ТСЖ, как и другие организации, управляющие МКД, автоматически становятся операторами  по обработке персональных данных поскольку собирают, систематизируют, хранят, уточняют, используют и передают информацию, касающуюся собственников многоквартирного дома. Что же относится к этой категории информации?

Персональные данные  — любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

• сведения о его ФИО;

• поле и возрасте;

• образовании;

• месте жительства;

• семейном положении и др.

Помимо этого, к персональным данным относится и изображение  человека, с помощью которого можно установить его личность, например фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

█ Важно!

Если в доме, на дворовой территории или в офисе ТСЖ есть видеонаблюдение, предупредите  посетителей публичных мест о видеосъемке  (текстовыми или графическими предупреждениями). Тогда согласие  субъектов на видеосъемку не требуется   .

Равнозначным  согласию в письменной форме признается согласие в электронной форме   , скрепленное электронной подписью  субъекта.

Собственники не всегда соглашаются оформить такой документ. Заставить их нельзя, но и работать ТСЖ без такого согласия не может. Есть риск достаточно серьезного наказания в виде штрафа. Поэтому необходимо проводить разъяснения о том, с какой целью собираются согласия на обработку персональных данных (ПД):

• для управления многоквартирным домом, в том числе привлечения сторонних специалистов, например для взыскания задолженности, размещения информации в ГИС ЖКХ, оказания бухгалтерских услуг;

• заключения договоров с ресурсоснабжающими организациями;

• заключения договоров на техническое обслуживание общего имущества, ремонт, капитальный ремонт многоквартирного дома, договоров с иными организациями и т. д.

Обязательно довести до собственников, что их ПД не будут использоваться для других целей, например, для рассылки рекламы, и не будут передаваться иным лицам, не имеющим отношения к процессу управления МКД.

→ Рекомендация

Приготовьте для заполнения формы, в которых ФИО, адрес собственника и его паспортные данные  будут заполняться от руки. Подпись  также должна быть собственноручной, как и проставленная дата  на заявлении. Дело в том, что одну подпись можно легко подделать, и впоследствии, если собственник заявит, что не давал согласия на обработку ПД, будет сложно доказать, что подписывал это заявление сам.

Не требуется  получать письменное согласие собственника на обработку персональных данных, если ТСЖ:

• исполняет договор, заключенный с собственниками помещений в МКД (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ);

• привлекает для расчетов за ЖКУ платежных агентов или банковских платежных агентов (ч. 16 ст. 155 ЖК РФ);

• предоставляет информацию контролирующим органам;

 выкладывает информацию о владельце помещения в ГИС ЖКХ

Все же оформить согласие собственников на обработку персональных данных необходимо, даже если оно на данный момент не нужно. В процессе управления домом может возникнуть ситуация, когда потребуется передать данные третьим лицам , например, чтобы привлечь:

• сторонних юристов для взыскания задолженности за ЖКУ;

• расчетно-кассовый центр (РКЦ), который не обладает критериями платежного агента, для начисления платежей;

• подрядную организацию для проведения общего собрания собственников помещений в МКД (технический сервис);

• организацию, которая выгружает сведения в ГИС ЖКХ;

• стороннего бухгалтера или организацию для расчета платы за ЖКУ и др.

Вот тогда вы сможете воспользоваться заранее оформленным документом.

С 1 июля 2017 г. ст. 13.11 Кодекса РФ об административных правонарушениях предусматривает шесть уточненных оснований , чтобы привлечь оператора по обработке персональных данных к ответственности за нарушение законодательства в этой области. Также увеличились штрафы за нарушение обработки ПД — размер штрафа зависит от вида нарушения. Максимальный штраф установлен в размере 75 000 руб . Раньше максимальный штраф составлял 10 000 руб .

► Обратите внимание!

1. Бремя доказывания наличия согласия  на обработку ПД лежит на операторе  персональных данных.

2. Гражданин вправе в любой момент отозвать  свое согласие на обработку его персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ).

