НазадЧто делать с персональными данными на сайте НКО: советы и инструкции
7 июля 2017 года в Перми прошел митап (meetup - сходка) Теплицы социальных технологий на тему «Персональные данные: новые требования к владельцам сайтов и НКО (Некоммерческие организации)». Юрист, фандрайзер общественной организации «Территория семьи» Ирина Михайлова и директор интернет-агентства «Амадо» Алексей Богдановский подробно рассказали о том, что изменилось в работе с персональными данными и что нужно сделать, чтобы не получить штраф.
Закон о персональных данных был принят в 2006 году, но наказания за нарушения были небольшими: штрафы до 10 тысяч рублей. С 1 июля 2017 года вступила в силу новая редакция статьи 13.11 КОАП РФ, и сейчас штрафы стали существенными: до 75 тысяч рублей за одно правонарушение, а нарушений может быть несколько.
Ирина Михайлова уточнила, что сейчас Роскомнадзор получил полномочия самостоятельно (без участия прокуратуры) составлять протоколы об административных правонарушениях и направлять их в суд.
- Персональные данные – совокупность отдельной информации о человеке: e-mail, телефон, имя, фамилия, отчество (вместе и по отдельности), адрес, дата рождения, фотография. В отдельности эти данные не дадут возможности идентифицировать человека.
Обработка данных в соответствии с законом – это сбор анкет или регистрация на мероприятие, работа с базой рассылки, составление списка волонтеров с телефонами. Все эти работы, по словам экспертов, в НКО должны быть регламентированы.
- «Важно знать, что НКО самостоятельно определяют состав и перечень мер, необходимых и достаточных для работы с персональными данными. Если вы не регламентируете работу с персональными данными, вам может грозить штраф». Ирина Михайлова.
Михайлова отметила, что по закону все персональные данные должны размещаться на серверах на территории Российской Федерации. Роскомнадзор проводит плановые и внеплановые проверки. Внеплановые могут проводиться по требованию прокуратуры, по заявлениям. Роскомнадзор определяет для каждой организации категорию риска и класс (категорию) опасности.
Советы от Ирины Михайловой
1. Определите группы данных, с которыми вы будете работать. Речь идет о данных сотрудников НКО, благополучателей, волонтеров. У каждой группы может быть свой состав данных, могут отличаться цели и действия по обработке.
2. Создайте политику обработки персональных данных. Опишите в ней цели сбора, состав данных и действия, которые с ними совершаются. Разработанный документ необходимо опубликовать на сайте.
3. Уведомите территориальное управление Роскомнадзора. Вы должны сообщить о своем намерении осуществлять обработку персональных данных. Регистрация операторов, осуществляющих обработку персональных данных, проводится в разделе «Оказание государственных услуг».
4. Выполните минимум обязательных действий. Назначьте ответственного, разработайте документы, ознакомьте с ними сотрудников и посетителей сайта, контролируйте выполнение закона, защищайте данные.
5. Разработайте согласие на обработку персональных данных. По закону пользователь может дать его «в любой позволяющей подтвердить факт его получения форме» (нажатие «чек-бокса», подпись). Текст согласия необходимо опубликовать на сайте.
Согласие в специальной письменной форме обязательно только в четырех случаях, описанных в законе: при трансграничной передаче данных, биометрические персональные данные, специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья), публикация персональных данных в справочниках, адресных книгах, сайтах.
Советы от Алексея Богдановского
1. Нельзя копировать политику обработки персональных данных с других сайтов. И использовать документ, заменив только название компании. Ваша работа с данными может существенно отличаться от других организаций.
2. Лучше предупреждать посетителя сайта о сборе и хранении cookie-файлов. Дело в том, что cookie-файлы могут содержать или не содержать персональные данные.
3. Разместите ссылку на политику обработки персональных данных и на согласие на обработку персональных данных. Ее нужно поместить в форму, которую заполняет пользователь. Галочка в чек-боксе по умолчанию не рекомендуется. Пользователь должен сам ее поставить, тем самым дав согласие с документами.
С другой стороны, каждая «галочка» – лишний шаг на пути регистрации, который может отсеять аудиторию. На некоторых сайтах пользователь дает согласие, например, нажатием на кнопку «Зарегистрироваться». Чек-бокс в формах реализован еще не во всех конструкторах сайтов («движках»), поэтому не у всех сейчас получится быстро подключить необходимую по закону функцию. Нужно ждать реализации от разработчиков сервисов («движков») или привлекать программистов.
По словам Богдановского, некоторые крупные интернет-магазины и порталы до сих пор не привели сайт в соответствие закону. «Возможно, они заняли выжидательную позицию, ожидая первых прецедентов», – считает эксперт.