Традиционно в конце года у нас проходит большая итоговая трёхдевная конференция, для которой мы подбираем самые интересные для УО и ТСЖ темы. В первый день, 22 декабря, вместе с Ирэн Парсамян и Борисом Валитом мы обсудили, что в 2020 году изменилось в проведении ОСС и заполнении ГИС ЖКХ.

Когда и как УО должна направлять соцслужбе данные о долгах за ЖКУ

Изменения в проведении ОСС и в заполнении ГИС ЖКХ

Спикерами первого дня итоговой конференции стали Ирэн Парсамян, исполнительный директор Ассоциации «Р1», и Борис Валит, руководитель РосКвартала. Ирэн рассказала об изменениях, произошедших в проведении общих собраний собственников. А Борис поделился советами, как соблюсти сроки размещения информации в ГИС ЖКХ.

Смотрите демо-ролик на YouTube-канале Ассоциации «Р1» →

Пандемия приостановила возможность проведения ОСС в «традиционных» формах. Федеральный закон от 25.05.

2020 № 156-ФЗ должен был облегчить переход на цифровые собрания, отменив первичное «традиционное» собрание для ГИС ЖКХ и РИС, однако, на практике всё оказалось не так просто.

Посмотрите видеозапись онлайн-конференции, чтобы узнать, на какие нюансы нужно обратить внимание при организации онлайн-ОСС.

В видеозаписи и презентации к первому дню конференции вы также найдёте подробные рекомендации, что, в какой последовательности и как размещать в системе.

Как провести онлайн-ОСС: законодательство, практика, ваши вопросы

Персональные данные в решениях и их размещение в ГИС ЖКХ

Споров по поводу размещения в ГИС ЖКХ протоколов ОСС, содержащих персональные данные собственников помещений в МКД, много. Ирэн Парсамян подробно остановилась на этом вопросе.

ГЖИ требуют загружать в систему сканированные копии решений собственников. Но управляющие организации сомневаются: собственники не разрешали им делиться персональными данными в интернете. Не нарушают ли УО таким образом Закон о защите персональных данных?

Ирэн Парсамян отметила, что в такой ситуации слушать необходимо ГЖИ, позиция которой законодательно обоснована. Во-первых, согласно ч. 1 ст.

46 ЖК РФ, «решения и протокол ОСС являются официальными документами как документы, удостоверяющие факты, влекущие за собой юридические последствия в виде возложения на собственников помещений в МКД обязанностей в отношении общего имущества в данном доме, изменения объёма прав и обязанностей или освобождения этих собственников от обязанностей, и подлежат размещению в системе лицом, инициировавшим общее собрание».

Во-вторых, в пп. «ж» п.

20 приказа № 44/пр указано, что «обязательными приложениями к протоколу общего собрания являются… письменные решения (бюллетени) собственников помещений и их представителей, принявших участие в проведённом ОСС, которые должны содержать сведения, позволяющие идентифицировать лиц, заполнивших их, дату их заполнения, а также сведения о волеизъявлении собственников помещений и их представителей».

Статьи

В последнее время все больше и больше граждан обеспокоены ущемлением их прав и законных интересов, в том числе, и в вопросах, касающихся разглашения персональных данных (далее — ПД). Несмотря на то, что судебная практика по персональным данным не очень обширна, но все же она имеет место быть. В данной статье, мы рассмотрим наиболее интересные, на наш взгляд, судебные акты.

Но вначале необходимо остановиться на основных моментах, регламентирующих обработку персональных данных, которые регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

• Итак, персональными данными считается любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных).
• При этом, под обработкой персональных данных понимаются любые действия, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Управляющая организация, являясь оператором по обработке персональных данных собственников, чтобы не нарваться на штраф, должна соблюдать требования Закона № 152-ФЗ.
• Как следует из статьи 7 Закона № 152-ФЗ операторы обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
• Пункт 2 части 1 статьи 6 Закона № 152-ФЗ указывает на то, что обработка персональных данных может осуществляться без получения согласия субъекта, если такая обработка необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
• Перейдем к судебной практике:

1. Апелляционное определение Новосибирского областного суда от 28.05.2015г. по делу № 33-4507/2015:

«В соответствии со статьей 7 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом…

Утверждение представителя заявителя о том, что включение в протокол явочного листа с указанием фамилий, инициалов, площадей квартир и долей в праве общей собственности правомерно и соответствует положениям статьи 181.

