Персональные данных в ЖКХ. Сбор, обработка и хранение в 2023 г.
«Защита персональных данных», «отказ от предоставления персональных данных», «согласие на обработку персональных данных» - эти и аналогичные словосочетания уже стали причиной головной боли многих ТСЖ, ЖСК и СНТ. Собственники противятся сбору данных, а контролирующие органы требуют соблюдения законов. Все это приводит к бесконечным проблемам для управляющих организаций.
Сегодня мы ответим на самые часто задаваемые вопросы, касающиеся персональных данных в сфере жилищно-коммунального хозяйства и управления недвижимостью:
- - Что такое персональные данные в ЖКХ?
- - Является ли ТСЖ, ЖСК и СНТ операторами персональных данных?
- - Согласие на обработку персональных данных и когда его нужно получить?
- - В каких случаях и какие документы по обработке данных жильцов нужно иметь в ТСЖ, ЖСК и СНТ?
- - Кому нужно подавать уведомление в Роскомнадзор об обработке персональных данных?
- - Что будет, если не соблюдать закон №152-ФЗ?
Что такое персональные данные и что является персональными данными?
Федеральный закон РФ № 152-ФЗ «О персональных данных», вступивший в силу 26.01.2007, регламентирует требования по работе с персональными данными (далее - ПД) российских граждан, обеспечивает защиту их интересов и надлежащий уровень защиты.
И для начала разберемся в терминологии.
Согласно пункту 1 статьи 3 Федерального закона от 27.07.2016 № 152-ФЗ (далее — ФЗ № 152) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 ФЗ № 152).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ № 152).
Иными словами:
- - персональные данные — это любая информация, относящаяся к собственникам (нанимателям) помещений МКД, а также работникам УО, ТСЖ, ЖСК и СНТ и(или) физическим лицам, оказывающим услуги либо выполняющим работы данным организациям;
- - обработка персональных данных — это любое действие, которое с ними совершается;
- - все УК, ТСЖ, ЖСК и СНТ являются операторами по обработке персональных данных, поскольку собирают, систематизируют, хранят, уточняют, используют и передают информацию, касающуюся собственников и жильцов многоквартирного дома, а также собственных работников и(или) иных физических лиц, которые выполняют (оказывают) УО работы (услуги).
П.1 ст.3 №152-ФЗ предоставляет достаточно размытое понятие что же следует относить к персональным данным:
«ПД — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).»
Это можно трактовать как то, что персональными данными физического лица являются те данные, которые позволяют однозначно идентифицировать это самое физическое лицо и прямо к нему относятся. Например, к ним относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, имущественное положение и т.д.
Обратите внимание: Размещенные на информационном стенде сведения о должниках без ФИО с указанием квартиры также может квалифицировать в качестве персональных данных, так как через данные сведения косвенно можно установить и конкретно лицо, владеющее квартирой.
При этом юридические лица не являются субъектами персональных данных, так как вовсе их не имеют. Но ее работники или их представители могут быть субъектами персональных данных, обработку которых осуществляет УО.
Как определить является ли ТСЖ, ЖСК, СНТ оператором персональных данных?
Согласно п.2 ст.3 152-ФЗ оператором является юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, становится явно, что ТСЖ, ЖСК, СНТ являются операторами ПД, а значит у данных организаций сферы ЖКХ, возникают обязанности по защите ПД при их обработке (гл. 4 ФЗ №152-ФЗ).
Какие обязанности возлагает закон №152-ФЗ на операторов ПД?
Оператор персональных данных должен выполнять следующие обязанности:
- - определить набор ПД, цели обработки данных, действия с ПД, которые планируется осуществлять, способы обработки ПД и возможности передачи ПД третьим лицам и иное;
- - уведомить Роскомнадзор о начале обработки персональных данных;
- - принять
- и опубликовать политику (чаще всего в практике именуется «Положение об обработке персональных данных») в отношении обработки ПД;
- - определить ответственных лиц за сбор, обработку, хранение и передачу ПД;
- - получить согласие на обработку ПД от субъектов в случаях, установленных законом № 152-ФЗ;
- - предоставить доступ к персональным данным их владельцам по их требованию;
- - уточнить, блокировать или уничтожить данные по требованию владельца;
- - обеспечить безопасность ПД при обработке и обрабатывать их на российских серверах.
Когда нужно получить согласие на обработку ПД?
Согласно ст. 9 Фз № 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным и может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Это может быть как письменная форма, так и электронная, позволяющая идентифицировать субъект ПД.
