Коллеги, добрый день! Наша ассоциация объединяет юристов из более чем половины регионов страны, поэтому если у вас возникают вопросы по правовой стороне деятельности некоммерческой организации, если в вашем регионе имеется наш юрист, пожалуйста, можете к нему обращаться. Все контакты будут в конце моей презентации. Еще можете пользоваться нашим сайтом. Мы очень стараемся, чтобы он был информативный и полезный для некоммерческих организаций.
И хотелось бы, может быть, два слова сказать прежде, чем мы перейдем к основной теме нашего сегодняшнего вебинара. Очень важный момент. Совсем недавно Министерство юстиции утвердило новые формы отчетности некоммерческих организаций. То есть, 15 апреля будем сдавать отчетности по новым формам. Подробная справка есть на нашем сайте, очень рекомендую уже сейчас озаботиться этим вопросом.
Перечень сведений, которые мы должны будем включать в новые формы отчетности, несколько увеличен, и для правильного заполнения этих новых форм придется приложить некоторые усилия. Теперь в формах отчетности некоммерческие организации должны указывать российские юридические лица, которые, в свою очередь, получали денежные средства из иностранных источников и являются источниками для наших некоммерческих организаций. То есть, если мы получаем денежные средства или иное имущество от российских юридических лиц, то мы должны проверить, есть ли у этого российского юридического лица иностранное финансирование, и это отразить в отчетности. Подробная справка есть на нашем сайте, можете с ней ознакомиться.
Перечень нормативных правовых актов
Тема обработки и защиты персональных данных сложная, непонятная. Как показывает практика, некоммерческие организации, к сожалению, в недостаточной степени озаботились этой темой, и это, к сожалению, порождает для них определенные риски. Я сегодня постараюсь хотя бы в общих чертах с переводом с юридического на русский язык, очертить, во-первых, масштабы трагедии, а во-вторых, сформулировать примерный алгоритм действий, что мы должны сделать, чтобы минимизировать риски каких-либо претензий к нашим организациям.
Начнем мы, прежде всего, с нормативно-правовой базы. На своих экранах на презентации вы видите перечень нормативных правовых актов, которыми регулируется сфера персональных данных. Прежде всего это закон «Об информации, информационных технологиях и защите информации». Однако основным все-таки является Федеральный закон № 152, который так и называется «О персональных данных». В нем заложены все основные требования к нам как к операторам персональных данных. Закон написан, может быть, сложным языком – в его написании, очевидно, принимали участие технические специалисты, больше, наверное, даже, чем юристы.
Этот закон был принят в 2006 году и многие его положения уже не отражают сегодняшних реалий, что заметил, кстати, недавно в одном из своих интервью заместитель министра связи. В законе очень много противоречий, в том числе и, к большому нашему сожалению, закон «О персональных данных», как и многие другие наши законы, абсолютно не учитывает специфику деятельности некоммерческих организаций. Закон оперирует термином «юридическое лицо», не разбивая на коммерческие и некоммерческие, поэтому все требования этого закона в равной степени распространяются как на бизнес, который располагает определенными, в том числе финансовыми, ресурсами, так и на НКО, у которых эти ресурсы, зачастую, ограничены. И не только финансовые ресурсы, но и даже человеческие.
В развитие этого закона приняты еще два Постановления Правительства № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Если в двух словах, то это Постановление регулирует обработку персональных данных с использованием средств автоматизации, проще говоря, компьютера. Век у нас на дворе двадцать первый. Все, как правило, в своей работе давно пользуются компьютерами. От руки или на печатной машинке уже никто не работает, поэтому это Постановление также для нас актуально.
Второе Постановление Правительства № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» – посвящено обработке персональных данных без использования средств автоматизации. Проще говоря, это весь наш бумажный документооборот, все, что хранится у нас в шкафах, в личных делах и связано непосредственно с материальными носителями персональных данных.
Есть еще ряд нормативно-правовых актов уже более низкого уровня. Прежде всего это Приказ Федеральной службы № 21 по техническому экспортному контролю, ФСТЭК, — «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Это уже более технические моменты. Подробно на технических мерах мы еще сегодня остановимся.
Следующие нормативные акты. «Методика определения актуальных угроз безопасности» и «Базовая модель угрозы безопасности». Я понимаю, что это звучит очень-очень страшно, но, к сожалению, мы вынуждены вникать. Опять же, я постараюсь перевести на русский язык, что от нас хотят в этих нормативно-правовых актах.
И последний основной нормативно-правовой акт – Приказ ФСБ № 21 «Об утверждении состава и содержания организационных технических мер по обеспечению безопасности персональных данных». Он связан с технической защитой персональных данных.
Органы власти и их полномочия
Основной уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связей и информационных технологий и массовых коммуникаций, Роскомнадзор. Все про нее слышали. Функций у них много. Они раздают радиочастоты, они контролируют СМИ, блокируют сайты с вредоносным контентом. Роскомнадзор – основная служба, которая защищает нас с вами как субъектов персональных данных, следит за тем, чтобы наши с вами права не нарушались и, соответственно, применяет меры к тем, кто эти права нарушает.
Полномочия Федеральной службы по техническому экспортному контролю (ФСТЭК) связаны с технической защитой информации. Мы с этой службой почти не сталкиваемся. Работа Федеральной службы безопасности (ФСБ), которая курирует все вопросы, связанные с применением шифрования при защите информации, тоже нас практически не касается. Определенные полномочия есть еще у Государственных инспекций труда (ГИТ) – наши с вами обязанности по хранению и защите персональных данных работников закреплены в трудовом кодексе. И если кто-то из наших работников пожалуется, что его права нарушаются работодателем, здесь уже вступает в действие инспекция труда, которая также курирует эти вопросы. Ну, и естественно, органы прокуратуры – «око государево», которое следит за соблюдением законов в целом. В органы прокуратуры, как правило, поступают все жалобы – обычные граждане, в основном не знают, что такое Роскомнадзор и что именно эта служба защищает наши права в сфере персональных данных. Граждане, если считают, что их права нарушены, первым делом идут, конечно, к прокурору. И прокурор уже должен эти материалы направлять в ведомства. Но прокуратура на практике, к сожалению, сама пытается в этом деле разобраться. Они подключают, зачастую, управление Роскомнадзора, и бывают казусы потому, что это не совсем их специфика. Точнее, органы прокуратуры не настолько погружены в эту сферу.
Определение, операторы, обработка
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Размытое определение, под которым можно трактовать все, что угодно. Здесь нужно, я специально выделил, руководствоваться прежде всего тем, что эта информация должна определять конкретное физическое лицо. То есть, это должен быть некий набор сведений, который позволяет с уверенностью идентифицировать конкретного человека. Сами по себе фамилия, имя, отчество не должны рассматриваться как персональные данные, потому что при абстрактной возможности существования полных тезок идентифицировать конкретное лицо не всегда возможно. А вот если фамилия, имя, отчество плюс дата рождения плюс место жительства плюс номер банковского счета — это уже определенный набор информации, который позволяет с уверенностью идентифицировать конкретного человека и уже, по идее, в совокупности это должно считаться персональными данными. Так ли всегда трактуют это определение на практике правоприменители, сотрудники Роскомнадзора? Не всегда. Но мы все-таки стараемся придерживаться разумных рамок.
Кто такие операторы персональных данных? Как я уже говорил, закон не делает различий между организационно-правовыми формами или формами собственности, закон оперирует термином «юридическое лицо», поэтому мы в полной мере подпадаем под определение персональных данных как некоммерческие организации. Поэтому сказать, что этот закон на нас не распространяется, нельзя. Из-под этого определения могут выходить только филиалы и представительства, в том числе, иностранных международных организаций – по закону они не имеют статуса юридического лица и поэтому еще могут поспорить, что не являются оператором персональных данных по определению этого закона. Но нас это не касается, мы все-таки говорим сегодня о деятельности российских некоммерческих организаций, российских юридических лиц.
Под обработкой персональных данных понимаются любые действия с ними, в том числе, хранение, использование, копирование, накопление, уточнение. В общем, любые действия, которые мы совершаем с персональными данными, являются обработкой. Хранение — тоже элемент обработки персональных данных, нужно это понимать.
У обработки данных должна быть цель
Закон говорит нам, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. То есть, невозможна обработка персональных данных, в отношении которых мы не можем сформулировать цель их обработки.
Самый яркий пример. Организация была наказана при проверке за то, что в офисе у кого-то на столе лежала копия чьего-то паспорта, и никто не мог вспомнить, что это за человек, и вообще какие отношения связывали организацию с этим человеком. Уже потом выяснилось, что просто кто-то забыл на столе. Соседка попросила снять копию, чтобы отнести в собес. В общем, сотрудник забыл. Проверяющий спрашивает: – Какова цель обработки персональных данных? Что это за человек? Подтвердите законность обработки персональных данных. И где согласие на обработку этих персональных данных? Естественно, эта организация ничего предъявить не смогла. Соответственно, сами себе, что называется, привнесли нарушение. И это тоже очень важный элемент.
