Для чего тсж собирают персональные данные
Как ТСЖ и ТСН работать с персональными данными жителей дома
Эта статья будет полезна ТСЖ и ТСН, которые не уверены, что соблюдают требования № 152-ФЗ о защите персональных данных жителей МКД. Разбираемся, какие документы должны быть у вас, нужно ли включиться в реестр операторов персональных данных и за что операторов привлекают к ответственности.
Соблюдайте требования № 152-ФЗ
Деятельность по управлению МКД связана с обработкой персональных данных. Управляющие организации, ТСЖ, РСО собирают и обрабатывают персональные данные: систематизируют, хранят, извлекают, используют, блокируют, удаляют, записывают, накапливают, уточняют, уничтожают, обезличивают, распространяют, предоставляют и раздают доступ к ним.
Персональные данные – это не просто ФИО или номер телефона отдельно, это информация, по которой вы точно определяете человека. Если без получения дополнительной информации конкретного человека идентифицировать нельзя, то такие данные персональными не будут.
Видеокамера, которая снимает, что происходит у вас в офисе |
На что обратить внимание при работе с персональными данными, читайте в интервью с Дмитрием Артюхиным, бывшим руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.
Заявите о себе как об операторе персональных данных
Товарищества собственников жилья и недвижимости как и управляющие и ресурсоснабжающие организации собирают и обрабатывают персональные данные, – являются их операторами.
Информация о жителях многоквартирных домов нужна для начисления платы за жилое помещение и коммунальные услуги, приёма обращений в диспетчерскую службу, передачи показаний счётчиков, заключения договоров.
После рассмотрения уведомления Роскомнадзор включит вашу организацию в реестр операторов. Любой человек, зная ИНН, может проверить, есть ли компания, человек или государственный орган в реестре.
Если вы не направили в Роскомнадзор уведомление, вы не перестаёте быть оператором персональных данных и не освобождаетесь от санкций за неисполнение законодательства.
Помните об административной и уголовной ответственности
Ответственность за нарушение законодательства в области персональных данных прописана в ст. 13.11 КоАП РФ. В ней указано девять составов правонарушения, в рамках одной проверки Роскомнадзор может выявить несколько нарушений:
Ведите и вовремя актуализируйте все необходимые документы
Всего таких документов 52: проведите аудит и анализ вашей документации, удалите лишние и добавьте недостающие документы.
Проконсультируйтесь у юристов
У управляющих организаций есть в штате юрист, который изучит тему, составит все документы и подготовит компанию к проверке. У ТСЖ и ТСН нет возможности нанять такого специалиста. Цена ошибки высока, поэтому рассмотрите вариант обратиться за помощью к сторонней компании.
Так сделало ТСЖ «Просвещения-22-2» из Санкт-Петербурга. Ему нужно было разработать комплект документов по защите персональных данных и включиться в реестр операторов. Самостоятельно это сделать не получалось, а услуги петербургских компаний стоили дорого.
Товарищество обратилось к МКДЭКСПЕРТ: компания за две недели подготовила 52 обязательных организационно-распорядительных и эксплуатационных документов по защите персональных данных и включила товарищество в реестр операторов. Теперь ТСЖ готово к любым проверкам.
Все эти условия выполняет МКДЭКСПЕРТ. Если вам нужна помощь в подготовке документации об обращении с персональными данными, консультация или анализ имеющихся у вас документов на соответствие требованиям законодательства, оставьте заявку.
Все эти условия выполняет МКДЭКСПЕРТ. Если вам нужна помощь в подготовке документации об обращении с персональными данными, консультация или анализ имеющихся у вас документов на соответствие требованиям законодательства, оставьте заявку.
Роскомнадзор об обработке персональных данных
С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?
Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.
Об обработке персональных данных
Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?
Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.
К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.
При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.
Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.
Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.
Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.
Об операторе по обработке персональных данных
Кто является оператором персональных данных?
В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.
Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.
Кого должна уведомить УО о том, что она является оператором персональных данных?
Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.
В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.
Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.
Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.
Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.
Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.
Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.
Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.
О согласии на обработку персональных данных
Когда нужно заручиться согласием на обработку персональных данных?
Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.
Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.
В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).
Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?
Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?
Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.
Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.
Об ответственности за нарушение законодательства о персональных данных
Какие штрафы существуют и кто их выписывает?
До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.
Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.
С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.
Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.
Согласие собственников на обработку персональных данных
Сегодня мы расскажем, в каких случаях согласие на обработку персональных данных нужно получить и что делать, если собственник его не даёт.
Персональные данные собственников
1 июля 2017 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Теперь есть 7 составов правонарушений, за которые управляющие компании могут привлечь к административной ответственности за нарушение законодательства о персональных данных.
Ужесточилась административная ответственность за нарушение требований ст. 13.11 КоАП РФ – суммарный размер штрафа может составить 275 000 рублей. Многие управляющие компании не знают, как правильно работать с ПД.
