Правовое регулирование
Персональные данные россиян должны быть под защитой. Федеральный закон 152 гласит, что необходимы меры на случай неравномерного или случайного доступа к ним. Этот же закон обязывает защищать персональный данные от уничтожения, изменения, блокирования и распространения.
Отметим, закон вышел еще 27 июля 2006 года. Он так и называется - «О персональных данных». Именно в связи с этим законам все мы периодически подписываем согласия на обработку персональных данных - на работе, в школе, в детском саду, в поликлиниках и в других учреждениях. В том числе и в жилищно-коммунальной сфере. В противном случае, поясняют нам, невозможна работа.
Для начала поясним, что персональными данными может быть любая информация о ком-либо. Персональные данные делятся на несколько групп. В одной информация о национальности, об убеждениях - религиозных, философских или политических. Сюда же входит информация о здоровье и личной жизни. Во вторую группу входят биологические или физиологические особенности. Причем, практически все понимают, что отпечатки пальцев - это персональные данные, а на счет фотографии порою не догадываются.
В третью группы входят общедоступные сведения. И в четвертую - те данные, которые не попали в вышеперечисленные категории.
Организуют сбор персональных данных и обрабатывают их обычно органы государственной власти, местное самоуправление. Могут это делать юридические и физические лица - самостоятельно или с другими людьми.
В сфере ЖКХ в качестве операторов персональных данных выступают управляющие и обслуживающие компании, ресурсоснабжающие организации, ТСЖ, ЖСК, информационно-расчетные центры, фонд капитального ремонта.
Обрабатывать персональные данные можно только с письменного согласия человека. Еще возможен вариант согласия в форме электронного документа, подписанного электронной подписью.
В Согласии указываются фамилия, имя, отчество, адрес, данные документа, удостоверяющего личность (номер, сведения о дате выдачи и выдавшем его органе), сведения об учреждении, для которого подписывается согласие, а также причины - для чего это делается. Помимо общей цели должен быть список действий, на совершение которых дается согласие. Также в документе указывается срок его действия и способ его отзыва.
Законы РФ декларируют, что персональные данные должны использоваться в законных целях, соответствовать цели объявленного сбора. И собираемые данные не должны быть избыточными, слишком уж подробными. Вместе с тем неполные или неточные данные оператор должен уточнить или удалить вовсе.
Есть и правила обработки, хранения персональных данных. Нельзя, к примеру, объединять базы данных, которые собирались для выполнения разных задач. Хранить данные должны не более указанного срока. А потом - уничтожить.
Статья 17-я 152 ФЗ гласит, что человек, даже если он согласился на обработку своих личных данных, имеет право на защиту своих прав, интересов. В законе прописано и возмещение убытков, а также компенсация морального вреда в судебном порядке в случае, если оператор работает с нарушением требований законодательства или иным образом нарушает права гражданина.
Организации ЖКХ обязаны озвучить, показать или написать о своей политике по отношению к обработке персональных данных. В соответствии со статьей 161 Жилищного кодекса управляющая компания обязана обеспечить свободный доступ к информации об основных показателях ее финансово-хозяйственной деятельности; о своих услугах и работах по содержанию и ремонту общего имущества в многоквартирном доме. Также общедоступной должна быть информация о порядке, условиях и стоимости их оказания, выполнения, о ценах (тарифах) на ресурсы, необходимые для предоставления коммунальных услуг. Такие стандарты раскрытия информации о деятельности УК соответствуют стандартам, которые утверждены Правительством РФ.
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Процедура уведомления для операторов является бесплатной.
В некоторых случаях оператор имеет право обрабатывать персональные данные без уведомления. Речь идет о данных, которые используются в соответствии с трудовым законодательством. Отметим, эта норма не применяется к тем, кто работает по договорам подряда или возмездного оказания услуг. Без уведомления можно обойтись при заключении договора, стороной которого является субъект персональных данных. Например, договор на оказание услуг, договор гражданско-правового характера на выполнение работ. В этом случае личная информация не должна распространяться и предоставляться третьим лицам без согласия субъекта персональных данных. Организация может использовать персональные данные только для исполнения договора и заключения договоров с субъектом персональных данных.
Также без уведомления могут обрабатываться общедоступные данные, то есть та информация, доступ к которой предоставлен неограниченному кругу лиц с согласия носителя этих данных. Можно использовать без уведомления и фамилии, имена и отчества, которые необходимы для однократного пропуска.
В список данных, при использовании которых не требуется уведомление, входят сведения из государственных информационных систем.
Теперь обратим внимание на типичные нарушения при обращении с персональными данными в жилищно-коммунальной сфере. Зачастую не предоставляются уведомления об обработке персональных данных; указываются неполные или неправильные сведения. Случается, что нарушаются требования конфидециальности. Руководство компании не всегда знает, что нужно определить и утвердить перечень сотрудников, которые имеют доступ к персональным данным и к их обработке; разработать правила обработки данных, опубликовать документ, который определяет политику по обработке персональных данных.
