• Регистрация НКО - 19500 рублей.
  • Бух.учет от 2000 р. в месяц.
  • - ПОДПИСЫВАЙТЕСЬ!
  • При поддержке Общероссийской организации
    "Партнер"
8 (800) 100-4236

Екатерина Коломенская Юрист НКО
Отдел юр. сопровождения

Юридическое сопровождение НКО от 9 500 руб.
Персональный юрист НКО
Договоры, собрания, положения и т. д.
Консультация и анализ структуры НКО
Позвонить: +7 (495) 003-45-71
документы НКО Персональные данные

Как работать с персональными данными в НКО в 2024 году

Персональные данные НКО 2024

Тема персональных данных как никогда актуальна: всем нам хочется защитить свои данные от разного рода махинаций в интернете. Руководители НКО также опасаются потери данных своей организации.  В статье даем алгоритм по работе с персональными данными в некоммерческих организациях по правилам 2024 года. Эксперт Екатерина Коломенская на основе масштабных изменений в законе о персональных данных и новых требованиях Роскомнадзора составила инструкцию по выстраиванию корректной работы НКО с персональными данными. Дополнительно в статье — штрафы, которые НКО придется заплатить за ошибки в работе с персданными. 

Институт персональных данных в нашей стране еще не до конца сформирован, поэтому современное законодательство подвергается постоянному реформированию в области защиты персональных данных. Вопросы защиты и обработки персональных данных касаются каждого гражданина, ведь они напрямую связаны с обеспечением конституционных прав, которые гарантируют неприкосновенность частной жизни, личную и семейную тайну. На данный момент возрастает острая необходимость в обеспечении надежной защиты информации, особенно той, которая касается личных, то есть персональных сведений о гражданине.

Персональные данные представляют собой информацию, относящуюся к определенному физическому лицу и может быть использована для его идентификации. В связи с этим некоммерческие организации должны строго соблюдать правила при работе с персональными данными, чтобы обеспечить их защиту и сохранность.

Актуальность проблемы сохранения персональных данных не вызывает сомнений, поскольку вопрос их сохранения зависит от технических неисправностей (к примеру, сбои программном обеспечении) и повреждений субъективного характера (непреднамеренное уничтожение сведений, их изменение, заражение компьютерными вирусами, целенаправленное вмешательство в базы данных с целью повредить информацию или использовать ее в личных интересах).

Содержание 
  1. Проверьте, все ли документы для работы с персональными данными есть в НКО
  2. Выясните, все ли правила соблюдаете при работе с персданными в НКО
  3. Разберитесь, учли ли требования закона при оформлении согласий на обработку персданных в НКО
  4. Убедитесь, что передаете персданные законно
  5. Мониторьте изменения закона о персданных и правила от Роскомнадзора
  6. Убедитесь, что в вашу НКО не оштрафуют за ошибки в работе с персональнами данными
  7. Выясните, уведомила ли НКО Роскомнадзор о работе с персональными данными
  8. Почему НКО опасно хранить копии документов своих работников.  Специальная категория персональных данных
  9. Кейс по персональным данным
  10. Выводы 

Проверьте, все ли документы для работы с персональными данными есть в НКО

Федеральный закон «О персональных данных» от 27 июля 2006 N 152-ФЗ (далее по тексту – ФЗ о персональных данных) не устанавливает конкретного перечня документов по персональным данным, однако существует обязательный минимум таких документов для НКО.

К этому числу относят следующие документы:

  1. Согласие на обработку данных персональных данных. По новым правилам с 2023 года согласия на обработку персональных данных должны быть предметными и однозначными, а не только конкретными, информированными и сознательными. Это касается как согласий, которые Вы получаете у работников при приеме на работу, так и согласий на предоставление персональных данных конкретному лицу или лицам. Поэтому существует необходимость проверки Ваших шаблонных документов, поскольку цель обработки данных в них должна быть предельно точной.
  2. Положение о персональных данных. Данное Положение раскрывает основные положения работы с персональными данными физических лиц, которые необходимы НКО. Положение о персональных данных должно отвечать структуре, определенной в ст. 18.1 Федерального закона о персональных данных. Для каждой цели обработки в нем нужно определить: категории и перечень данных, категории субъектов персональных данных, способы и сроки обработки и хранения данных, порядок уничтожения.
  3. Приказ о назначении ответственного за работу с персональными данными. Приказ является одним из важнейших внутренних документов в деятельности НКО. Такой приказ не нужно публиковать, однако Роскомнадзор может запросить его при проведении проверки. Как правило, ответственным назначают работника службы безопасности или руководителя НКО.