Для них 4 октября мы провели вебинар «7 ошибок при работе с персональными данными, за которые УО получит штраф». Мы рассказали об обязанностях оператора ПД, дали рекомендации по выполнению требований статьи 13.11 КоАП РФ и отдельно внимание уделили вопросу получения согласия на обработку ПД.
Когда нужно получить согласие на обработку ПД
Если вы управляющая компания и у вас нет согласия на обработку ПД от собственников, но вы их обрабатываете внутри организации и не отдаёте их в сторонние организации, в таком случае согласие на обработку персональных данных не требуется.
Если вы будете передавать персональные данные собственников третьим лица, согласие на обработку нужно обязательно получить. При этом лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать отдельное согласие субъекта ПД на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
Когда вы привлекаете представителя для расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов ПД на передачу персональных данных таким представителям не требуется.
Но в договоре между вами и представителем необходимо закрепить положение о конфиденциальности персональных данных (ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 № 152-ФЗ).
Каким должно быть согласие на обработку ПД
Роскомнадзор советует оформлять его в письменной форме отдельным документом. Единственный минус такой позиции – управляющая компания может физически не собрать со всех субъектов персональных данных такое согласие.
Субъект ПД принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Полные требования к содержанию согласию описаны в ч. 4 ст. 9 № 152-ФЗ.
Согласие на обработку ПД в договоре управления МКД
Согласие на обработку персональных данных можно включить в приложение к договору управления МКд. Договор управления МКД собственники заключают с управляющей компанией в письменной форме. Составляется один документ и подписывается сторонами (ст. 162 ЖК РФ).
Решение ОСС в МКД, принятое по вопросам, отнесённым к компетенции такого собрания, обязательно для всех собственников помещений в МКД, в том числе для тех собственников, которые не участвовали в голосовании (ч. 5 ст. 46 ЖК РФ).
Условия договора управления МКД одинаковы для всех собственников помещений в МКД (ч. 4 ст. 162 ЖК РФ). Согласно пп. «б» п. 4 постановления Правительства РФ от 15.05.2013 № 416, УО собирает, обновляет и хранит информацию о собственниках и нанимателях помещений в МКД.
Эта позиция не единственно правильная, судебной практики по этому вопросу нет.
Согласие обработку ПД в договоре о предоставлении КУ
Согласие на обработку персональных данных можно прописать в договоре о предоставлении коммунальных услуг.
Договор считается заключённым с момента, когда потребитель начал пользоваться коммунальными услугами и оплачивать их. Это значит, что потребитель согласен со всеми условиями договора, в том числе на обработку персональных данных.
Если собственник не даёт согласия на обработку ПД
Заставить собственника дать согласие на обработку персональных данных нельзя. Но можно пытаться убедить. Здесь всё зависит от красноречия представителей управляющей компании.
Но перед этим советуем прочитать определение Конституционного Суда РФ от 28.01.2016 № 100-О. Конституционный Суд сделал ряд заключений, которые в будущем могут повлиять на работу управляющих компаний в целом.
Например, для исполнения договора управления управляющая организация обязана заручиться согласием собственников на обработку персональных данных. Согласие может быть включено в качестве условия в договор управления.
Но всё равно, бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных. Это значит, что если субъект заявляет, что не давал вам согласие, вы должны доказать, что в какой-то форме его получили, например, это условие было было включено в качестве условия в договор управления МКД.
Возможность предоставления оператором персональных данных третьему лицу согласия субъекта ПД, нельзя рассматривать как нарушение конституционного права на получение юридической помощи.
Как проводится работа ТСЖ с персональными данными собственников?
1. Как проводится работа ТСЖ с персональными данными собственников?
ТСЖ, как и другие организации, управляющие МКД, автоматически становятся операторами по обработке персональных данных, поскольку собирают, систематизируют, хранят, уточняют, используют и передают информацию, касающуюся собственников многоквартирного дома. Что же относится к этой категории информации?
-сведения о его Ф.И.О.;
-семейном положении и др.
Помимо этого, к персональным данным относится и изображение человека, с помощью которого можно установить его личность, например фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).
Если в доме, на дворовой территории или в офисе ТСЖ есть видеонаблюдение, предупредите посетителей публичных мест о видеосъемке (текстовыми или графическими предупреждениями). Тогда согласие субъектов на видеосъемку не требуется.
Равнозначным согласию в письменной форме признается согласие в электронной форме, скрепленное электронной подписью субъекта.