Встречаются ситуации, когда не соблюдаются элементарные меры для защиты от утечки информации. Компании, работающие в сфере ЖКХ, например, не всегда заботятся об установке антивирусной защиты, паролей, не разграничивают доступ к конфиденциальной информации.
Собственников жилья больше всего зачастую интересует, могут ли работники ЖКХ вешать на всеобщее обозрение или публиковать списки должников. Поясняем, сначала для этого требуется согласие гражданина. То есть, управляющая или ресурсоснабжающая компания, как и любая другая, не имеет право без согласия потребителя передавать его данные кому-либо, публиковать в СМИ и даже вешать листочек с этими данными на двери подъезда. Это нарушение закона.
Добавим, запрет не действует в отношении обезличенных и общедоступных персональных данных.
За нарушение закона о персональных данных в большинстве случаев предусмотрена административная ответственность. Уголовными считаются незаконные сбор или распространение сведений о тайнах частной жизни - без согласия (ст. 137 УК РФ); неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ). Также под уголовную ответственность попадает неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации (ст. 272 УК РФ).
С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?
Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.
Об обработке персональных данных
Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?
Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.
К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.
При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.
Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.
Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.
Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.
Об операторе по обработке персональных данных
Кто является оператором персональных данных?
В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.
Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.
Кого должна уведомить УО о том, что она является оператором персональных данных?
Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.
Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .
Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.
Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.
Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.
Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .
О согласии на обработку персональных данных
Когда нужно заручиться согласием на обработку персональных данных?
Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.
Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?
Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?
Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.
Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.
Об ответственности за нарушение законодательства о персональных данных
Какие штрафы существуют и кто их выписывает?
До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.
Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.
С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.
Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.
«Защита персональных данных», «уведомление об обработке персональных данных», «согласие на обработку персональных данных», «законодательство о защите персональных данных» — данные словосочетания становятся проблемой и головной болью многих УО, ТСЖ, ЖСК, которые неожиданно столкнулись с понятием «персональные данные» и которым не хочется ни нарушить закон, ни поссорится с собственниками, ни навлечь на себя предписания и штрафы контролирующих органов. При этом расплывчатые формулировки законодательства о персональных данных, отсутствие внятных разъяснений гос.органов (и их стремление, в первую очередь, к карательной, а не регулирующей функции) делают еще более сложно определяемыми как отнесение той или иной информации к персональным данным, так и порядок обращения с такими данными. Да еще и собственники помещений все больше проникаются пониманием некой «священной неприкосновенности» их персональных данных, которые, по мнению довольно значительного их (собственников) числа, якобы нельзя использовать для целей предъявления этим собственникам к оплате стоимости потребленных ими же услуг, для взыскания имеющихся задолженностей, для исполнения обязанностей, предусмотренных законодательством, и т.д. и т.п. В последнее время в все чаще поступают вопросы о том, в каких случаях необходимо УО, ТСЖ, ЖСК получать согласие собственника на передачу о нем информации в иные организации и гос.органы, а также о необходимости предоставления персональных данных собственников в РСО в связи с переходом на «прямые договоры» и региональному оператору по работе с ТКО. Попробуем ответить на наиболее актуальные вопросы в .
Что такое персональные данные?
Согласно пункту 1 статьи 3 Федерального закона от 27.07.2016 № 152-ФЗ (далее — ФЗ № 152) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 ФЗ № 152).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ № 152).
Таким образом:
- персональные данные — это любая информация, относящаяся к собственникам (нанимателям) помещений МКД, а также работникам УО, ТСЖ, ЖСК;
- обработка персональных данных — это любое действие, которое с ними совершается;
- все управляющие компании, ТСЖ, ЖСК (далее — управляющие организации) являются операторами по обработке персональных данных, поскольку собирают, систематизируют, хранят, уточняют, используют и передают информацию, касающуюся собственников многоквартирного дома.
Уведомление уполномоченного органа
По общему правилу оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (п. 1 ст. 22 ФЗ № 152).
Органом, уполномоченным на защиту прав субъектов персональных данных в соответствии со ст. 23 ФЗ № 152 является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Уведомление рекомендуется направлять в территориальный орган Роскомнадзора — управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Приказа Роскомнадзора от 30 мая 2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения». Уведомление должно быть подготовлено и направлено в уполномоченный орган в соответствии с вышеуказанными методическими рекомендациями»).
Неуведомление (непредставление или несвоевременное представление) уполномоченного госоргана в порядке ст. 22 ФЗ № 152 влечет за собой административную ответственность в соответствии с Кодексом Российской Федерации об административных правонарушениях (ст. 19.7). Ответственность за подобные правонарушения установлена в виде предупреждения или наложения административного штрафа (на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц от трех тысяч до пяти тысяч рублей).
