В июне 2016 г. Ассоциация фандрайзеров опубликовала исследование программного обеспечения (ПО) для фандрайзинга. ПО для фандрайзинга или CRM подразумевает хранение персональных данных доноров и/или благополучателей. Хранение данных попадает под Федеральный закон № 242-ФЗ от 21 июля 2014 г. В справке описано как хранить персональные данные, не нарушая этот закон.
Справка. Хранение персональных данных в программном обеспечении для фандрайзинга.
C 1 сентября 2015 года в Российской Федерации действует положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
Закон обязывает хранить персональные данные россиян в период их сбора на серверах в России. После размещения персональных данных в базах данных на территории России, они могут копироваться за границу.
За неисполнение закона ст.13.11 КоАП РФ предусмотрена административная ответственность, а в случае обращения субъекта персональных данных с жалобой в суд - принятие судом решения об ограничении доступа к сайту, где размещены персональные данные, Роскомнадзор будет вносить IP-адреса и доменные имена таких сайтов компаний в реестр нарушителей прав субъектов персональных данных, что влечет блокирование операторами связи доступа к сайтам, включенным в реестр. Если ведомство в ходе проверки выявит нарушения, то оно вынесет компании предписание, обязывающее устранить нарушения в срок до 6 месяцев. Если компания этого не сделает, она должна будет заплатить штраф, который может составлять в настоящее время до 10 тысяч рублей для юридических лиц. Однако некоммерческие организации также несут репутационные риски, кроме того Государственной Думой приняты в первом чтении поправки в ст.13.11 КоАП РФ, многократно увеличивающие размер штрафов.
Как правильно организовать процесс хранения персональных данных:
1. Подготовьте минимальный пакет документов. В него входит Политика оператора в отношении обработки персональных данных, Положение об обработке, защите и хранении персональных данных, Перечень обрабатываемых персональных данных и другие локальные нормативные акты, а в необходимых случаях – согласие субъекта персональных данных на обработку его персональных данных.
В Положении необходимо отразить, что данные доноров и/или благополучателей в период их сбора (получения) вносятся в базы данных, находящиесяся на территории РФ. Образцы документов смотрите в юридической библиотеке фандрайзера, раздел 4.
2. Храните персональные данные в любом формате, главное, чтобы они находились в России. База данных – пока категория не определенная. Согласно разъяснениям на сайте Минкомсвязи,можно предположить, что в качестве базы данных надзорные органы готовы рассматривать, в том числе хранилища бумажных документов, не говоря уже о файлах офисного формата и сканах документов.
3. При возможности подготовьте полный пакет документов для хранения персональных данных в вашей организации. Полный перечень документов смотрите здесь.
Ассоциация фандрайзеров благодарит Михаила Емельянникова, эксперта в области информационной безопасности и управляющего партнера консалтингового агентства «Емельянников, Попова и партнёры» за помощь в подготовке справки о хранении персональных данных.