Поэтому я всегда первым делом рекомендую организациям провести ревизию всех своих документов и определиться в отношении каждого документа, есть ли у вас цель обработки этих персональных данных. Если эти цели истекли давным-давно, то ничего этого у вас храниться не должно. Потому что, как говорит закон, обработка должна ограничиваться достижением. То есть, по сути, как только цель обработки персональных данных, для которой мы их собирали, достигнута, они у нас дальше храниться не должны. За исключением случаев, если это прямо предусмотрено законом.
Например, трудовой договор с сотрудником закончился или был расторгнут заранее. По идее, цель обработки персональных данных достигнута, действие трудового договора закончено. Но по законодательству о бухучете, налоговому законодательству мы должны определенное время еще хранить эти документы, 5 или 6 лет, если я не ошибаюсь. Вот если прямо предусмотрено законом, тогда мы можем хранить дальше. А если уже и эти сроки истекли, и дальнейшее хранение этих документов никоим образом не регламентировано, соответственно, считается, что и цель достигнута, и все эти документы должны быть уничтожены.
Сдали в архив и забыли
Организации с большим документооборотом пользуются услугами государственных и негосудартвенных архивов. Если оперативной необходимости у вас нет, но документы должны еще в течение какого-то срока храниться, можно сдавать в эти архивы. И вот сдали вы документы в архив, и про него забыли. Если, я не знаю, налоговая или трудовая инспекция затребует у вас документы, а они сданы в архив, вы покажете справку о том, что они сданы в архив, и они уже непосредственно запрашивают архив и сами туда же возвращают. А архивариусы в соответствии с законодательством об архивном деле сами уничтожают документы в те сроки, которые предусмотрены для хранения каждого вида документов, все перечни там определены. То есть, грубо говоря, сдали в архив и забыли. Если в архив не сдаете и хранится это все у вас — как правило, у нас так и происходит, все это хранится в шкафах, повторюсь, нужно провести ревизию всех этих документов. И не хранить ни в коем случае те документы, цель обработки которых достигнута и сроки их хранения истекли. Эти документы, соответственно, должны уничтожаться с оформлением акта об уничтожении этих документов.
Очень часто задают вопрос: – А вот был у нас человек, добровольцем помогал, а вдруг он еще когда-нибудь придет? Для добровольцев у нас небольшой объем персональных данных требуется. Фамилия, имя, отчество, контакты. Если мы ему компенсируем какие-то расходы — да, мы заключаем договор с ним, тогда там несколько больше объем персональных данных. Тем не менее, доброволец может в любой момент встать, уйти, сказать — все, я передумал. Цель обработки его персональных данных, осуществление им добровольческой деятельности в вашей организации уже достигнуто — закончил он осуществлять свою добровольческую деятельность, ушел и неизвестно, появится ли еще. Хранение персональных данных про запас — а вдруг он еще придет? – невозможно. Цель обработки персональных данных достигнута, будьте любезны их уничтожить. Если он еще раз к вам придет, тогда еще раз у него их и возьмете. А хранить все просто так про запас ни в коем случае нельзя с точки зрения закона. Содержание и объем персональных данных должны также соответствовать цели, для которой мы их собираем.
У нас заложено, видимо, в подсознании, приходит к нам доброволец и говорит: – Сегодня я хочу вам помогать, например, парк убрать, подмести. А мы же сразу: – Давай копию паспорта у тебя снимем. В общем, набираем совершенно ненужный нам объем персональных данных и храним их заодно про запас на авось. Особенно этим страдает бухгалтерия, у которой на каждый чих всегда должна быть бумажка подложена. То есть, подтверждение всего. Здесь тоже нужно соотносить объем персональных данных с целью, для которых мы их получаем. Понятное дело, что если это работник организации, в отношении его у нас должен быть самый большой объем персональных данных – это установлено Трудовым законодательством, личными делами, личными карточками, делопроизводством. Нам от работников требуются сведения об отношении к воинской обязанности, об образовании, подготовке, переподготовке, повышении квалификации и так далее. То есть, все, что заносится в утвержденные карточки и личные дела. С этим все понятно.
Другие категории людей, с которыми у нас возникают отношения, например, добровольцы – от них требуется минимальный объем персональных данных. Для того, чтобы он осуществлял у нас добровольческую деятельность, нам абсолютно не нужна ни копия паспорта, ни его сведения об образовании, подготовке. Минимальный объем.
Не храните копии паспортов
Что касается копии паспорта, очень важный момент, пока не забыл. Состоялось уже несколько решений судов, которые говорят даже о том, что в личных делах работников организации, штатных сотрудников не должны храниться копии паспортов, потому что это является избыточным. Сведения из паспорта заносятся в личные дела. Грубо говоря, выписываются из паспорта, переписываются в личные дела. Но сама копия паспорта, это уже избыточная обработка персональных данных. Повторюсь, состоялось несколько решений суда, причем в апелляции они были подтверждены. То есть, это уже сложившаяся практика.
Бухгалтерия у нас, как правило, занимается кадровым учетом. В некоммерческой организации иметь кадрового сотрудника – большая роскошь. Они всегда очень удивляются, как это — нельзя хранить копию паспорта в личных делах сотрудников. Вот, судебная практика идет по тому пути, что нельзя. Поэтому всегда рекомендую в отношении обработки персональных данных – возвращайтесь к цели обработки, всегда соотносите обработку с целью, для которой эти персональные данные получались.
Более того, если они были получены для одной цели, их нельзя использовать для достижения других целей. То есть, грубо говоря, если человек давал вам персональные данные для заключения с ним договора оказания добровольческой деятельности, осуществления добровольческой деятельности, и вы ему, может быть, компенсировали какие-то затраты проезда, проживания, питания и так далее, то его персональные данные нельзя использовать в других целях. То есть, если он не давал согласия на публикацию его персональных данных, вы не можете без его согласия, например, на сайте своем вывесить ему большую благодарность за то, что он так хорошо проявлял себя, осуществлял у вас добровольческую деятельность. И так далее. Все должно быть прописано в том согласии, которое мы получаем от субъекта персональных данных.
Получение согласия
Закон устанавливает следующие случаи обработки персональных данных, когда вообще возможно их обрабатывать. Первое — можно обрабатывать персональные данные в случае наличия согласия субъекта. Это самый очевидный момент. То есть, если человек дал нам свое согласие, действует своей волей, в своем интересе, он желает установить с вами взаимоотношения и добровольно передает вам свои персональные данные, никаких вопросов к вам не будет, если вы не выходите за рамки этого согласия, о котором я только что говорил. В остальных случаях, которые закреплены в законе — вот мы сейчас будем продолжать — согласия не требуется.
Но все эти остальные случаи, когда согласие не требуется, большинство из них к нам не относится. Например, согласие требуется в случае исполнения международных договоров Российской Федерации — не про нас, да? Осуществление правосудия или исполнительное производство — мы здесь совершенно ни при чем. Предоставление государственных или муниципальных услуг. Вот, пятый пункт — заключение и исполнение договора стороной которого является субъект персональных данных. То есть, если у нас с человеком заключен любой договор — трудовой, договор оказания услуг, договор об осуществлении добровольческой деятельности, неважно — если стороной является субъект персональных данных, то, по идее, дополнительного согласия никакого не требуется.
Но здесь нужно быть очень внимательным, чтобы не выйти за рамки этого договора – бывают случаи, когда мы даже незаметно выходим за эти рамки. Например, если сотрудник организации, ваш штатный работник, по решению суда или в добровольном порядке отчисляет алименты на содержание несовершеннолетних детей или престарелых родителей. Очень удобно, когда работник просто пишет работодателю: «Прошу из моей зарплаты перечислять 25% моей бывшей жене по такому-то расчетному счету». Есть разъяснение Роскомнадзора на этот счет, что это уже выходит за рамки трудовых правоотношений, и нужно отдельное согласие субъекта персональных данных. Более того, здесь требуется согласие еще и получателя этих алиментов, соответственно, бывшей жены или престарелых родителей. Поэтому нужно быть очень внимательным, чтобы не выйти за рамки этого договора.
Так, согласие не требуется в случаях, если необходима защита жизни, здоровья или иных жизненно важных интересов. 7-ой пункт совершенно непонятен, честно говоря потому, что также очень размытая формулировка согласия. В принципе, закон говорит о том, что согласие не требуется, если эта обработка необходима для осуществления прав и законных интересов оператора, то есть, нашей организации или третьих лиц либо для достижения общественно-значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Четкого определения, что такое общественно-значимые цели, в законодательстве нет. То есть, под это можно подвести достаточно много. И осуществление прав и законных интересов оператора, в общем, тоже скользкая формулировка. То, что мы посчитаем с вами общественно-значимыми целями, таковыми же их может не посчитать тот же Роскомнадзор. И в этом случае могут быть претензии. Придется свою правоту, видимо, отстаивать уже в судебных инстанциях. Тоже очень скользкая. Профессиональная деятельность журналистов и СМИ, научная, литературная или иная творческая деятельность. Соответственно, это для СМИ актуально. Не требуется согласие в случаях, если статистические или иные исследовательские цели, но если все персональные данные обезличены, то есть, не позволяют идентифицировать конкретного человека. Общедоступные, если сам субъект персональных данных сделал их общедоступными или если персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законом, но это здесь речь идет, например, о декларациях депутатов, чиновников.