Вместе с тем, п. 2 ст. 22 ФЗ № 152 установлены случаи, в соответствии с которыми УО, ТСЖ, ЖСК вправе осуществлять без уведомления Роскомнадзора обработку персональных данных
, к которым относятся данные:
- обрабатываемые в соответствии с трудовым законодательством;
- полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- сделанные субъектом персональных данных общедоступными;
- включающие в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
- обрабатываемые в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Так, если УО, ТСЖ, ЖСК осуществляет, например, обработку в соответствии с трудовым законодательством, то при обработке данных своих работников, они не обязаны уведомлять Роскомнадзор о начале обработке персональных данных . Отметим, что право не уведомлять Роскомнадзор не исключает возможности (в случае желания, на всякий случай и по прочим индивидуальным причинам) уведомить уполномоченный орган о начале обработки данных.
Из вышеприведенного перечня интерес также представляет следующее положение — УО, ТСЖ, ЖСК вправе осуществлять обработку персональных данных без уведомления в случае, когда данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Иными словами, если УО, ТСЖ, ЖСК персональные данные собственников обрабатывает, однако не распространяет и не передает третьим лицам, то оно не обязано направлять уведомление в Роскомнадзор.
Таким образом, за исключением случаев, установленных п. 2 ст. 22 ФЗ № 152, УО, ТСЖ, ЖСК обязаны уведомлять уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).
Если до того, как УО, ТСЖ, ЖСК приступили к работе, связанной с обработкой персональных данных, уведомление в Роскомнадзор направлено не было, то представление уведомления в таком случае будет несвоевременным. Вместе с тем, даже если ранее не было направлено уведомление об обработке персональных данных, такое уведомление необходимо направить во избежание более серьезных санкций в дальнейшем. К ситуации, при которой обязанности по уведомлению Роскомнадзора не существовало, а в какой-то момент она возникла, можно отнести, например, переход от обработки данных без использования средств автоматизации к обработке с использованием таких средств.
Передача данных с согласия субъекта персональных данных
Обработка персональных данных допускается в случае, когда обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (ч. 1 ст. 6 ФЗ № 152).
Требования к согласию субъекта персональных данных установлены ст. 9 ФЗ № 152.
Так, например, согласие на обработку персональных данных должно быть конкретным, информированным и сознательным (п. 1 ст. 9 ФЗ № 152), а в случаях, предусмотренных законом обработка персональных данных осуществляется только с согласия в письменной форме (п. 4 ст. 9 ФЗ № 152).
Важно отметить, что обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора (п. 3 ст. 6 ФЗ № 152), то есть именно УО, ТСЖ и ЖСК должны будут доказывать, получено ли такое согласие или его получение не требуется. Сам собственник помещения МКД (субъект персональных данных) данное обстоятельство доказывать не обязан, а просто может заявить о том, что его права были нарушены оператором персональных данных.
Более подробные разъяснения о требованиях к согласию субъекта персональных данных в настоящей статье не приведены, поскольку не являются целью данной публикации. Указанные разъяснения даны экспертом О.Е.Яндыевой в ходе вебинара, видеозапись которого доступна к приобретению на сайте АКАТО .
Обработка персональных данных без согласия субъекта и без уведомления Роскомнадзора в связи с исполнением договора
Обработка персональных данных допускается в случае, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (ч. 2 ст. 6 ФЗ № 152), а также для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (ч. 5 ст. 6 ФЗ № 152). В указанных случаях согласия субъекта персональных данных на обработку персональных данных не требуется.
Ч. 1 ст. 162 ЖК РФ устанавливает, что договор управления многоквартирным домом заключается с управляющей организацией , которой предоставлена лицензия на осуществление деятельности по управлению многоквартирными домами в соответствии с требованиями настоящего Кодекса, в письменной форме или в электронной форме с использованием системы путем составления одного документа, подписанного сторонами. При выборе управляющей организации общим собранием собственников помещений в многоквартирном доме с каждым собственником помещения в таком доме заключается договор управления на условиях, указанных в решении данного общего собрания. При этом собственники помещений в данном доме, обладающие более чем пятьюдесятью процентами голосов от общего числа голосов собственников помещений в данном доме, выступают в качестве одной стороны заключаемого договора.
Отметим, что заключившими договор с управляющей организацией считаются все собственники МКД, в том числе и те, которые не принимали участие в голосовании и непосредственно договор не подписывали, а также новые собственники (лица, у которых право собственности на помещение в МКД возникло после выбора управляющей организации).
Учитывая, что договор заключается между собственниками и управляющей организацией, а между собственниками и ТСЖ и ЖСК как таковой договор не заключается, а принимается решение (оформленное протоколом) и принимается устав о деятельности ТСЖ или ЖСК, у многих возникает вопрос, относятся ли вышеуказанные положения ст. 6 ФЗ № 152 об отсутствии необходимости получения согласия на обработку персональных данных к ТСЖ и ЖСК или применимы только к УО.
