В рамках PR-саммита по проекту «Формула успеха: Мастерство коммуникаций» состоялся мастер-класс руководителя юридической службы благотворительного фонда «АиФ.Доброе сердце» Марии Калининой.

В рамках PR-саммита по проекту «Формула успеха: Мастерство коммуникаций» состоялся мастер-класс руководителя юридической службы благотворительного фонда «АиФ.Доброе сердце» Марии Калининой, эксперт выступила на тему «Юридический ликбез. Новые вызовы».Проект «Формула успеха: Мастерство коммуникаций» был реализован фондом «АиФ.Доброе сердце» при поддержке Фонда президентских грантов и издательского дома «Аргументы и факты». Проект PR-акселератора был ориентирован на вовлечение в него лидеров НКО, поскольку именно главы некоммерческих организаций сегодня оказались в центре внимания как наиболее дееспособная аудитория, готовая к апробации всего нового. Форум — это живое общение лидеров НКО с лекторами и другими экспертами в области PR-коммуникаций, а также интерактивное закрепление полученных знаний.Мария Калинина открыла свое выступление рассказом о способах проверки организаций со стороны Роскомнадзора. «Есть три вида проверок: плановые, внеплановые и дистанционные. Для НКО действует мораторий на плановые проверки Роскомнадзора до 2030 года. Внеплановые — по жалобам или вследствие выявленных инцидентов с персональными данными, не могут быть полностью исключены, ни одна организация, независимо от типа, не застрахована от них.Особое внимание Мария уделила дистанционным проверкам, которые сейчас проводят с помощью искусственного интеллекта: ИИ автоматически сканирует сайты и измеряет соблюдение требований законодательства. При этом алгоритмы не различают коммерческие и некоммерческие структуры и не учитывают "благие цели", поэтому все организации находятся в центре внимания регулятора.Что касается политики оператора по обработке персональных данных — это один из ключевых документов. Исчерпывающего перечня обязательных для каждой организации документов не существует, ведь каждая НКО уникальна. Политика должна быть обязательно размещена на сайте. А на каждой странице, где собираются персональные данные, указывается гиперссылка на эту политику.Политика оператора по обработке данных состоит из нескольких частей. Закон дает только примерную структуру, и каждая организация должна создавать её исходя из своих особенностей, учитывать специфику работы с персональными данными. Главное — подготовить документ, соответствующий работе с персональными данными конкретной организации, а не копировать чужие образцы», — сказала она.«Каждый сектор, каждый тип деятельности уникальны, поэтому и подход к документу должен быть адаптирован именно к вашему опыту. Например, большинство организаций в некоммерческом секторе сталкиваются с обработкой не только общих данных, но и специальных категорий — данных о состоянии здоровья, например. В этом случае согласие должно быть оформлено в письменном виде.Также важно прописать в политике других субъектов — работников организации, соискателей, контрагентов по гражданско-правовым договором, посетителей сайта, благотворителей. Каждый из этих групп имеет свои особенности и цели обработки.Эксперт уверена, что в организации допустимо создание нескольких документов. Например общая политика обработки данных, а также отдельные политики для определенных субъектов — для посетителей сайта, для благополучателей, для работников и т. д. Количество таких документов законом не ограничено.«Единственное обязательное условие — это лицо, ответственное за обработку персональных данных. Обычно в некоммерческих организациях это один человек. В предусмотренной сфере он должен быть назначен и внесён в реестр операторов как ответственный за обработку. В организации также должен быть приказ, где расписано, каким сотрудникам и каким структурам предоставляется доступ к персональным данным — это важный внутренний документ. Важно не только разработать и подписать политику, но и обеспечить её практическую реализацию. Все подготовленные документы, журналы обращений субъектов, согласия — если все документы останутся лежать в дальнем углу, работать это не будет», — подчеркнула она.«Одним из обязательных документов, который должна иметь организация, является положение об аудите. Этот документ определяет, как именно организация проводит внутреннюю проверку своей работы и какими документами оформляет проверки. Важное право выбора здесь остается за самими организациями: они самостоятельно устанавливают порядок внутренней проверки. Мы же, в свою очередь, ежегодно проводим аудит своих процессов, оцениваем их соответствие требованиям и в случае обнаружения недостатков устраняем их. Такой подход — очень полезен для повышения уровня ответственности и эффективности.Хочу отметить важный момент: многие опасаются подавать уведомление, полагая, что это привлечет к ним лишнее внимание или проверку со стороны регулятора. На самом деле это не так. В настоящее время формулировка называется "О намерении", то есть до начала обработки данных необходимо уведомить Роскомнадзор об этом. Но само уведомление не является основанием для внеплановой проверки.