Мастер-класс руководителя юридической службы благотворительного фонда «АиФ. Доброе сердце» Марии Калининой в рамках PR-саммита по проекту «Формула успеха: мастерство коммуникаций».
В рамках PR-саммита по проекту «Формула успеха: мастерство коммуникаций» состоялся мастер-класс руководителя юридической службы благотворительного фонда «АиФ. Доброе сердце» Марии Калининой. Эксперт выступила на тему «Юридический ликбез. Новые вызовы».
Проект «Формула успеха: мастерство коммуникаций» был реализован фондом «АиФ. Доброе сердце» при поддержке Фонда президентских грантов и издательского дома «Аргументы и факты». Проект PR-акселератора был ориентирован на вовлечение лидеров НКО, поскольку именно руководители некоммерческих организаций сегодня находятся в центре внимания как наиболее дееспособная аудитория, готовая к апробации всего нового. Форум — это живое общение лидеров НКО с лекторами и другими экспертами в области PR-коммуникаций, а также интерактивное закрепление полученных знаний.
Мария Калинина открыла свое выступление рассказом о способах проверки организаций со стороны Роскомнадзора.
«Существует три вида проверок: плановые, внеплановые и дистанционные.
Для НКО действует мораторий на плановые проверки Роскомнадзора до 2030 года.
Внеплановые проверки — по жалобам или вследствие выявленных инцидентов с персональными данными — не могут быть полностью исключены: ни одна организация, независимо от типа, не застрахована от них.
Особое внимание Мария уделила дистанционным проверкам, которые в настоящее время проводятся с помощью искусственного интеллекта: ИИ автоматически сканирует сайты и оценивает соблюдение требований законодательства. При этом алгоритмы не различают коммерческие и некоммерческие структуры и не учитывают “благие цели”, поэтому все организации находятся в поле зрения регулятора.
Что касается политики оператора по обработке персональных данных, то это один из ключевых документов. Исчерпывающего перечня обязательных для каждой организации документов не существует, так как каждая НКО уникальна. Политика должна быть обязательно размещена на сайте, а на каждой странице, где собираются персональные данные, должна быть указана гиперссылка на этот документ.
Политика оператора по обработке персональных данных состоит из нескольких частей. Закон дает лишь примерную структуру, и каждая организация должна разрабатывать ее с учетом своих особенностей и специфики работы с персональными данными. Главное — подготовить документ, соответствующий реальной практике обработки персональных данных конкретной организации, а не копировать чужие образцы», — отметила она.
«Каждый сектор и каждый вид деятельности уникален, поэтому подход к документу должен быть адаптирован именно к опыту конкретной организации. Например, большинство организаций в некоммерческом секторе сталкиваются с обработкой не только общих персональных данных, но и специальных категорий — в частности, данных о состоянии здоровья. В этом случае согласие должно быть оформлено в письменной форме.
Также важно прописать в политике других субъектов — работников организации, соискателей, контрагентов по гражданско-правовым договорам, посетителей сайта, благотворителей. Каждая из этих групп имеет свои особенности и цели обработки данных».
Эксперт уверена, что в организации допустимо создание нескольких документов. Например, общей политики обработки персональных данных, а также отдельных политик для определённых субъектов — посетителей сайта, благополучателей, работников и т. д. Количество таких документов законом не ограничено.
«Единственное обязательное условие — назначение лица, ответственного за обработку персональных данных. Обычно в некоммерческих организациях это один человек. В установленной сфере он должен быть назначен и внесён в реестр операторов как ответственный за обработку персональных данных. В организации также должен быть приказ, в котором прописано, каким сотрудникам и каким подразделениям предоставляется доступ к персональным данным, — это важный внутренний документ. Важно не только разработать и подписать политику, но и обеспечить её практическую реализацию. Все подготовленные документы, журналы обращений субъектов, согласия — если они останутся лежать в дальнем углу, работать это не будет», — подчеркнула она.
«Одним из обязательных документов, который должна иметь организация, является положение об аудите. Этот документ определяет, как именно организация проводит внутреннюю проверку своей работы и какими документами оформляет проверки. Важное право выбора здесь остаётся за самими организациями: они самостоятельно устанавливают порядок внутренней проверки. Мы же, в свою очередь, ежегодно проводим аудит своих процессов, оцениваем их соответствие требованиям и в случае выявления недостатков устраняем их. Такой подход очень полезен для повышения уровня ответственности и эффективности.
Хочу отметить важный момент: многие опасаются подавать уведомление, полагая, что это привлечёт лишнее внимание или проверки со стороны регулятора. На самом деле это не так. В настоящее время формулировка называется «о намерении», то есть до начала обработки данных необходимо уведомить Роскомнадзор об этом. Само уведомление не является основанием для внеплановой проверки.
