Збір та збереження персональних даних при видачі благодійної допомоги
На превеликий жаль, навіть великі та імениті організації допускають грубі помилки при зборі та збереженні персональних даних.
Зараз часто кажуть “Війна спише”.
Але давайте нагадаємо один одному В ІМ'Я ЧОГО ВИ ВОЮЄМО?
Щоб ПОБУДУВАТИ ПРАВОВУ ДЕМОКРАТИЧНУ ДЕРЖАВУ!
І ось захист персональних даних — це один з важливих цеглин такої будівлі.
Розбір польотів я зроблю на прикладі однієї іменитої правозахисної організації ГРОМАДСЬКА ОРГАНІЗАЦІЯ "ЦЕНТР ІНФОРМАЦІЇ ПРО ПРАВА ЛЮДИНИ" (код ЄДРПОУ 38405259), яка має назву в інтернеті Центр прав людини ZMINA (надалі Зміна)
Малі організації я принципово не буду згадувати. У мене більше питань до великих організацій, бо вони мають у штатному розписі юристів та/або співпрацює з юристами, є фінансування, позиціонують себе часто ПРАВОЗАХИСНИМИ.
Історія почалась десь ще у квітні. До мене часто звертаються внутрішньо переміщені особи, знаючи мою негативну реакцію на будь які схеми. Описали дивну історію. Ніби то від Зміни розміщено якась шахрайська заявка на видачу допомоги.
Заявка була у гугл формі. ВПО її заповняли, потім їм надходив лист ніби то від "представника ЗМІНИ" з вимогою надати фото паспорту та ІПН для того, щоб заявники потрапили у “наступний етап” розгляду.
При чому на вказані телефони у листі не відповідали. Коли ВПО надавали копії паспортів, то далі відповіді не було. Якщо ВПО відмовляли надавати паспорти, то їх приходила цікава відповідь “ВИ НЕ ПРОЙШЛИ ВЕРИФІКАЦІЮ”.
“Верифіка́ція (пізньолат. verificatia — підтвердження; лат. verus — істинний, facio — роблю) — доказ того, що вірогідний факт або твердження є істинним.”
“Верифікація - комплекс заходів щодо збору та перевірки достовірності інформації, що визначена законодавством для призначення, нарахування та/або здійснення державних виплат і впливає на визначення права на отримання та розмір таких виплат, а також виявлення невідповідності даних у автоматизованих інформаційних системах, реєстрах, базах даних” (ст. 1 ЗУ “Про верифікацію та моніторинг державних виплат”)
Тобто йде мова про те, що ніби то ці “співробітники Зміни” ставлять під сумніви саме достовірність того, що заявку заповнила дійсно ця особа, яка є ВПО.
Хоча у цивільному праві (а це саме цивільні правовідносини) діє “презумція добросовісності” “Якщо законом встановлені правові наслідки недобросовісного або нерозумного здійснення особою свого права, вважається, що поведінка особи є добросовісною та розумною, якщо інше не встановлено судом.” (Ст. 12 Цивільний кодекс України)
Подала я заявку. До відома я не отримую допомогу ВПО з 2016 року, сама її не пролонгую, бо вважаю, що є інші люди, якім потрібніше. А ось тут стало цікаво ця схема.
Декілька місяців мовчання.
Потім надходить відповідь (18.07.22) від “tk@humanrights.org.ua” від ніби то “Tetiana Kurach” з телефоном +38 063 108 18 93 (не відповідає). Я не можу стверджувати, що це дійсно "співробітники Зміни", тому вказую, що саме “ніби то”. Хай вже самі розбираються.
Цитата (усі листи є на пошті, можу надати): “Пані Ліліє, прошу Вас надіслати фото паспорту (включаючи відмітку про місце реєстрації), ідентифікаційний код та IBAN. Найближчим часом відбудеться засідання Ради із надання допомоги, після затвердження рішення якого, я повідомлю Вам результат.”
