Персональные данные и НКО: как снизить риски для себя и благополучателей

Любая организация, собирающая личные данные граждан, обязана защитить сохранность частной информации. На практике исполнить это по закону не так легко.

Имя и профессия – еще не личные данные. Фамилия, дата рождения и фото – да

По закону персональные данные — любые данные и информация о конкретном физическом лице. А организация, которая все это собирает и планирует использовать, – оператор персональных данных. Но в жизни все немного иначе.

«Четкого перечня, что входит в понятие персональных данных, нет; исходя из нашей практики, к такого рода информации можно отнести ФИО, дату рождения, профессию, образование, паспортные данные», — говорит Елена Саносян, юрист группы компаний Philin Philgood.

Но не каждая личная информация защищена с правовой точки зрения. Например, мы не сможем узнать, кому принадлежит телефонный номер, если указаны только имя и профессия. Если к этому добавить фамилию, дату рождения и фото – тогда эта информация подпадает под закон.

То есть персональные данные могут называться таковыми, только если позволяют установить личность человека. В этой связи данные из историй болезни, справок, направлений врачей, а также диагноз или инвалидность – специальная информация, требующая более высокого уровня защиты.

Важно: информация о благополучателях означает сбор, обработку и хранение частной информации граждан с возможным ее распространением в будущем. Это налагает на НКО обязательства. А именно – регистрацию в Роскомнадзоре в качестве оператора персональных данных.

Из-за провала в законодательстве ситуация с НКО сложная

Закон задумывался, когда третий сектор только начинал развиваться и фонды собирали персональные данные благополучателей не так активно, поэтому в первую очередь он подразумевал сферу услуг: агентства по найму, крупные интернет-магазины, банки – там, где раскрытие личных данных может быть масштабным.

Но НКО, которая регулярно имеет дело с физическими лицами, — даже если она в месяц обрабатывает около 30 персональных данных благополучателей — уведомить о себе как об операторе персональных данных надо, говорит Наталья Дроздовская, директор юридического департамента группы компаний Philin Philgood. Тем более, если организация работает с электронной базой данной, CRM.

Пока это решение, по закону, добровольное, поэтому многие НКО заняли выжидательную позицию. «Мы не выступаем как операторы персональных данных и, насколько мне известно, еще ни один фонд на это не решился», — говорит Екатерина Донских, директор благотворительного фонда «АиФ. Доброе сердце».

Дело в том, что в фондах не так много квалифицированного административного персонала, который может не просто подать уведомление в Роскомнадзор, а еще и подготовить комплекс документов внутри организации. «Возможно, для НКО стоит сделать более льготные условия, либо разработать законодательные шаблоны документов, которые можно будет использовать для экономии времени и ресурсов», — говорит Наталья Дроздовская.

Заручитесь согласием каждого подопечного – лучше письменно и с подписью

Тем не менее, хочет фонд или нет, по факту он уже — оператор личных данных. Значит, обязан выполнять ряд обязанностей. Прежде всего — получить согласие граждан, чьи данные будут использованы.

«Мы берем у каждого подопечного согласие на использование личной информации, отдельно разрешение на фото и на тексты, так как мы размещаем сборы на сайте фонда», — говорит Анна Видич, руководитель программ фонда «Православие и мир». Письменное согласие с личной подписью – самый лучший и безопасный вариант, считают юристы Philin Philgood.

Про устную форму закон напрямую ничего не говорит, но лучше, чтобы при этом были свидетели. Если же фонд собирает данные на сайте, то в веб-форме обязательно должна быть соответствующая «галочка» о согласии.

Как вариант, на портале организации можно разместить в открытом доступе политику обработки данных с указанием, какую именно информацию сайт собирает. Пользователь ресурса автоматически соглашается на обработку данных. «Формат зависит от конкретных задач НКО: собирает, хранит и распространяет или только собирает и хранит данные. Для каждого формата — свои правила. Рекомендации есть на сайте Роскомнадзора», — уточняет Наталья Дроздовская.

Укажите, что благополучатель в любой момент может отозвать согласие

В фонде «Настенька» у каждого официального представителя ребенка берется согласие на использование данных. «Мы работаем с очень чувствительной темой – онко- и другие тяжелые заболевания у детей, — говорит Дарья Зайцева, директор по развитию фонда. – Понятно, что родители готовы подписать любые документы, лишь бы ребенку помогли. Именно поэтому в соглашении у нас есть формулировка, что представитель ребенка в любой момент может отозвать свое согласие. В моей практике был лишь раз, когда мама, подписав бумагу, вдруг поняла, что история ее ребенка будет размещена на сайте. Это ее испугало, так как она скрывала от родных диагноз дочери. Но иначе нам сложно собрать средства. Мы с ней поговорили, объяснили, зачем это нужно, договорились не размещать информацию в соцсетях. Маму это устроило».

«Даже если мы не уведомили человека о возможности отозвать согласие, это право у него не исчезает, — говорит Алексей Сучилин, юрист группы компаний Philin Philgood. — Но все же лучше, что это указано в документе. Я помню случай, когда мужчина обратился за помощью в фонд (наш клиент) и, подписав бумагу, отозвал свое решение размещать ФИО и фото. Мы его уговаривали две недели, впустую. В итоге пришлось оставить только имя и историю».

Пропишите цели использования и уничтожьте впоследствии данные

Любая организация, работающая с волонтерами, заинтересована в том, чтобы наращивать базу контактов с волонтерами. Но по закону, после проекта личные данные должны быть уничтожены. Они собираются для конкретных целей и на определенный период времени. Это должно быть указано в согласии.

В таком случае, в согласие можно добавить формулировку «для информационной рассылки, пока НКО ведет свою деятельность», — делится опытом Софья Косачева, руководитель противопожарной программы Greenpeace России.

По словам Анны Видич, в фонде «Правмир» все данные удаляются после пятилетнего хранения. Но многие фонды хранят на сайте базу с успешными историями помощи как результат работы за многие годы. И для НКО это важно. Как быть?

«Все зависит от благополучателя — если он не возражает, хорошо, если хочет отозвать данные, придется это сделать. Можно запросить повторное разрешение на хранение. Это стоит сделать и в том случае, если данные были взяты, когда закон еще не вступил в силу. Так ваша организация сможет избежать рисков», — рекомендует Елена Саносян.

Кстати, если у вас есть согласие на использование данных несовершеннолетнего, то после достижения им 18 лет получать повторно разрешение не нужно.

И еще важный момент, о котором предупреждает Софья Косачева: «Если вы все же уничтожаете данные, то это не просто удаление строчки, а некий процесс, который полностью очищает носитель от всей информации. Если же документы хранились в бумажном виде, то перед тем, как выбросить, листы надо пропустить через шредер или порвать на мелкие кусочки. Использовать документы с персональным данными в качестве «обороток» для печати не допускается».

Гарантируйте безопасное хранение

Как хранить персональные данные, организация решает сама — главное, чтобы сервер находился на территории нашей страны. «Все данные детей и их родителей хранятся на сервере фонда», — говорит Дарья Зайцева. У фонда «АиФ. Доброе сердце», по словам Екатерины Донских, есть отдельный диск, на котором хранится персональная информация обратившихся за помощью. Переходить на облачное хранение в организации не планируют, чтобы минимизировать риски. Похожая ситуация у большинства фондов.

На данный момент не известно ни одной компании в России, которая бы полностью соблюдала все предписанные уровни надежности. Нормативные правовые акты Федеральной службы безопасности ставят практически невыполнимые условия в сфере сохранности персональных данных.

При этом регулярно появляются новости, как очередные базы данных (банки, сотовые операторы) оказались слиты в интернет. Заплатить любой штраф выходит несравнимо дешевле.

Максимальный штраф до 2019 года, по словам Алексея Сучилина, составлял 300 тысяч рублей. С 2019 года сумму увеличили до 6 млн рублей: «На практике верхней суммы я не встречал ни разу, максимальный штраф для коммерческой компании был 2,5 млн рублей. Размер штрафа зависит от объема слитой информации и конкретной ситуации».

По мнению Софьи Косачевой, речь не столько о сохранности данных, сколько о репутации: если база волонтеров НКО станет открыта для сторонних пользователей и кто-то захочет этим воспользоваться, фонд не только потеряет доверие, но и может быть косвенно втянут в мошенничество.

Что действительно чревато рисками – отсутствие в фонде реестра ответственных за сбор и хранение данных. «Чем уже круг этих лиц, тем лучше, — говорит Наталья Дроздовская. – У нас был случай, когда доступ к личной информации оказался у курьера, который, воспользовавшись паспортными данными главного бухгалтера, обратился в банк и получил обеспечение по личному кредиту».