Действительно, в соответствии с ч. 1-2 ст. 135 ЖК РФ товариществом собственников жилья признается вид товариществ собственников недвижимости, представляющий собой объединение собственников помещений в многоквартирном доме для совместного управления общим имуществом в многоквартирном доме либо имуществом собственников помещений в нескольких многоквартирных домах или имуществом собственников нескольких жилых домов. Устав товарищества собственников жилья принимается на общем собрании большинством голосов от общего числа голосов собственников помещений в многоквартирном доме.
Ч. 1 ст. 110 ЖК РФ устанавливает, что жилищным или жилищно-строительным кооперативом признается добровольное объединение граждан и в установленных настоящим Кодексом, другими федеральными законами случаях юридических лиц на основе членства в целях удовлетворения потребностей граждан в жилье, а также управления многоквартирным домом. В соответствии с ч. 4 ст. 112 ЖК РФ решение собрания учредителей об организации жилищного кооператива и об утверждении его устава считается принятым при условии, если за это решение проголосовали лица, желающие вступить в жилищный кооператив (учредители).
Согласно п. 6 Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденными Постановлением Правительства РФ от 06 мая 2011 г. № 354, предоставление коммунальных услуг потребителю осуществляется на основании возмездного договора , содержащего положения о предоставлении коммунальных услуг. Договор, содержащий положения о предоставлении коммунальных услуг, может быть заключен с исполнителем в письменной форме или путем совершения потребителем действий, свидетельствующих о его намерении потреблять коммунальные услуги или о фактическом потреблении таких услуг (далее — конклюдентные действия).
Иными словами, хотя прямо в ЖК РФ не предусмотрено заключение договора между собственниками и ТСЖ и ЖСК, согласно Правилам № 354 они такой договор, даже если и не письменно, а путем совершения конклюдентных действий совершают, а значит, вышеуказанные положения ст. 6 ФЗ № 254 применимы как к УО, так и к ТСЖ и ЖСК,
Таким образом, договор о предоставлении коммунальных услуг заключается между собственниками помещений МКД и УО, ТСЖ и ЖСК, и, следовательно, обработка персональных данных (исключая распространение и передачу) в таком случае не требует дополнительного согласия субъектов персональных данных. Что касается распространения и передачи данных сторонним лицам и организациям, то в таком случае будет необходимо получать письменное согласие собственника, на распространение и передачу их данных, вне зависимости от факта наличия заключенного договора.
Передача персональных данных расчетным центрам (платежным агентам)
Один из исключительных случаев, когда не требуется согласие субъекта персональных данных (собственника, нанимателя) на передачу сведений, содержащих персональные данные, является передача сведений платежным или банковским агентам, а именно расчетным центрам, которые осуществляют прием платежей собственников (нанимателей).
Данная возможность закреплена в чч. 15-16 ст. 155 ЖК РФ, в соответствии с которыми наймодатель жилого помещения, управляющая организация, иное юридическое лицо или индивидуальный предприниматель, которым в соответствии с настоящим Кодексом вносится плата за жилое помещение и коммунальные услуги, а также их представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов , осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов , осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности. При привлечении такими лицами представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется .
Таким образом, УО, ТСЖ, ЖСК, не опасаясь, на законных основаниях имеют право передавать необходимые для осуществления расчетов сведения, содержащие персональные данные, платежным или банковским агентам для выставления и приема платежей, а жалобы собственников (нанимателей) на то, что данные без их согласия переданы в расчетные центры, необоснованы.
Передача персональных данных собственников от УО/ТСЖ/ЖСК в РСО, оператору по обращению с ТКО при переходе на «прямые договоры»
Особо актуален вопрос, обязаны ли УО, ТСЖ и ЖСК передавать информацию ресурсоснабжающей организации (далее — РСО) или региональному оператору по обращению с твердыми коммунальными отходами (далее — Оператор ТКО) при заключении собственниками «прямого договора» на предоставление коммунальных услуг. РСО часто запрашивают сведения о собственниках, паспортные данные или копии паспортов собственников, данные о собственности (доля в праве, количество голосов), реквизиты документа, подтверждающего право собственности и иную информацию.
Если от собственников ранее было получено согласие на передачу требуемых данных, то здесь вопросов не возникает — передача данных может быть осуществлена. Однако случаи наличия такого согласия крайне редки.