Мені вже стає цікавішим. Я юрист, тривалий час надаю юридичну допомогу неприбутковим організаціям, працювала на міжнародні організацію, і чітко усвідомлюю процедуру видачі гуманітарної/благодійної допомоги.
На першому етапі, коли тільки визначається коло осіб по заявленим критеріям, не може бути витребувані копії паспортів та інших документів. Тим паче, якщо це робиться у онлайн переписці.
Вирішила таки перевірити, чи це шахраї, як кажуть мені ВПО, та надати часткову інформацію.
Про що я чітко вказала у своїй відповіді (цитата, є у переписці):
“Не дуже підтримую направлення фото паспорту. Дуже багато шахрайств.
Я вам направляю довідку ВПО та податковий номер.
Там є інформація, яка може знадобитись на етапі розгляду моєї заявки.
1. Паспортні дані (серія, номер, ким та коли видано),
2. Дата народження,
3. Місце реєстрації,
4 Місце проживання як впо,
5. Дата та номер довідки впо.
Якщо заявку підтримують, то все одно це має бути документально оформлено, на тому етапі вже надам фото паспорту(заповню договір тощо).
На жаль, домени пошт часто копіюють чи крадуть, тому немаю доказів, що спілкуюсь дійсно зі представниками Зміни. Банки жаліють, що навіть номера телефонів дублюють”.
На що мені прийшла та сама відмова, про яку мені казали ВПО, коли вони відмовлятись надавати на цей емейл копію паспорту: “27.07.2022 р. відбулось засідання Ради із надання екстреної допомоги. Прийнято рішення відхилити Вашу заявку на матеріальну допомогу, так як Ви не пройшли верифікацію.”
Тобто питання було НЕ ТОМУ, ЩО МОЯ ЗАЯВКА НЕ ВІДПОВІДАЄ ЇХ КРИТЕРІЯМ, а тому, що мною на їх електронний лист НЕ БУЛО НАДАНО КОПІЯ МОГО ПАСПОРТУ.
Хоча я надала інші документи, де булі живі печатки (довідку ВПО + податковий номер), та вказала інформацію про паспортні дані (серія/номер/де та коли виданий).
Про яку ще верифікацію може йти мова? (як там було відоме питання "Яких Вам реформ не вистачає?")
ДИВНО ТАК? Нууу, НЕ МОЖЕ ПРАВОЗАХИСНА ОРГАНІЗАЦІЯ ТАК НЕ ЗНАТИ ЗАКОНИ?!
У мене було відчуття, що поспілкувалась з шахраями. От знаєте було відчуття, що мені мав прийти лист з цієї пошти з привітанням “ВЕЧЕР У ХАТУ”.
Не буду далі розбиратись, я не є представником правоохоронних органів та/або суду, не можу стверджувати, що електрону пошту Зміни не зламали. Це вже питання іншої статті. Повернемось до теми “захисту персональних даних”.
1 етап:
1.2. При запиті паспортних даних має бути заповнена та підписана заявка суб'єктом персональних даних на збір, обробку та зберігання персональних даних на бланку цієї організації, що запитує персональні дані.
“згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.” (ст. 2 ЗУ “Про захист персональних даних”)
“Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.” (ст 6 ЗУ “Про захист персональних даних”)
Ця заявка може бути у формі “галочки” при реєстрації у гугл формі.
Але звертаю увагу, що “галочка” у гугл формі — це факт підтвердження згоди ЛИШЕ НА ТУ інформацію, що особа подає у гугл формі.
А ось документи, які Ви, як організація, витребуєте далі у переписці чи в живу в суб'єкта персональних даних, мають оформлені справжньою заявою з живим підписом та/або електронним підписом (наприклад, від банку).
У моєму випадку та випадку з іншими ВПО ніхто з цієї загадкової пошти Зміни не попросив заповнити таку заявку. Навіть не надіслали бланку.
А значить ці люди не мали право наполягати на отримання доступу до копії паспортів, але вимагали.