2 Гражданского кодекса РФ и части 4 статьи 143 Жилищного кодекса РФ, не может быть признано состоятельным, поскольку упомянутые нормы регламентируют содержание протокола общего собрания, при этом объем сведений о лицах, принявших участие в собрании, императивно законом не установлен…

Кроме того, при размещении в сети Интернет документов о деятельности товарищества, последнее обязано соблюдать требования статьи 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе посредством обезличивания персональных данных, если таковые имеются.

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

• фамилия, имя, отчество;
• место, дата рождения;
• место постоянной или временной регистрации;
• фотография или видеозапись человека, позволяющие идентифицировать человека;
• сведения о детях, родственниках, семейном положении;
• сведения о заработной плате;
• оценка навыков, личностных качеств;
• индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
• информация о судимостях, или их отсутствии;
• номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
• паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
• биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут.

Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.

ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

• общедоступные;
• специальные;
• биометрические;
• иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

• Немного подробнее по каждой категории.
• Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
• Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
• судимостях.

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

• сбор;
• передача;
• запись;
• хранение;
• извлечение;
• изменение;
• обезличивание;
• анализ;
• удаление.

В свою очередь, обработка может осуществляться тремя путями:

• Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
• Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
• Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.

Определить срок хранения документа онлайн

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

• обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
• обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
• неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

• Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
• Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
• Отвечать на обращения субъектов и предоставлять им всю информацию.
• Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
• Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
• Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Смотреть, что будет, если неправильно хранить документы

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

• сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
• персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
• обработка персональных данных, находящимся в открытом доступе;
• сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
• сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
• сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Пост написан пользователем Создайте свой блог, выскажитесь и станьте суперзвездой «Клерка» Создать блог

Ответы Роскомнадзора на вопросы о персональных данных

В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.

Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.

В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

В соответствии с п. 2 ст.3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

• 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
• 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
• 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В соответствии с ч.1 ст.22 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:

1. 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2. 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4. 4) являющихся общедоступными персональными данными;
5. 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6. 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации

.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора.

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.

Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.

Типовая форма акта и журнала утверждаются самим Оператором.

• Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют:
• — стандарты и рекомендации в области стандартизации Банка России;
• — концепция защиты персональных данных в информационных системах персональных данных оператора связи;
• — методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Источник: Информация Роскомнадзора от 25.09.2015

Персональные данные в ЖКХ

 «Защита персональных данных», «уведомление об обработке персональных данных», «согласие на обработку персональных данных», «законодательство о защите персональных данных» — данные словосочетания становятся проблемой и головной болью многих УО, ТСЖ, ЖСК, которые неожиданно столкнулись с понятием «персональные данные» и которым не хочется ни нарушить закон, ни поссорится с собственниками, ни навлечь на себя предписания и штрафы контролирующих органов. При этом расплывчатые формулировки законодательства о персональных данных, отсутствие внятных разъяснений гос.органов (и их стремление, в первую очередь, к карательной, а не регулирующей функции) делают еще более сложно определяемыми как отнесение той или иной информации к персональным данным, так и порядок обращения с такими данными. Да еще и собственники помещений все больше проникаются пониманием некой «священной неприкосновенности» их персональных данных, которые, по мнению довольно значительного их (собственников) числа, якобы нельзя использовать для целей предъявления этим собственникам к оплате стоимости потребленных ими же услуг, для взыскания имеющихся задолженностей, для исполнения обязанностей, предусмотренных законодательством, и т.д. и т.п. В последнее время все чаще поступают вопросы о том, в каких случаях необходимо УО, ТСЖ, ЖСК получать согласие собственника на передачу о нем информации в иные организации и гос. органы, а также о необходимости предоставления персональных данных собственников в РСО в связи с переходом на «прямые договоры» и региональному оператору по работе с ТКО. Попробуем ответить на наиболее актуальные вопросы.

Что такое персональные данные? 

 Согласно пункту 1 статьи 3 Федерального закона от 27.07.2016 № 152-ФЗ (далее — ФЗ № 152) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

 Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 ФЗ № 152).

 Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ № 152).

• Таким образом: 
•  • персональные данные — это любая информация, относящаяся к собственникам (нанимателям) помещений МКД, а также работникам УО, ТСЖ, ЖСК;
• • обработка персональных данных — это любое действие, которое с ними совершается; 
•  • все управляющие компании, ТСЖ, ЖСК (далее — управляющие организации) являются операторами по обработке персональных данных, поскольку собирают, систематизируют, хранят, уточняют, используют и передают информацию, касающуюся собственников многоквартирного дома.
•  Уведомление уполномоченного органа

По общему правилу оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (п. 1 ст. 22 ФЗ № 152). 