В идеале доступ должен быть у сотрудников кадровой службы. Или составлен список лиц, имеющих допуск. В противном случае за нарушения будет отвечать непосредственно сам директор.

Мошенники дублировали личные данные со страницы мамы больного ребенка в соцсетях, дав номер своей карты

И представители фондов, и юристы не смогли вспомнить ни одного случая, когда бы по вине фондов с хорошей репутацией произошел слив данных благополучателей, и те оказались пострадавшей стороной.

В большинстве случаев жертвами мошенников становятся сами НКО и их подопечные. По данным ВЦИОМ, за прошлый год россияне в среднем пожертвовали на благотворительность 419,3 млрд рублей в год. И примерно 165 млрд рублей в год уходит в потенциально нелегальный сектор. Так, в 2020 году только в ящики для пожертвований на улице россияне отдали 11,5 млрд рублей.

«Чаще всего с сайта распечатывают фото и истории подопечных, копируют сердце с логотипа и под видом фонда собираются деньги в ящики для пожертвований, — говорит Екатерина Донских. – Конечно, мы объясняем людям, которые об этом сообщают, что это мошенники. Но тяжело бороться, ведь сообщения приходят из других городов.

Был случай, когда мама ребенка, которому мы собирали на лечение, у себя на странице в соцсетях дублировала нашу информацию, а мошенники все это копировали себе, только деньги предлагали переводить не на расчетный счет фонда, а себе на карту. Мы сразу же написали в техподдержку, чтобы страницу лже-волонтера заблокировали. Это работает. Но теперь подписываем соглашение с родителями, чтобы они на время сбора на сайте фонда сами параллельно не собирали, чтобы избежать подобных схем. Ну, и мы присоединились к декларации прозрачности в рамках проекта «Все вместе за разумную помощь».

«Нас уверяли, что размещение фотографии ребенка в интернете – это публичная оферта»

«Недавно мы обнаружили, что сбор на нашего подопечного ведет неизвестный фонд, — рассказывает Дарья Зайцева. – Ни у нас с ним нет никаких отношений, ни у мамы договоренностей. Это важно, потому что довольно часто несколько фондов сообща помогают одному ребенку, когда нужно собрать очень большую сумму. На сайте никаких контактов, только электронная почта.

Наш администратор нашла через соцсети представителя этой организации, попытались связаться, объяснить, что это незаконно, просили снять сбор. Ответ был довольно агрессивный, но больше всего нас обескуражило утверждение собеседника, что раз фото в интернете – то это публичная оферта, значит, он ничего не нарушил. С помощью коллег из «Все вместе за разумную помощь» мы попросили родителей обратиться в Роскомнадзор для блокировки контента, а сами готовим официальную Досудебную претензию, так как после нашего разговора представитель фонда все же дал ссылку на сайт фонда, но фотографии и описание истории болезни не убрал».

Использовать изображения физических лиц по закону можно только с согласия гражданина или его официального представителя, — напоминает Алексей Сучилин. Исключений три: общественные или государственные интересы, съемка проводилась в публичном общедоступном месте и не имела целью фотографирования конкретных лиц, позирование на возмездной основе (но в этом случае распространять фото может только тот, кто оплатил фотосъемку).

В ситуации, когда изображение ребенка опубликовано без согласия родителей или опекунов, прослеживается прямое нарушение права ребенка. Если организация отказывается убрать фото, родителям стоит обратиться в суд и в прокуратуру.

«К сожалению, историй, когда мошенники используют персональные данные подопечных фондов в личных целях, очень много, — говорит Анжелика Иванова, координатор проекта «Все вместе за разумную помощь». – Если название фонда используется посторонними лицами для сбора пожертвований, мы советуем обратиться к правоохранителям. В данной ситуации это должен сделать сам пострадавший, а мы всегда проконсультируем и поможем с составлением заявления в Роскомнадзор. Кроме того, у нас на сайте есть форма «Заявить о подозрительном сборе» и мы призываем заявлять о случаях мошенничества».

Но все же юристы рекомендуют в случае явных мошеннических действий в адрес фонда и его благополучателей обращаться в прокуратуру для проверки деятельности аферистов или в Роскомнадзор, если без разрешения были опубликованы персональные данные.

Это самый быстрый и действенный метод. Ведь если ли имеет место сбор на личные карты – это уже не про персональные данные, хотя и о них не стоит забывать — а введение в заблуждение и уголовная статья.

Источник: Милосердие