Управляющая компания является оператором по обработке персональных данных - Контакты компаний и предприятий на Atlaso.ru

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

ГИС, сдавайся! (часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.

Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Источник

Подборка наиболее важных документов по запросу Управляющая компания оператор персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Статья: Проблемы защиты персональных данных в деятельности управляющих компаний в сфере жилищно-коммунального хозяйства
(Белая О.В., Кицай Ю.А.)
(«Семейное и жилищное право», 2021, N 5)В соответствии с действующим законодательством обработка персональных данных должна происходить на законных основаниях. В определенных ситуациях, связанных с достижением конкретных целей, возможно распространение определенных ограничений, но, безусловно, объем и содержание персональных данных, подлежащих обработке, должны соответствовать целям. Управляющие компании в сфере жилищно-коммунального хозяйства выполняют обработку персональных данных, соответственно, выступают операторами персональных данных и должны обеспечивать защиту данной информации надлежащим образом. В статье рассматриваются проблемы в деятельности управляющих компаний в сфере жилищно-коммунального хозяйства, связанные с защитой персональных данных собственников помещений многоквартирных домов, предлагается возможный вариант решения данной проблемы.

Источник

Практика последних лет показывает, что многие управляющие организации и ТСЖ так и не выстроили правильную политику работы с персональными данными собственников помещений многоквартирных домом. Процедурные обязанности, установленные в законе, или не исполняются вовсе, либо являются реализованными не в полной мере.

Персональные данные в ЖКХ

В соответствии с пп. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152), персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Соответственно оператором является управляющая организация или ТСЖ, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

ЖКХ и отрасль управления многоквартирными домами агрегирует большой объем персональных данных, необходимых для работы. В максимальном (расширенном) виде по собственникам помещений они включают: фамилию, имя, отчество; год, месяц, дату рождения; место рождения; паспортные данные, адрес регистрации по месту жительства и адреса фактического проживания; количество проживающих и зарегистрированных в помещении; контактный телефон; электронную почту (емейл), марку и номер транспортного средства, сведения о праве собственности на жилое помещение в МКД, сведения о собственниках помещений в МКД.

В связи с отменой поквартирных карточек и домовых книг объем персональных данных, которыми обладает управляющая домом организация, несколько сократился, потому что новая информация не поступает, а старая – не актуализируется. Но даже отмена отдельных форм документов не перечеркивает возможность или право управляющей организации собирать персональные данные. В любом случае управляющая организация стремится собрать как можно больше персональных данных, потому что они необходимы при работе (например, емейл используется для отправки квитанций, марка и номер транспортного средства необходимы при уборке снега во дворе, паспортные данные нужно для ведения работы с должниками и т.п.).

Обязанности управляющей организации

Самое главное для управляющей организации – включить себя в Реестр операторов, осуществляющих обработку персональных данных. Реестр расположен по ссылке https://rkn.gov.ru/personal-data/register/ и предполагает возможность поиска организаций по ИНН, регистрационному номеру или названию юридического лица. Данный реестр ведет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор). По состоянию на апрель 2020 года в Реестре содержатся данные о 407 тысячах операторах персональных данных.

Для того, чтобы добавиться в Реестр, необходимо заполнить специальную форму, которая заполняется и генерируется на сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/. После заполнения данной формы, ее необходимо распечатать, подписать, поставить на ней печать и сдать с рядом дополнительных документов в Роскомнадзор.

Стоить отметить, что в законе установлена обязанность уведомить Роскомнадзор до начала обработки персональных данных о таком намерении.
Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе в Реестр. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

Применительно к управлению многоквартирными домами следует отметить ряд ситуацией по обработке персональных данных, когда уведомлять Роскомнадзор не требуется.
Во-первых, если данные обрабатываются в соответствии с трудовым законодательством.

Во-вторых, если они получены в связи с заключением договора управления многоквартирным домом, стороной которого является субъект персональных данных. Однако важно, чтобы в данном случае персональные данные не распространялись и не предоставлялись третьим лицам без согласия субъекта персональных данных и использовались оператором исключительно для исполнения указанного договора. Однако нужно учитывать, что крайне редко удается заключить договор с 100% собственников, а кроме того, могут быть проблемы при передаче персональных данных собственника, например, в расчетный центр (либо это нужно предельно конкретно прописывать в договоре).

Кроме того, нужно помнить, что лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором (п. 4 и 5 ст. 6 Закона № 152).

В-третьих, если персональные данные сделаны субъектом персональных данных общедоступными.
В-четвертых, если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных (п. 2 ст. 22 Закона № 152).

Помимо обязанности включить себя в Реестр, к операторам персональных данных есть ряд дополнительных требований.
1.Необходимо издать политику в области обработки персональных данных, опубликовать ее или иным образом обеспечить неограниченный доступ к данному документу. Проще всего разместить такую политику на сайте управляющей организации или ТСЖ.
2.Необходимо локальным актом (приказом) назначить ответственного за организацию обработки персональных данных. Копия данного приказа предоставляется в Роскомнадзор (ст. 18.1 Закона № 152).

Как собрать персональные данные?