Собственники не всегда соглашаются оформить такой документ. Заставить их нельзя, но и работать ТСЖ без такого согласия не может. Есть риск достаточно серьезного наказания в виде штрафа. Поэтому необходимо проводить разъяснения о том, с какой целью собираются согласия на обработку персональных данных (ПД):
-для управления многоквартирным домом, в том числе привлечения сторонних специалистов, например для взыскания задолженности, размещения информации в ГИС ЖКХ, оказания бухгалтерских услуг;
-заключения договоров с ресурсоснабжающими организациями;
-заключения договоров на техническое обслуживание общего имущества, ремонт, капитальный ремонт многоквартирного дома, договоров с иными организациями и т.д.
Обязательно довести до собственников, что их ПД не будут использоваться для других целей, например, для рассылки рекламы, и не будут передаваться иным лицам, не имеющим отношения к процессу управления МКД.
Приготовьте для заполнения формы, в которых Ф.И.О., адрес собственника и его паспортные данные будут заполняться от руки. Подпись также должна быть собственноручной, как и проставленная дата на заявлении. Дело в том, что одну подпись можно легко подделать, и впоследствии, если собственник заявит, что не давал согласия на обработку ПД, будет сложно доказать, что подписывал это заявление сам.
Не требуется получать письменное согласие собственника на обработку персональных данных, если ТСЖ:
-исполняет договор, заключенный с собственниками помещений в МКД (п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
-привлекает для расчетов за ЖКУ платежных агентов или банковских платежных агентов (ч. 16 ст. 155 Жилищного кодекса Российской Федерации);
-предоставляет информацию контролирующим органам;
-выкладывает информацию о владельце помещения в ГИС ЖКХ.
Все же оформить согласие собственников на обработку персональных данных необходимо, даже если оно на данный момент не нужно. В процессе управления домом может возникнуть ситуация, когда потребуется передать данные третьим лицам, например, чтобы привлечь:
-сторонних юристов для взыскания задолженности за ЖКУ;
-расчетно-кассовый центр (РКЦ), который не обладает критериями платежного агента, для начисления платежей;
-подрядную организацию для проведения общего собрания собственников помещений в МКД (технический сервис);
-организацию, которая выгружает сведения в ГИС ЖКХ;
-стороннего бухгалтера или организацию для расчета платы за ЖКУ и др.
Обратите внимание на следующие обстоятельства:
1. Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.
2. Гражданин вправе в любой момент отозвать свое согласие на обработку его персональных данных (ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
3. Если собственник свое согласие отозвал, то ТСЖ имеет право производить в дальнейшем обработку ПД независимо от наличия согласия данного собственника, но первоначально согласие должно быть получено.
Что нужно сделать председателю правления параллельно со сбором согласий на обработку ПД?
1. Издать приказ о назначении ответственного за организацию обработки ПД (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Унифицированной формы приказа нет, поэтому его составляют в произвольной форме.
Обязанности ответственного лица установлены ч. 2 и 4 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
-выполнять указания непосредственно от исполнительного органа организации;
-отчитываться перед таким органом;
-контролировать в организации соблюдение законодательства о ПД, в том числе требования к защите персональных данных;
-организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) контролировать прием и обработку таких обращений и запросов;
-доводить до сведения работников оператора положения законодательства о ПД, локальных актов по вопросам обработки ПД, требований к защите персональных данных.
Целесообразно назначить два ответственных лица:
1) работника службы персонала в отношении данных сотрудников, например кадровика;
2) сотрудника, который обрабатывает персональные данные жителей в МКД, например бухгалтер, паспортист.
2. Издать приказ об утверждении политики в отношении обработки ПД (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
3. Издать приказ или утвердить на общем собрании членов ТСЖ положение о защите ПД.
В отличие от предыдущего документа, положение должно быть максимально конкретным в отношении ТСЖ. В нем необходимо прописать следующие разделы:
-состав персональных данных сотрудников и собственников помещений в МКД;
-организация сбора, обработки и хранения персональных данных;
-передача персональных данных;
-доступ к персональным данным;
-защита персональных данных;
-ответственность за нарушение норм, регулирующих обработку персональных данных.
В правом верхнем углу в положении о защите персональных данных будет гриф «Утверждено решением общего собрания членов ТСЖ ___________ № ______, председатель собрания и секретарь собрания». Председатель и секретарь подписывают документ, ставится круглая печать. Документ, если он содержит более одного листа, обязательно сшивать, и на сшивке ставится также печать и две подписи, председателя и секретаря собрания.
Уточнить, заблокировать или уничтожить ПД нужно по требованию от субъекта, если они (ч. 1 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):
-утратили актуальность, неполные, неточные;
-не отвечают заявленной цели обработки персональных данных.
Обратите внимание на следующее.
ТСЖ обязано по запросу владельца ПД (ч. 1 и 4 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):
-предоставить данные их владельцу в течение 30 дней с даты получения запроса;
-уточнить неточность в течение семи рабочих дней;
-прекратить неправомерную обработку ПД в течение 7 дней.
Источник. Жилищный кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Кодекс Российской Федерации об административных правонарушениях; Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; разъяснения Роскомнадзора от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки».