Можно ли назвать НКО операторами персональных данных?
— Федеральный закон «О персональных данных» N152-ФЗ не делает различий между организационно-правовыми формами организаций. Любая организация, так или иначе, обрабатывает персональные данные своих сотрудников, контрагентов (лица, учреждения, организации, с которыми НКО связана обязательствами по общему договору), добровольцев и т.д. Поэтому, согласно ФЗ «О персональных данных», ее можно назвать оператором персональных данных. Исключение составляют лишь филиалы и представительства иностранных неправительственных организаций, не являющиеся юридическими лицами и, соответственно, не подпадающие под действие данного закона.
Какая информация относится к персональным данным?
— Согласно закону, «персональные данные – это любая информация, относящаяся к прямо или косвенно определенному и определяемому физическому лицу (субъекту персональных данных)». Это понятие очень «размыто». Специалисты предлагают руководствоваться следующим правилом: те данные, которые Роскомнадзор перечисляет в рекомендациях по заполнению уведомления об обработке персональных данных, и следует считать персональными данными. Существуют также специальные категории персональных данных (они касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья или интимной жизни), а также биометрические персональные данные (характеризующие физиологические особенности человека, на основе которых можно установить его личность).
Что нужно делать, чтобы соблюсти требования закона?
— Во-первых, оператор (в нашем случае это — НКО) обязан провести классификацию своих информационных систем персональных данных, определить, какие категории персональных данных обрабатываются, виды их обработки, требуемый класс защиты информации. Классификация проводится в соответствии с требованиями совместного приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N55/86/20. Процедура классификации заканчивается составлением соответствующего акта. После проведения классификации в организации должно быть разработано и утверждено положение об обработке персональных данных с обязательным ознакомлением сотрудников НКО с требованиями данного положения. Затем НКО издает приказ о назначении лица, ответственного за обработку персональных данных.
Помимо этого, организация-оператор обязана разработать и утвердить ряд локальных (внутренних) актов, а также приобщить документы от поставщиков средств защиты информации (СЗИ) — приказ о допуске к обработке персональных данных (список лиц) и допуске к работе с СЗИ, приказ о допуске в помещения или приказ о контролируемой зоне (территории), модель угроз, техническое задание на СЗИ… Это краткий и примерный перечень документов, которые обязан разработать оператор. При этом конкретных образцов необходимых документов нет ни в законе, ни в постановлениях правительства — оператор разрабатывает их самостоятельно.
Во-вторых, организациям – операторам персональных данных необходимо обратиться в компанию, специализирующуюся на защите информации, за построением системы информационной безопасности и внедрением СЗИ. Перечень организаций, предоставляющих услуги по защите информации, велик, разброс цен на эти услуги — большой.
Следующий важный шаг – направление НКО уведомления об обработке персональных данных в Роскомнадзор. Все операторы, еще до начала обработки персональных данных, обязаны направить соответствующее уведомление в данное ведомство. Процедура направления уведомления довольно проста. На сайте Роскомнадзора заполняется соответствующий бланк, два экземпляра которого распечатываются, после чего один хранится у оператора, а другой почтовой связью направляется в Роскомнадзор. Датой направления уведомления считается его регистрация на сайте ведомства.
Направление уведомления автоматически влечет за собой включение НКО в реестр операторов и, соответственно, в список плановых проверок. Вместе с тем нельзя забывать о том, что Роскомнадзор имеет право проводить и внеплановые проверки, в частности, по обращениям субъектов персональных данных о нарушении их прав. Поэтому ненаправление уведомления в Роскомнадзор не может обезопасить оператора персональных данных от проверок.
Как получить согласие клиента НКО на обработку его персональных данных?
— Во избежание проблем с контролирующими органами мы рекомендуем каждой организации разработать письменную форму (с учетом требований закона) согласия субъекта персональных данных. В этом документе человеку, чьи личные данные будут обрабатываться, нужно будет собственноручно указать необходимые сведения и поставить подпись. НКО следует взять за правило заполнять такую форму письменного согласия при заключении трудовых и иных гражданско-правовых договоров с сотрудниками, контрагентами, добровольцами и т.д. Этот документ фактически будет приложением к договорам, когда возникает необходимость в обработке персональных данных. Можно также внести согласие человека на обработку его персональных данных отдельным пунктом в текст соответствующего договора. С одной стороны, закон не требует получения письменного согласия субъекта персональных данных в рамках договорных отношений. С другой – его получение дисциплинирует оператора и позволит избежать возможных неприятностей в будущем. Таким образом, получение согласия на обработку персональных данных необходимо, чтобы обезопасить себя от возможных исков и регулярных проверок, однако согласие может быть получено и в устной форме.