Персональные данные собираются путем заполнения согласия на обработку, которое заполняет и предоставляет субъект. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Важно также то, что обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку возлагается на оператора.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Для управляющей организации или ТСЖ целесообразно сгенерировать форму согласия на обработку персональных данных и собирать их либо постепенно (например, во время приема жителей по личным вопросам), либо сразу массово (путем обхода или раскладывания форм согласий в почтовые ящики с предельной датой предоставления). В отношении тех собственников, которые отказываются предоставлять согласия на обработку персональных данных можно реализовать обезличенный подход при выставлении квитанций (например, указывать на ФИО, а деперсонализированный номер лицевого счета). Это мотивирует собственников сдать данные документы оператору.

Ответственность за нарушения в области персональных данных

Содержание административной ответственности за нарушения в области персональных данных определено в ст. 13.11 КоАП РФ. Особенность данной статьи состоит в том, что она максимально расписана под каждый вид нарушения (например, обработка персональных данных без согласия субъекта, неразмещение политики оператора в отношении обработки персональных данных и пр.). Исходя из конкретного вида нарушения или набора нарушений размер ответственности колеблется от 6 тысяч до 18 миллионов рублей.

В настоящее время Роскомнадзору даны некоторые важные для государства и цензуры полномочия, а в связи с этим требования законодательства о персональных данных ужесточаются. Специально Роскомнадзор обычно не проводит проверки управляющих организаций и ТСЖ, а потому следует исполнить набор обязанностей, установленный в Законе № 152, чтобы минимизировать риск наложения штрафов.

Автор: Павел Кузнецов, управляющий многоквартирными домами, автор книги «Управление многоквартирным домом: настольная книга управдома», преподаватель Русской школы управления, кандидат наук
Сайт: pavelkuznetzov.ru

Источник

Граждане, вступающие в отношения с различными организациями ЖКХ, передают им информацию, имеющую характер персональных данных. Они должны быть уверены в том, что защита сведений осуществляется таким способом, который предусмотрен законом, и их утечка невозможна. В свою очередь, управляющие компании должны знать, что несоблюдение норм закона может стать и поводом для расторжения договора с ними.

Виды организаций ЖКХ, получающих персональные данные

Сфера ЖКХ регулируется несколькими нормативными актами, среди них Жилищный кодекс, Федеральный закон «Об энергосбережении» и другие. Жители многоквартирных домов и частных коттеджей вступают в отношения с организациями ЖКХ как на основании договора, так и путем устного соглашения. К таким организациям относятся:

управляющие компании многоквартирных домов;
товарищества собственников жилья (ТСЖ), которые имеют статус юридического лица;
ГУПы и ДЕЗы (не все из них еще акционированы);
жилищные кооперативы (ЖСК);
ресурсоснабжающие организации, в случае заключения прямого договора;
компании, обеспечивающие проведение текущего и капитального ремонта;
иные компании, оказывающие услуги ЖКХ, в частности, с 2019 года к ним будут относиться компании, осуществляющие вывоз ТБО – твердых бытовых отходов.

На практике граждане, проживающие в городских квартирах, чаще всего вступают во взаимоотношения с управляющими организациями. Они выбираются собранием собственников, нередко на основании тендеров, и договор с ними может быть расторгнут, если компания нарушает закон или некачественно оказывает услуги. Прямые договоры с поставщиками ресурсов заключают владельцы частных домов. Все эти типы организаций, согласно нормам закона «О персональных данных», являются операторами ПД. Этот статус приводит к необходимости:

направить в Роскомнадзор уведомление о начале деятельности, связанной с обработкой персональных данных;
разработать пакет внутренней документации, регламентирующей обработку;
запрашивать у субъектов персональных данных согласие на их обработку, содержащее все требуемые законом пункты, в частности, цель обработки;
обеспечить техническую защиту переданных сведений.

В дальнейшем информация передается другим компаниям, иногда не относящимся к сфере ЖКХ, для их обработки. Это ремонтные организации, расчетные центры, которые формируют квитанции, курьерские и почтовые службы, осуществляющие рассылку квитанций. Для того чтобы сведения не попали к третьим лицам, расчетные листки должны быть помещены в конверт.

Состав ПД, передаваемых сотрудникам ЖКХ

Федеральный закон «О персональных данных» строго не определяет перечень информации, который передается сотрудникам ЖКХ. Он формируется на практике, но существует обязательный минимум. Иные сведения могут быть запрошены в частных случаях, и гражданин вправе не предоставлять их, если ему непонятна цель их обработки. К минимальному набору данных относятся:

паспортные данные;
сведения об объекте недвижимости и правах на пользование им;
сведения о составе семьи;
данные о числе проживающих;
данные о личном автотранспорте при решении вопросов об аренде стоянки.

Иные сведения могут передаваться, например, для получения от управляющей компании документов, подтверждающих право на получение субсидии на оплату коммунальных услуг, и в других случаях. Фотография гражданина относится к группе биометрических персональных данных, имеющих повышенный статус охраны, поэтому ее запрос, например, для оформления пропуска, обязательно потребует подписания согласия на обработку персональных данных.

Обязанности организаций ЖКХ при обработке персональных данных

Получая статус оператора, УК вместе с ним приобретает и комплекс задач. Обязанности организаций ЖКХ по работе с персональными данными собственников недвижимости и квартиросъемщиков делятся на три группы:

по запросу согласия;
по обработке и хранению данных;
по обеспечению безопасности при их передаче третьим лицам, в частности, компаниям, формирующим расчетные квитанции, и ресурсоснабжающим организациям.