Также согласие на обработку ПД может быть зафиксировано в договоре управления, в договоре ресурсоснабжения.
Роскомнадзор рекомендует иметь письменную форму согласия на обработку ПД с каждым субъектом ПД. На практике это затруднительно и предпочтительно вносить пункт о согласии на обработку ПД в договор управления.
В каких случаях не требуется согласие на обработку персональных данных?
Если у вас нет согласия на обработку ПД от собственников, но вы их обрабатываете внутри организации и не отдаёте их в сторонние организации, в таком случае согласие на обработку персональных данных по общему правилу не требуется.
Если вы планируете передавать персональные данные собственников третьим лицам (например, юристы и специализированные организации), согласие на обработку нужно обязательно получить. Ответственность за передачу данных без согласия субъектов ПД в этом случае несёт управляющая организация.
Помимо прочего, закон № 152-ФЗ раскрывает случаи, когда согласие на обработку ПД для передачи третьим лицам не требуется:
1. Если это разрешает Федеральный закон. Так, например, для размещения информации в ГИС ЖКХ согласия на обработку ПД не нужно. Либо, например, при передаче реестра собственников помещений в МКД в целях созыва и организации проведения общего собрания (ч. 3.1 ст. 45 ЖК РФ). То есть инициатору собрания данный реестр дадут и без согласия субъектов персональных данных.
2. Если вы передаёте данные платёжному агенту и расчётным центрам (ч. 16 ст. 155 ЖК РФ).
Также не требуется согласие на обработку ПД в случае, когда вы привлекаете стороннего гражданина или организацию для расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги. В этом случае нужно закрепить данное условие в договоре - положение о конфиденциальности персональных данных (ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 № 152-ФЗ).
Какие документы о персональных данных должны быть в ТСЖ, ЖСК и СНТ?
- - Положение по обработке персональных данных сотрудников, соискателей и контрагентов в соответствии с 152-ФЗ.
В том числе:
- - Политика обработки персональных данных,
- - Согласие на предоставление и обработку персданных работников, контрагентов, соискателей
- - Политика конфиденциальности
- - Сообщение работнику о необходимости получить его персданные у третьей стороны
- - Положение о защите персданных
- - Формы согласия субъектов персональных данных в зависимости от категории;
- - Уведомления об обработке ПД в Роскомнадзор;
А также при необходимости регистрация в Роскомнадзоре.
Кому нужно подавать уведомление об обработке персональных данных?
Напомним, что с 01.09.2022 г. в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», которые обязали всех операторов в сфере ЖКХ отправлять уведомления о начале обработки ПД в Роскомнадзор.
Подробно мы уже рассказывали ранее в статье «С 1 сентября ТСЖ, ЖСК и иные УО обязаны отчитываться о персданных в Роскомнадзор»
По общему правилу оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (п. 1 ст. 22 ФЗ № 152).
Уведомление нужно направлять в территориальный орган Роскомнадзора (абз. 2 п. 3.1.13 Приказа Роскомнадзора от 30 мая 2017 г.)
Непредставление или несвоевременное представление уведомления влечет за собой административную ответственность.
Ответственность за подобные правонарушения установлена в виде предупреждения или наложения административного штрафа (на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц от трех тысяч до пяти тысяч рублей).
Исключения
Также есть и ряд исключений, когда ТСЖ, ЖСК и СНТ не нужно подавать уведомление в Роскомнадзор, если:
1. ПД обрабатываются в соответствии с ТК РФ;
2. ПД не распространяются, не предоставляются третьим лицам без согласия собственника и используются только для выполнения условий договора, заключенного с собственником;
3. ПД сделаны собственником общедоступными;
4. данные включают в себя только ФИО;
5. данные используются для единоразового пропуска собственника на территорию ТСЖ, ЖСК, СНТ, или в иных аналогичных целях;
6. ПД обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Важно отметить:
если ранее вашей организацией не было направлено уведомление об обработке персональных данных, такое уведомление необходимо направить во избежание более серьезных санкций в дальнейшем.
Рано или поздно Роскомнадзор доберется и до проверки наличия уведомлений и документов в ТСЖ, ЖСК, СНТ и иных УО.
Что будет, если не соблюдать закон №152-ФЗ?
И здесь сразу веер ответственности в зависимости от того, какое нарушение допущено оператором ПД. Ответственность за несоблюдение требований закона №152-ФЗ регламентирует
Основные нарушения по работе с ПД в ТСЖ, ЖСК и СНТ
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие влечет за собой следующие последствия.