Таким образом, организация, которая существует уже долгое время и не подавала такое уведомление, не рискует немедленными штрафами или проверками в случае такой подачи. При этом штраф за несвоевременное уведомление может достигать 300 тысяч рублей. Уведомление о намерении осуществлять обработку персональных данных, в свою очередь, является демонстрацией ответственного подхода к соблюдению законодательства в этой сфере», — рассказала Калинина.
Что касается согласий на обработку данных, эксперт подчеркнула недавние изменения: теперь согласие должно быть оформлено отдельным документом. Например, если ранее заявление на получение благотворительной помощи могло содержать на оборотной стороне текст согласий, то сейчас так поступать нельзя. Согласие должно быть выделено в отдельный документ и оформлено отдельно от других бумаг. Аналогично согласие на распространение персональных данных также должно оформляться отдельно.
Кроме того, при обращениях взрослых, действующих в интересах ребёнка, необходимо получить отдельное согласие взрослого либо его законного представителя на обработку персональных данных ребёнка. В этом случае, если речь идёт о благотворительной помощи, связанной с заболеванием ребёнка, в согласии взрослого указывается, какие именно данные взрослого обрабатываются и с какой целью. В то же время в отношении ребёнка — отдельно — необходимо указывать сведения о состоянии его здоровья.
Мария Калинина отметила, что много вопросов возникает по поводу формы сбора пожертвований на сайте.
«Например, можно ли использовать галочки, нужно ли их снимать, допустимо ли писать фразы вроде “Нажимая кнопку, я соглашаюсь”, и так далее. Мы считаем, что галочки не должны быть проставлены заранее — пользователь должен ставить их самостоятельно. Например, одна из галочек — “Я принимаю публичную оферту” с гиперссылкой на опубликованную оферту. Оферта — это предложение заключить договор пожертвования, в котором прописаны все основные условия: цели сбора, использование средств, формы и способы акцепта и так далее.
Вторая галочка — “Я даю согласие на обработку персональных данных” с гиперссылкой на соответствующую политику.
Третья — согласие на информационные рассылки, если вы их планируете; оно также должно оформляться отдельно. В идеале все эти согласия должны храниться в отдельной системе или в специально отведённом месте.
Замечу также, что согласие на обработку персональных данных и согласие на их распространение — это разные вещи. Нельзя дать только согласие на распространение: первичным является согласие на обработку данных. Обработка включает сбор, хранение, передачу и использование. И уже затем субъект персональных данных может дать согласие на их распространение.
Когда к вам придут и спросят, где находится согласие, вы сможете легко его показать, поскольку оно хранится в привычном для вас месте, и проблем не возникнет. Также важно соблюдать порядок процедур по отзыву согласия — он должен быть прописан и реализован таким образом, чтобы пользователь мог легко отказаться, если захочет», — подчеркнула эксперт.
В заключение Мария Калинина обратила внимание на вопросы персональных данных и использования искусственного интеллекта.
«Мы сейчас переживаем настоящую революцию в этой сфере. В данный момент я нахожусь в процессе разработки внутреннего документа — локального акта о правилах использования ИИ нашими сотрудниками. Почему это важно? Потому что при работе с персональными данными необходимо проявлять крайнюю осторожность. В первую очередь нельзя загружать персональные данные в системы ИИ, поскольку возврата уже не будет, а такие данные могут использоваться для модерации ответов или иных целей.
Хотя существуют локальные системы, в настоящее время они недоступны даже компаниям, связанным с крупными корпорациями, поскольку стоят очень дорого. Локальные системы — это решения, которые работают исключительно внутри информационного контура организации, без передачи данных вовне. Я уверена, что через несколько лет такие технологии станут доступнее, но пока, к сожалению, это невозможно. Для создания полноценной локальной системы требуется не только дорогостоящее оборудование, но и обучение персонала, разработка программного обеспечения и его сопровождение.
Поэтому на данном этапе при использовании ИИ особенно важно соблюдать осторожность. Если необходимо анализировать какую-либо ситуацию или данные внутри организации, следует помнить о возможности “галлюцинаций” со стороны системы. Например, в целях анонимизации данных стоит использовать вымышленных персонажей, придумывать фиктивные даты рождения и даже диагнозы, если при этом анализ остаётся смысловым и безопасным. В любом случае не стоит забывать о личной ответственности и о необходимости соблюдать баланс между пользой аналитики и защитой персональных данных», — завершила она своё выступление.
Вы можете помочь ещё больше! Расскажите друзьям о нас!