В последнее время управляющие компании вправе не запрашивать согласия на обработку персональных данных, так как они запрашиваются в случаях, прямо регламентированных законом. При этом, поскольку не все передаваемые сведения относятся к тем, чье предоставление не требует оформления, необходимо разработать формат согласия и подписывать его не только у собственника или нанимателя, но и у других лиц, проживающих в квартире, в случае получения их данных. Согласие оформляется или на бумажном носителе, при условии обеспечения его хранения таким образом, чтобы к нему был исключен доступ иных, неуполномоченных, лиц, или в электронном формате, на сайте компании. В этом случае оно подписывается электронной подписью. Согласие может быть отозвано гражданином. После этого управляющие компании обязаны в течение 30 дней уничтожить все сведения, кроме тех, обработка которых требуется по закону.

Далее компания должна обеспечить реализацию комплекса технических и организационных мер, которые полностью исключат неправомерный доступ к данным третьих лиц, утечку или обработку в целях, не заявленных предварительно. Придется разработать собственное положение о защите персональных данных и разместить его на сайте УК.

К техническим мерам защиты информационных систем, реализуемым управляющими компаниями, содержащим персональные данные, относятся межсетевые экраны, разграничение прав пользователей, установка сертифицированного программного обеспечения, разработка алгоритмов аутентификации и идентификации пользователей, средств антивирусной и криптографической защиты. Требования ко всем программным продуктам устанавливаются ФСТЭК РФ.

После расторжения договора на управление конкретным многоквартирным домом полученные ранее сведения потребуется уничтожить. Нарушение этой обязанности будет сопровождаться наложением административного штрафа.

Ошибки сотрудников ЖКХ, связанные с обработкой ПД

Некоторое время назад сотрудники ЖКХ не были информированы о требованиях, связанных с защитой персональных данных собственников помещений. Это приводило к таким недопустимым ситуациям, как:

вывешивание в подъездах списков неплательщиков;
направление расчетных квитанций в незапечатанном виде;
хранение важных данных в информационных системах, не обеспечивающих их безопасность;
неправомерная передача сведений третьим лицам;
отказ от направления в Роскомнадзор уведомления о том, что организация ЖКХ является оператором персональных данных;
отказ от разработки положения о порядке обработки ПД и от ознакомления с ним собственников и нанимателей;
отказ от уничтожения персональных данных в случае продажи квартиры. Это требование крайне часто игнорируется сотрудниками управляющих компаний;
отказ от внесения изменения в неточные данные.

Это создавало множество конфликтов между гражданами и управляющими компаниями, приводящих к административным делам и судебным процессам. Сейчас практика отказа от соблюдения требований законодательства, действующего в сфере защиты персональных данных, практически прекращена. Тем не менее сохраняющиеся риски их утери и неправомерного использования, которые приводят к вторжению в частную жизнь граждан и причинению им морального вреда, сохраняются.

Несмотря на то, что ситуация с охраной персональных данных в сфере ЖКХ улучшилась, граждане должны проявлять осторожность и самостоятельно проверять соблюдение требований законодательства, в необходимых случаях направляя уведомления о нарушениях в Роскомнадзор.

Источник

Источник фото: https://www.pexels.com/

Всем известно, что в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон 152) управляющие организации, осуществляющие управление многоквартирными домами (далее — МКД) признаются операторами по обработке персональных данных субъектов. В сегодняшней статье хотим познакомить Вас с позицией Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) по вопросу защиты персональных данных потребителей в платежных документах за услуги ЖКХ.

В рамках заключенных договоров управления МКД на управляющие организации возлагается обязанность по предоставлению платежных документов собственникам и пользователям помещений в многоквартирном доме.

Требования к платежным документам приведены в п. 69 Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденных Постановлением Правительства РФ от 06.05.2011 № 354, (далее – Правила 354)., примерная форма платежного документа для внесения платы за содержание и ремонт жилого помещения и предоставление коммунальных услуг (далее — ЕПД) утверждена Приказом Минстроя России от 26.01.2018 № 43/пр. Кроме сведений по расчету и взиманию платы, ЕПД содержит в себе персональные данные субъекта, в том числе, ФИО плательщика и адрес жилого помещения.

Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон 152) операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (статья 7).

Напомним, что со 2 декабря 2019г статья 13.11 КоАП РФ содержит новый перечень составов правонарушений в области защиты персональных данных с административной ответственностью в виде предупреждения и штрафов, которые в разы увеличились.

Вид правонарушения	Размер штрафа для должностного лица	Размер штрафа для юридического лица
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных,	от пяти тысяч до десяти тысяч рублей	от тридцати тысяч до пятидесяти тысяч рублей.
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено	от десяти тысяч до двадцати тысяч рублей	от пятнадцати тысяч до семидесяти пяти тысяч рублей.
Невыполнение оператором предусмотренной законодательством обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	от трех тысяч до шести тысяч рублей;	от пятнадцати тысяч до тридцати тысяч рублей.
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	от четырех тысяч до шести тысяч рублей;	от двадцати тысяч до сорока тысяч рублей.
Невыполнение оператором в сроки, установленные законодательством требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	от четырех тысяч до десяти тысяч рублей	от двадцати пяти тысяч до сорока пяти тысяч рублей.
Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ	от ста тысяч до двухсот тысяч рублей	от одного миллиона до шести миллионов

Как указано в пп. «е» п. 32 Правил 354, доставка платежных документов потребителям может осуществляться как силами управляющей организации, так и при помощи сторонних организаций в рамках заключенного договора, содержащего условия об обеспечении требований законодательства Российской Федерации о защите персональных данных.

