Существует еще один значимый Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Этот документ — как второй слой защиты в сфере работы с информацией  в интернете. Его задача — не только гарантировать безопасность оборота информации, но и установить правила, как ее можно использовать и распространять.

Неотъемлемой частью законодательной базы второго слоя защиты также является Федеральный закон от 27.07.2006г.  N 152-ФЗ «О персональных данных».

Зачем нужны эти законы?

Все просто: чтобы закрытая информация об НКО, а также личные данные лиц, кто взаимодействует с НКО, не оказались в свободном доступе, а права организаций и граждан не нарушались. Помните те самые новости об утечках данных? (например в Яндекс.Еда в 2002 г.) Вот это как раз зона ответственности этого закона.

Указанные законы в совокупности охватывают несколько ключевых направлений:

• Обработка информации. Кто, как и зачем может собирать, обрабатывать и распространять информацию в интернете. Какие меры (процедуры) необходимы, чтобы конфиденциальная информация была в безопасности, какие средства можно использовать для законного распространения информации;
• Обработка персональных данных. Кто, как и зачем может собирать, обрабатывать и распространять персональные данные в интернете. Какие меры (процедуры) необходимы, чтобы данные пользователей были в безопасности, а деятельность по сбору и обработке данных была законна;
• Интернет-коммуникации. Правила распространения информации, чтобы избежать нарушения закона.

На этом с теорией пока все. Мы уже разобрались, что такое реклама и какие виды согласий нужны для ее распространения. Теперь давайте двигаться дальше.

Какие документы нужны НКО?

Представьте себе пыльную папку на самой верхней полке, которая давно ждет своего часа. Вот именно туда мы сейчас полезем. Как показывает практика, если вас решит проверить Роскомнадзор, первым делом он попросит предоставить целый список документов. Вот он, наш «страшный» перечень:

• Политика в отношении обработки персональных данных;
• Положение о работе с персональными данными;
• Политика конфиденциальности для обеспечения безопасности персональных данных (включается в политику в отношении обработки персональных данных);
• Инструкция по организации антивирусной защиты в информационных системах;
• Инструкция по организации парольной защиты;
• Инструкция по учету носителей персональных данных;
• Пользовательское соглашение для посетителей Интернет-ресурса;
• Типовые формы договоров или договоры-оферты;
• Приказ о назначении ответственных за обработку персональных данных;
• Положение об использовании файлов cookie;
• Должностная инструкция ответственного за обработку персональных данных;
• Положение об официальном сайте организации в интернете.

Испугались? Спокойно, это не так страшно, как кажется. Чтобы не потеряться в этом списке, разделим его на три группы:

1. Документы для взаимодействия НКО с пользователями Интернет-ресурсов. Это все, что касается вашего сайта, соцсетей, рассылок и других каналов общения с аудиторией;
2. Документы для разграничения ответственности внутри НКО. Кто имеет доступ к персональным данным, как эти данные обрабатываются, какие меры применяются для защиты — все это регулируется документами из этой группы;
3. Документы, описывающие права и обязанности сотрудников НКО при работе с персональными данными.

Но это еще не все. Непосредственно на сайте необходимо разместить всплывающие уведомления:

• О сборе и использовании файлов cookies (если они собираются) с активной кнопкой «согласен»;
• О необходимости предоставить согласие на сбор, обработку и передачу персональных данных с чек-боксом, в котором владелец персональных данных обязан поставить галочку прежде, чем эти данные предоставит. (например, в форме обратной связи).

Следует помнить о том, что пользователь сайта имеет право на свободное ознакомление с Политикой обработки персональных данных, Пользовательским соглашением, а также с информацией о владельце Интернет-ресурса. Обычно такая информация размещается в «подвале» сайта (он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылки на документы)

Но и это еще не все.

Обработка персональных данных на сайте не ограничивается сбором данных через блок обратной связи («закажите звонок», «подайте обращение», «напишите нам в чат»). Вы можете размещать информацию о ваших работниках, партнерах или иных значимых лицах в виде фотографии, контактных данных только с письменного согласия этого лица, в котором прямо указано что и где можно размещать (например, фотографию с определенным описанием на конкретной странице соц.сети компании, или на конкретном сайте компании).

Теперь о сюрпризах!

С 1 ноября 2024 года вводится новое требование: если на вашу страницу в соцсетях подписано 10 000 человек и больше, вы обязаны зарегистрироваться в специальном реестре Роскомнадзора. Причем это касается всех, кто создает контент на русском языке. В списке соцсетей — самые популярные площадки, включая Telegram, YouTube, «ВКонтакте», TikTok и даже Discord.

Делать это придется не только бизнесу, но и блогерам, и, конечно, НКО. А если вы забыли зарегистрироваться? Ну, лучше не рисковать: штрафы никто не отменял.

И главное: чтобы начать обработку персональных данных, любая НКО, ИП или юридическое лицо обязаны уведомить Роскомнадзор о своем намерении стать Оператором. Госорган, в свою очередь, включит вас в государственный реестр операторов персональных данных.

Но на этом обязательства не заканчиваются. Актуальность информации в этом реестре должна поддерживаться именно вами. Если вы что-то забудете или данные устареют, закон обойдется с вами без сантиментов — ответственность за неактуальную информацию всегда ложится на оператора.

Итак, разобрались? Уведомление подано, реестр обновлен, можно вздохнуть. Теперь-то кофе и безе в наших руках! Представили этот момент? Уютный кабинет, мягкое кресло, запах лепестков роз и только вы, ваш кофе и безе…

Однако эту идиллию способны разрушить наши сотрудники и… волонтеры.

Волонтеры в НКО

Почему я отдельно выделяю волонтеров? Потому что юридически они не являются сотрудниками НКО. Их работа основана на добровольных и безвозмездных началах, а не на трудовом договоре. Однако это не значит, что волонтеры не могут помогать с обработкой персональных данных. Они вполне могут это делать, но только при соблюдении ряда строгих условий.

Юридический статус волонтера.

Волонтер действует на основании договора о добровольчестве (волонтерстве) в соответствии с Федеральным законом № 135-ФЗ «О благотворительной деятельности и добровольчестве (волонтерстве)». Такой договор четко определяет его права, обязанности и сферу деятельности в рамках НКО.

Давайте разберем кейс:

Что делать НКО?

Заключите с волонтерами соглашения о конфиденциальности. Включите в договор пункт о недопустимости передачи данных третьим лицам.

Условия обработки данных волонтером

Да, волонтер может обрабатывать персональные данные, но только если соблюдены следующие требования:

• Заключен договор о волонтерстве;
• В договоре нужно указать, что волонтер имеет право обрабатывать персональные данные. Там же прописываются меры для защиты этих данных;
• Есть письменное поручение от НКО.

НКО обязана оформить поручение волонтеру, в котором указываются:

• Конкретные цели обработки данных;
• Объем данных, к которым волонтер получает доступ;
• Инструкции по их защите и обеспечению конфиденциальности;
• Согласие волонтера на обработку его данных.

Не забывайте, что волонтер сам тоже является субъектом персональных данных. Если вы собираете его данные, например, паспортные или контактные, нужно получить его согласие.

• Подписанное соглашение о конфиденциальности.

Волонтер обязан подписать соглашение о неразглашении. Это гарантирует, что данные, с которыми он работает, останутся под защитой и не будут переданы третьим лицам.