В соответствии с ч 3.1 ст. 45 ЖК РФ управляющая организация, правление товарищества собственников жилья, жилищного или жилищно-строительного кооператива, иного специализированного потребительского кооператива обязаны вести реестр собственников помещений в многоквартирном доме, который содержит сведения, позволяющие идентифицировать собственников помещений в данном многоквартирном доме (фамилия, имя, отчество (при наличии) собственника помещения в многоквартирном доме, полное наименование и основной государственный регистрационный номер юридического лица, если собственником помещения в многоквартирном доме является юридическое лицо, номер помещения в многоквартирном доме, собственником которого является физическое или юридическое лицо), а также сведения о размерах принадлежащих им долей в праве общей собственности на общее имущество собственников помещений в многоквартирном доме. Согласие собственников помещений в многоквартирном доме на передачу персональных данных, содержащихся в реестре собственников помещений в многоквартирном доме, при предоставлении этого реестра в порядке, установленном настоящей частью, в целях созыва и организации проведения общего собрания собственников помещений в многоквартирном доме не требуется.
Согласно пп. «а» п. 19 Приказа Минстроя России от 25 декабря 2015 г. № 937/пр «Об утверждении Требований к оформлению протоколов общих собраний собственников помещений в многоквартирных домах и Порядка передачи копий решений и протоколов общих собраний собственников помещений в многоквартирных домах в уполномоченные органы исполнительной власти субъектов Российской Федерации, осуществляющие государственный жилищный надзор» обязательными приложениями к протоколу общего собрания являются реестр собственников помещений в многоквартирном доме , содержащий сведения обо всех собственниках помещений в многоквартирном доме с указанием фамилии, имени, отчества (при наличии) собственников — физических лиц, полного наименования и ОГРН юридических лиц, номеров принадлежащих им помещений, и реквизитов документов, подтверждающих права собственности на помещения, количества голосов, которым владеет каждый собственник помещения в многоквартирном доме.
Таким образом, если переход на «прямые договоры» осуществлен по решению собственников МКД, то в РСО направляется копия протокола общего собрания собственников, на котором такое решение принималось, с приложением — реестром собственников помещений МКД. Отметим, что Приказ Минстроя РФ от 25 декабря 2015 г. № 937/пр предусматривает, что в реестре собственников должны быть указаны «реквизиты документов, подтверждающих права собственности на помещения». Однако, если РСО или Оператор ТКО требуют паспортные данные (дату и место рождения, серию и номер паспорта, дату выдачи и орган, его выдавший), а также иные данные, не предусмотренные в реестре, то передача таких данных возможна только в случае наличия согласия субъекта персональных данных.
Если же РСО или Оператор ТКО по своей инициативе приняли решение о переходе на «прямые договоры», в таком случае протокол общего собрания собственников отсутствует, соответственно, реестр собственников РСО получить не может.
Отметим, что в случае заключения с РСО и (или) Оператором ТКО договора, содержащего положения о предоставлении коммунальных услуг, и договора на оказание услуг по обращению с твердыми коммунальными отходами соответственно, в отношении них действуют те же самые положения ст. 6 ФЗ № 152, и в случае, если РСО или Оператор ТКО не осуществляют распространение и передачу персональных данных собственников третьим лицам, согласие собственников считается выраженным уже в договоре, и дополнительно согласия на обработку персональных данных не требуется. Однако, указанные положения не означают наличие обязанности УО/ТСЖ/ЖСК по передаче таких данных в РСО.
Передача персональных данных в иных случаях
Дополнительно отметим, что существуют и иные условия и требования к обработке персональных данных, в данной статье освещены наиболее актуальные из них.
Более подробную информацию, в том числе по ряду иных положений ФЗ № 152 (разработка положения о персональных данных) с разъяснениями эксперта и с шаблонами (примерами) необходимых документов, Вы можете получить, приобретя видеозапись онлайн-семинара , описание которого представлено
Вопрос правомерности предоставления по запросам различных органов документов, содержащих персональные данные собственников помещений многоквартирных домов, потребителей коммунальных услуг, проживающих в управляемых домах, всегда волновал специалистов УО, ТСЖ, ЖСК. С появлением обязанности исполнителей коммунальных услуг размещать персональные данные в ГИС ЖКХ, актуальность вопроса существенно возросла.
Одновременное наличие запрета на распространение персональных данных, установленного Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон 152-ФЗ), и обязанности по размещению персональных данных в ГИС ЖКХ, установленной Федеральным законом от 21.07.2014 № 209-ФЗ «О ГИС ЖКХ», приводит к возникновению сомнений в законности как действий, так и бездействия УО, ТСЖ, ЖСК. Попробуем разрешить эти сомнения.
В соответствии со ст.3 Закона 152-ФЗ:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Таким образом, мы видим, что любые сведения о потребителе жилищно-коммунальных услуг (далее — ЖКУ) являются его персональными данными. Сказать конкретно, какие данные являются персональными, а какие не являются, сложно, так как закон очень широко определяет понятие персональных данных, включая в их число любую информацию о гражданине. В таком случае можно сделать вывод о том, что помимо фамилии, имени, отчества, сведений о семье, работе, профессии, прочих данных, сведения о квартире, размере долга за ЖКУ и прочие косвенные сведения о потребителе являются его персональными данными, а на оператора персональных данных возлагается обязанность по обеспечению их защиты и сохранности. Деятельность УО подпадает под понятие «обработка персональных данных», так как УО осуществляют сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Следовательно, УО являются операторами персональных данных и на них распространяются требования и правила указанного закона в части обработки персональных данных, их систематизации, хранения, передачи и т.п.