Одним из способов доставки собственникам/пользователям ЕПД также является направление управляющей организацией платежного документа на бумажном носителе посредством его доставки в абонентский почтовый шкаф.

Для возможности идентификации собственника/пользователя помещения в МКД и адреса доставки платежного документа доставка ЕПД осуществляется с открытыми персональными данными (ФИО и адрес потребителя), без конверта.

В связи с чем, возникает два важных вопроса, с которыми ассоциация «Бурмистр» обратилась в Роскомнадзор:

нужно ли скрывать персональные данные субъекта (ФИО, адрес) на платежных документах при условии, что ЕПД опускается в закрытый абонентский шкаф, исключающий возможность случайного доступа посторонними лицами?
если необходимо скрывать персональные данные на платежных документах, каким образом тогда идентифицировать собственника/пользователя помещения в МКД при доставке ему ЕПД?

Как указал Роскомнадзор в письме от 12.09.2019г №08-77479 : «положениями действующего законодательства не установлено ограничение, касающееся способа и формата осуществления доставки платежных документов , в связи с чем , доставка платежного документа, содержащего персональные данные собственника жилого помещения в объеме фамилия, имя, отчество и почтовый адрес в указанном в обращении случае не противоречит требованиям законодательства Российской Федерации в области персональных данных при условии обеспечения соблюдения требования конфиденциальности персональных данных, предусмотренного ст.7 Федерального закона «О персональных данных».

Конечно, мы предполагали, что Роскомнадзор ответит нечто подобное, но официальная позиция контролирующего органа никогда лишней не будет. С учетом очередного обострения недовольных собственников и граждан СССР с запросами о правомерности обработки их персональных данных в платежных документах, позиция Роскомнадзора подойдет для подготовки ответа. С текстом письма Роскомнадзора от 12.09.2019г №08-77479 можно ознакомиться тут.

Компания «Бурмистр.ру» продолжает прием заявок на «Закрытую ветку-2020». Заявка и вся необходимая информация по ссылке.

Источник

«Защита персональных данных», «уведомление об обработке персональных данных», «согласие на обработку персональных данных», «законодательство о защите персональных данных» — данные словосочетания становятся проблемой и головной болью многих УО, ТСЖ, ЖСК, которые неожиданно столкнулись с понятием «персональные данные» и которым не хочется ни нарушить закон, ни поссориться с собственниками, ни навлечь на себя предписания и штрафы контролирующих органов.

При этом расплывчатые формулировки законодательства о персональных данных, отсутствие внятных разъяснений гос.органов (и их стремление, в первую очередь, к карательной, а не регулирующей функции) делают еще более сложно определяемыми как отнесение той или иной информации к персональным данным, так и порядок обращения с такими данными. Да еще и собственники помещений все больше проникаются пониманием некой «священной неприкосновенности» их персональных данных, которые, по мнению довольно значительного собственников числа, якобы нельзя использовать для целей предъявления этим собственникам к оплате стоимости потребленных ими же услуг, для взыскания имеющихся задолженностей, для исполнения обязанностей, предусмотренных законодательством, и т.д. и т.п.

Что такое персональные данные?

Согласно пункту 1 статьи 3 Федерального закона от 27.07.2016 № 152-ФЗ (далее — ФЗ № 152) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 ФЗ № 152).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ № 152).

Таким образом:

персональные данные — это любая информация, относящаяся к собственникам (нанимателям) помещений МКД, а также работникам УО, ТСЖ, ЖСК;
обработка персональных данных — это любое действие, которое с ними совершается;
все управляющие компании, ТСЖ, ЖСК (далее — управляющие организации) являются операторами по обработке персональных данных, поскольку собирают, систематизируют, хранят, уточняют, используют и передают информацию, касающуюся собственников многоквартирного дома.

Уведомление уполномоченного органа

По общему правилу оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (п. 1 ст. 22 ФЗ № 152).

Органом, уполномоченным на защиту прав субъектов персональных данных в соответствии со ст. 23 ФЗ № 152 является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Уведомление рекомендуется направлять в территориальный орган Роскомнадзора — управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Приказа Роскомнадзора от 30 мая 2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения». Уведомление должно быть подготовлено и направлено в уполномоченный орган в соответствии с вышеуказанными методическими рекомендациями»).

Неуведомление (непредставление или несвоевременное представление) уполномоченного госоргана в порядке ст. 22 ФЗ № 152 влечет за собой административную ответственность в соответствии с Кодексом Российской Федерации об административных правонарушениях (ст. 19.7). Ответственность за подобные правонарушения установлена в виде предупреждения или наложения административного штрафа (на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц от трех тысяч до пяти тысяч рублей).