Регистрация НКО Позвонить

Выясните, все ли правила соблюдаете при работе с персданными в НКО

Субъектом персональных данных может быть любое физическое лицо, чьи персональные данные обрабатываются. Такими субъектами могут быть соискатель на вакансию, ваш работник, волонтер, подрядчик, с которым заключен договор гражданско-правового характера и иные лица.

К примеру, Благотворительному фонду необходимо получать согласие на обработку персональных данных своих подопечных в случае, если их персональные данные, в том числе фотографии и видеоматериалы, находятся на сайте, то есть опубликованы на сайте Благотворительного фонда.

Также работодатель может обрабатывать персональные данные только с согласия работника за рядом исключений (п. 1 ч. 1 ст. 6, абз. 1 ч. 4 ст. 9 № 152-ФЗ).

Так, согласие не требуется, если в НКО действует пропускной режим, или информацию о работнике необходимо сообщить третьей стороне в целях предотвращения угрозы его жизни и здоровью, а также в иных случаях, предусмотренных ТК РФ или иными федеральными законами (ст. 88 ТК РФ; п. 4, п. 5 Разъяснений Роскомнадзора от 4 декабря 2012 года).

Разберитесь, учли ли требования закона при оформлении согласий на обработку персданных в НКО

НКО необходимо брать согласие на обработку персональных данных непосредственно от субъекта, чью обработку будет осуществлять НКО. При этом согласие необходимо получить до обработки персональных данных.

Далее обозначим список сведений, которые необходимо зафиксировать в согласии на обработку персональных данных в соответствии со ст. 9 Федерального закона о персональных данных: 

  • ФИО;
  • адрес субъекта персональных данных;
  • номер и дата выдачи паспорта; 
  • наименование НКО, которая получает согласие; 
  • цель обработки персональных данных; 
  • перечень персональных данных, на обработку которых дается согласие;
  • перечень действий с персональными данными, на совершение которых дается согласие; 
  • срок действия согласия и способ его отзыва и подпись (собственноручная или электронная).

Кроме того, согласие на обработку персональных данных должно храниться три года после того, как истек срок действия согласия или его отзыва В соответствии с Перечнем к Приказу Росархива от 20.12.2019 № 236.

Убедитесь, что передаете персданные законно

В ФЗ № 152 о персональных данных операторами персональных данных признаются государственные и муниципальные органы, а также юридические и физические лица, которые производят с персональными данными любые действия. 

В соответствии со ст. 3 ФЗ № 152 обработкой персональных данных является любое действие/операция или совокупность действий/операций, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление/изменение), извлечение, использование, передачу (распространение/предоставление/доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

ФЗ о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персданных

Однако существуют случаи, при которых обработка персональных данных допускается без их согласия субъекта. Такие случаи предусмотрены п. 2-11 ч. 1 ст. 6 ФЗ о персональных данных.

В данных случаях обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей. 

Также можно отметить обработку персональных данных, которая осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, а также обработку персданных для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.

Персональные данные НКО

Мониторьте изменения закона о персданных и правила от Роскомнадзора

С 1 марта 2023 года факт уничтожения персональных данных необходимо подтверждать документами, предусмотренными приказом Роскомнадзора от 28 октября 2022 года № 179. Данными документами являются акт и выписка.

В случае, если обработка персональных данных осуществляется без использования средств автоматизации, то документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных. 

Однако, если обработка персональных данных осуществляется с использованием средств автоматизации, то документами, подтверждающими уничтожение персональных данных, являются:

  • акт об уничтожении персональных данных;
  • выгрузка из журнала регистрации событий в информационной системе персональных данных.

Кроме того, с 1 марта 2023 года вступил в силу новый порядок информирования Роскомнадзора о передаче персональных данных в иностранные государства. С указанной даты Роскомнадзор по итогам рассмотрения таких уведомлений принимает решения о запрете или ограничении передачи персональных данных в другие государства. При этом до истечения 10 рабочих дней после подачи такого уведомления будет запрещено передавать данные в государства, не обеспечивающие корректный уровень защиты прав субъектов персональных данных.

Далее изменились сроки уведомления Роскомнадзора об изменении сведений, ранее представленных в уведомлении об обработке персональных данных.

В законе установлено, что оператор, в нашем случае НКО, обязуется проинформировать ведомство не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

В случае прекращения обработки персональных данных НКО должен уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных.

Также с 1 марта 2023 года вступил в силу приказ Роскомнадзора от 27 октября 2022 г. № 178. Согласно данному приказу оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона о персональных данных, необходимо будет осуществлять в соответствии с положениями приказа.

Кроме того, изменения, вступившие в силу 1 марта 2023 года, предусматривают также изменения в Закон о госрегистрации недвижимости и Основы законодательства Российской Федерации о нотариате. Теперь получить из ЕГРН сведения о правообладателе недвижимости стало сложнее. 

Выясните, уведомила ли НКО Роскомнадзор о работе с персональными данными

С одной стороны, законодательство устанавливает, что, если НКО обрабатывает персональные данные работников исключительно в целях трудового законодательства, уведомлять Роскомнадзор об обработке данных некоммерческой организацией не нужно в соответствии с п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ о персональных данных.

Однако с 1 сентября 2022 года упоминание о трудовом законодательстве в ст. 22 ФЗ № 152 исключили. Соответственно, пункт утратил силу.

Получается, что обработка персональных данных в целях налогового законодательства, трудового законодательства, а также бухгалтерского и воинского учета требует, чтобы НКО направила уведомление. Поэтому отчеты в налоговую и военкомат обязуют НКО сообщать об обработке персональных данных.

Формы уведомлений Роскомнадзора утверждены приказом Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».

НКО может сформировать и отправить уведомление в территориальный орган Роскомнадзора на портале персональных данных Роскомнадзора одним из нескольких способов

  • в бумажном виде; 
  • в электронном виде с использованием усиленной квалифицированной электронной подписи; 
  • в электронном виде с использованием средств аутентификации ЕСИА.

Также НКО может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.

Вместе с тем, предельный срок уведомления Роскомнадзора об обработке персональных данных, а также об изменениях сведений, указанных в данном уведомлении, действующим законодательством не определен.

Убедитесь, что в вашу НКО не оштрафуют за ошибки в работе с персональнами данными

В Кодексе Российской Федерации об административных правонарушениях (далее по тексту – КоАП РФ) установлена административная ответственность за нарушение законодательства Российской Федерации в области персональных данных. 

За нарушения при работе с персональными данными предусмотрена ответственность, в том числе за сбор и обработку данных без согласия, а также за некорректно составленные формы согласий на обработку персональных данных (ч. 2 ст. 13.11 КоАП РФ).

Так, за обработку персональных данных без согласия либо за некорректно оформленное согласие на обработку персональных данных полагается наложение административного штрафа по ч. 2 ст. 13.11 КоАП РФ. Размер штрафа составляет

  • на граждан – в размере от 6 тысяч до 10 тысяч рублей
  • на должностных лиц – от 20 тысяч до 40 тысяч рублей
  • на юридических лиц – от 30 тысяч до 150 тысяч рублей.

В случае, если НКО не разработала политику в отношении обработки персональных данных и не разместила ее в открытом доступе, то согласно ч. 3 ст. 13.11 КоАП РФ на НКО будет наложен административный штраф от 30 тысяч до 60 тысяч рублей.

Ранее в статье мы указывали, что НКО должна назначить ответственное за обработку персональных данных лицо. Так, если у НКО никого не назначит, то на основании ч. 1 ст. 13.11 КоАП РФ на организацию наложат административный штраф в размере от 60 тысяч до 100 тысяч рублей.

