Как избежать штрафов при обработке персональных данных

С 01 июля 2017 года увеличиваются штрафы за нарушения законодательства в области обработки персональных данных. Если раньше максимальный штраф составлял 10 000 рублей, то с июля штраф увеличится до 75 000 рублей.

Юрист Российского объединенного Союза христиан веры евангельской (пятидесятников) Ольга Братищева пояснила, что нужно делать религиозным организациям, чтобы не нарушить закон и избежать огромных штрафов.

- Что подразумевается под персональными данными?

Это любая информация, относящаяся к определенному человеку, идентифицирующая его: фамилия, имя, отчество, дата и место рождения, паспортные данные, семейное, имущественное положение, адрес места жительства, религиозные убеждения, сведения об образовании, трудовом стаже, номера телефонов, адрес электронной почты, состояние здоровья, наличие судимостей и т.д.
Религиозная организация, осуществляя обработку этой информации (сбор, хранение, передачу, распространение и т.д.), признается оператором персональных данных.

- За что могут привлечь религиозную организацию к административной ответственности?

Во-первых, если обработка персональных данных несовместима с целями их сбора.

Пример: церковь собрала с прихожан анкеты (фамилия, имя, отчество, дата рождения, адрес, телефон, паспортные данные, служение, лидер домашней группы и т.д.), чтобы рассылать им анонсы предстоящих мероприятий. Для рассылки достаточно предоставить только адрес электронной почты. Другие сведения, содержащиеся в анкете, не соответствуют целям сбора информации.

Кроме того, если администрация церкви решит поместить на информационном стенде церкви сведения о днях рождения ее прихожан, информация о которых была получена из тех же самых анкет, и письменное согласие прихожан на это не получено, в таком случае происходит незаконное распространение персональных данных, не соответствующее цели их сбора.

Во-вторых, могут оштрафовать за отсутствие согласия в письменной форме на обработку специальной категории персональных данных (о состоянии здоровья, о религиозных убеждениях и т.д.), когда такое согласие должно быть получено в соответствии с законом.

Пример: администрация церкви опубликовала на своем сайте информацию о своих членах (участниках), не получив от них письменного согласия на распространение указанных персональных данных, оформленного в соответствии с законом.

Другой пример: церковь затребовала от студентов, поступающих на обучение на библейские курсы, но которые не являются членами (участниками) данной религиозной организации, заполнить анкету с указанием персональных данных, а согласие на их обработку в письменной форме не получила. Это также считается нарушением.

В-третьих, даже если имеется письменное согласие на обработку персональных данных в соответствии с законом, важно, чтобы в нем были указаны все обязательные данные (необходимый минимум сведений, который нужно указать в письменном согласии, содержится в п. 4. ст. 9 Федерального закона о персональных данных). За их отсутствие также могут оштрафовать.

В-четвертых, привлечь к ответственности могут за отсутствие опубликованного на сайте внутреннего документа – Политики религиозной организации в отношении обработки персональных данных – либо отсутствия данного документа на информационном стенде церкви, расположенном в общедоступном месте.

- Всегда ли согласие на обработку персональных данных должно быть в письменной форме?

Согласие на обработку персональных данных может быть совершено как в письменной, так и в устной форме. Но поскольку в случае возникновения спора доказать получение согласия лица на обработку его персональных данных должна религиозная организация, целесообразно оформить такое согласие письменно.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Федерального закона о персональных данных). В частности, письменное согласие обязательно при обработке информации о состоянии здоровья и о религиозных убеждениях.

Если согласие родителей на обучение их малолетних детей в воскресной школе оформляется в письменной форме, то при этом необходимо оформить письменное согласие на обработку персональных данных не только детей, но и их родителей, так как это подразумевает обработку информации об их религиозных убеждениях.

- Многие церкви ведут сайты и странички в социальных сетях. Нужно ли запрашивать согласие на обработку персональных данных от людей, изображенных на фото или видео, размещенных на церковном сайте и в социальных сетях?


По общему правилу, только с согласия гражданина законодательство допускает обнародование и дальнейшее использование его изображения (фотографии, видеозаписи).

Однако существует исключение из указанного правила. В частности, не требуется согласие гражданина, если изображение получено при съемке, проводимой в местах открытых для свободного посещения или на публичных мероприятиях (в здании и помещениях, принадлежащих религиозной организации, при проведении открытых богослужений, церемоний и ритуалов, конференций, собраний и т.д.). При этом лицо, присутствующее на открытом публичном мероприятии может и не быть последователем (прихожанином, членом) данной религиозной организации.

Если же церковь размещает индивидуальное изображение гражданина, сделанное не в рамках публичного мероприятия, то согласие получать необходимо.

Оформление согласия (письменное или устное) зависит от той информации, которая сопровождает данную публикацию. Если одновременно с фотографией происходит обнародование религиозных убеждений гражданина (например, указывается духовный сан, либо указывается, что лицо является лидером домашнего служения), то согласие необходимо оформлять в письменной форме, как это предусмотрено Федеральным законом о персональных данных.


- В каких случаях необходимо уведомлять Роскомнадзор о своем намерении осуществлять обработку персональных данных?

Любые организации вправе осуществлять обработку персональных данных без уведомления Роскомнадзора, если:

  • лицо, чьи персональные данные обрабатываются, состоит с организацией в трудовых отношениях, либо заключило договор с ней;
  • сведения включают в себя только фамилии, имена и отчества субъекта персональных данных;
  • сведения сделаны общедоступными самим лицом (например, размещены им самим в социальных сетях);
  • если сведения необходимы в целях оформления однократного пропуска лица на территорию, на которой находится религиозная организация.

Для религиозных организаций существует еще один случай, при котором они не обязаны уведомлять Роскомнадзор, когда обрабатывается персональные данные ее членов (участников) для достижения уставных целей религиозной организации.

Но здесь необходимо сделать оговорку, не все лица, персональные данные которых обрабатываются религиозной организацией, состоят с ней в трудовых либо договорных отношениях, либо являются ее членами (участниками).

На этот случай в законе содержится еще одна норма, которая тяжела для восприятия, но позволяет религиозной организации не подавать уведомления в Роскомнадзор: если персональные данные обрабатываются без использования средств автоматизации.

Часто встречается неправильное толкование указанной нормы, так как автоматизацию отождествляют с работой компьютера, хотя на самом деле отсутствие автоматизации предусматривает непосредственное участие человека.

Неавтоматизированной обработкой признается обработка персональных данных, которые хотя и содержатся в компьютерной системе, но использование этих данных, уточнение, распространение и уничтожение осуществляется непосредственного человеком. Простыми словами, если обработка персональных данных осуществляется на компьютере, но с участием человека, то такая обработка признается «без использования средств автоматизации», в этом случае нет необходимости уведомлять Роскомнадзор.

Пресс-служба РОСХВЕ

Поделиться:
Нет комментариев. Ваш будет первым!
Загрузка...