Вместе с тем, п. 2 ст. 22 ФЗ № 152 установлены случаи, в соответствии с которыми УО, ТСЖ, ЖСК вправе осуществлять без уведомления Роскомнадзора обработку персональных данных, к которым относятся данные:

обрабатываемые в соответствии с трудовым законодательством;
полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
сделанные субъектом персональных данных общедоступными;
включающие в себя только фамилии, имена и отчества субъектов персональных данных;
необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
обрабатываемые в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Так, если УО, ТСЖ, ЖСК осуществляет, например, обработку в соответствии с трудовым законодательством, то при обработке данных своих работников, они не обязаны уведомлять Роскомнадзор о начале обработки персональных данных. Отметим, что право не уведомлять Роскомнадзор не исключает возможности (в случае желания, на всякий случай и по прочим индивидуальным причинам) уведомить уполномоченный орган о начале обработки данных.

Из вышеприведенного перечня интерес также представляет следующее положение — УО, ТСЖ, ЖСК вправе осуществлять обработку персональных данных без уведомления в случае, когда данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Иными словами, если УО, ТСЖ, ЖСК персональные данные собственников обрабатывает, однако не распространяет и не передает третьим лицам, то оно не обязано направлять уведомление в Роскомнадзор.

Таким образом, за исключением случаев, установленных п. 2 ст. 22 ФЗ № 152, УО, ТСЖ, ЖСК обязаны уведомлять уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

Если до того, как УО, ТСЖ, ЖСК приступили к работе, связанной с обработкой персональных данных, уведомление в Роскомнадзор направлено не было, то представление уведомления в таком случае будет несвоевременным. Вместе с тем, даже если ранее не было направлено уведомление об обработке персональных данных, такое уведомление необходимо направить во избежание более серьезных санкций в дальнейшем. К ситуации, при которой обязанности по уведомлению Роскомнадзора не существовало, а в какой-то момент она возникла, можно отнести, например, переход от обработки данных без использования средств автоматизации к обработке с использованием таких средств.

Передача данных с согласия субъекта персональных данных

Обработка персональных данных допускается в случае, когда обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (ч. 1 ст. 6 ФЗ № 152).

Требования к согласию субъекта персональных данных установлены ст. 9 ФЗ № 152.

Так, например, согласие на обработку персональных данных должно быть конкретным, информированным и сознательным (п. 1 ст. 9 ФЗ № 152), а в случаях, предусмотренных законом обработка персональных данных осуществляется только с согласия в письменной форме (п. 4 ст. 9 ФЗ № 152).

270F Важно отметить, что обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора (п. 3 ст. 6 ФЗ № 152), то есть именно УО, ТСЖ и ЖСК должны будут доказывать, получено ли такое согласие или его получение не требуется. Сам собственник помещения МКД (субъект персональных данных) данное обстоятельство доказывать не обязан, а просто может заявить о том, что его права были нарушены оператором персональных данных.

Обработка персональных данных без согласия субъекта и без уведомления Роскомнадзора в связи с исполнением договора

Обработка персональных данных допускается в случае, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (ч. 2 ст. 6 ФЗ № 152), а также для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (ч. 5 ст. 6 ФЗ № 152). В указанных случаях согласия субъекта персональных данных на обработку персональных данных не требуется.

Ч. 1 ст. 162 ЖК РФ устанавливает, что договор управления многоквартирным домом заключается с управляющей организацией, которой предоставлена лицензия на осуществление деятельности по управлению многоквартирными домами в соответствии с требованиями настоящего Кодекса, в письменной форме или в электронной форме с использованием системы путем составления одного документа, подписанного сторонами. При выборе управляющей организации общим собранием собственников помещений в многоквартирном доме с каждым собственником помещения в таком доме заключается договор управления на условиях, указанных в решении данного общего собрания. При этом собственники помещений в данном доме, обладающие более чем пятьюдесятью процентами голосов от общего числа голосов собственников помещений в данном доме, выступают в качестве одной стороны заключаемого договора.

270F Отметим, что заключившими договор с управляющей организацией считаются все собственники МКД, в том числе и те, которые не принимали участие в голосовании и непосредственно договор не подписывали, а также новые собственники (лица, у которых право собственности на помещение в МКД возникло после выбора управляющей организации).

Учитывая, что договор заключается между собственниками и управляющей организацией, а между собственниками и ТСЖ и ЖСК как таковой договор не заключается, а принимается решение (оформленное протоколом) и принимается устав о деятельности ТСЖ или ЖСК, у многих возникает вопрос, относятся ли вышеуказанные положения ст. 6 ФЗ № 152 об отсутствии необходимости получения согласия на обработку персональных данных к ТСЖ и ЖСК или применимы только к УО.

Действительно, в соответствии с ч. 1–2 ст. 135 ЖК РФ, товариществом собственников жилья признается вид товариществ собственников недвижимости, представляющий собой объединение собственников помещений в многоквартирном доме для совместного управления общим имуществом в многоквартирном доме либо имуществом собственников помещений в нескольких многоквартирных домах или имуществом собственников нескольких жилых домов. Устав товарищества собственников жилья принимается на общем собрании большинством голосов от общего числа голосов собственников помещений в многоквартирном доме.

