанности работодателя в соответствии с трудовым законодательством.
✓
Добровольцы. Для добровольцев цели обработки данных могут быть связаны с организацией их участия в различных мероприятиях или программах, а также с предоставлением компенсаций за их деятельность.
✓
Благополучатели и другие категории. Для благополучателей цели могут включать предоставление помощи и услуг, контроль за их состоянием и т. д.
Закон также требует, чтобы объем ПДн соответствовал цели их сбора. Необходимо избегать сбора избыточных данных, которые не имеют прямого отношения к цели обработки. Например, хранение копий паспортов работников без ясной цели может нарушить закон и повлечь штрафы, поскольку это прямо не предусмотрено трудовым законодательством.
Какие основные нормативные акты регулируют работу с ПДн?
- Федеральный закон от 27.08.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства Р Ф от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»
- Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 14.02.2008;
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 15.02.2008;
- Приказ ФСБ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных»;
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
Какие органы контролируют работу с ПДн?
Основной орган в этой сфере Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор по закону является уполномоченным органом по защите прав субъектов персональных данных.
В сфере защиты ПДн действуют и другие государственные органы, такие как Государственная инспекция труда и органы прокуратуры, которые также имеют определенные полномочия по контролю и надзору за соблюдением законодательства в этой области.
В сфере защиты ПДн действуют и другие государственные органы, такие как Государственная инспекция труда и органы прокуратуры, которые также имеют определенные полномочия по контролю и надзору за соблюдением законодательства в этой области.
Какая ответственность грозит НКО за нарушения в работе с ПДн?
Ст. 13.11 Кодекса РФ об административных правонарушениях включает 21 состав правонарушений. Ответственность может наступать за неполучение согласия на обработку ПДн или несоблюдение формы согласия, неопубликование политики обработки ПДн, ненаправление в Роскомнадзор уведомления об обработке ПДн, утечку ПДн и т.д. Минимальный размер штрафов для юрлиц составляет 30 000 рублей и может доходить до 20 млн рублей, а также «оборотных» штрафов до 3% годовой выручки организации.
Нарушения, которые чаще всего допускают НКО:
Нарушения, которые чаще всего допускают НКО:
✓
Неполучение согласия на обработку ПДн, когда это требуется
✓
Несоответствие содержания согласия требованиям закона
✓
Неразмещение на сайте организации политики обработки ПДн
За ненаправление в Роскомнадзор уведомления об обработке ПДн организация может быть оштрафована на сумму от 3 до 5 тыс. рублей по ст. 19.7 КоАП.