Отдельного закона о защите персональных данных в Беларуси нет, и пока что их защита – это скорее этический, а не юридический вопрос. Но активистские организации и инициативы порой сталкиваются с тем, что им нужно собирать, обрабатывать и хранить чужие персональные данные.
О том, как это стоит делать, рассказал участникам Международного форума волонтеров и сторонников «На твоей стороне» сооснователь Human Constanta Алексей Козлюк.
«В первую очередь, это вопрос уважения к нашим сторонникам и к людям, от которых мы ждём поддержки», - говорит Алексей. - Если они знают, что мы собираем данные и при этом руководствуемся какими-то этическими нормами, они будут хорошо себя чувствовать. Многие ведь периодически сталкиваются с рассылками, на которые они не подписывались и которые им не нужны. Это всегда неприятно».
Что такое персональные данные
В общем и целом, персональными данными можно считать ту информацию, которая относится к какому-то конкретному человеку и по которой этого человека можно идентифицировать. Но на практике всё оказывается немного сложнее, чем может показаться на первый взгляд.
Стоит ли считать адрес электронной почты персональными данными? Можно ли по e-mail идентифицировать человека? В странах ЕС адрес электронной почты относится к персональным данным и обращаться с ним надо соответствующе. В Беларуси из-за отсутствия специализированного закона всё снова упирается в этические диллемы.
В активистских организациях с персональными данными работают, как правило, в трёх случаях: их используют для настройки рассылок, для создания баз данных и для отчётности. Создаёте базу волонтёрок и волонтёров? Делаете отчёт о прошедшем мероприятии и включаете туда информацию об участницах и участниках? Это всё работа с персональными данными, и её надо определённым образом регулировать.
По большому счёту, вся информация, которую указывает человек в анкете, когда регистрируется на какое-то мероприятие, - это персональные данные. Но если в этой анкете нет контактных данных, а просто указаны какие-то характеристики, то надо понимать, можно ли по полученной информации идентифицировать человека. Если вы можете только исходя из этой анкеты найти человека в фейсбуке, то речь снова же идёт о персональных данных. Ну, а если не можете, то относитесь к полученной информации так, как вам диктует собственная система ценностей.
Запрашивайте согласие на обработку персональных данных
Когда человек предоставляет вам свои данные, он должен знать, для чего это делает. Например, если предлагается заполнить форму для участия в мероприятии или для внесения человека в волонтёрскую базу, в этой форме должно быть прописано, для чего именно собираются данные. И использовать эти данные можно только в указанных целях.
Если люди регистрируются на мероприятие и указывают свой телефонный номер для связи, его можно использовать, чтобы уточнить, человек задерживается или вообще не придёт, но нельзя отправлять туда сообщения с объявлениями о других мероприятиях.
Из этого правила бывают исключения. Например, во время тренинга человек потерял сознание, вы вызвали скорую, и медики запрашивают его или её личные данные. В таком случае вы можете дать им и номер телефона, если это необходимо, и домашний адрес этого человека.
Если вы создаёте базу волонтёрок и волонтёров, вам надо открыто предупреждать их, что вы собираетесь делать с полученной информацией. Если это анкета на сайте, то в ней вы можете кратко описать цель и указать, что подробнее можно почитать в политике приватности. Соответственно, политика приватности тоже должна быть на сайте в открытом доступе.
Если вы собираетесь передавать информацию третьим лицам (например, спонсорам для отчётности), вы тоже должны предупреждать людей об этом. Если информация будет передаваться в другую страну, об этом надо сказать отдельно.
Не включайте человека в рассылку без спроса
Чтобы включить человека в рассылку, надо получить на это отдельное разрешение. Сделайте в анкете дополнительный вопрос и дайте возможность согласиться или отказаться от рассылки без каких-либо последствий. Нежелание получать дополнительные письма не должно влиять на то, возьмёте вы человека на тренинг или внесёте его или её в волонтёрскую базу.
Нежелательные рассылки расстраивают и злят людей, снижают их лояльность к организации. Очень маловероятно, что они могут приносить хоть какую-то пользу, но могут сильно навредить. И если человек просит или требует убрать его или её из рассылки, это обязательно надо делать.
Продумайте чёткие правила хранения персональных данных
В организации могут меняться люди, которые работают с чужими персональными данными, и очень важно настроить процессы так, чтобы с увольнением SMM-специалиста базы данных не уходили вместе с ним. У вас должен быть чёткий ответ на вопрос, где хранится информация. И правила здесь простые: это не должен быть компьютер, к которому есть доступ у нескольких людей и особенно это не должен быть компьютер, к которому есть доступ у тех, кто не состоит в организации.
В трудовом договоре стоит прописывать, что человек, имеющий доступ к чужим персональным данным, не может использовать их без согласия работодателя и после увольнения.
Вовремя удаляйте чужие персональные данные
Удалять информацию надо не только по прямому запросу. Чёткого правила, как часто стоит обновлять списки рассылок и волонтёрские базы, нет, но в Европейском союзе часто пользуются правилом «пересмотр раз в два года». Если человек на протяжении двух лет не читает вашу рассылку (а сейчас есть возможность это отслеживать), прекращайте отправлять ему письма. Если волонтёр два года не давал о себе знать, удаляйте его данные из базы.
Регулярное обновление чужих персональных данных помогает быть менее надоедливыми по отношению к тем, кто не хочет получать от вас письма или дальше с вами сотрудничать, и вам самим помогает лучше понимать, как обстоят дела с базами данных, на кого можно рассчитывать, становится ли волонтёрок и волонтёров больше или меньше.