Анкета на сайте
Для нас с вами актуальны два случая обработки персональных данных. Это если у нас с субъектом персональных данных заключен договор, и согласия здесь не требуется, если мы действуем строго в рамках предмета договора. И в случае, если мы имеем согласие субъекта персональных данных.
Что касается согласия, здесь в законе иезуитские формулировки. Закон говорит нам, что согласие на обработку персональных данных может быть дано субъектом в любой форме, позволяющей подтвердить факт его получения. При этом обязанность предоставить доказательства получения этого согласия опять же возлагается на операторов, то есть, на нас с вами, как организации. А как мы можем подтвердить? Какой наиболее простой способ подтвердить факт получения согласия? Естественно, это проще всего подтвердить письменной формой, но письменную форму заполнить не всегда получается потому, что, например, бывают случаи, когда мы получаем персональные данные, ну, например, через сайт. Если человек, субъект сам подписывается на нашу рассылку или через наш сайт записывается к нам на мероприятия на какие-то. Еще возможны какие-то варианты. Закон говорит о том, что в согласии должна быть либо собственноручная подпись, либо электронная цифровая подпись. Но электронную цифровую подпись физические лица мало кто имеет. У организаций это есть, а для физических лиц это, все-таки, достаточно диковинная штука. Как тут выходить из этой ситуации?
Если человек на сайте заполняет сам анкету, бывают случаи, когда человек предварительно может заполнить эту форму, потом, впоследствии мы, конечно, с него это письменное полноценное согласие возьмем, но пока, предварительно, эта форма в электронном виде. Здесь мы рекомендуем, и вообще, это уже достаточно устоявшаяся, в принципе, практика, делать следующее. Если вы на своем сайте даете возможность заполнения анкеты, и человек сам вводит туда свои персональные данные, во-первых, к этой форме нужно прицепить галочку о том, что человек ознакомлен с политикой в отношении обработки персональных данных — об этом мы сейчас очень подробно поговорим — и только после этого загорается кнопка «Отправить» или «Согласен».
А во-вторых, необходимо сделать так, чтобы как только анкета заполнена на сайте и человек нажимает кнопку «Отправить», в организацию конкретному сотруднику или на общий какой-то адрес приходил сигнал, что тогда-то, тогда-то, во столько-то, во столько-то на сайте была заполнена анкета. И вот этот файл необходимо сохранять – он будет подтверждать факт заполнения этой анкеты на вашем сайте. И, в случае чего, вы именно вот этим файликом сможете подтвердить факт заполнения этой формы.
Ну, здесь немножко попроще в том смысле, что человек заполняет свою форму на сайте, вы же не проверяете достоверность сведений, которые он ввел в эту форму. Некоторые люди могут представляться вымышленными или чужими данными. В общем, здесь хотя бы файл, подтверждающий факт заполнения этой формы, поможет в случае чего отвести от себя возможные претензии.
Биометрические данные
А в случаях, если речь идет об обработке специальных категорий биометрических персональных данных или же если речь идет о передаче персональных данных за границу, форма согласия уже носит более жесткий характер.
В части № 4 статьи № 9 «Закона о персональных данных» перечислены все обстоятельства, которые должны быть отражены в этом согласии. Просто берете из части №4 статьи №9 все пункты, копируете, вставляете на бланк организации, все, что можно заполнить заранее, то есть, цель обработки, характер действий с персональными данными, все, что вы можете сформулировать заранее, можете это вбить в эти формы и, фактически, человеку останется собственноручно ввести туда свои фамилию, имя, отчество, ну, и там, грубо говоря расписаться. Это существенно упрощает работу. Опять же, всегда рекомендую разбить все категории лиц, с которыми мы общаемся, на отдельные категории. Сотрудники организации — это одно. Лица, оказывающие вам услуги по договорам гражданско-правового характера — два. Добровольцы — три. Благополучатели — четыре. В отношении каждой категории лиц вы можете сформулировать, во-первых, объем персональных данных, который вам от них требуется, во-вторых, цели, для которых вы получаете эти персональные данные. Заложив это все заранее в согласие, вы значительно упрощаете работу, чтобы человек просто вписал туда свои фамилию, имя, отчество и расписался.
Теперь, что такое специальные категории, биометрические персональные данные, трансзаграничные. Здесь возникают сложности потому, что специальные категории персональных данных — это персональные данные, которые касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Сведения о состоянии здоровья: сюда попадают все медицинские документы, диагнозы и так далее. В каждом случае, когда фигурируют сведения о состоянии здоровья, должно быть письменное согласие с собственноручной подписью по правилам, указанным в части № 4 статьи № 9 «Закона о персональных данных». От этого, к сожалению, никуда ни деться.
Биометрические персональные данные, ну, нас это почти не касается потому, что биометрические персональные данные — это сведения, которые характеризуют биологические и физиологические особенности человека, на основании которых можно установить его личность, которые используются оператором для установления личности. То есть, не все фотографии или видеоизображения являются персональными данными, только в том случае, если они используются именно для идентификации личности. Самый простой пример. Ну, отпечатки пальцев и сетчатка глаза, это у нас все-таки еще в диковинку. Но бывают случаи, когда мы, например, арендуем офис, чтобы в него пройти, мы прикладываем пропуск, а у охранника на экране появляется наша фотография. Вот в этом случае фотография является биометрическими персональными данными, и они могут обрабатываться исключительно на основании нашего письменного согласия как субъекта персональных данных тоже в той в жесткой форме, о которой говорит часть № 4 статьи № 9 «Закона о персональных данных».
Во всех остальных случаях, в принципе, я не могу себе представить, чтобы нас, как-то, интересовали биометрические персональные данные. Хотя, все может быть. А для обработки биометрических персональных данных там даже есть еще отдельное Постановление Правительства, поэтому если у вас все-таки осуществляется обработка биометрических персональных данных плюс еще надо будет ознакомиться и с тем Постановлением, которое есть все на сайте Роскомнадзора.
Кстати, рекомендую сайт Роскомнадзора – он достаточно информативный, много внимания уделяется как раз теме персональных данных. Там создан целый портал, он так и называется «Персональные данные». В нем есть электронная библиотека, в которой собрана, во-первых, вся нормативно-правовая база, то есть, все тексты Законов и Постановлений Правительств, и приказов, как раз о которых я сейчас говорил. Плюс ко всему есть обзоры судебной практики, и есть разъяснения Роскомнадзора по определенным вопросам. Поэтому рекомендую пользоваться сайтом Роскомнадзора. Плюс ко всему им можно задать вопрос. Я лично пробовал задавать вопрос, отвечают в электронной форме очень оперативно, скажем так. Вот. Это что касается вопроса согласия.
Фото- и видеоизображение
Часто задают вопросы: нужно ли брать согласие с людей, которых мы засняли и разместили у себя на сайте? Здесь даже в большей степени действует не закон о персональных данных, а статья 152.1 «Охрана изображения граждан» Гражданского кодекса. Эта статья говорит, что согласие требуется только в том случае, если человек является основным объектом съемки и не позировал за плату. Согласие в случае, если фото сделано на открытом публичном мероприятии, не требуется. Если же из какого-то общего снимка даже сделанного, казалось бы, на каком-то открытом публичном мероприятии, вы целенаправленно выделяете кого-то конкретно, увеличиваете его, то есть появляются признаки портретной съемки, для размещения такого рода изображения, уже может потребоваться согласие от субъекта персональных данных. Повторюсь, если это общий снимок, сделанный на открытом публичном мероприятии, то согласия на это не требуется. По этому поводу есть очень подробное Постановление пленума Верховного суда от 23 июня 2015 года № 25. И там пункты с 43-его по 49-ый непосредственно посвящены получению согласия на размещение фото- и видеоизображений, поэтому если кто интересуется, это можно более подробно тоже посмотреть.
Пошаговый алгоритм
Итак, первый шаг — получение согласия на обработку персональных данных, в случае, когда это согласие требуется. Следующий шаг – назначение ответственного лица за обработку персональных данных. Речь все-таки идет о конкретном лице. То есть, либо руководитель может эти функции возложить на себя, либо назначить кого-то из своих работников, повторюсь, именно работников потому, что приказом можно назначить только штатного сотрудника, а не добровольца, не лицо, которое оказывает услуги по гражданско-правовому договору – их назначить ответственным за обработку персональных данных нельзя. И в тех организациях, где нет сотрудников, – но это отдельная тема, у нас бывают такие организации, где нет ни одного сотрудника, что с точки зрения закона по мнению Государственной инспекции труда, налоговой и ряда судов такое, в принципе, невозможно, чтобы не было ни одного сотрудника, но, тем не менее, – в таком случае руководитель этой организации должен возложить это все на себя.
