Для НКО источниками обработки данных чаще всего являются:
- сотрудники и волонтёры (ФИО, паспортные данные, трудовые договоры, личные дела);
- члены организации или участники мероприятий;
- жертвователи, благополучатели и иные граждане, взаимодействующие с НКО через сайт или анкеты.
Обоснование по законодательству
- ФЗ-152, ст. 22: любой оператор, включая НКО, должен уведомить Роскомнадзор о начале обработки ПДн.
- ФЗ-152, ст. 6: обработка допустима только с согласия субъекта или в случаях, установленных законом.
- КоАП РФ, ст. 13.11: за отсутствие уведомления — штраф до 100 000 ₽ для юрлиц.
Дополнительные пояснения
— Исключение из обязанности уведомления есть только в ограниченных случаях (например, если обрабатываются только данные сотрудников в рамках трудовых отношений и не ведётся сайт или база участников). Но для НКО такие ситуации встречаются крайне редко.
— Даже если НКО не занимается коммерцией, факт сбора заявок на сайте, регистрации участников, учёта волонтёров или пожертвований делает его оператором ПДн.
Пример из практики
Благотворительный фонд собирал заявки на сайте от нуждающихся и жертвователей. Уведомление в Роскомнадзор подано не было. При проверке фонд оштрафовали на 60 000 ₽ и обязали зарегистрироваться как оператор ПДн.
Рекомендации и выводы
— НКО почти всегда обязано уведомлять Роскомнадзор.
— В уведомлении укажите категории субъектов: сотрудники, волонтёры, участники мероприятий, жертвователи.
— Обязательно разместите на сайте политику обработки ПДн и форму согласия.
— При работе с чувствительными данными (например, о здоровье благополучателей) нужны дополнительные меры защиты и отдельное согласие.