Для того, чтобы начать деятельность по обработке персональных данных, оператор должен выполнить два условия:
Требование № 1
Получить согласие субъекта персональных данных в соответствии со ст.9 Закона 152-ФЗ:
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
В указанной статье предъявляются и требования к такому согласию (ч.4 ст.9 Закона 152-ФЗ):
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Требование № 2
Принятие мер по обеспечению безопасности персональных данных при их обработке, требования к объёму и порядку применения которых установлены ст.19 Закона 152-ФЗ
Есть ещё одно требование к оператору персональных данных — подача в Роскомнадзор специального уведомления по форме о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи (ст.22 Закона 152-ФЗ).
В соответствии с ч.2 ст.22 Закона 152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных (извлечение а части относящихся к деятельности УО случаев):
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
С точки зрения жилищного законодательства деятельность УО осуществляется на основании договора управления. В этом случае (наличие договора) ч.2 ст.22 Закона 152-ФЗ позволяет УО осуществлять обработку персональных данных без уведомления Роскомнадзора. Сложнее обстоит дело с ТСЖ и ЖСК, поскольку эти организации не заключают договор с потребителем в обязательном порядке. Так в соответствии с ПП РФ от 06.05.2011 N354 ТСЖ обязано заключить договор на предоставление коммунальных услуг со всеми потребителями, однако понудить несогласных потребителей заключить договоры ТСЖ не может. Кроме того, договор предоставления коммунальных услуг охватывает не все элементы деятельности ТСЖ/ЖСК, требующие обрабатывать персональные данные.
Помимо коммунальных услуг ТСЖ/ЖСК оказывают услуги по содержанию жилья. На эти услуги ТСЖ заключает договоры с только собственниками, помещений, не являющимися членами ТСЖ (ст.155 ЖК РФ). В отношении ЖСК требования по заключению таких договоров вообще не установлены. Таким образом, исходя из требований Закона 152-ФЗ и отсутствии договоров с частью (или всеми) субъектов персональных данных, ТСЖ и ЖСК обязаны уведомлять Роскомнадзор о начале своей деятельности по обработке персональных данных.
По сути весь Закон 152-ФЗ направлен на защиту субъекта персональных данных от передачи его данных третьим лицам без его согласия. По общему правилу передача данных невозможна без согласия субъекта персональных данных, но из этого правила есть исключения.
Исключение № 1
В соответствии со ст. 155 ЖК РФ:
2. Плата за жилое помещение и коммунальные услуги вносится на основании:
1) платежных документов (в том числе платежных документов в электронной форме, размещенных в системе), представленных не позднее первого числа месяца, следующего за истекшим месяцем, если иной срок не установлен договором управления многоквартирным домом либо решением общего собрания членов товарищества собственников жилья, жилищного кооператива или иного специализированного потребительского кооператива;
2) информации о размере платы за жилое помещение и коммунальные услуги, задолженности по оплате жилых помещений и коммунальных услуг, размещенной в системе или в иных информационных системах, позволяющих внести плату за жилое помещение и коммунальные услуги. Информацией о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилых помещений и коммунальных услуг являются сведения о начислениях в системе, сведения, содержащиеся в представленном платежном документе по адресу электронной почты потребителя услуг или в полученном посредством информационных терминалов платежном документе.
2.1. Платежные документы, информация о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилых помещений и коммунальных услуг подлежат размещению в системе в срок, предусмотренный частью 2 настоящей статьи.
2.2. В случае неразмещения платежных документов и информации о размере платы за жилое помещение и коммунальные услуги, задолженности по оплате жилого помещения и коммунальных услуг в системе в срок, предусмотренный частью 2 настоящей статьи, граждане и организации вносят плату за жилое помещение и коммунальные услуги до десятого числа месяца, следующего за истекшим месяцем, в котором были размещены платежные документы и указанная информация в системе.
2.3. Информация о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилого помещения и коммунальных услуг, размещенная в системе, должна соответствовать сведениям, содержащимся в платежном документе, представленном в соответствии с пунктом 1 части 2 настоящей статьи. При несоответствии сведений, содержащихся в платежном документе, представленном в соответствии с пунктом 1 части 2 настоящей статьи, информации о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилого помещения и коммунальных услуг, размещенной в системе, достоверной считается информация, размещенная в системе.
Таким образом, размещение платежного документа в ГИС ЖКХ, информации о размере задолженности, не является нарушением Закона 152-ФЗ.
Исключение № 2
В соответствии с ч. 16 статьи 155 ЖК РФ:
При привлечении лицами, указанными в части 15 настоящей статьи, представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется.
