Институт Практикующих Юристов

Семинар «Персональные данные: как НКО соблюсти требования закона?»

23 октября 2019 г. АНО «Институт практикующих юристов» совместно с Ассоциацией «Юристы за гражданское общество», Общественной палатой г. Тольятти, и при поддержке МКУ «Центр поддержки общественных инициатив» провели семинар на тему «Персональные данные: как НКО соблюсти требования закона?».

Семинар провел юрист Ассоциации – Василий Романец (г. Москва). Тема семинара оказалась очень актуальной для некоммерческих организаций. Общее число участников мероприятия – свыше 60 человек.

Законодательство о персональных данных довольно сложное и запутанное, оно касается не только государственных и коммерческих организаций, но и НКО. Любая обработка персональных данных (работников, добровольцев, благополучаталей) или публикации на сайте НКО сопровождается рядом обязанностей и ограничений. Несоблюдение законодательных требований может грозить НКО очень высокими штрафными санкциями.

Участники мероприятия получили возможность узнать, что относится к персональным данным и кто является их оператором, в каких случаях необходимо получать согласие на обработку персональных данных, какие внутренние документы должны быть приняты в организации для законного сбора персональных данных, нужно ли подавать уведомление об обработке персональных данных.
Докладчик начал погружение в тему с основ, нормативно правовых актов, которые на сегодняшний день регламентируют сферу персональных данных. А именно это:
ФЗ от 27.08.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»
ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных»
Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ от 15.09.2008 г. № 687 г. Москва «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без средств автоматизации»
Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 14.02.2008 г.
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 15.02.2008 г.
Приказ ФСБ от 10.07.2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Перечислены уполномоченные органы власти, участвующие в защите прав субъектов персональных данных, следящие за соблюдением контроля с данной сфере деятельности и указано какой конкретно вид деятельности они осуществляют:
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – уполномоченный орган по защите прав субъектов персональных данных
Федеральная служба по техническому и экспертному контролю (ФСТЭК) – вопросы применения технических средств защиты информации
Федеральная служба безопасности (ФСБ) – вопросы применения средств криптографической защиты информации (шифрования)
Государственные инспекции труда (ГИТ) – вопросы соблюдения работодателями требований по защите персональных данных работников (гл. 14 Трудового кодекса РФ)
Органы прокуратуры – надзоры за соблюдением законов

Были отмечены базовые тезисы касающейся сферы персональных данных.
Персональные данные (по действующей редакции) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных).
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка всегда должная ограничиваться достижением конкретных, заранее определенных и законных целей – этим в свою очередь определяется и срок обработки. Если цели обработки персональных данных нет, то, следовательно, и обрабатывать персональные данные незачем, таким образом, бесцельная обработка данных уже является нарушением закона. Недопустима обработка персональных данных, которая несовместима с целями сбора, то есть нельзя что-либо делать с персональными данными «заодно» или «про запас».

Согласие на обработку может быть дано субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом. Обязанность предоставить доказательство получения согласия или наличия соответствующих оснований возлагается на оператора.
Теперь что касается случаев обработки персональных данных. Другими словами, при каких обстоятельствах субъект может предоставить свои персональные данные для обработки.

Обработка может быть осуществлена при следующих условиях:
1) С согласия субъекта персональных данных. Для осуществления грамотной и законной обработки субъект должен дать свое согласие на это;
2) Исполнение международных договоров РФ или выполнение оператором возложенных на него законом обязанностей;
3) Осуществление правосудия или исполнительного производства;
4) Предоставление государственных или муниципальных услуг;
5) Заключение и исполнение договора, стороной которого является субъект персональных данных;
6) Защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия невозможно;
7) Осуществление прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (однако формулировка «общественно значимые цели» не конкретизирована в законодательных актах, ее лучше не использовать в соглашениях);
8) Профессиональная деятельность журналиста и СМИ, научная, литературная или иная творческая деятельность;
9) Статистические или иные исследовательские цели, при условии обязательного обезличивания персональных данных;
10) Персональные данные сделаны общедоступными самим субъектом персональных данных;
11) Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законом.
Этот перечень является исчерпывающим и иные случаи обработки персональных данных законом не предусмотрены.
Также было конкретизировано, что должна включать в себя обязательная письменная форма согласия (с указанием наименования оператора, цели обработки, срока действия согласия и т. д.).