Ч. 1 ст. 110 ЖК РФ устанавливает, что жилищным или жилищно-строительным кооперативом признается добровольное объединение граждан и в установленных настоящим Кодексом, другими федеральными законами случаях юридических лиц на основе членства в целях удовлетворения потребностей граждан в жилье, а также управления многоквартирным домом. В соответствии с ч. 4 ст. 112 ЖК РФ решение собрания учредителей об организации жилищного кооператива и об утверждении его устава считается принятым при условии, если за это решение проголосовали лица, желающие вступить в жилищный кооператив (учредители).

Согласно п. 6 Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденными Постановлением Правительства РФ от 06 мая 2011 г. № 354, предоставление коммунальных услуг потребителю осуществляется на основании возмездного договора, содержащего положения о предоставлении коммунальных услуг. Договор, содержащий положения о предоставлении коммунальных услуг, может быть заключен с исполнителем в письменной форме или путем совершения потребителем действий, свидетельствующих о его намерении потреблять коммунальные услуги или о фактическом потреблении таких услуг (далее — конклюдентные действия).

270F Иными словами, хотя прямо в ЖК РФ не предусмотрено заключение договора между собственниками и ТСЖ и ЖСК, согласно Правилам № 354 они такой договор, даже если и не письменно, а путем совершения конклюдентных действий совершают, а значит, вышеуказанные положения ст. 6 ФЗ № 254 применимы как к УО, так и к ТСЖ и ЖСК,

Таким образом, договор о предоставлении коммунальных услуг заключается между собственниками помещений МКД и УО, ТСЖ и ЖСК, и, следовательно, обработка персональных данных (исключая распространение и передачу) в таком случае не требует дополнительного согласия субъектов персональных данных. Что касается распространения и передачи данных сторонним лицам и организациям, то в таком случае будет необходимо получать письменное согласие собственника, на распространение и передачу их данных, вне зависимости от факта наличия заключенного договора.

Передача персональных данных расчетным центрам (платежным агентам)

Один из исключительных случаев, когда не требуется согласие субъекта персональных данных (собственника, нанимателя) на передачу сведений, содержащих персональные данные, является передача сведений платежным или банковским агентам, а именно расчетным центрам, которые осуществляют прием платежей собственников (нанимателей).

Данная возможность закреплена в чч. 15–16 ст. 155 ЖК РФ, в соответствии с которыми наймодатель жилого помещения, управляющая организация, иное юридическое лицо или индивидуальный предприниматель, которым в соответствии с настоящим Кодексом вносится плата за жилое помещение и коммунальные услуги, а также их представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов, осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов, осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности. При привлечении такими лицами представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется.

Таким образом, УО, ТСЖ, ЖСК, не опасаясь, на законных основаниях имеют право передавать необходимые для осуществления расчетов сведения, содержащие персональные данные, платежным или банковским агентам для выставления и приема платежей, а жалобы собственников (нанимателей) на то, что данные без их согласия переданы в расчетные центры, необоснованы.

Передача персональных данных собственников от УО/ТСЖ/ЖСК в РСО, оператору по обращению с ТКО при переходе на «прямые договоры»

Особо актуален вопрос, обязаны ли УО, ТСЖ и ЖСК передавать информацию ресурсоснабжающей организации (далее — РСО) или региональному оператору по обращению с твердыми коммунальными отходами (далее — Оператор ТКО) при заключении собственниками «прямого договора» на предоставление коммунальных услуг. РСО часто запрашивают сведения о собственниках, паспортные данные или копии паспортов собственников, данные о собственности (доля в праве, количество голосов), реквизиты документа, подтверждающего право собственности и иную информацию.

Если от собственников ранее было получено согласие на передачу требуемых данных, то здесь вопросов не возникает — передача данных может быть осуществлена. Однако случаи наличия такого согласия крайне редки.

В соответствии с ч 3.1 ст. 45 ЖК РФ управляющая организация, правление товарищества собственников жилья, жилищного или жилищно-строительного кооператива, иного специализированного потребительского кооператива обязаны вести реестр собственников помещений в многоквартирном доме, который содержит сведения, позволяющие идентифицировать собственников помещений в данном многоквартирном доме (фамилия, имя, отчество (при наличии) собственника помещения в многоквартирном доме, полное наименование и основной государственный регистрационный номер юридического лица, если собственником помещения в многоквартирном доме является юридическое лицо, номер помещения в многоквартирном доме, собственником которого является физическое или юридическое лицо), а также сведения о размерах принадлежащих им долей в праве общей собственности на общее имущество собственников помещений в многоквартирном доме. Согласие собственников помещений в многоквартирном доме на передачу персональных данных, содержащихся в реестре собственников помещений в многоквартирном доме, при предоставлении этого реестра в порядке, установленном настоящей частью, в целях созыва и организации проведения общего собрания собственников помещений в многоквартирном доме не требуется.