Таким образом, передача персональных данных в расчетные центры для изготовления квитанций, осуществления расчётов и т.п. также не будет являться нарушением Закона 152-ФЗ.
Исключение № 3
Предоставление персональных данных по запросам органов власти, при исполнении иных установленных законом обязанностей оператора персональных данных передавать информацию в органы власти. За непредоставление органам власти сведений, предоставление которых установлено законом (например, реестр членов ТСЖ) влечет за собой административную ответственность по ст. 19.7 КоАП РФ:
Непредоставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьей 6.16, частями 1, 2 и 4 статьи 8.28.1, частью 2 статьи 6.31, частью 4 статьи 14.28, статьями 19.7.1, 19.7.2, 19.7.2-1, 19.7.3, 19.7.5, 19.7.5-1, 19.7.5-2, 19.7.7, 19.7.8, 19.7.9, 19.7.12, 19.8, 19.8.3 настоящего Кодекса, —
влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.
Передача персональных данных в иных случаях, не подпадающих под описанные три исключения, возможна только с согласия субъекта персональных данных. Например, на рынке услуг появились организации предлагающие услуги по раскрытию информации на ГИС ЖКХ или в соответствии со Стандартом раскрытия информации на reformagkh.ru, если, например, у УО или ТСЖ не хватает времени или знаний, умений для раскрытия информации на портале. Предоставление персональных данным таким организациям возможно только по согласию потребителей, что в реальности очень сложно получить. Кроме того, передача данных и документов о должнике привлекаемому по договору юристу (не штатному, не являющемуся работником УО или ТСЖ) для подачи иска в суд, также потребует согласия должника на передачу информации о нем юристу.
Существует ответственность за нарушение Закона о защите персональных данных, а именно ст. 13.11. КоАП РФ:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) —
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
Однако, на сегодняшний день количество обращений субъектов персональных данных в контролирующие органы с жалобами о нарушений своих прав ничтожно мало, следовательно, количество проверок в этой сфере незначительно, и фактов привлечения к ответственности за нарушения законодательства о персональных данных весьма немного.
В общем, как писал еще М.Е.Салтыков-Щедрин: «Строгость российских законов смягчается необязательностью их исполнения ».
Товарищества собственников жилья (ТСЖ) «Октябрьский» в отношении обработки и обеспечения безопасности персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) действует в отношении всех персональных данных, которые ТСЖ может получить от субъекта персональных данных, регулируемых трудовым законодательством, (далее – Работник) или от субъекта персональных данных – физического лица, владеющего жилым или нежилым имуществом в МКД №68 и 70по адресу г. Пермь, ул. 25 Октября, (далее – собственник).
1.2. Целью настоящей Политики является соблюдение прав субъектов персональных данных при обработке их персональных данных в ТСЖ.
1.3. Настоящая Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», «Положением об особенностях обработки персональных данных, «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», утв. Постановлением Правительства РФ от 01.11.2012г. N 1119, и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
1.4. Настоящая политика обязательна к исполнению всеми сотрудниками ТСЖ, описывает основные цели, принципы обработки и требования к безопасности персональных данных в ТСЖ.
1.5. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности ТСЖ.
2. Принципы и цели обработки. Состав персональных данных
2.1. Обработка персональных данных ТСЖ осуществляется на основе принципов:
– обработка персональных данных субъектов осуществляется исключительно для обеспечения соблюдения федеральных законов и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных;
– объем и содержание обрабатываемых персональных данных субъектов, способы обработки персональных данных соответствуют требованиям федерального законодательства, а также другим нормативным актам и целям обработки персональных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– персональные данные ТСЖ получает только у самого субъекта (или его законного представителя);
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных. ТСЖ принимаются необходимые меры по уничтожению (удалению) либо уточнению неполных или неточных данных.
2.2. Обработка персональных данных субъектов персональных данных проводится ТСЖ с целью осуществления прав и обязанностей Работников в соответствии с трудовым законодательством; ведения персонифицированного учета; исполнения договорных и иных гражданско-правовых отношений при осуществлении ТСЖ хозяйственной деятельности, повышения оперативности и качества обслуживания клиентов установленного правилами ТСЖ, предоставления жилищно-коммунальных услуг собственникам.
2.3. ТСЖ обрабатываются следующие категории персональных данных:
2.3.1. В отношении Работников: фамилия, имя, отчество, дата и место рождения, адрес регистрации и место жительства, реквизиты основного документа, удостоверяющего личность гражданина, данные страхового свидетельства, семейное и социальное положения, образование, квалификация, профессия, сведения о воинском учете (при их наличии), данные медицинского характера (в случаях, предусмотренных законодательством РФ);
2.3.2. В отношении Собственников: фамилия, имя и отчество, год, месяц, дата и место рождения, реквизиты документа, удостоверяющего личность гражданина, сведения о регистрации по месту жительства или временной регистрации по месту пребывания, о месте проживания.