То есть организация, которая уже существует долгое время и не подавала такое уведомление, не рискует немедленным штрафом или проверками. При этом штраф за несвоевременное уведомление может достигать 300 тысяч рублей. При этом своевременное уведомление — это демонстрация ответственного подхода к выполнению законодательства в сфере защиты персональных данных», — рассказала Калинина.Что касается согласий на обработку данных, эксперт подчеркнула свежие изменения: теперь согласие должно быть оформлено отдельным документом, на отдельной бумаге или носителе. Например, если ранее заявление на получение благотворительной помощи могло иметь обратную сторону с согласиями, сейчас так поступать нельзя. Такого быть не должно; согласие должно быть выделено в отдельный документ, оформленный отдельно от других бумаг. И аналогично — согласие на распространение персональных данных также должно оформляться отдельно.Кроме того, при обращениях взрослых, которые действуют в интересах ребенка, необходимо получить отдельное согласие взрослого или его законного представителя на обработку данных этого ребенка. В этом случае, если речь идет о благотворительной помощи, связанной с заболеванием ребенка, в согласии взрослого указывается, какие данные взрослого мы обрабатываем и для чего. В то же время у ребенка — отдельно — необходимо указывать сведения о состоянии здоровья этого ребенка.Мария Калинина отметила, что много вопросов возникает по поводу формы сбора пожертвований на сайте. «Например, можно ли ставить галочки, нужно ли их снимать, допустимо ли писать фразы вроде "Нажимая кнопку, я соглашаюсь", и так далее. Мы считаем, что галочки не должны быть предпроставлены заранее, то есть пользователь сам должен их ставить. Например, одна из галочек — "Я принимаю публичную оферту" с гиперссылкой на опубликованную оферту. Оферта — это предложение заключить договор пожертвования, в котором прописаны все основные условия: цели сбора, использование средств, что произойдет, если собранной суммы не хватит, формы и способы акцепта и так далее.Вторая галочка — "Я даю согласие на обработку персональных данных" с гиперссылкой на соответствующую политику. Третья — согласие на информационные рассылки, если вы их планируете, и оно тоже должно быть отдельным. Идеально, чтобы все эти согласия хранились в отдельной системе или месте.Замечу также, что согласие на обработку и согласие на распространение — это разные вещи. Нельзя дать только согласие на распространение — первичным является согласие на обработку данных. Обработка включает сбор, хранение, передачу, использование. И уже затем субъект персональных данных может дать согласие на распространение.Когда к вам придут и спросят, где находится согласие, вы легко сможете показать его, потому что оно хранится в привычном для вас месте, и проблем не возникнет. Также важно соблюдать порядок процедур по отзыву согласия, он тоже должен быть прописан и реализован так, чтобы пользователь мог легко отказаться, если захочет», — подчеркнула эксперт.В заключение Мария Калинина обратила внимание на вопрос персональных данных и использование искусственного интеллекта. «Мы сейчас переживаем настоящую революцию в этой сфере. В данный момент я нахожусь в процессе разработки внутреннего документа — локального акта по правилам использования ИИ нашими сотрудниками. Почему это важно? Потому что при работе с персональными данными нужно проявлять крайнюю осторожность. В первую очередь нельзя загружать персональные данные в системы ИИ, поскольку возврата уже не будет, а такие данные могут использоваться для модерации ответов или иных целей. Хотя существуют локальные системы, они сейчас недоступны даже компаниям, связанным с крупными корпорациями, поскольку стоят очень дорого. Локальные системы — это те, что работают только внутри вашего информационного контура, без передачи данных вовне. Я уверена, что через несколько лет такие технологии станут доступнее, но пока, к сожалению, это невозможно. Для создания полноценной локальной сети требуется не только оборудование, что в свою очередь обходится дорого, также необходимо обучение персонала, разработка программного обеспечения и сопровождение. Поэтому пока что при использовании ИИ важно соблюдать осторожность. Если необходимо анализировать какую-то ситуацию или данные на предприятии, то нужно помнить о возможности "галлюцинаций" со стороны системы. Например, в целях анонимизации данных стоит вставлять вымышленных персонажей, придумывать фиктивные даты рождения и даже диагнозы, если после этого анализ остается смысловым и безопасным. В любом случае не стоит забывать о личной ответственности и о необходимости соблюдать баланс между полезностью аналитики и защитой персональных данных», — завершила она свое выступление.

Подробнее читайте на aif.ru ...