Обработка персональных данных управляющими организациями

Содержание
  1. Когда УО, ТСЖ, ЖК, ЖСК нужно получить согласие на обработку персональных данных и как это сделать | Защита потребителей в сфере ЖКХ
  2. В каких случаях нужно получить согласие на обработку персональных данных
  3. Как получить согласие на обработку персональных данных
  4. Какие сведения должно содержать согласие на обработку персональных данных
  5. Какая ответственность грозит, если не получить согласие
  6. Блог
  7. Обработка персональных данных управляющими организациями
  8. Об обработке персональных данных
  9. Об операторе по обработке персональных данных
  10. О согласии на обработку персональных данных
  11. Об ответственности за нарушение законодательства о персональных данных
  12. Ук и тсж при работе с персональными данными — порядок, требования
  13. Но давайте будем разбираться с защитой персональных данных в организациях, работающих в сфере ЖКХ
  14. Давайте разберемся, что нам необходимо сделать с целью выполнения требований законодательства
  15. Для начала, имея исходные данные, посмотрим на то, какие меры мы готовы принимать по защите ПДн и выпускать документы, которые от нас как операторов требует ст.19 152-ФЗ. В ст.19 152-ФЗ содержатся основные меры, которые раскрываются, уточняются и дополняются следующими подзаконными актами:

Когда УО, ТСЖ, ЖК, ЖСК нужно получить согласие на обработку персональных данных и как это сделать | Защита потребителей в сфере ЖКХ

Обработка персональных данных управляющими организациями

По общему правилу согласие на обработку персональных данных требуется всегда. Но в деятельности по управлению МКД обязанность получать такое согласие зависит от действий, которые выполняет УО, ТСЖ, ЖК, ЖСК.

Внимание: управляющей МКД организации грозит штраф и взыскание морального вреда, если обрабатывать персональные данные без согласия, когда это необходимо.

В каких случаях нужно получить согласие на обработку персональных данных

В большинстве случаев УО и жилищному объединению не нужно получать согласие на обработку персональных данных, так как они попадают под исключения.

Случай № 1. Можете не получать письменное согласие собственника, если используете персональные данные в рамках обязанностей, которые возложены на вас законом или договором, при этом обработку данных не передаете третьим лицам. Такое исключение предусмотрено пунктами 2 и 5 части 1 статьи 6 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Случай № 2. Согласие не требуется оформлять для расчетов за ЖКУ с помощью платежного или банковского агента. Это предусматривает часть 16 статьи 155 Жилищного кодекса РФ.

Если в процессе работы передаете персональные данные собственников и нанимателей третьим лицам (организациям, физическим лицам), то получите согласие от каждого собственника. Например, согласие на обработку персональных данных получите, чтобы привлечь:

  • сторонних юристов для взыскания задолженности за ЖКУ;
  • расчетно-кассовый центр (РКЦ), который не обладает критериями платежного агента, для начисления платежей;
  • подрядную организацию для проведения общего собрания собственников помещений в МКД (технический сервис);
  • организацию, которая выгружает сведения в ГИС ЖКХ;
  • стороннего бухгалтера или организацию для расчета платы за ЖКУ.

Совет: оформите согласие собственника на обработку персональных данных, даже если пока оно вам не нужно.

В процессе управления домом может возникнуть ситуация, когда потребуется передать данные третьим лицам и вы воспользуетесь заранее оформленным документом.

Заключение соглашения под конкретную ситуацию может затормозить работу УО, ТСЖ, ЖСК или поставить ее под угрозу в целом.

Пример нарушения обработки персональных данных собственника

УО передала список должников юридической организации, которая оказывала услуги по взысканию задолженности в суде. Согласие собственников на обработку персональных данных УО не получала, полагая, что оно не требуется, чтобы реализовать свое право на получение квалифицированной юридической помощи.

Конституционный суд РФ указал, что УО обязана получить у собственников и нанимателей жилых помещений согласие на обработку персональных данных, в том числе на их передачу третьим лицам.

Также суд пояснил, что УО вправе получить юридическую помощь. Для этого необходимо получить согласие, которое можно включить в условия договора управления МКД (определение Конституционного суда РФ от 28 января 2016 г. № 100-О).

Ситуация: нужно ли РКЦ получать отдельное согласие собственников на обработку персональных данных, если его получили УО, ТСЖ, ЖК, ЖСК

Нет, не нужно.