3. Условия обработки
3.1. Порядок работы с персональными данными в ТСЖ регламентирован действующим законодательством РФ, внутренними документами ТСЖ и осуществляется с соблюдением строго определенных правил и условий.
3.2. Обработка персональных данных в ТСЖ осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), обезличивания, блокирования, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов выполнения договорных и иных гражданско-правовых обязательств с субъектом персональных данных. При этом используется смешанный (автоматизированный и неавтоматизированный) способ обработки персональных данных.
3.3. Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством, в том числе с использованием защищенных телекоммуникационных каналов связи.
3.4. ТСЖ не осуществляет трансграничную передачу персональных данных Собственников.
3.5. Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, Федеральным законом РФ «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2004 г., сроком исковой давности, а также иными требованиями законодательства РФ. По истечении сроков хранения таких документов они подлежат уничтожению.
3.6. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними ТСЖ применяются организационные и технические меры.
4. Основные мероприятия по обеспечению безопасности обработки персональных данных
4.1. Для защиты персональных данных при их обработке в ТСЖ применяются следующие организационные и технические меры:
-доступ к персональным данным предоставляется только тем сотрудникам ТСЖ, на которых возложена обязанность по их обработке. Указанные лица имеют право на обработку только тех персональных данных, которые необходимы им для выполнения конкретных функций, связанных с исполнением должностных обязанностей;
-обработка персональных данных ведется сотрудниками ТСЖ на рабочих местах, выделенных для исполнения ими должностных обязанностей;
-рабочие места размещаются таким образом, чтобы исключить бесконтрольное использование конфиденциальной информации;
-конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с принятым в ТСЖ порядком в сроки, установленные законодательством РФ;
-проводятся процедуры, направленные на обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
-разграничены права доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
-проводится ознакомление работников ТСЖ, непосредственно осуществляющих обработку персональных данных либо имеющих к ним доступ в силу своих должностных обязанностей, с положениями законодательства РФ, требованиями к защите персональных данных, локальными нормативными актами ТСЖ по вопросам обработки персональных данных;
-своевременно выявляются и предотвращаются нарушения требований законодательства РФ в области обработки персональных данных, устраняются последствия таких нарушений;
-проводится контроль за принимаемыми мерами по обеспечению безопасности персональных данных при их обработке, а также проводится контроль соответствия обработки персональных данных требованиям Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным нормативным актам ТСЖ.
5. Порядок предоставления информации, содержащей персональные данные
5.1. При обращении субъекта персональных данных (владельца этих данных или его законного представителя) или получении запроса ТСЖ безвозмездно предоставляет в течение 30 дней с даты получения запроса или обращения персональные данные, относящиеся к субъекту персональных данных, в доступной форме, исключающей предоставление персональных данных, относящихся к другим субъектам персональных данных.
5.2. Сторонние организации имеют право доступа к персональным данным субъектов персональных данных только, если они наделены необходимыми полномочиями в соответствии с законодательством РФ, либо на основании договоров с ТСЖ, заключенных в связи с требованиями законодательства РФ.
Основанием для сотрудника ТСЖ в целях предоставления информации о персональных данных субъектов служит резолюция председателя правления ТСЖ на соответствующем запросе, либо факт подписания соглашения (договора) об информационном обмене.
В соглашение (договор) об информационном обмене включается условие о неразглашении сведений, составляющих персональные данные субъектов, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
5.3. При передаче персональных данных субъектов ТСЖ и уполномоченные им должностные лица соблюдают следующие требования:
– не сообщают персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
– предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требуют от этих лиц подтверждения соблюдения этого условия, за исключением случаев, установленных федеральным законодательством;
– не отвечают на вопросы, связанные с предоставлением персональной информации, любым третьим лицам без законных оснований (письменного запроса);
– ведут учет передачи персональных данных субъектов по поступившим в ТСЖ запросам субъектов.
6. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных
6.1. Должностные лица ТСЖ, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
6.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством РФ.
7. Заключительные положения
7.1. Настоящая Политика вступает в силу с момента ее утверждения председателем правления ТСЖ.
7.2. ТСЖ имеет право вносить изменения в настоящую Политику в случае изменения законодательства РФ, регулирующих органов в области защиты персональных данных, внутренних документов ТСЖ в области защиты конфиденциальной информации. Новая редакция Политики вступает в силу с момента ее размещения на сайте Компании, если иное не предусмотрено новой редакцией Политики.
7.3. В случае изменения законодательства РФ в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.
7.4. Действующая редакция Политики хранится в месте нахождения правления ТСЖ «Октябрьский» по адресу: 614007, г. Пермь, ул. 25 Октября, д.68, электронная версия Политики на сайте ТСЖ «Октябрьский»:
Председатель правления
ТСЖ «Октябрьский»
Белякова Л.Л.