Были разъяснены сведения касающиеся документа, который определяет политику оператора в отношении обработки персональных данных. На оператора возложена обязанность по опубликованию или иным обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Также была сделана ссылка на рекомендации Роскомнадзора по составлению политики в отношении обработки персональных данных.

Внимание участников было акцентировано на статье Кодекса об административных нарушениях РФ, которая предусматривает штрафы для граждан, должностных лиц, индивидуальных предпринимателей и юридических лиц за невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных (ч. 3 ст. 13.11 КоАП РФ). А также на статье Гражданского кодекса РФ, предусматривающую охрану изображения гражданина, где закрепляется требования для обнародования и дальнейшего использования изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) (ст. 152.1 ГК РФ).

На семинаре были перечислены конкретные меры, которые проводятся для обеспечения безопасности персональных данных подкрепленные наглядными примерами.
Для обработки персональных данных «оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев...»
А именно это следующие случаи:
1) Обработка персональных данных в соответствии с трудовым законодательством;
2) Обработка персональных данных в рамках договора с субъектом персональных данных;
3) Обработка общественным объединением или религиозной организацией персональных данных своих членов (участников), если персональные данные не распространяются и не раскрываются третьим лицам без письменного согласия;
4) Персональные данные сделаны субъектом общедоступными;
5) Персональные данные включают в себя только ФИО субъектов;
6) Персональные данные в целях однократного пропуска субъекта на территорию оператора или в иных аналогичных целях;
7) Персональные данные включены в государственные информационные системы;
8) Обработка персональных данных без использования средств автоматизации;
9) Обработка персональных данных в сфере транспортной безопасности.
Важно отметить, что любой выход за рамки предусмотренных исключений нивелирует их действие и обязывает оператора к подаче уведомления.

В завершении докладчик напомнил об ответственности, предусмотренной Кодексом об административных правонарушениях РФ, которая возникает в связи с нарушением законодательства РФ в области персональных данных, нарушением правил защиты информации, незаконной деятельностью в области защиты информации, разглашением информации с ограниченным доступом, нарушением трудового законодательства и иных нормативно правовых актов, содержащих нормы трудового права и непредставлением сведений.
Все эти нарушения влекут за собой немалые штрафы и уж тем более, если пострадавших от незаконных действий не один и не два человека. Выплата штрафов может обернуться существенными убытками для некоммерческих организаций, поэтому вся предоставленная им информация оказалась крайне полезной.

В ходе ведения семинара и после его завершения у участников возникло много вопросов касательно обсуждаемой темы, на все эти вопросы были получены чёткие развернутые ответы со ссылками на нормативные акты и примерами из практики.
Вопрос: Работодатель фотографирует своих работников в рабочее время, после чего данные фотографии с оскорблениями появляются в сети Интернет. Является ли это нарушением и что можно с этим сделать?
Ответ: Да, это является правонарушением. Необходимо обратиться в Роскомнадзор, на практике в похожих ситуациях данный орган с успехом добивался даже закрытия сайтов, на котором размещались фотографии без согласия.
Вопрос: Должны ли кадровые работники при заключении трудового договора сотрудниками брать согласие этих сотрудников на обработку персональных данных?
Ответ: Если предоставляемый объем персональных данных соответствует требованиям трудового договора, то согласие не требуется. Если же объем собираемых персональных данных выходит за рамки трудового договора, то это является нарушением законодательства.
Вопрос: Можно ли самостоятельно снимать на камеру происходящее на улице правонарушение?
Ответ: Да, такие правонарушения снимать можно. Такие доказательства успешно используются в судах.
Вопрос: Можно ли снимать на камеру сотрудников ГИБДД?
Ответ: Можно записывать процессуальные действия сотрудников ГИБДД, так как они являются публичными людьми. Пленум говорит нам о том, что их можно снимать без согласия, но при этом нужно будет их предупредить о съемке.
Вопрос: Нужно ли получать согласие родителей на съемку их несовершеннолетнего ребёнка?
Ответ: В данный момент практика идёт по такому направлению, где необходимо получить согласие на съемку от обоих родителей. Особенно это касается потенциально конфликтных семей.

72