 Органом, уполномоченным на защиту прав субъектов персональных данных в соответствии со ст. 23 ФЗ № 152 является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Уведомление рекомендуется направлять в территориальный орган Роскомнадзора — управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Приказа Роскомнадзора от 30 мая 2017 г.

№ 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

Уведомление должно быть подготовлено и направлено в уполномоченный орган в соответствии с вышеуказанными методическими рекомендациями»). 

 Неуведомление (непредставление или несвоевременное представление) уполномоченного госоргана в порядке ст. 22 ФЗ № 152 влечет за собой административную ответственность в соответствии с Кодексом Российской Федерации об административных правонарушениях (ст. 19.7).

Ответственность за подобные правонарушения установлена в виде предупреждения или наложения административного штрафа (на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц от трех тысяч до пяти тысяч рублей).

Вместе с тем, п. 2 ст. 22 ФЗ № 152 установлены случаи, в соответствии с которыми УО, ТСЖ, ЖСК вправе осуществлять без уведомления Роскомнадзора обработку персональных данных, к которым относятся данные: 

1. — обрабатываемые в соответствии с трудовым законодательством;
2. — полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. — относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением
4. или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
5. — сделанные субъектом персональных данных общедоступными;
6. — включающие в себя только фамилии, имена и отчества субъектов персональных данных;
7. — необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
8. — включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
9. — обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
10. — обрабатываемые в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Так, если УО, ТСЖ, ЖСК осуществляет, например, обработку в соответствии с трудовым законодательством, то при обработке данных своих работников, они не обязаны уведомлять Роскомнадзор о начале обработке персональных данных. Отметим, что право не уведомлять Роскомнадзор не исключает возможности (в случае желания, на всякий случай и по прочим индивидуальным причинам) уведомить уполномоченный орган о начале обработки данных.

Из вышеприведенного перечня интерес также представляет следующее положение — УО, ТСЖ, ЖСК вправе осуществлять обработку персональных данных без уведомления в случае, когда данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Иными словами, если УО, ТСЖ, ЖСК персональные данные собственников обрабатывает, однако не распространяет и не передает третьим лицам, то оно не обязано направлять уведомление в Роскомнадзор.

Таким образом, за исключением случаев, установленных п. 2 ст. 22 ФЗ № 152, УО, ТСЖ, ЖСК обязаны уведомлять уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

Если до того, как УО, ТСЖ, ЖСК приступили к работе, связанной с обработкой персональных данных, уведомление в Роскомнадзор направлено не было, то представление уведомления в таком случае будет несвоевременным.

Вместе с тем, даже если ранее не было направлено уведомление об обработке персональных данных, такое уведомление необходимо направить во избежание более серьезных санкций в дальнейшем.

К ситуации, при которой обязанности по уведомлению Роскомнадзора не существовало, а в какой-то момент она возникла, можно отнести, например, переход от обработки данных без использования средств автоматизации к обработке с использованием таких средств.

Передача данных с согласия субъекта персональных данных

Обработка персональных данных допускается в случае, когда обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (ч. 1 ст. 6 ФЗ № 152).

Требования к согласию субъекта персональных данных установлены ст. 9 ФЗ № 152.

Так, например, согласие на обработку персональных данных должно быть конкретным, информированным и сознательным (п. 1 ст. 9 ФЗ № 152), а в случаях, предусмотренных законом обработка персональных данных осуществляется только с согласия в письменной форме (п. 4 ст. 9 ФЗ № 152).

Важно отметить, что обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора (п. 3 ст.

6 ФЗ № 152), то есть именно УО, ТСЖ и ЖСК должны будут доказывать, получено ли такое согласие или его получение не требуется.

Сам собственник помещения МКД (субъект персональных данных) данное обстоятельство доказывать не обязан, а просто может заявить о том, что его права были нарушены оператором персональных данных.

Обработка персональных данных без согласия субъекта и без уведомления Роскомнадзора в связи с исполнением договора

Обработка персональных данных допускается в случае, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (ч. 2 ст.

6 ФЗ № 152), а также для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (ч. 5 ст.

6 ФЗ № 152). В указанных случаях согласия субъекта персональных данных на обработку персональных данных не требуется.