Предупреждение или административный штраф:
- на граждан – от 6 тыс. до 10 тыс. руб.;
- на должностных лиц – от 20 тыс. до 40 тыс. руб.;
- на юридических лиц – от 30 тыс. до 150 тыс. руб.
- на граждан - от 10 до 20 тысяч рублей;
- на должностных лиц - от 40 до 100 тысяч рублей;
- на юридических лиц - от 300 тысяч до 500 тысяч рублей.
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области ПД, либо обработка несовместимая с целями сбора (ч. 1 ст. 13.11 КоАП РФ)
Предупреждение или административный штраф
- на граждан – 2 до 6 тысяч рублей;
- на должностных лиц - от 10 до 20 тысяч рублей;
- на юридических лиц - от 60 до 100 тысяч рублей.
- на граждан – от 4 до 12 тысяч рублей;
- на должностных лиц - от 20 до 50 тысяч рублей;
- на юридических лиц - от 100 тысяч до 300 тысяч рублей.
Политика обработки персональных данных не опубликована или не доступна в свободном доступе (ч. 3 ст. 13.11 КоАП РФ)
- на граждан – от 1,5 до 3 тыс. руб.;
- на должностных лиц – от 6 тыс. до 12 тыс. руб.;
- на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
- на юридических лиц – от 30 тыс. до 60 тыс. руб.
Не предоставлено субъекту ПД информация, касающаяся обработки его ПД (ч. 4 ст. 13.11 КоАП РФ)
Предупреждение или административный штраф:
- на граждан – от 2 тыс. до 4 тыс. руб.;
- на должностных лиц – от 8 тыс. до 12 тыс. руб.;
- на ИП – от 20 до 30 тыс. руб.;
- на юридических лиц – от 40 до 80 тыс. руб.
Невыполнение оператором в сроки требования субъекта ПД, Роскомнадзора или его об уточнении ПД, их блокировании или уничтожении в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 5 ст. 13.11 КоАП РФ)
Административный штраф
- на граждан - от 2 до 4 тыс.рублей;
- на должностных лиц - от 8 до 20 тысяч рублей;
- на ИП – от 20 до 40 тыс. рублей;
- на юридических лиц - от 50 до 90 тысяч рублей.
- на граждан – от 20 до 30 тысяч рублей;
- на должностных лиц - от 30 до 50 тысяч рублей;
- на ИП – от 50 до 100 тысяч рублей;
- на юридических лиц - от 300 тысяч до 500 тысяч рублей.
При обработке ПД без использования средств автоматизации не соблюдены условия по сохранности ПД и это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные (ч. 6 ст. 13.11 КоАП РФ)
Административный штраф
- на граждан - от 1,5 до 4 тыс.рублей;
- на должностных лиц - от 8 до 20 тысяч рублей;
- на ИП – от 20 до 40 тыс. рублей;
- на юридических лиц - от 50 до 100 тысяч рублей.
Невыполнение оператором при сборе ПД, в том числе посредством "Интернет", обязанности по использованию при обработке ПД баз данных, находящихся на территории РФ (ч. 8 ст. 13.11 КоАП РФ)
Административный штраф
- на граждан - от 30 до 50 тыс.рублей;
- на должностных лиц - от 100 до 200 тысяч рублей;
- на юридических лиц - от 1 до 6 миллионов рублей.
Подготовим комплект документов по обработке персональных данных для ТСЖ, ЖСК и иных организаций ЖКХ:
- уведомление о начале обработки персональных данных в организации- полный комплект документ по защите, хранению и обработке персональных данных в соответствии с действующим законодательством и Федеральным законом № 152-ФЗ:
- Пакет документов по 152-ФЗ в отношении сотрудников и жильцов МКД;
- Политика обработки персональных данных;
- Политика конфиденциальности;
- при необходимости регистрация в Роскомнадзоре.
Стоимость услуги - 7 000 руб.
В стоимость услуги включена подача уведомления в контролирующий орган - Роскомнадзор.
Для заказа комплекта документов по персональным данным в ТСЖ, ТСН, ЖСК обращайтесь
+7 812 327-09-10, info@gkhhelp.ru или urist@gkhhelp.ru
Присоединяйтесь к нашим социальным сетям, чтобы всегда оставаться в курсе новостей ЖКХ.
|
КонтактыАдрес:199178, Россия, Санкт-Петербург, 5-я линия В.О., д. 68, к.2, лит В Телефон: 8 (812) 327-09-10 |
Обратная связь |