А фотографии тоже считаются персональными данными?
— Да, это биометрические персональные данные, поскольку они характеризуют физиологические особенности человека и позволяют определить его личность. Многие организации имеют страничку в Интернете. На сайтах зачастую размещаются фото руководителей и сотрудников НКО, ее партнеров, фотоотчеты с мероприятий и т.д. Так вот, при размещении фотоизображений в Интернете оператору следует запастись письменным согласием лица, изображенного на фото, на публичное размещение биометрических персональных данных, фактически делающее их общедоступными. Что касается групповых фото, придется получать согласие всех изображенных на фото лиц. Если фотографии скачены из Интернета, необходимо сделать скрин-шот страниц, на которых были размещены фотографии. А поскольку теоретически возможна подделка таких скрин-шотов, производится еще и их нотариальное заверение (заверение должна делать организация, которая скачала фотографии из Интернета). Несмотря на сложность такого подхода, это позволяет доказать общедоступность персональных данных, а, соответственно, законность их обработки.
Порой НКО подвергаются административному наказанию за хранение у себя документов, содержащих персональные данные людей, с которыми организации раньше сотрудничали — несмотря на то, что формально все требования по обеспечению безопасности персональных данных соблюдены. Что можно сделать, чтобы избежать такой ситуации?
— Нужно проводить ревизию всех документов организации, содержащих персональные данные граждан. Если для бухгалтерского учета, соблюдения налогового или трудового законодательства не требуется хранения обработанных персональных данных, их необходимо уничтожить с составлением соответствующего акта. На это закон дает 30 дней. Те персональные данные, хранение которых требуется в соответствии с налоговым или другим законодательством, но у самой НКО необходимости в них нет, можно сдать в архив (деятельность государственных и частных архивов регулируется ФЗ N125 «Об архивном деле в РФ») и забыть про них. Если у органов государственной власти (например, налоговых) возникнет необходимость в этих документах, они могут самостоятельно затребовать их в архивах. Сдача документов в архив позволит НКО–оператору персональных данных обезопасить себя от претензий Роскомнадзора. Закон не распространяется на архивные документы в соответствии с законодательством об архивном деле в РФ.
Перечислите виды ответственности за нарушения в сфере обработки персональных данных.
— Практически любое нарушение законодательства о персональных данных может быть квалифицировано по ст. 13.11 Кодекса РФ об административных правонарушения (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Ненаправление уведомления в Роскомнадзор об обработке персональных данных в случае, когда оно должно было быть направлено, квалифицируется по ст. 19.7 КоАП РФ (непредставление сведений (информации). Непредставление информации субъекту персональных данных в случаях, когда закон обязывает оператора ее представлять, может быть квалифицировано по ст. 5.39 КоАП РФ (отказ в предоставлении информации).
Обязанности работодателя по хранению и использованию персональных данных сотрудников закреплены в гл. 14 Трудового кодекса РФ, в связи с чем их нарушение может быть истолковано как административное правонарушение, предусмотренное ст. 5.27 КоАП РФ (нарушение законодательства о труде и об охране труда). Не следует использовать несертифицированные в установленном порядке средства защиты информации или осуществлять деятельность по защите информации без соответствующей лицензии. Сотрудники НКО, непосредственно осуществляющие обработку персональных данных, могут быть привлечены к административной ответственности по ст. 13.14 КоАП РФ (разглашение информации с ограниченным доступом).
При всем этом нарушения в сфере обработки персональных данных могут подпадать и под иные составы преступлений или административных правонарушений. Таким образом, в руках государства находится достаточное количество «рычагов» воздействия на нарушителей законодательства в области персональных данных.
Некоммерческое партнерство «Юристы за гражданское общество» и филиал Компании с ограниченной ответственностью «Международный центр некоммерческого права» в РФ разработали инструкцию по соблюдению некоммерческими организациями требований ФЗ N152 «О персональных данных». В ней содержится информация обо всех «подводных камнях» для НКО. Ознакомиться с данной инструкцией можно на сайте www.lawcs.ru в разделе «Исследования и анализ».