Управляющая МКД организация вправе поручить обработку персональных данных РКЦ лишь с согласия субъекта персональных данных – потребителя ЖКУ. Это правило предусматривает часть 3 статьи 6 Закона № 152-ФЗ. При этом РКЦ не должен получать согласие собственников помещений в МКД на обработку персональных данных (ч. 4 ст. 6 Закона № 152-ФЗ).

Ситуация: должна ли УО предоставлять документы общего собрания по запросу одного из собственников, если он не согласен с результатами принятых решений

Нет, не должна.

Управляющая МКД организация обязана не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом (ст. 7 Закона № 152-ФЗ). Заинтересованные собственники в такой ситуации вправе обратиться в орган ГЖН либо оспорить решение общего собрания в суде.

Ситуация: должна ли управляющая МКД организация предоставлять по запросу ГЖИ информацию, которая содержит персональные данные собственников

Да, должна, если запрошенные документы необходимы ГЖИ для проверки.

Законодательство допускает обработку персональных данных без согласия субъекта, если обработка необходима, чтобы исполнить в том числе полномочия исполнительных органов государственной власти субъектов и органов МСУ. Такую возможность предусматривает пункт 4 части 1 статьи 6 Закона № 152-ФЗ.

Как получить согласие на обработку персональных данных

Получить согласие человека на обработку его персональных данных возможно двумя способами: предусмотреть в договоре или оформить отдельным документом.

Способ 1. Предусмотрите в договоре с собственником или уставе ТСЖ, ЖК, ЖСК.

Включите согласие в договор с собственником, если оформляете его впервые, или внесите изменения в действующий договор. Такую возможность подтверждает Конституционный суд РФ в определении от 28 января 2016 г. № 100-О.

В зависимости от способа управления МКД это может быть договор, который содержит условия предоставления коммунальных услуг или выполнения услуг и работ по содержанию и текущему ремонту общего имущества в МКД, или договор управления МКД.

Внимание: условия обработки персональных данных в договоре управления МКД должны утвердить собственники помещений в МКД на общем собрании (ч. 1, 8 ст. 162 ЖК РФ).

Кроме того, Минстрой рекомендовал включать в договор управления МКД информацию о том, как УО обрабатывает персональные данные собственников и пользователей помещений в МКД (подп. «д» п. 12, подп. «з» п. 25 Примерных условий договора управления многоквартирным домом, утвержденных приказом Минстроя России от 31 июля 2014 г. № 411/пр).

Жилищные объединения могут включить условия обработки персональных данных в положения своего устава.

Способ 2. Оформите отдельным документом.

Согласие оформите в письменной форме на бумажном носителе с собственноручной подписью собственника или в электронной форме с электронной подписью. Документы будут равнозначными (ч. 4 ст. 9 Закона № 152-ФЗ).

Согласие, оформленное письменно, пригодится в конфликтной ситуации. Также собственник будет помнить, что подписывал отдельный документ, ведь большинство не читает договор полностью.

Один из вариантов оформления согласия в электронной форме – разместить на сайте как документ Согласие на обработку персональных данных. Это самый распространенный вариант. Он подойдет для всех случаев, когда через свой сайт вы только собираете контактные данные и информируете о своих услугах.

Совет: под каждой формой ввода данных на сайте или в мобильных приложениях дать ссылку на текст согласия на обработку персональных данных и разместить кнопку с текстом: «Даю согласие на обработку персональных данных».

Смысл в том, чтобы пользователь сайта не мог отправить свои персональные данные без согласия на их обработку.

Какие сведения должно содержать согласие на обработку персональных данных

Вне зависимости от способа оформления согласия оно должно содержать восемь групп сведений:

  • Ф. И. О., адрес, номер паспорта или другого документа, удостоверяющего личность, сведения о дате выдачи этого документа и выдавшем его органе1;
  • наименование и адрес УО, ТСЖ, ЖК, ЖСК – оператора обработки персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или Ф. И. О. и адрес лица, которое обрабатывает персональные данные по поручению оператора (если обработка будет поручена такому лицу);
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено законом;
  • подпись субъекта персональных данных.
  • Если согласие оформляете на представителя субъекта персональных данных, укажите: Ф. И. О., адрес представителя, номер паспорта или другого документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.Ситуация: есть ли срок действия у согласия собственника помещения в МКД на обработку персональных данныхНет, не имеет.Закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) не содержит требований к сроку действия согласия субъекта персональных данных на их обработку.В случае оформления письменного согласия собственника помещения в МКД на обработку его персональных данных в РКЦ срок действия такого согласия должен быть указан в тексте (п. 8 ч. 4 ст. 9 Закона № 152-ФЗ).Вместе с тем, в соответствии с частью 2 статьи 9 Закона 152-ФЗ согласие на обработку персональных данных может быть отозвано. Если собственник помещения в МКД как субъект персональных данных отзывает согласие на их обработку, вы как оператор вправе продолжить обработку персональных данных без согласия. Это связано с тем, что обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ).

    Какая ответственность грозит, если не получить согласие

    Если УО или жилищное объединение обрабатывают персональные данные собственников без их письменного согласия, когда такого согласия требует закон, Роскомнадзор оштрафует (ч. 2 ст. 13.11 КоАП РФ):

    • должностное лицо и предпринимателя – от 10 000 до 20 000 руб.;
    • организацию – от 15 000 до 75 000 руб.

    При этом нарушение не должно содержать состав уголовного преступления. Помимо штрафа, есть риск, что взыщут моральный вред.

    Пример взыскания с УО морального вреда за передачу персональных данных должника

    УО передала данные собственника квартиры – должника по оплате ЖКУ коллекторам, которые стали ему угрожать. Он вызывал бригаду скорой помощи.

    Собственник обратился в суд с иском к УО о компенсации морального вреда, который причинили незаконным распространением персональных данных.

    Суд удовлетворил требования и взыскал моральный вред.

    Судья пояснил, что УО не получала согласия должника на передачу персональных данных коллекторскому агентству и не заключала договора с коллекторами по расчетам с собственниками.

    Из этого следует, что УО не имела оснований передавать данные должников коллекторам (определение Санкт-Петербургского городского суда от 2 июня 2014 г. № 33-8467).

    См. также, какие еще предусмотрены штрафы за нарушение обработки персональных данных.

    Ситуация: кто несет ответственность за персональные данные, если управляющая МКД организация поручает обработку персональных данных собственников третьему лицу

    Перед собственниками помещений в МКД ответственность будет нести управляющая МКД организация.

    Если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия третьего лица несет оператор. Лицо, которое обрабатывает персональные данные по поручению оператора, несет ответственность перед оператором. Ответственность лиц устанавливает часть 5 статьи 6 Закона № 152-ФЗ.

© Материал из Справочной системы «Управление многоквартирным домом»

Источник: https://maxpark.com/community/4701/content/6915739

Блог

Обработка персональных данных управляющими организациями

«В отношениях, где нет согласия, добра не бывает».

Верно ли данное изречение по отношению к собственникам помещений МКД в ситуации при смене способа управления или управляющей организации рассмотрим ниже.

Исходя из требований ч. 10 ст. 162 Жилищного кодекса Российской Федерации (далее – ЖК РФ) управляющая организация (далее — УО) в течение трех рабочих дней со дня прекращения договора управления многоквартирным домом обязана передать техническую и иную документацию на многоквартирный дом, связанную с управлением таким домом вновь выбранной УО.

Согласно ч. 1 ст. 161 ЖК РФ Правительство Российской Федерации 15.05.2013 г. Постановлением № 416 утвердило Правила осуществления деятельности по управлению многоквартирными домами (далее – Правила 416).

В силу п. 20 Правил 416 техническая документация на многоквартирный дом и иные документы, связанные с управлением многоквартирным домом, подлежат передаче в составе, предусмотренном Правилами содержания общего имущества в многоквартирном доме, утвержденными постановлением Правительства Российской Федерации от 13 августа 2006 г. № 491.

В состав иных документов, подлежащих передаче при смене управляющей организации (далее – УО) включается также реестр собственников помещений в МКД, ведение которого предусмотрено частью 3.

1 статьи 45 ЖК РФ,а также составленный с учетом требований законодательства Российской Федерации о защите персональных данных список лиц, использующих общее имущество на основании договоров (по решению общего собрания собственников помещений в многоквартирном доме) (пп.

«д(1)» п. 26 Правил 491 в ред. Постановления Правительства РФ от 13.09.2018 № 1090).

Положениями части 3.