Если есть у вас такая роскошь — возможность назначить кого-то из штатных работников, соответственно, назначайте его приказом в качестве ответственного за организацию обработки персональных данных. Повторюсь, это прямое указание закона, поэтому необходимо исполнить. Плюс ко всему, в случае, если в организацию-таки придут проверяющие, они будут общаться непосредственно с лицом, которое назначено ответственным за обработку персональных данных, весь спрос будет именно с этого сотрудника.
Документы организации
Закон обязывает издать документы, определяющие политику операторов в отношении обработки персональных данных и локальные акты по вопросам обработки персональных данных. Тут уже начинается свобода творчества для организаций – никаких четких документов, образцов, бланков не существует и, в принципе, каждая организация разрабатывает эти документы под себя в зависимости от своей специфики деятельности.
Есть организации, которые на каждый чих делают отдельную инструкцию, но для нас это все не актуально. Как правило, на практике это выливается в два документа. Первый так и называется, «Политика (название организации) в отношении обработки персональных данных». То есть, например, «Политика Благотворительного Фонда «Ромашка» в отношении обработки персональных данных». Этот документ носит общий характер, декларативный и направлен вовне. Закон от нас требует, чтобы этот документ обязательно был опубликован на нашем сайте. Повторюсь, жестких рамок нет, но в отношении составления такого документа, как «Политика» есть рекомендации Роскомнадзора, они есть на сайте Роскомнадзора, и в принципе, там не так все сложно.
Если в двух словах, в этом документе вы должны сформулировать и продекларировать вовне цели, для которых собираете персональные данные, что вы с ними делаете, каким образом защищаете, но не очень подробно здесь это все расписывается.
Для чего это делается? Законодатель закрепляет право любого субъекта персональных данных, прежде, чем он обратится в какую-либо организацию, ознакомиться с этим документом. То есть, человек должен, прежде всего, понимать, для чего будут собираться его персональные данные и каким образом они будут обрабатываться и защищаться, и уже на основании этого, человек будет решать, стоит ли сотрудничать с этой организацией.
Поэтому мы должны это сформулировать и вывесить у себя на сайте. Это нужно сделать обязательно – за неисполнение этой обязанности в кодексе административных правонарушений специально введен отдельный состав административного правонарушения. То есть, если у нас этого документа «Политика в отношении обработки персональных данных» на сайте нет, организацию уже могут сразу наказать и оштрафовать. И штрафы достаточно большие, поэтому нужно этим вопросом озаботиться.
Политика конфиденциальности
Тут еще какие бывают ошибки. У многих организаций на сайте встречается документ, который называется «Политика конфиденциальности». Это неправильно – закон говорит, что документ «в отношении обработки персональных данных». А конфиденциальность – всего лишь один из элементов обработки персональных данных – соблюдение режима конфиденциальности, поэтому документ должен называться «Политика в отношении обработки персональных данных». Как я уже говорил, по поводу электронной формы заполнения на сайте, если к вам субъект обращается через сайт, прикрепите эту «Политику…» к этой форме. То есть, пока человек не проставит галочку, что он ознакомлен, кнопка «Отправить» не всплывает. Как только человек поставил «галочку» – «Я ознакомлен», прочитал ли он ее на самом деле, это уже его проблемы. Тем самым вы снимаете с себя возможные претензии.
Второй документ, тоже определяющий политику оператора персональных данных, являющимся локальным актом по вопросам об обработке персональных данных — так называемое «Положение об обработке персональных данных». Этот документ уже подробный, и направлен вовнутрь организации. В нем подробно расписываются все действия с персональными данными, которые совершаются в организации, чего нельзя допускать и так далее. То есть, фактически, расписывается вся работа с персональными данными, и этот документ составлен уже для сотрудников организации.
Во-первых, все сотрудники должны под ведомость быть с этим положением ознакомлены, приложением к этому документу является ведомость ознакомления. И в нем уже прописывается буквально все, вплоть до того, какие технические средства в организации применяются. К техническим средствам мы тоже сейчас перейдем. И прописываются моменты вплоть до того, что, вот, если вы, например, сидите на первом этаже, в положении должно быть прописано, что экраны мониторов не могут быть повернуты к окну, чтобы посторонний человек не мог из окна заглянуть и получить, соответственно, доступ к тем персональным данным, которые в этом компьютере обрабатываются. Я понимаю, как это звучит, но, тем не менее. В этих положениях прописывается вплоть до того, что нельзя вводить персональные данные в компьютер под диктовку, дабы никто с улицы мимо проходящий не мог все это дело услышать. Ну, вот до таких, действительно, подробных моментов. То есть, прописываются подробно все эти моменты, как осуществляется работа с персональными данными в вашей организации.
К этому «Положению обработки персональных данных» необходимо приложить обязательство о неразглашении, которое также обязаны подписать все сотрудники. В этом заинтересована сама организация – в случае, если такое обязательство сотрудниками получено, в случае, если по неумышленному или, наоборот, злонамеренному умыслу кто-то из сотрудников разгласил персональные данные, то, если он давал обязательство, соответственно, организация может ответственность переложить на этого нерадивого сотрудника. Если эти обязательства с сотрудников не брались, полнота ответственности ложится на саму организацию. Поэтому тоже важно.
Защита от угроз
Закон гласит, что мы должны применять правовые, организационные — их мы уже начали обсуждать — и технические меры по обеспечению безопасности персональных данных. Повторюсь, поскольку век у нас двадцать первый, все мы работаем с компьютерами, персональные данные у нас обрабатываются в компьютерах, закон говорит о том, что эти компьютеры должны быть надлежащим образом защищены. И тут как раз возникают те самые страшные модели угроз, о которых я говорил в самом начале. Что такое модели угроз и рекомендации по составлению этих моделей угроз, которые утверждены ФСТЭКом?
Смысл, если в двух словах, в том, что Федеральная служба по технически-экспертному контролю сформулировала некий массив теоретических угроз, которые могут угрожать персональным данным, которые обрабатываются в наших компьютерах. А мы уже из всего этого массива угроз должны выбрать те, которые для нас актуальны, и от них защититься, если говорить упрощенно. Из всего этого массива угроз, в принципе, для нас с вами актуальна одна угроза, но двух видов.
Одна угроза — это не санкционированный доступ к персональным данным. То есть, когда посторонние лица получают доступ к тем персональным данным, которые обрабатываются у нас в организации. Несанкционированный доступ может быть двух видов. Во-первых, физический, когда постороннее лицо получает доступ к нам в офис и к компьютеру непосредственно, и может скопировать, удалить, изменить, в общем, что-то сделать с персональными данными. И второй несанкционированный доступ к персональным данным может быть по сетям общего пользования, грубо говоря, через интернет: вредоносные программы, целенаправленные хакерские атаки. И вот от этого мы с вами должны защититься.
От вредоносных программ и хакерских атак защищает нас, в принципе, адекватное сертифицированное антивирусное обеспечение, а от физического доступа мы должны наш компьютер обезопасить. Возможность установления стандартного пароля – это абсолютно недостаточная мера потому, что, ну, сейчас даже школьники ломают пароли за считанные минуты. Поэтому компьютер нужно защитить, минимум что, в принципе, расценивается как достаточная мера — это установка на те компьютеры, в которых обрабатываются персональные данные, они так и называются, «средства от несанкционированного доступа». Как правило, представляют из себя диск с программой и ключ-флешку. Вот, цифровая подпись синенькая, а эта — красненькая. Вот такая же ключ-флешка, пока ее не вставил в компьютер и не ввел пароль, доступ к компьютеру получить нельзя. И, в принципе, это минимальное, что считается достаточным.
Где это все взять? В общем, игроков на рынке очень много, все зависит от возможностей самой организации, то есть, каждая организация выбирает для себя поставщика этих средств защиты. Все зависит от того, какая организация по цене устраивает вас. Игроков много, цены абсолютно разные на продукцию. Единственное, что можно порекомендовать, чтобы минимизировать расходы, во-первых, постараться свести к минимуму количество компьютеров, в которых обрабатываются персональные данные. То есть, чем меньше компьютеров, соответственно, тем меньше их защищать, дешевле. А второе, при определении поставщика средств нужно отсеять посредников. То есть, непосредственно обращаться к разработчику средств – посредники накрутят свою маржу и сами закупят непосредственно у разработчиков.
