Как НКО соответствовать закону о персональных данных

НКО

Работа НКО, особенно благотворительных, напрямую связана со взаимодействием с людьми. Некоммерческие организации должны понимать характер аудитории, с которой работают, ее потребности и интересы. Фондам это помогает привлекать потенциальных доноров, волонтеров, партнеров и просто заинтересованных людей, которые хотят принять участие в благотворительности.

При сборе информации об аудитории необходимо соблюдать закон о персональных данных, который регулирует их обработку, хранение и распространение.

Что такое персональные данные

Персональные, или личностные, данные (ПД) – это информация, которая относится к определенному человеку или может быть использована для идентификации его личности: от Ф. И. О. до места проживания и IP устройства. Сбор, хранение и использование персональных данных должны производиться с соблюдением требований закона РФ.

Политика в отношении обработки ПД должна содержаться на сайте НКО в общем доступе. Это важное требование для соблюдения открытости и прозрачности по отношению к пользователям. Грамотно разработанная политика с четко прописанными правилами и обязательствами сторон поможет предотвратить юридические проблемы и споры.

Зачем защищать персональные данные

Несанкционированный доступ к персональным данным на сайте может привести к их утечке. Потенциальные доноры и сторонники могут потерять доверие к благотворительному фонду, если они узнают, что их личные данные не защищены. Утечка данных – серьезный удар по репутации НКО, который снижает уровень поддержки и лояльность аудитории.

Если на сайте собирают финансовую информацию, например данные банковских карт для онлайн-пожертвований, мошенники могут получить доступ к счетам и средствам пользователей. Это один из самых опасных вариантов развития события, поэтому НКО должны ответственно подходить к политике конфиденциальности и ее реализации.

Политика конфиденциальности: что включает и как соответствовать

Политика конфиденциальности – документ, в котором НКО или сайт сообщает, каким образом собирают, используют и защищают данные, предоставленные пользователями. Заявление включает основные разделы с описанием того, что включает в себя политика и как реализуется.

Типы собираемых данных

В этом разделе подробно указано, какую информацию собирает оператор: имена, номера телефонов, почты, платежные данные, геолокацию и др. На отдельные пункты сайт может запрашивать разрешение. Если пользователь отказал в предоставлении данных, оператор не имеет права собирать их и использовать в дальнейшем.

Цели сбора

Целью сбора может быть информирование пользователя через рассылки, предоставление доступа к сервисам, совершения платежей для отправки пожертвований, исследования рынка и др. Если целей несколько, указываются все варианты.

Способы сбора

Основной способ сбора – добровольное предоставление информации с согласия пользователя. Автоматический сбор происходит с помощью cookie-файлов, веб-маяков и трекеров. На согласие сбора файлов cookie пользователь дает при посещении сайта. Если отказаться от предоставления информации, сайт будет предлагать менее персонализированные предложения.

Меры защиты

Меры защиты – это комплекс правил, технологий, процессов и физических мероприятий, направленных на обеспечение безопасности и конфиденциальности данных. Главная цель – предотвратить несанкционированный доступ, утечек, взломов и потенциальные угрозы.

Прежде всего защитить данные помогает технология шифрования – преобразование информации в нечитаемую форму (шифр) за счет алгоритмов и ключей. Безопаснее всего асимметричное шифрование, при котором используют пару ключей: открытый и закрытый. Открытый ключ используют для шифрования, а закрытый – для дешифрования. Открытый ключ может быть свободно распространен, но расшифровать данные сможет только владелец соответствующего закрытого ключа.

Дополнительную безопасность обеспечивает управление доступом – установка и контроль прав доступа к информации системе. Право доступа получают только определенные субъекты после прохождения идентификации.

Сроки хранения

Сроки хранения – это период, в течение которого организации или операторы обязаны сохранять и защищать конкретные категории данных. В большинстве случае оператор устанавливает произвольный срок и четко прописывает его в тексте политики. Минимальное значение – несколько лет, максимальное – бессрочно. Российское законодательство строго не регулирует этот пункт. Разный срок можно указать для конкретной цели, например:

«Персональные данные, полученные при регистрации на сайте, будут храниться в течение [указать количество] лет с момента окончания отношений с пользователем или с момента последнего взаимодействия с сервисом. По истечении срока данные будут безвозвратно удалены.

Персональные данные, полученные для выполнения контракта или оказания услуг, будут храниться в течение [указать количество] лет после окончания контрактных отношений.

Дополнительная информация о сроках хранения может быть предоставлена в контексте конкретных услуг или продуктов, а также в соответствии с требованиями действующего законодательства».

Cookie (куки) – мелкие файлы, которые сайты отправляют на компьютер пользователя для хранения информации о его действиях и предпочтениях. Название происходит от слова cookie. Идея аналогии заключается в том, что файлы cookie сохраняют информацию на компьютере пользователя, как печенье оставляет крошки на тарелке.

Куки позволяют запоминать пользователя, его действия на сайте, а также собирать анонимную статистику для улучшения пользовательского опыта. При этом файлы куки не содержат персональных данных, но их использование всё еще нужно указывать. Прописать информацию про куки-файлы можно как в политике, так и отдельным диалоговым окном на сайте при переходе пользователя на страницу.