Защита персональных данных НКО

Почему НКО опасно хранить копии документов своих работников. Специальная категория персональных данных

Действующим законодательством Российской Федерации установлено, что НКО не может осуществлять хранение копий документов работника НКО, волонтеров и иных лиц, которые осуществляют какую-либо деятельность в НКО в случае, если не было получено согласие данного лица на хранение персональных данных. К таким документам относят, к примеру, копию паспорта, СНИЛС, свидетельство о рождении.

Главный нормативный правовой акт нашего государства –  Конституция Российской Федерации (далее по тексту – КРФ) закрепляет право каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ч. 1 ст. 23 КРФ). Согласно ч. 1 ст. 24 КРФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
В соответствии с п. 1 ст. 3 Федерального закона от ФЗ № 152 под персональными данными понимается любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу/субъекту персональных данных. 

Резюмируя перечисленное выше, при осуществлении хранения после обработки персональных данных НКО необходимо в обязательном порядке получить согласие субъекта на их хранение и обработку.

Кейс по персональным данным

Наши доводы подтверждает Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013., решение Советского городского районного суда города Челябинска от 15.02.2022 по делу № 2-642/2022.

В данном деле управление Роскомнадзора провело плановую выездную проверку банка по вопросам соблюдения требований в области обработки персональных данных. Управление установило, что банк осуществляет обработку специальной категории персональных данных, а именно национальность, указанную в копиях свидетельства о заключении брака, свидетельства о рождении ребенка, что является нарушением части 1 статьи 10 Закона N 152-ФЗ.

Также банк превышал установленный пунктом 2 статьи 86 Трудового кодекса РФ объем обрабатываемых персональных данных работников, определенный КРФ, ТК РФ и иными федеральными законами, осуществляя обработку персональных работников: копии страниц паспорта и копии страниц военного билета.

При этом суд апелляционной инстанции правильно указал, что хранение и дальнейшее использование копий паспортов и военных билетов, полученных от работников банка при трудоустройстве, не только не обеспечивает точность и актуальность персональных данных, а напротив, может привести к использованию недостоверных сведений. Используя в качестве источников информации такие копии документов, банк не учитывает реальное состояние документов и сведений в них, что свидетельствует о признаках нарушения статьи 5 Федерального закона о персональных данных.

Выводы 

Обработка персональных данных без согласия – нарушение законодательства о защите персональных данных. 

Такие нарушения имеют серьезные последствия. НКО может получить штрафы и санкции со стороны регулирующих органов, в частности Роскомнадзора. Кроме того, это может повлиять на репутацию НКО и вызвать недоверие партнеров.

Так, в случае обработки персональных данных без согласия также возникает риск нарушения конфиденциальности и утечки персональных данных. Это может привести к мошенничеству и другим негативным последствиям для субъектов этих данных.

Поэтому важно соблюдать законодательство РФ и получать согласие от субъектов персданных перед обработкой их персональных данных. Это поможет защитить законные интересы, права граждан и предотвратить возможные негативные последствия.

Если вам кажется, что разобраться в юридических вопросах и бухгалтерской отчетности НКО вам не под силу, наша команда готова прийти на помощь и осуществить работу со всеми документами за вас. Уже более 15 лет мы сопровождаем организации на пути к успешной реализации их проектов в некоммерческом секторе. С радостью поможем и вам! 

Остались вопросы?

Пишите или звоните!

8 (495) 003-45-71 (МСК), 8 (812) 629-00-03 (СПБ), 8 (800) 100-60-71 (по России).

Вебинары НКО — 25 часов, с онлайн разбором ваших кейсов.
Конференция НКО — Общероссийский форум по развитию НКО.
Форум НКО — крупнейшее сообщество НКО в России.



телеграм канал

Подпишитесь на наш новый Телеграм-канал Только новости НКО и соцсферы. Без рекламы


Подпишитесь на свежие новости НКО Будьте вкурсе важных событий в сфере НКО.

Оставить комментарий

Карта

Оставьте свои данные и наш специалист свяжится с вами.