Как определить разработчика
Очень просто. Как правило, все разработчики технических средств защиты во-первых, публикуют на сайте копию лицензии на осуществлении деятельности по защите информацию. Во-вторых, на все средства, которые они разрабатывают, должны быть получены сертификаты ФСТЭКа. Копии всех этих сертификатов, как правило, они вывешивают у себя на сайте. Можно просто сверить наименование организации с разработчиком, указанным в этом средстве защиты информации. Соответственно, вы можете понять, что обращаетесь непосредственно к разработчику. Соответственно, цена здесь будет минимальна. Дальше вы заключаете договор на поставку, техническое задание определяется, с поставщиком средств заключается договор, устанавливают вам, грубо говоря, эти средства, вводят их в эксплуатацию, дают вам копии всех сертификатов и лицензий, все паспорта этих средств. Все это складываете в папочку и у вас хранится. Следующий шаг – осуществление внутреннего контроля. Это в соответствии с Положением, которое вы у себя пропишите, осуществляет непосредственно ответственное лицо. Он или она меняет пароли, например, раз в полгода ключей безопасности и так далее, смотрит, чтобы нигде ничего не валялось, хранилось в нужных местах.
Главные меры
Оценка возможного вреда. Вот здесь очень непонятно, что хотел законодатель – никаких методик определения этого возможного вреда, их нет. Каким образом определять этот возможный вред, совершенно непонятно. Поэтому, думаю, по поводу оценки возможного вреда, проверяющие вряд ли будут «цепляться».
Ознакомления работников с положениями законодательства и локальных актов по вопросам персональных данных. Помимо того, что сотрудники организации должны расписаться в ведомости ознакомления с «Положением по обработке персональных данных», их еще периодически нужно знакомить с изменением законодательства в сфере персональных данных. Можно завести некий журнал инструктажей, в котором ответственный будет делать записи о том, что он довел до сведения сотрудников организации, что, например, изменилось законодательство о персональных данных и нужно теперь вместо того-то, того-то делать то-то, то-то, в общем, в зависимости от того, каковы будут изменения.
Далее. Меры по обеспечению безопасности персональных данных. Определение угроз безопасности, это мы уже обсудили, составление этой модели угроз. Вот составить ее самостоятельно, даже учитывая, что есть методика, есть базовая модель, составить ее самостоятельно практически невозможно – там сплошные технические термины. Без технического образования разобраться невозможно, соответственно, модель угроз вам составит та же организация, которая будет поставлять средства защиты информации.
Далее. Применение сертифицированных средств защиты, о чем мы уже сказали.
Учет машинных носителей персональных данных. Это тоже необходимо завести, все в произвольной форме — журнал, в котором должны быть учтены все машинные носители персональных данных: все компьютеры, все ноутбуки, в которых они обрабатываются, жесткие диски и даже флешки потому, что копировать персональные данные можно только на учтенные носители. Никаких там своих из дома принесенных быть не должно. Копирование персональных данных может осуществляться только на учтенные носители.
Обнаружение фактов несанкционированного доступа — это уже деятельность, непосредственно ответственного за обработку персональных данных. В принципе, по поводу мер более-менее, все.
Приказы
В организации должен быть Приказ «О допуске сотрудников к обработке персональных данных». Всех ли вы допускаете к обработке персональных данных или не всех, это абсолютно на ваше усмотрение, но это определяется приказом по организации. И только те сотрудники, соответственно, могут получать доступ к персональным данным, к тем компьютерам, в которых обрабатываются персональные данные. Те, которых в приказе нет, соответственно, не должны ни в коем случае получать доступ.
Далее. Должен быть Приказ «Об утверждении списка помещений, в которых могут обрабатываться персональные данные». По идее, если у вас несколько помещений, несколько комнат, вы должны определить ту, в которой хранятся персональные данные и обеспечить, чтобы доступ в это помещение был только для тех сотрудников, которые утверждены приказом. Никаких посторонних лиц в эти помещения попадать не должно. Никакого приема посетителей в помещении, где хранятся персональные данные, быть не должно. Доступ туда строго определенных сотрудников. Помещения, соответственно, или шкафы, которые там находятся, в которых хранятся персональные данные, все это должно закрываться. Как минимум, помещение. Вы должны исключить доступ посторонних лиц туда.
Если же бывает, задавали вопрос: а у нас вот всего одна комнатушка, людей принимать мы как-то должны? У нас все тут хранится. В этом случае, опять же, в Положении своем вы должны это все подробно расписать, что на время приема посетителей шкафы с персональными данными должны быть закрыты, на столах не должны лежать документы, содержащие персональные данные, компьютер, если в нем обрабатываются персональные данные, от посетителя должен быть отвернут. Хотя бы формально вы весь этот порядок работы с персональными данными должны прописать в этом Положении, все сотрудники должны быть с ним ознакомлены.
Журнал учета обращений
Дальше. В организации должен быть «Журнал учета обращений субъектов персональных данных» – не отреагировать на обращение субъекта персональных данных мы не имеем право потому, что в законе это четко прописано. Более того, также в КоАП по этому поводу был внесен отдельный состав административного правонарушения. То есть, в случае, если человек к нам обращается с заявлением, с просьбой уничтожить, уточнить, изменить его персональные данные, которые хранятся в организации, мы должны ему соответствующим образом ответить. То есть, либо удовлетворить его заявление, либо, сославшись на какие-то законные акты, можем отказать. Например, человек просит удалить его персональные данные, а вы, ссылаясь на закон, говорите о том, что документ, содержащий его персональные данные в соответствии с законом о бухучете еще должен храниться около пяти лет. В этом журнале фиксируем обращение, принятые решения по этому обращению и тоже это храним.
Необязателен по закону, но может быть «Журнал учета посетителей». Организация вправе вести эти журналы учета посетителей – для некоторых НКО это действительно нужно. Например, мы консультируем людей и по каким-то вопросам нам для общего подсчета людей важно, сколько через нас прошло, впоследствии нужно отчитываться, может быть, по грантам и так далее. Да, организация может вести «Журнал учета посетителей», пожалуйста, но это не обязательно.
Должны быть акты уничтожения персональных данных, о чем я уже говорил. То есть, когда цель обработки персональных данных достигнута и дальнейшее хранение их законом не определено и не требуется, составляем акт об уничтожении персональных данных. Каким способом их уничтожать, это на ваше усмотрение. В шрейдер засунуть или там сожжете где-то в бочке за территорией, это абсолютно на ваше усмотрение.
Уведомление в Роскомнадзор
Итак, мы провели предварительную работу: разработали эти документы, утвердили, приняли, всех с ними ознакомили, установили технические средства защиты. Следующим и последним шагом мы должны подать в Роскомнадзор уведомление об обработке персональных данных. Здесь тоже очень много вопросов. Основной: если мы подаем это уведомление, Роскомнадзор включает нас в реестр операторов персональных данных, соответственно, может проводить в отношении нас плановые проверки. То есть, получается, что мы сами на себя доносим. Организации этого очень боятся. Ну, отчасти, может быть такая позиция имеет право на жизнь, конечно, потому что мы, все-таки, как некоммерческие организации стоим в списке интересов того же Роскомнадзора абсолютно не на первом месте. Основные силы Роскомнадзора, если даже посмотреть по новостям, которые они публикуют у себя на сайте, направлены на те организации, где действительно обрабатывается большой объем персональных данных и утечка откуда персональных данных может повлечь наибольший вред правам, интересам людей. Проверяют и налоговые инспекции, и негосударственные пенсионные фонды, и ВУЗы. Мы, естественно, стоим в списке интересов Роскомнадзора на самых последних местах.
Если подать это уведомление, получается, что как минимум мы выполнили требование закона – без этой предварительной работы заполнить это уведомление нельзя, там указывается ответственное лицо, средства технические, применяемые в организации, делается ссылка на ваше «Положение об обработке персональных данных». Если вы подали это уведомление, соответственно, во-первых, проверки носят плановый характер, то есть, не чаще одного раза в три года. Во-вторых, они, как правило, носят документальный характер. То есть, у организации просто запрашивают пакет внутренних документов, вы их отвозите проверяющему, он у себя смотрит. Если вдруг его что-то не устраивает, дает вам возможность исправить, рекомендации и так далее. То есть, и отношение в этом случае, конечно, более мягкое к организации – даже если документы составлены не совсем верно, хотя бы видно, что организация пыталась что-то делать. Если же проверяющий видит, что вообще ничего не делалось, соответственно, отношение наверняка будет негативным. Плюс ко всему закон нам дает несколько исключений, в соответствии с которыми можно это уведомление не подавать. Но, опять же, как и все предыдущие исключения, они очень-очень скользкие, сейчас мы их рассмотрим. И могу сказать, что на практике они почти не действуют.
Исключения
Можно не подавать это уведомление в случае, если обработка персональных данных осуществляется в соответствии с Трудовым законодательством. То есть, если у вас только штатные сотрудники и никого больше, никаких добровольцев, благополучателей, никого нет, тогда вы, в принципе, можете не подавать. Но для некоммерческих организаций, думаю, это почти не реально. У нас все-таки применительно к деятельности некоммерческих организаций, мы, все-таки, работаем с людьми и, так или иначе, у нас персональные данные появляются помимо Трудового законодательства, поэтому для нас это почти не работает.