Согласно пп. «а» п. 19 Приказа Минстроя России от 25 декабря 2015 г. № 937/пр «Об утверждении Требований к оформлению протоколов общих собраний собственников помещений в многоквартирных домах и Порядка передачи копий решений и протоколов общих собраний собственников помещений в многоквартирных домах в уполномоченные органы исполнительной власти субъектов Российской Федерации, осуществляющие государственный жилищный надзор» обязательными приложениями к протоколу общего собрания являются реестр собственников помещений в многоквартирном доме, содержащий сведения обо всех собственниках помещений в многоквартирном доме с указанием фамилии, имени, отчества (при наличии) собственников — физических лиц, полного наименования и ОГРН юридических лиц, номеров принадлежащих им помещений, и реквизитов документов, подтверждающих права собственности на помещения, количества голосов, которым владеет каждый собственник помещения в многоквартирном доме.

Таким образом, если переход на «прямые договоры» осуществлен по решению собственников МКД, то в РСО направляется копия протокола общего собрания собственников, на котором такое решение принималось, с приложением — реестром собственников помещений МКД. Отметим, что Приказ Минстроя РФ от 25 декабря 2015 г. № 937/пр предусматривает, что в реестре собственников должны быть указаны «реквизиты документов, подтверждающих права собственности на помещения». Однако, если РСО или Оператор ТКО требуют паспортные данные (дату и место рождения, серию и номер паспорта, дату выдачи и орган, его выдавший), а также иные данные, не предусмотренные в реестре, то передача таких данных возможна только в случае наличия согласия субъекта персональных данных.

Если же РСО или Оператор ТКО по своей инициативе приняли решение о переходе на «прямые договоры», в таком случае протокол общего собрания собственников отсутствует, соответственно, реестр собственников РСО получить не может.

Отметим, что в случае заключения с РСО и (или) Оператором ТКО договора, содержащего положения о предоставлении коммунальных услуг, и договора на оказание услуг по обращению с твердыми коммунальными отходами соответственно, в отношении них действуют те же самые положения ст. 6 ФЗ № 152, и в случае, если РСО или Оператор ТКО не осуществляют распространение и передачу персональных данных собственников третьим лицам, согласие собственников считается выраженным уже в договоре, и дополнительно согласия на обработку персональных данных не требуется. Однако, указанные положения не означают наличие обязанности УО/ТСЖ/ЖСК по передаче таких данных в РСО.

По материалам сайта «АКАТО».

Источник

02.07.2018 | Персональные данные в ЖКХ

«Защита персональных данных», «уведомление об обработке персональных данных», «согласие на обработку персональных данных», «законодательство о защите персональных данных» — данные словосочетания становятся проблемой и головной болью многих УО, ТСЖ, ЖСК, которые неожиданно столкнулись с понятием «персональные данные» и которым не хочется ни нарушить закон, ни поссорится с собственниками, ни навлечь на себя предписания и штрафы контролирующих органов. При этом расплывчатые формулировки законодательства о персональных данных, отсутствие внятных разъяснений гос.органов (и их стремление, в первую очередь, к карательной, а не регулирующей функции) делают еще более сложно определяемыми как отнесение той или иной информации к персональным данным, так и порядок обращения с такими данными. Да еще и собственники помещений все больше проникаются пониманием некой «священной неприкосновенности» их персональных данных, которые, по мнению довольно значительного их (собственников) числа, якобы нельзя использовать для целей предъявления этим собственникам к оплате стоимости потребленных ими же услуг, для взыскания имеющихся задолженностей, для исполнения обязанностей, предусмотренных законодательством, и т.д. и т.п. В последнее время в АКАТО все чаще поступают вопросы о том, в каких случаях необходимо УО, ТСЖ, ЖСК получать согласие собственника на передачу о нем информации в иные организации и гос.органы, а также о необходимости предоставления персональных данных собственников в РСО в связи с переходом на «прямые договоры» и региональному оператору по работе с ТКО. Попробуем ответить на наиболее актуальные вопросы в данной статье.

Что такое персональные данные?

Таким образом:

персональные данные — это любая информация, относящаяся к собственникам (нанимателям) помещений МКД, а также работникам УО, ТСЖ, ЖСК;
обработка персональных данных — это любое действие, которое с ними совершается;
все управляющие компании, ТСЖ, ЖСК (далее — управляющие организации) являются операторами по обработке персональных данных, поскольку собирают, систематизируют, хранят, уточняют, используют и передают информацию, касающуюся собственников многоквартирного дома.

Уведомление уполномоченного органа

По общему правилу оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (п. 1 ст. 22 ФЗ № 152).

Неуведомление (непредставление или несвоевременное представление) уполномоченного госоргана в порядке ст. 22 ФЗ № 152 влечет за собой административную ответственность в соответствии с Кодексом Российской Федерации об административных правонарушениях (ст. 19.7). Ответственность за подобные правонарушения установлена в виде предупреждения или наложения административного штрафа (на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц от трех тысяч до пяти тысяч рублей).

Вместе с тем, п. 2 ст. 22 ФЗ № 152 установлены случаи, в соответствии с которыми УО, ТСЖ, ЖСК вправе осуществлять без уведомления Роскомнадзора обработку персональных данных, к которым относятся данные:
— обрабатываемые в соответствии с трудовым законодательством;
— полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
— относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
— сделанные субъектом персональных данных общедоступными;
— включающие в себя только фамилии, имена и отчества субъектов персональных данных;
— необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
— включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
— обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
— обрабатываемые в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Так, если УО, ТСЖ, ЖСК осуществляет, например, обработку в соответствии с трудовым законодательством, то при обработке данных своих работников, они не обязаны уведомлять Роскомнадзор о начале обработке персональных данных. Отметим, что право не уведомлять Роскомнадзор не исключает возможности (в случае желания, на всякий случай и по прочим индивидуальным причинам) уведомить уполномоченный орган о начале обработки данных.