1 статьи 45 ЖК РФ установлено, что УО обязана вести реестр собственников помещений в МКД, который содержит сведения, позволяющие идентифицировать их ФИО, номер помещения в многоквартирном доме, собственником которого является данное лицо, а также сведения о размерах принадлежащих им долей в праве общей собственности на общее имущество собственников помещений в многоквартирном доме. При этом, данная норма позволяет не получать согласие собственников на передачу персональных данных, содержащихся в реестре в случае, установленном настоящей статьей, а именно, при поступлении запроса о предоставлении такого реестра в целях созыва и организации проведения ОСС.

За отказ либо уклонение от передачи технической документации и иных связанных с управлением многоквартирным домом документов статьей 7.23.2. КоАП РФ предусмотрена административная ответственность.

Согласно пп. «б» п.

4 Правил 416 сбор, обновление и хранение информации о собственниках и нанимателях помещений в многоквартирном доме, а также о лицах, использующих общее имущество в многоквартирном доме на основании договоров, включая ведение актуальных списков в электронном виде и (или) на бумажных носителях с учетом требований законодательства Российской Федерации о защите персональных данных рассматриваются как стандарт управления МКД.

Как следует из вышеприведенных норм, при смене УО обязанность по передаче реестра собственников помещений в МКД возлагается на ранее управлявшую МКД организацию.

Стоит отметить, что отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон 152-ФЗ).

По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных (пункт 1 части 1 статьи 6 Закона 152-ФЗ).

Под обработкой персональных данных (далее — ПД) понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Закона 152-ФЗ).

В силу требований ст. 7 Закона 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Вместе с тем, обработка персональных данных допускается в том случае, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (пп. 5 п. 1 ст. 6 Закона 152-ФЗ).

Как следует из содержания данной нормы закона, согласие субъекта персональных данных на обработку указанных данных не требуется в случае, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Данная позиция подтверждается судебной практикой, в частности, Апелляционным определением Пермского краевого суда от 14.10.2015 по делу № 33-11127/2015 по спору между заемщиком и банком.

Источник: https://www.burmistr.ru/blog/sudebnaya-praktika51303298/soglasie-sobstvennikov-na-peredachu-personalnykh-dannykh/

Обработка персональных данных управляющими организациями

Обработка персональных данных управляющими организациями

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные.

Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому  управляющие организации являются операторами по обработке персональных данных.

ГИС, сдавайся! (часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили,  вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или  при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в  отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм  был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Источник: https://roskvartal.ru/deyatelnost-uk/8029/roskomnadzor-ob-obrabotke-personalnyh-dannyh

Ук и тсж при работе с персональными данными — порядок, требования

Обработка персональных данных управляющими организациями

04 Март 2019

В 2019 году четко сформировалась система осуществления административного контроля в сфере организации защиты персональных данных (ПП РФ от 13.02.

2019 №146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»).

Данный документ рассматривает вопросы о проведении плановых и внеплановых проверок и указывает на то, что в целях проверки операторов персональных данных, они могут быть включены в ежегодный план проверок по истечении 3-х лет с момента регистрации или последней проверки.

Сразу дам совет, в начале каждого года просматривать план проверок, публикуемый на сайте прокуратуры, чтобы точно знать какие проверки каких государственных надзорных органов, проводимые на плановой основе, предстоят вам в ближайшем будущем.

Но давайте будем разбираться с защитой персональных данных в организациях, работающих в сфере ЖКХ

Для начала необходимо условиться о терминологии. Все необходимые для понимания термины указаны в ст.3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — 152-ФЗ). Их желательно прочитать хотя бы один раз в жизни.

Самый первый вопрос, который обычно задают будущие операторы — какой набор данных о физическом лице считать персональными данными (ПДн). Печально, что законодатель в п.1 ст.

3 152-ФЗ дает следующее размытое понятие: ПДн — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

На сегодняшний день лучше всего ориентироваться на то, что персональными данными физического лица являются те данные, которые позволяют однозначно идентифицировать это самое физическое лицо и прямо к нему относятся, например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, имущественное положение и т.д. Юридические лица, как субъекты персональных данных вовсе не имеют.

Далее необходимо разобраться в том, является УК, ТСЖ оператором персональных данных или нет, обязано оно выполнять требования законодательства в области обработки ПДн или нет. Согласно п.2 ст.