Можно не подавать уведомление в Роскомнадзор, если осуществляется обработка исключительно в рамках договора с субъектом персональных данных. Тоже мы сегодня это обсуждали. Вот если со всеми лицами, чьи персональные данные у вас есть, заключен договор, вы действуете строго в рамках этого договора, тогда, да, пожалуйста, можно это уведомление в Роскомнадзор не подавать. Но мы уже рассматривали этот случай — малейший выход за рамки этого исключения уже может привести к тому, что могут появиться к нам претензии.
Третье. Можно не подавать уведомление в Роскомнадзор, если осуществляется обработка персональных данных общественным объединением или религиозной организацией исключительно своих членов и если эти персональные данные не распространяются третьим лицам без письменного согласия. То есть, если это, опять же, исключительно внутри организации и речь идет только о персональных данных членов этой общественной организации или религиозной организации, тогда да, можно такое уведомление не подавать.
Можно не подавать уведомление об обработке в случае, если это общедоступные персональные данные исключительно. Но тоже для нас это не актуально. Если только персональные данные, которые включают в себя только фамилии, имя, отчества субъектов — тоже нет. Если персональные данные необходимы в целях однократного пропуска субъектам территории или операторам в аналогичных целях. То есть, если ведете список посетителей и все, никаких других персональных данных у вас нет, тогда тоже можно, в принципе, не подавать, но не могу себе это представить. Если персональные данные включены в государственные информационные системы, если обработки персональных данных без использования средств автоматизации, то есть, если в организации нет ни одного компьютера и действительно они еще в прошлом-позапрошлом веке, печатные машинки или от руки все заполняется, тогда, в принципе, можно не подавать это уведомление. Или обработка персональных данных в сфере транспортной безопасности. Опять же, это не про нас.
Подача уведомления
Уведомление заполняется на сайте Роскомнадзора. Там есть рекомендации по его заполнению. Но, повторюсь, без всей предварительной работы уведомление заполнить не получится – там вносятся определенные сведения. Потом это уведомление в двух экземплярах распечатывается, один остается в организации, а второй отправляется в территориальное управление Роскомнадзора. Датой подачи считается дата, когда уведомление было заполнено на сайте Роскомнадзора.
Ответственность
Я уже несколько раз этого касался, ответственность достаточно серьезная, чтобы хотя бы держать ее просто в уме. Основная статья в этой сфере — это статья 13.11 КоАП. Раньше там был один состав, достаточно универсальный. Статья звучала как «Нарушение установленного порядка обработки персональных данных». А теперь из этого одного состава выделили семь. Шесть из них нас касаются, седьмой для государственных органов. И теперь отдельным составом идет не получение согласия, отдельным составом идет не опубликование Политики, отдельным составом идет неотреагирование на обращения субъектов персональных данных и так далее. И очень существенно были увеличены штрафы. Штраф с юридических лиц до 75 тысяч рублей, но надо помнить, что штраф до 75 тысяч рублей — это за одно нарушение. Если в организации выясняется, что персональные данные десяти человек без согласия обрабатываются, когда это согласие должно было быть, это — 10 нарушений, 10 штрафов до 75 тысяч рублей. Поэтому очень-очень серьезно все на самом деле.
Статьи 13.12, 13.13 КоАП, ну, для нас все-таки, я думаю, маловероятно, что вы будете заниматься без лицензии деятельностью по защите информации и применять средства, которые не имеют сертификатов, сами для себя разрабатывать какие-то средства защиты.
Статья 13.14 КоАП «Разглашение информации с ограниченным доступом». Это как раз то, о чем я говорил, когда вы у своих сотрудников подпишите обязательство о неразглашении персональных данных, которые стали им известны в процессе работы. Если будет установлено, что утечка персональных данных произошла по вине сотрудника организации, подписавшего ранее обязательство о неразглашении, ответственность вся непосредственно на этом сотруднике.
Есть еще статья 5.27 КоАП «Нарушение трудового законодательства». Здесь речь как раз идет о государственных инспекциях труда, то есть, в зависимости от того, кто выявил. Если нарушение выявил Роскомнадзор, то статья 13.11, а если в отношении сотрудников организации это выявила трудовая инспекция, то квалифицируется по статье 5.27, там штраф до 50 тысяч рублей.
И есть у нас такая статья 19.7. Чаще всего мы о ней говорим, когда речь идет о не сданных отчетах в Минюст. Так вот, звучит она как «Не предоставление сведений и информации». Нас по этой статье штрафует за несданные отчеты Минюст, точно так же нас штрафуют, если мы не подали уведомление об обработке персональных данных в Роскомнадзор в тех случаях, когда мы должны были бы его подать. То есть, когда мы не попадаем под исключение, которое предусмотрено законом. В этом случае Роскомнадзор штрафует как раз нас по статье 19.7 КоАП. И здесь еще какие сложности? Вот, оштрафовали нас по этой статье 19.7 за то, что мы не подали уведомление в Роскомнадзор, и дают месяц на устранение, а за месяц провести вот эту всю предварительную работу, составить все эти локальные акты, назначить ответственного и так далее, провести всю эту работу за месяц невозможно. Организацию штрафуют за невыполнение ранее выданного предписания, выдают еще одно предписание, еще месяц на устранение. Опять не успеваем потому, что вся эта работа предварительная, о которой мы сегодня говорили, она может занимать несколько месяцев, может, до полугода. И организацию можно так штрафовать, штрафовать, штрафовать. Поэтому, вопрос здесь тоже достаточно серьезный, хотя бы для того, чтобы просто держать его в уме.
По поводу того, подавать или не подавать уведомление. По подсчетам самого Роскомнадзора, и они говорят об этом в своих ежегодных отчетах, можете почитать на их сайте, в их реестре операторов персональных данных должно быть больше двух миллионов, может даже, порядка трех миллионов позиций. И, скорее всего, они взяли сведения из налоговой зарегистрированных организаций и посчитали, что подавляющее большинство этих операторов должно быть у нас в реестре персональных данных. А на сегодняшний день их там чуть больше 400 тысяч. Где остальные прячутся? И Роскомнадзор, в том числе, пошел по такому пути, что рассылает информационные письма, что товарищи дорогие, у нас с 2007 года вступил в силу Закон «О персональных данных», в связи с которым вы должны были бы, на наш взгляд, подать уведомление об обработке персональных данных, но в реестре операторов мы вас до сегодняшнего дня не наблюдаем. Объяснитесь. Не ответить на это письмо нельзя. То есть, мы либо должны быстренько подать это уведомление, а без предварительной работы мы не можем, либо сослаться на предусмотренное законом какое-либо из исключений, которое дает нам право не подавать это уведомление.
И плюс еще, это уже последнее веяние, от наших юристов из регионов мы узнали, что в нескольких регионах, по счастью, это пока не имеет массового характера, территориальным управлениям Роскомнадзора было поручено проверить сайты именно общественных организаций на предмет соблюдения законодательства о персональных данных. По итогам этого мониторинга сайтов, несколько организаций получили из Роскомнадзора письма. Во-первых, о том, что, где у вас «Политика об обработке персональных данных»? Почему она не вывешена на сайте? В принципе, за это могут сразу наказывать, даже не предупреждая. А во-вторых случаи, где были обнаружены на сайтах персональные данные, из Роскомнадзора поступил запрос на подтверждение законности обработки этих персональных данных. Грубо говоря, получались ли согласия на размещение персональных данных на сайтах. Ну, речь, прежде всего шла о сборе пожертвований на лечение больных детей, когда фотография ребенка размещается на сайте с соответствующей пояснительной записью и реквизитами для сбора и так далее. А поскольку, помимо того, что это размещение персональных данных на сайте организации, которое требует согласия лица, плюс ко всему, все-таки, когда речь идет о детях, все мы понимаем, что это очень чувствительная сфера, и государство наше защищает права детей. Поэтому здесь, для того, чтобы вообще избавиться от малейших рисков, претензий к организации как со стороны самих субъектов, так и со стороны Роскомнадзора, мы возвращаемся к тому, что нужно все-таки иметь согласие на обработку персональных данных, в том числе, на размещение на сайте в случае, если есть такая необходимость, иначе организация может быть наказана.
Закон против Минюста
Повторюсь, в законе много противоречий, на практике возникают сложности и казусы. Один казус, к счастью, это из моей личной практики, даже удалось обратить в сторону организации. Речь шла о том, что, например, Минюст по Закону «О некоммерческих организациях» должен следить, чтобы в составе членов, участников и учредителей организации не было людей, в отношении которых есть определенные ограничения: например, судимые по экстремистским статьям, если речь идет о детских организациях. И Минюст в одной из организаций в одном из регионов запросил сведения о всех членах организации, чтобыпроверить. Организация отказалась передавать эти сведения в Минюст, сославшись на то, что люди не дали свое согласие на передачу их персональных данных в Минюст потому, что напрямую требование это законом не определено. Минюст попытался наказать организацию, организация пошла судиться и выиграла суд. То есть, суд признал, что Закон «О персональных данных» и права субъектов персональных данных выше, чем обязанности Минюста, какие бы они там не были. Поэтому, и это тоже надо понимать, в случае чего, закон и суды будут вставать на сторону субъектов персональных данных. Мы с вами как операторы персональных данных тут защищены в меньшей степени, скажем так.
