Протокол заседания исполкома МАИИ № 2 от 28.04.2021

Присутствовали: Айзятулова, Бочкарёв, Быков, Волыхов, Кан, Мартынов, Миротин, Немучинский, Островский, Печёный, Разумов, Дмитрий Родионов (участник-консультант без права голоса), Семушин, Сидоров, Фарукшин, Цвингли.

Председатель заседания: Сидоров.

Секретарь заседания: Бочкарёв.

Повестка

  1. Доклад о требованиях к работе с персональными данными в ассоциации. Обсуждение, ответы на вопросы.
  2. Определение категорий членов ассоциации, которые могут работать с персональными данными.
  3. Выбор ответственного (и, при необходимости, совместно ответственного) за работу с персональными данными в ассоциации.
  4. Обсуждение вопроса о доступе членов ассоциации к списку членов.
  5. Обсуждение политики членских взносов.

1. Доклад о требованиях к работе с персональными данными в ассоциации. Обсуждение, ответы на вопросы

Максим Сидоров рассказал о требованиях, которые ассоциация должна соблюдать для соответствия Общему регламенту по защите данных (General Data Protection Regulation, GDPR), действующему в странах Евросоюза. С 2018 года GDPR был включен в Соглашение о Европейской экономической зоне и стал применяться в Лихтенштейне. Персональные данные должны собираться, храниться и обрабатываться только для конкретных целей и только в необходимом количестве. Нужно чётко определить круг лиц, которые будут работать с персональными данными. Все эти люди должны быть ознакомлены с правилами обработки. Ассоциация должна подготовить как минимум четыре документа: общедоступный документ о принципах работы с персональными данными в организации (политику конфиденциальности);

  • перечень регулярных операций, производимых с данными (реестр процессинговой деятельности);
  • инструкцию для тех лиц, которые будут иметь доступ к персональным данным;
  • концепцию ИТ-безопасности. В ассоциации должен быть ответственный за работу с персональными данными. Его задача — определять политику работы с персональными данными и отвечать за соблюдение правил работы с ними (роль контролёра в терминах GDPR). Для некоторых категорий данных может быть назначен отдельный ответственный.

К списку вопросов повестки


2. Определение категорий членов ассоциации, которые могут работать с персональными данными

Обсуждалось, кто из членов ассоциации может иметь доступ к персональным данным и обрабатывать их (то есть выполнять роль процессора в терминах GDPR). Возможные варианты:

  • отдельные члены исполкома;
  • исполком в целом;
  • отдельные члены исполкома и отдельные члены ассоциации, не входящие в исполком. Желательно, чтобы обработкой персональных данных занимались резиденты Евросоюза или государств, где действует GDPR, так как обработка резидентами других государств может производиться только после подписания этими лицами обязательства о соблюдении требований GDPR. Исполком определил, что доступ к персональным данным необходим членам МАИИ, которые работают с реестром членов, которые обрабатывают информацию о членских взносах, а также некоторым участникам информационной группы (например, тем, кто занимается рассылками). Согласно уставу, вести реестр членов должен исполком, но он может передать это право другому органу. Исполком принял решение сохранить полномочия по ведению реестра членов МАИИ за собой. Во временную рабочую группу по приёму новых членов и ведению реестра, которую решили создать на заседании исполкома 18 апреля, войдут только члены исполкома. Исполком решил, что отдельная постоянно действующая группа для этого не нужна, и не будет инициировать её создание на ближайшем общем собрании.

Результаты голосования: за — 15 (единогласно)

К списку вопросов повестки


3. Выбор ответственного (и, при необходимости, совместно ответственного) за работу с персональными данными в ассоциации

Обсуждались требования к кандидатуре ответственного за работу с персональными данными. Как и в случае с теми, у кого есть доступ к реестру, желательно, чтобы ответственный был резидентом государств, где действует GDPR. Кроме требований к обработке данных в зоне применения GDPR, здесь имеется ещё один аргумент: простота взаимодействия с европейскими контролирующими органами при возникновении такой необходимости. Ответственным за работу с персональными данными (в смысле ст. 24 GDPR) исполком решил назначить Максима Сидорова.

Результаты голосования: за — 14, воздержался — 1 (Волыхов)

Также исполком посчитал, что целесообразно определить человека, который будет отвечать за категории обработки данных в области информационных технологий. Совместно ответственным за работу с персональными данными (в смысле ст. 26 GDPR) в области ИТ решено назначить Юрия Разумова.

Результаты голосования: за — 15 (единогласно)

К списку вопросов повестки


4. Обсуждение вопроса о доступе членов ассоциации к списку членов

Обсуждался вопрос доступа любого члена организации к полному списку членов. Проблема заключается в том, что, согласно GDPR, члены ассоциации являются по отношению к ней третьими лицами, поэтому список не может быть передан любому члену без законных оснований. Однако в МАИИ общие собрания проводятся онлайн, список членов тождественен списку участников канала для голосования и поэтому доступен любому члену. Было предложено несколько возможных решений этой коллизии:

  • анонимизация участников в чатах ассоциации и при голосованиях;
  • обоснование передачи списка любому члену ассоциации необходимостью достижения уставных целей;
  • внесение в устав условия доступности списка членов ассоциации для всех её членов. Исполкому было предложено решить, включать ли в повестку общего собрания вопрос о внесении в устав поправки о доступности списка членов МАИИ для всех членов ассоциации. Исполком решения не принял. Работа над решением проблемы продолжается.

Результаты голосования: за — 3 (Волыхов, Немучинский, Сидоров), против — 6 (Айзятулова, Бочкарёв, Разумов, Печёный, Фарукшин, Цвингли), воздержались — 6 (Быков, Кан, Мартынов, Миротин, Островский, Семушин)

К списку вопросов повестки


5. Обсуждение политики членских взносов

Исполком очертил круг вопросов, касающихся сбора членских взносов. Их планируется обсудить на следующих заседаниях. Нужно будет определить:

  • орган, который будет принимать членские взносы;
  • срок уплаты взноса внутри календарного года;
  • срок уплаты взноса для новых членов;
  • величину задолженности по взносам, которая приводит к исключению из ассоциации.

К списку вопросов повестки