3 152-ФЗ оператором является юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, сомнений в том, что УК, ТСЖ является оператором персональных данных не возникает, отсюда у УК, ТСЖ, согласно требованиям Гл. 4 152-ФЗ возникают обязанности по защите ПДн при из обработке. Вот с реализацией этих обязанностей на практике часто возникает множество вопросов.

Давайте разберемся, что нам необходимо сделать с целью выполнения требований законодательства

Первое, что нам надо сделать, четко ответить на следующие вопросы:

какой набор персональных данных мы обрабатываем (например, фамилия, имя, отчество (заметьте не ФИО, а каждый реквизит в отдельности), адрес, сведения об объектах недвижимости, принадлежащих на праве собственности (или ином праве), суммы платежей и т.д.);

каковы цели обработки персональных данных (при этом, цели должны быть четко сформулированы, например: управление эксплуатацией жилого и нежилого фондов; ведение реестра собственников помещений в соответствии с ЖК РФ; ведение списка членов ТСЖ «НАЗВАНИЕ», осуществление расчетов с потребителями коммунальных услуг в рамках заключенных договоров; обработка персональных данных работников ТСЖ «НАЗВАНИЕ» в соответствии с ТК РФ). Почему тут нет ничего о ПДн, обрабатываемых при паспортном учете? Автор придерживается позиции о том, что ведение паспортного учета сотрудниками ТСЖ, УК после упразднения ФМС России и обновления редакции Административного регламента по учету граждан МВД от 31.12.2017 №984 не целесообразно, т.к. гораздо дешевле и практичнее осуществлять все операции непосредственно собственникам напрямую в органах МВД или путем направления электронных заявок через портал Госуслуг, чем платить ежемесячно за услуги паспортного стола, ждать когда паспортист съездит в органы МВД. Для ТСЖ это платить зарплату паспортисту, оборудовать помещения паспортных столов в соответствии с требованиями МВД, выделять (и оплачивать) транспорт для путешествий паспортиста. Более того, с учетом положений нового Административного регламента паспортист выполняет функции приема-передатчика не более того, самостоятельно никакого учета он не ведет.

какие действия по обработке персональных данных мы планируем осуществлять, а это может быть сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных;

будем ли мы передавать ПДн третьим лицам и, если будем, то на каких правовых основаниях. Важно понимать, это будет передача в силу исполнения положений нормативных правовых актов (например, передача данных в адрес органов социальной защиты на основании ФЗ от 28.12.

2013 №442-ФЗ, налоговые органы на основании положений НК РФ и т.д.) или это будет передача в расчетные центры, агентства по распечатке и доставке платежек по договорам).

Обращаю внимание на то, что передача квитанций по оплате коммунальных услуг, согласно разъяснениям регулятора, должна быть выполнена в конвертированном виде, иначе это является нарушением;

каким способом («автоматизированным» или «бумажным») мы обрабатываем ПДн. По смыслу новой редакции 152-ФЗ автоматизированной считается любая обработка ПДн в цифровом виде (ранее такой обработкой считалась только обработка в специальной программе, например, 1С, а вот обработка в текстовых документах нет);

— в случае, если мы используем облачные сервисы по обработке ПДн (например 1С: Рарус), нам необходимо уточнить физическое местонахождение серверов и убедиться в том, что серверы компании, оказывающей облачные услуги, располагаются на территории РФ (отсутствует трансграничная передача данных). Обычная проверка Роскомнадзора возможно и не станет так сильно углубляться в детали, а вот проверка ФСБ России может.

После того, как нами составлен такой список, необходимо еще раз пробежаться по перечню персональных данных и убедиться, что данный перечень не является избыточным и соответствует заявляемым нами целям.

Теперь мы можем написать уведомление в органы Роскомнадзора о том, что мы обрабатываем персональные данные, с целью избежать штрафа (ст.13.11 КоАП), но не будем торопиться.

Для начала, имея исходные данные, посмотрим на то, какие меры мы готовы принимать по защите ПДн и выпускать документы, которые от нас как операторов требует ст.19 152-ФЗ. В ст.19 152-ФЗ содержатся основные меры, которые раскрываются, уточняются и дополняются следующими подзаконными актами:

если у нас только «бумажная обработка» руководствуемся постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

если у нас автоматизированная обработка

Источник: http://domscanner.ru/article/84

Pravo-consut
Добавить комментарий