Вопрос: Да. Оксана Артемьенко из Мурманска: «У нас в храме есть анкетки для тех, кто хочет получить помощь. Достаточно ли внизу анкеты писать фразу: «Я согласен на обработку моих персональных данных в целях получения помощи. Подпись» и как долго необходимо хранить такие анкеты, ведь этому человеку помощь может оказываться неоднократно, например, продуктовая?» И еще вопрос: «Несколько раз пропадала связь, может быть, я прослушала. Правильно ли я поняла, что если доброволец хочет сфотографироваться с подопечным, необходимо взять у него на это разрешение?»
Ответ: Доброволец с подопечным?
— Да.
Ответ: Смотрите. Фотографироваться можно добровольцу с подопечными, пожалуйста. Здесь вопрос идет о размещении этих фотографий в дальнейшем на сайте. То есть, когда мы делаем их общедоступными. Свои персональные данные человек может сделать общедоступными либо сам потому, что со своими персональными данными мы как субъекты можем делать все, что угодно. Либо это может сделать другое лицо, но с согласия субъекта персональных данных. То есть, если речь идет о том, чтобы доброволец сфотографировался с подопечным и потом речь идет о размещении этого изображения на сайте. Но, опять же, если возвращаться к гражданскому кодексу, о чем я говорил — «Охрана изображения граждан» — здесь нужно понимать, если это было сделано на открытом публичном мероприятии. Например, фотографируется доброволец с подопечным на фоне, скажем, баннера «Форум добровольцев Мурманской области». Я фантазирую сейчас. Тогда тут есть все признаки того, что это на открытом публичном мероприятии и, в принципе, да, можно размещать. Но если таких признаков нет, то лучше запастись все-таки согласием потому, что если подопечный — речь, наверняка, идет о детях, скорее всего — повторюсь, это очень чувствительная сфера, и это вопрос безопасности самой организации. Если вы получаете согласие, то все вопросы к вам снимаются. То есть, некоммерческие организации работают с людьми. Люди разные. С кем-то мы могли не совсем по-дружески расстаться, кто-то остался чем-то недоволен — пожаловаться на организацию никакого труда не составит. Это вопрос безопасности самой организации. Это в интересах самой организации — взять согласие, заручиться согласием. А применительно к детям, здесь даже возникают иногда такие случаи, что один из родителей согласен, а второй нет. Ну, бывают такие, когда они там спорят, через день ребенка из детского сада воруют по очереди, то отец, то мать, и если согласен один, второй может, наоборот, из вредности потребовать, чтобы изображение ребенка удалили. Они, как законные представители, в равных правах. Здесь тоже могут быть такие коллизии, поэтому все-таки старайтесь иметь согласие. Это, повторюсь, касается безопасности самой организации и в интересах самой организации.
Вопрос: Вот еще первая часть вопроса была про анкету в храме.
Ответ: А, да, про анкету в храме. Ну, здесь надо просто смотреть, на самом деле, что, какой объем персональных данных туда включается, когда заполняете эти анкеты. А по поводу того — хранить, не хранить? Ну, если вы приняли решение помогать конкретному человеку, оказывать ему помощь и это носит длительный характер, тогда — да. Возьмите просто с него дополнительное согласие на обработку персональных данных, где цель обработки персональных данных будет «оказание материальной помощи», и так далее.
Вопрос: То есть, лучше всегда, чтобы это был отдельный бланк, а не где-то внесенная галочка?
Ответ: Да. Потому что человек заполнил анкету, но вы не оказываете ему помощь — может быть, он пришел просить помощь, а он не подпадает под те критерии людей, которым вы готовы оказывать помощь — если вы отказываете в этой помощи, то вы не храните никакие анкеты, они должны сразу уничтожаться потому, что у вас цели обработки и хранения этих персональных данных нет, вы не оказываете человеку помощь.
Вопрос: Он, как правило, рассказывает какую-нибудь волшебную историю. А в следующий раз приходит с другой историей. Нам важно, чтобы эта информация сохранялась.
Ответ: Вот, я ж вам поэтому и говорю. Люди разные. И они могут вам сохранять истории, а потом он может совершенно другую историю рассказывать, сидя в кабинете у прокурора, да, потому, что посчитает, что вы ему не оказали помощь. Ну, в общем, недоволен. Поэтому, возьмите за правило брать согласие. Будь любезен, заполни согласие; если ты не даешь нам согласие на обработку персональных данных — «извините, мы не сможем оказывать вам соответствующую помощь». Организации это может понадобится для грантовой отчетности и для того чтобы обезопасить себя, Если человек первоначально заполняет эту анкету, дает вам свою первичную информацию, то можно взять с него контакты, а уже впоследствии, если вы действительно с ним устанавливаете взаимоотношения и собираетесь оказывать ему помощь, возьмите уже более подробное с него согласие, будете спать спокойно, так скажем.
Вопрос: Спасибо. Еще, наверное, последний вопрос из интернета на сегодня. А каким документом определяется цель сбора данных?
Ответ: Цель? Цель определяется согласием непосредственно. То есть, когда человек приходит к нам и мы начинаем выстраивать с ним взаимоотношения, цель она сама по себе формулируется. Если человек к нам пришел, чтобы осуществлять свою добровольческую деятельность, пожалуйста, формулируйте цель. Тут как вы договоритесь с субъектом персональных данных. То есть, вы с ним совместно формулируете цель, для чего он к вам пришел, для чего он вам дает свои персональные данные, для чего вы их у него получаете. А как вы ее сформулируете, это уже абсолютно на ваше усмотрение, главное, что цель должна быть конкретная, заранее определенная и законная. Все. Как вы сформулируете ее в этом согласии, так она и будет. Единственно, старайтесь, чтобы это было максимально конкретно. Если это исполнение договора — пожалуйста, исполнение договора. Если это оказание помощи, там, материальной — цель «оказание материальной помощи». Оказание медицинской помощи — цель «оказание медицинской помощи». И так далее. Старайтесь максимально конкретно писать.
Вопрос: А если у нас цель систематизации ведения базы данных?
Ответ: А для чего? Вот, понимаете, систематизация ведения базы данных. У вас, в таком случае, должна быть сформулирована цель ведения этой базы данных. Для чего вы ее ведете?
Ответ: Для отчетности.
Ответ: Для отчетности. У вас эта база данных, например, получателей помощи вашей организации. Но вы с них взяли согласие и у вас эта систематизация… Ну, почему я говорю — свобода творчества? Тут нужно к этому подходить именно с той стороны, что как вы сформулируете и, грубо говоря, подо что человек подпишется, так оно и есть. Человек поставил свою подпись. Наличие его подписи «Согласен» говорит о том, что человек своей волей и в своем интересе, за исключением, если он не дееспособный, но в таком случае, за ним законный представитель. Здесь можно формулировать все так, как нужно самой организации. А человек, уже подписав, резюмирует, что он прочитал и он действительно этого желает, ставя свою подпись. Поэтому где-то цель можно конкретно прописать, то есть «Получение помощи». А плюс ко всему в этом согласии, например, если вы осуществляете, оказываете помощь, опять же, моделирую ситуацию, — вы оказываете помощь людям по президентскому гранту, и по этому же президентскому гранту вы должны отчитаться о количестве благополучателей, которым вы оказали помощь. И опять же вы здесь должны в согласие заложить, что человек дает согласие на передачу его персональных данных в Фонд президентских грантов в рамках отчетности по проекту. Все. Вы это закладываете туда, человек это подписал. Значит… Без согласия лица третьим лицам передавать персональные данные нельзя. Это как раз конфиденциальность.
Вопрос: А могут они быть записаны обезличено? Например, экспертам в этой области или врачам определенного профиля, без прописывания конкретного?
Ответ: Если вы заранее точно знаете «раз, два, три, четыре» – кому вы будете передавать персональные данные, значит сразу их «раз, два, три, четыре» туда закладывайте. Если впоследствии появляется необходимость передачи персональных данных еще какому-то новому третьему лицу, соответственно, нужно брать на это дополнительное согласие. Это позиция Роскомнадзора.
Вопрос: Ну, то есть, как-то образно, что мы, например, передаем жертвователям информацию..?
Ответ: Постарайтесь, можно образно, но с максимально возможной конкретизацией. Например, можно не формулировать конкретное медицинское учреждение, куда вы будете передавать персональные данные. Просто указать, что «в медицинские учреждения для оказания медицинской помощи» потому, что, там, определенная медицинская помощь может быть в одном учреждении, в другом какие-то комплексные вещи могут быть. Можно попробовать сформулировать как-то в общем виде, но все-таки с максимально возможной конкретизацией.