1.2. У цій заявці та/або додатковому документі, якій мають дати на ознайомленні (може порядок чи інше), має бути вказана мета обробки даних.
“Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки...
“У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом.” (ст 6 ЗУ “Про захист персональних даних”)
Вказана мета у повідомленні, що я отримала - “засідання Ради” - не є такою, що розкриває суть “ДЛЯ ЧОГО НА ЗАСІДАННІ ТРЕБА КОПІЯ ПАСПОРТУ”. І яким чином на засіданні будуть перевіряти його достовірність? Чи є доступ до реєстрів МВС України?
Це тільки перший етап відбору, де розгляд йде на основі підстав поданих/вказаних у заявці, які вважаються достовірними за презумпцією добросовісності.
Тобто ви зрозуміли?
Беремо у руки будь які копії документів ЛИШЕ ПІСЛЯ ЗГОДИ ТА УЗГОДЖЕННЯ МЕТИ ОБРОБКИ, інакше це може сприйматись навіть як незаконне заволодіння цими документами.
Навіть, якщо просто Вам направляють персональні дані текстом (набрали власноруч у переписці) — треба заручитись згодою.
2 етап. Складний. Яким чином отримувати ці документи?
Ось ви розглянули заявки, по критеріям підходять. Комусь по цим критеріям відмовили.
Звертаю увагу, що відповідно до презумпції достовірності Ви вірите інформації, наданої Вам особою — заявником.
А що далі? Вам треба якось кинути кошти на рахунок та/або надати пакет з благодійною допомогою. Ось тут йде вже отримання якихось персональних даних.
МИЛІ МОЇ, ДЛЯ ПОДАТКОВОЇ НЕ ТРЕБА УВЕСЬ ПАКЕТ ДОКУМЕНТІВ ФІЗИЧНОЇ ОСОБИ.
Як юрист, я часто з неприбутковими проходила перевірки податкової та аудит.
Вони просять ЛИШЕ: податковий номер + вказання паспортних даних у вигляді тексту у заявці на отримання допомоги. А статус ВПО чи приналежність до іншої категорії, підтверджується різними Довідками тощо. Ось довідку ВПО краще додавати копію.
Якщо Ви вже збираєте копії паспортів (ну може донор вимагає), то:
1) при зборі документів у електронному форматі, Ви маєте ГАРАНТУВАТИ ЗАХИЩЕНІСТЬ ЕЛЕКТРОННОГО КАНАЛУ ТА ВАШОГО СЕРВЕРУ. Я б взагалі електроні пошти не використовувала для передачі копій паспортів, якщо Ви збираєте дуже велику їх кількість. Ризики неймовірні. Питання іміджу та адміністративної/кримінальної відповідальності.
2) при зборі у живу, просіть на копіях цих документів, на кожному аркуші писати “дата/підпис/копія вірна”.
Багато хто просять дописувати фразу “надаю копії паспорту для отримання такої то допомоги, використання копій в інших цілях заборонено”. Я вважаю цю фразу доцільною — людям спокійніше, і Вам менше ризику, що будуть звинувачувати у тому, що хтось із Ваших співробітників десь “оприлюднив ці паспорти”.
І ще: беріть телефоні трубки, реагуйте на зауваження.
І головне: ВИВЧАЙТЕ ЗАКОНОДАВСТВО УКРАЇНИ.
Якось так.
Неприємно, що саме у цій ситуації на моє бажання донести проблему співробітникам Зміни, ті відреагували фразою про мою “токсичність”.
Не буду це коментувати.
“Токсичний юрист” — то може таке нова категорія? Може якраз про потрібну дотошність, якої деяким особам не вистачає, коли працюють з документами.
У мене залишилось за кадром питання: чи дійсно співробітники великої правозахисної організації не знають азів захисту персональних даних (я ж не лізу глибоко, не додаю у цій статті посилання на рішення ЄСПЛ, щоб не займати час, але як не знати ЗУ “Про захист персональних даних”??)
АБО таки “Вечір у хату”....