Таким образом, за исключением случаев, установленных п. 2 ст. 22 ФЗ № 152, УО, ТСЖ, ЖСК обязаны уведомлять уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

Передача данных с согласия субъекта персональных данных

Требования к согласию субъекта персональных данных установлены ст. 9 ФЗ № 152.

Важно отметить, что обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора (п. 3 ст. 6 ФЗ № 152), то есть именно УО, ТСЖ и ЖСК должны будут доказывать, получено ли такое согласие или его получение не требуется. Сам собственник помещения МКД (субъект персональных данных) данное обстоятельство доказывать не обязан, а просто может заявить о том, что его права были нарушены оператором персональных данных.

Более подробные разъяснения о требованиях к согласию субъекта персональных данных в настоящей статье не приведены, поскольку не являются целью данной публикации. Указанные разъяснения даны экспертом О.Е.Яндыевой в ходе вебинара, видеозапись которого доступна к приобретению на сайте АКАТО.

Обработка персональных данных без согласия субъекта и без уведомления Роскомнадзора в связи с исполнением договора

Обработка персональных данных допускается в случае, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (ч. 2 ст. 6 ФЗ № 152), а также для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (ч. 5 ст. 6 ФЗ № 152). В указанных случаях согласия субъекта персональных данных на обработку персональных данных не требуется.

Ч. 1 ст. 162 ЖК РФ устанавливает, что договор управления многоквартирным домом заключается с управляющей организацией, которой предоставлена лицензия на осуществление деятельности по управлению многоквартирными домами в соответствии с требованиями настоящего Кодекса, в письменной форме или в электронной форме с использованием системы путем составления одного документа, подписанного сторонами. При выборе управляющей организации общим собранием собственников помещений в многоквартирном доме с каждым собственником помещения в таком доме заключается договор управления на условиях, указанных в решении данного общего собрания. При этом собственники помещений в данном доме, обладающие более чем пятьюдесятью процентами голосов от общего числа голосов собственников помещений в данном доме, выступают в качестве одной стороны заключаемого договора.

Отметим, что заключившими договор с управляющей организацией считаются все собственники МКД, в том числе и те, которые не принимали участие в голосовании и непосредственно договор не подписывали, а также новые собственники (лица, у которых право собственности на помещение в МКД возникло после выбора управляющей организации).

Действительно, в соответствии с ч. 1–2 ст. 135 ЖК РФ товариществом собственников жилья признается вид товариществ собственников недвижимости, представляющий собой объединение собственников помещений в многоквартирном доме для совместного управления общим имуществом в многоквартирном доме либо имуществом собственников помещений в нескольких многоквартирных домах или имуществом собственников нескольких жилых домов. Устав товарищества собственников жилья принимается на общем собрании большинством голосов от общего числа голосов собственников помещений в многоквартирном доме.

Согласно п. 6 Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденными Постановлением Правительства РФ от 06 мая 2011 г. № 354, предоставление коммунальных услуг потребителю осуществляется на основании возмездного договора, содержащего положения о предоставлении коммунальных услуг. Договор, содержащий положения о предоставлении коммунальных услуг, может быть заключен с исполнителем в письменной форме или путем совершения потребителем действий, свидетельствующих о его намерении потреблять коммунальные услуги или о фактическом потреблении таких услуг (далее — конклюдентные действия).

Иными словами, хотя прямо в ЖК РФ не предусмотрено заключение договора между собственниками и ТСЖ и ЖСК, согласно Правилам № 354 они такой договор, даже если и не письменно, а путем совершения конклюдентных действий совершают, а значит, вышеуказанные положения ст. 6 ФЗ № 254 применимы как к УО, так и к ТСЖ и ЖСК,

Передача персональных данных расчетным центрам (платежным агентам)

Данная возможность закреплена в чч. 15–16 ст. 155 ЖК РФ, в соответствии с которыми наймодатель жилого помещения, управляющая организация, иное юридическое лицо или индивидуальный предприниматель, которым в соответствии с настоящим Кодексом вносится плата за жилое помещение и коммунальные услуги, а также их представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов, осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов, осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности. При привлечении такими лицами представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется.

Передача персональных данных собственников от УО/ТСЖ/ЖСК в РСО, оператору по обращению с ТКО при переходе на «прямые договоры»

Передача персональных данных в иных случаях

Дополнительно отметим, что существуют и иные условия и требования к обработке персональных данных, в данной статье освещены наиболее актуальные из них.

Например, ранее на сайте АКАТО была опубликована статья, посвященная правомерности предоставления по запросам различных органов документов, содержащих персональные данные собственников помещений МКД.

Более подробную информацию, в том числе по ряду иных положений ФЗ № 152 (разработка положения о персональных данных) с разъяснениями эксперта и с шаблонами (примерами) необходимых документов, Вы можете получить, приобретя видеозапись онлайн-семинара, описание которого представлено по ссылке > > >

Источник