Виды куки-файлов:

  • сессионные. Хранят временные данные, связанные с текущей сессией пользователя, и удаляются после закрытия браузера;
  • постоянные. Сохраняются на устройстве;
  • сторонние. Устанавливаются сайтами, отличными от тех, которые пользователь посещает, например, для отслеживания статистики или рекламных предложений;
  • аналитические. Собирают данные о том, как пользователи взаимодействуют с сайтом, для анализа и улучшения его производительности.

Изменение политики

Этот раздел информирует пользователей, что политика может быть пересмотрена и обновлена со временем. Важно четко прописать, что оператор или владелец сайта оставляет за собой право изменять условия и уведомлять об этом пользователей. Делать это можно посредством имейл-рассылок или предлагать ознакомиться с новой политикой при переходе на сайт. Если пользователь откажется принимать изменения, доступ к платформе будет закрыт.

Укажите дату последнего изменения. Опишите, как именно пункты были изменены и на каком основании. При необходимости предоставьте ссылку на раздел с полным текстом, чтобы пользователи могли ознакомиться со всеми обновленными условиями.

Пример формулировки:

«Мы оставляем за собой право пересматривать и изменять настоящую политику конфиденциальности. Любые изменения вступают в силу с момента их публикации на данной странице. Пользователи будут уведомлены путем размещения информации о внесенных корректировках на странице, а также посредством уведомлений. Рекомендуем сохранить страницу, чтобы быть в курсе возможных изменений».

Контактная информация

В конце документа укажите контактные данные, по которым можно связаться с НКО:

  • название организации;
  • фактический адрес, по которому можно связаться с организацией;
  • юридический адрес;
  • электронная почта, по которой пользователи могут отправлять запросы и задавать вопросы;
  • номер телефона учреждения;
  • дополнительные контактные сведения: ссылки на формы для обратной связи, чат-поддержка и др.

Убедитесь, что политика содержит всю указанную информацию в подробностях. Данные о компании должны соответствовать тем, которые ранее были размещены на сайте. Не допускайте разночтений и несоответствий.

Регистрация в реестре

Регистрация в реестре Роскомнадзора обязательна для операторов данных. Сделать это нужно до того, как НКО начнет собирать информацию. Документы, необходимые для проведения процедуры:

  • заявление на регистрацию;
  • устав, в котором указаны основные виды деятельности организации;
  • информация о принятых мерах и системе защиты;
  • перечень баз данных с указанием и местоположения;
  • образцы согласия субъектов;
  • дату начала обработки;
  • список физических или юрлиц, имеющих доступ к собираемым данным.

Подать заявление можно в электронном формате на портале Роспотребнадзора, по электронной почте в территориальный орган или в МФЦ. Срок внесения сведений – 30 дней.

Отсутствие регистрации в реестре может привести к блокировке сайта, проведению плановой/внеплановой проверки со стороны надзорного органа и штрафам в размере 3–5 тыс. рублей для юрлиц.

Как правильно хранить персональные данные

Для правильного хранения данных следует соблюдать ряд важных принципов. Обеспечьте доступ к информации только сотрудникам, которые действительно в нём нуждаются для выполнения своих рабочих обязанностей: HR-специалистом, пиарщикам, маркетологам, юристам, специалистам по клиентскому обслуживанию. Реализуйте систему управления доступом и используйте системы сквозного шифрования.

Проводите регулярные аудиты безопасности для выявления потенциальных уязвимостей и недостатков в системах хранения. Эту задачу можно поручить специалисту на позиции аналитика безопасности данных. Всегда используйте обновленное программное обеспечение и операционные системы, чтобы избежать уязвимостей, которые могут быть использованы злоумышленниками. Проводите обучение сотрудников по правилам безопасности данных и контролируйте их действия, чтобы предотвратить возможные ошибки.

Регулярно создавайте резервные копии данных. Помните, что по истечении срока хранения их также необходимо полностью удалить. Хранить копии запрещено. Регулярно удаляйте устаревшие и неактуальные данные, чтобы сократить риски их утечки и злоупотребления.

НКО важно тщательно хранить персональные данные согласно законодательству о конфиденциальности. В случае необходимости информация может быть запрошена контролирующими или правоохранительными органами. Используйте системы постоянного мониторинга и отслеживания сайта, которые смогут выявить подозрительную активность и принять меры пресечения.

Обработка данных может проводиться и без согласия субъекта, если процедура необходима для осуществления прав и интересов учреждения или третьих лиц. Соблюдение законных требований позволит НКО избежать правовых последствий. Это особенно важно для благотворительных фондов, собирающих пожертвования. Защита данных помогает укреплять доверие со стороны благотворителей и избежать правовых последствий.

Центр социальной помощи «Диана» ответственно относится к личным данным пользователей. Ознакомиться с нашей политикой конфиденциальности вы можете внизу главной страницы сайта. Наш фонд помогает малообеспеченным семьям с детьми и другим слабозащищенным категориям граждан выбраться из ситуации, когда неге не хватает на самое необходимое. Мы реализуем ряд программ, с которыми вы можете ознакомиться на нашем сайте. Чтобы поддержать подопечных, оставьте разовое пожертвование или оформите ежемесячную подписку на любую сумму. Ваша поддержка очень важна для нас, поскольку позволяет нам продолжать свою работу.

admin
Оцените автора
blog
Добавить комментарий

    Хотите помочь или нужна помощь?