Вопрос: А если мы, например, передаем фотографии в качестве отчетности одному и тому же лицу, которое в общем согласии, которое мы взяли с человека, мы несколько раз передаем, несколько фотографий в разные моменты жизни?
Ответ: Нет, если это длительный процесс, если вы одни и те же персональные данные одного и того же лица передаете одному и тому же третьему лицу, и это длительный процесс, здесь достаточно одного согласия. В каждом согласии определяется еще и срок его действия, этого согласия. Да, задают вопрос — можно ли это сделать бессрочно? Теоретически, да, но Роскомнадзор на это смотрит очень плохо потому, что — возвращаемся к цели обработки персональных данных — у любой обработки должна быть цель. И согласие действует до момента ее достижения. И Роскомнадзор для себя не может определить, что это может быть за цель такая, которую можно достигать бесконечно долго, бессрочно. Поэтому теоретически, возможен длящийся процесс, если вы действительно не знаете, сколько он у вас продлится. Но мы, как правило, рекомендуем, если это связано с договором, с выполнением договора, то взять вот, есть у нас по закону срок хранения 6 лет, – ну, возьмите на 6 лет. Если понадобится потом еще, ну, возьмите еще новое дополнительно. А так, если вы примерно можете сформулировать срок, на который вам нужны эти персональные данные, ну, заложите его и все. Если что, потом просто переподпишите.
Вопрос: А если у нас форма оказания помощи, с подопечным мы, например, заключаем договор. Нам не нужно отдельно согласие, если у нас все прописано? Внутри прописано. — Соответственно, даже прописано и кому мы передаем.
Ответ: Если все в рамках договора — нет, согласия не надо. Соответственно, в этот договор, в таком случае, закладывайте, что «в рамках исполнения договора будет осуществляться публикации фотоизображений и видеоизображений получателя на ресурсе данной организации», и так далее. Да, если вы все это закладываете, в таком случае, в сам договор.
Вопрос: Это дает нам какие-то преимущества или нет?
Ответ: Да нет, абсолютно все равно. И почему я еще сказал, стараться все-таки это отдельным бланком делать. Если речь идет о сведениях о состоянии здоровья, о чем мы говорили — специальная категория персональных данных, там жесткое согласие, которое в части 4-ой статьи 9-ой указано, оно само по себе отдельным бланком идет потому, что там минимум А4 само согласие, когда его заполняешь, получается, а то еще там и на вторую сторону перебегаем. А в других случаях нет такой жесткой формы согласия, можно попытаться это все включить в договор. Просто если у вас Роскомнадзор затребует подтверждение согласия, вам придется им показывать весь договор, а так бы вы им отдельно бумажку с согласием показали. Ну, вот сами определитесь, вам хочется показывать сам договор или анкеты. Если вам человек заполняет, вы в анкету вставили абзац о том, что «Я даю свое согласие настоящее». То есть, соотносите, хотите ли вы показать весь документ или можно ограничиться отдельным согласием и все.
Вопрос: Если, например, субъект персональных данных из множества не хочет одной из категорий, чтобы было включено в согласие, то можно…
Ответ: Из согласия персональных данных?
Вопрос: Нет, исключить из этого согласия… Например, в согласии — туда, туда, а туда не передавать, например.
Ответ: Ну, смотрите, вы же когда с человеком подписываете согласие, вы ему должны, даже в законе, кстати, фраза, попытаюсь дословно процитировать, – «оператор персональных данных обязан разъяснить субъекту персональных данных последствия его отказа от дачи согласия». То есть, вы просто должны в таком случае объяснить человеку, что если вы не даете нам это согласие, то мы с вами не можем выстраивать взаимоотношения.
— Нет, он дает, но не на все виды.
Ответ: А тут надо просто смотреть ваш договор с субъектом. Если он на это не согласен, а вам это необходимо, в таком случае, вы просто человеку объясняете, что без этого мы не сможем оказать вам помощь. Тут на самом деле, вы можете немножко шантажировать субъекта персональных данных. Но у вас, в таком случае, все должно быть обоснованно, цель сформулирована. То есть, никакого избытка данных.
Вопрос: То есть, изменять согласие из-за какого-то конкретного лица не имеет смысла?
Ответ: Это индивидуально. Я вам сказал, что, все, что можно заложить заранее, унифицировать формы, упростить – да. А если с конкретным человеком у вас особенные взаимоотношения, ну, значит, просто с ним переработать эту форму и сделать конкретно под него. В чем проблема?
Вопрос: Форма согласия обязательно должна содержать паспортные данные?
Ответ: Если речь идет о сведениях о состоянии здоровья — да, это часть 4 статьи 9-ой.
Вопрос: То есть, если они предоставляют сведения, есть инвалидность или нет, просто наличие, это уже медицинские данные, да?
Ответ: Да. Диагноз… Ну, например, вы можете оказывать человеку помощь только в случае, если у него такие-то и такие-то диагнозы, да? То есть, если человек вам сообщает, что у него есть такой диагноз, то фактически, он сообщает вам сведения о состоянии своего здоровья.
Вопрос: А если просто идет факт нуждаемости, что, например, человек нуждается. Может быть, просто, ну, почему? Это прием, это много людей мимо в день у тебя проходит и заполнение отдельной бумажки…
Ответ: Нет. Если нет сведений о состоянии здоровья субъекта персональных данных, в таком случае, форму сами вы для себя определяете.
Вопрос: То есть, там нужно написать, допустим, фамилию, имя, отчество и все?
Ответ: Да, да. Единственное, что там все-таки должна быть сформулирована цель потому, что закон говорит, что согласие должно быть конкретным, информированным. То есть, хотя бы цель и, примерно, что вы там собираетесь делать, должно хоть как-то минимально, но должно быть сформулировано.
Вопрос: То есть фамилию, имя, отчество и дату рождения…
Ответ: Да, я такой-то, такой-то, фамилия, имя, отчество и дату рождения, я, допустим, даю свое согласие на обработку моих персональных данных с целью получения мною материальной помощи. А здесь, если нет сведений о состоянии здоровья, то..
Вопрос: Инвалидная справка является сведением о состоянии здоровья?
Ответ: Да. Ну, эта справка об инвалидности, там же указан диагноз, в связи с чем.
Вопрос: Нет, там нет диагноза. На ней только общее заболевание.
Ответ: Но все равно, вот, общее заболевание. Поверьте, в случае чего Роскомнадзор будет трактовать это все максимально широко. То есть, есть общие заболевания, сведения, группы инвалидности. Инвалидность подразумевает, что у человека есть определенное заболевание.
Вопрос: А если по почте прислал человек? Он же первоначально обратился и уже прислал свои медицинские документы. А это согласие еще не получено.
Ответ: Если человек первоначальным письмом по почте присылает свои документы, которые содержат сведения о состоянии здоровья, вы должны дальше определиться. Если вы с ним сразу начинаете выстраивать взаимоотношения, значит, будьте любезны взять с него все-таки это согласие. Например, ответным письмом направить ему бланк, пусть он подпишет и вам пришлет. В этот промежуток с того момента, как он вам прислал свои документы по почте до того момента, как вы возьмете с него письменное согласие, вряд ли что-то произойдет.
Вопрос: Самая основная тема, что мы ему откажем. По его запросу помощи нет.
Ответ: А если вы ему отказываете, значит, вы ему в этом отказе должны сообщить о том, что присланные им документы были незамедлительно уничтожены. И действительно вы их должны, в таком случае, уничтожить у себя, не хранить. У вас, если вы отказываете человеку и не будете оказывать ему помощь, не формируется цель обработки этих персональных данных, вы не можете ее осуществить.
Наши контакты и возможность задавать вопросы — ниже, телефоны, можно писать на почту. Еще у нас на сайте есть правовой консультант, и прямо через сайт тоже можно задать вопрос или записаться на консультацию. В общем, пользуйтесь.
Вопрос: Еще вопрос про положение об использовании. У нас, значит, есть политика — это то, что наружу, и положение – то, что внутрь. Обязаны ли мы этот документ кому-то предоставлять, кроме проверяющих органов, если у нас кто-то запрашивает?
Ответ: Нет, положение — для внутреннего пользования. Для внешней среды как раз и делается политика. А проверяющим — да, проверяющим показываете.
Контактная информация со слайда:
Правовые консультации бесплатно для НКО:
vopros@lawcs.ru
8 495 966 06 32
Подписаться на рассылку:
info@lawcs.ru
Мы просим подписаться на небольшой, но регулярный платеж в пользу нашего сайта. Милосердие.ru работает благодаря добровольным пожертвованиям наших читателей. На командировки, съемки, зарплаты редакторов, журналистов и техническую поддержку сайта нужны средства.