3. Если собственник свое согласие отозвал,  то ТСЖ имеет право  производить в дальнейшем обработку ПД независимо от наличия согласия  данного собственника, но первоначально  согласие должно быть получено.

Что нужно сделать председателю правления параллельно со сбором согласий на обработку ПД?

1. Издать приказ о назначении ответственного за организацию обработки ПД  (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона № 152-ФЗ).

Унифицированной формы приказа нет, поэтому его составляют в произвольной форме.

Обязанности ответственного лица установлены ч. 2 и 4 ст. 22.1 Закона № 152-ФЗ:

• выполнять указания непосредственно от исполнительного органа организации;

• отчитываться перед таким органом;

• контролировать в организации соблюдение законодательства о ПД, в том числе требования к защите персональных данных;

• организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) контролировать прием и обработку таких обращений и запросов;

• доводить до сведения работников оператора положения законодательства о ПД, локальных актов по вопросам обработки ПД, требований к защите персональных данных.

Целесообразно назначить два ответственных лица:

1. работника службы персонала в отношении данных сотрудников, например, кадровика;

2. сотрудника, который обрабатывает персональные данные жителей в МКД, например бухгалтер, паспортист.

2. Издать приказ об утверждении политики в отношении обработки ПД  (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ).

3. Издать приказ или утвердить на общем собрании членов ТСЖ Положение о защите ПД.

В отличие от предыдущего документа, Положение должно быть максимально конкретным в отношении вашего ТСЖ. В нем необходимо прописать следующие разделы:

• состав персональных данных сотрудников и собственников помещений в МКД;

• организация сбора, обработки и хранения персональных данных;

• передача персональных данных;

• доступ к персональным данным;

• защита персональных данных;

• ответственность за нарушение норм, регулирующих обработку персональных данных.

В правом верхнем углу у вас в Положении о защите персональных данных будет гриф «Утверждено решением общего собрания членов ТСЖ ___________ № ____, председатель собрания и секретарь собрания». Председатель и секретарь подписывают документ, ставится круглая печать. Документ, если он содержит более одного листа, обязательно сшивать и на сшивке ставится так же печать и две подписи, председателя и секретаря собрания так же.

4. Обеспечить неограниченный доступ через Интернет к документу   , который определяет вашу политику в отношении обработки персональных данных, и сведениям о том, как вы реализуете требования к защите персональных данных (ч. 2 ст. 18.1 Закона № 152-ФЗ). Если вы не разместите на своем сайте (при наличии) или на каком-либо другом ресурсе в сети «Интернет» указанную информацию, то рискуете быть привлеченным к административной ответственности. Роскомнадзор вправе привлечь за это к ответственности по ч. 3 ст. 13.11 КоАП РФ. Максимальный штраф — 30 000 руб.

Уточнить, заблокировать или уничтожить ПД нужно по требованию от субъекта, если они (ч. 1 ст. 14 Закона № 152-ФЗ):

• утратили актуальность, неполные, неточные;

• получены незаконно;

• не отвечают заявленной цели обработки персональных данных.

► Обратите внимание!

ТСЖ обязано по запросу владельца ПД  (ч. 1 и 4 ст. 20 Закона № 152-ФЗ):

• предоставить данные их владельцу в течение 30 дней с даты получения запроса;

• уточнить неточность нужно в течение семи рабочих дней;

• прекратить неправомерную обработку ПД в течение 7 дней.

Перечень основных нормативно-правовых актов, устанавливающие правила работы с персональными данными:

1) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

2) постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

3) постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

4) «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные постановлением Правительства от 01.11.2012 № 1119;

5) «Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ», утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996.

Уведомление уполномоченного органа

Органом, уполномоченным на защиту прав субъектов ПД, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). ТСЖ обязано уведомить указанную организацию о своем намерении осуществлять обработку персональных данных (п. 1 ст. 22 Закона № 152-ОЗ).

► Обратите внимание!

1. Неуведомление  (непредставление или несвоевременное представление) Роскомнадзора влечет за собой административную ответственность по ст. 19.7 КоАП РФ в виде предупреждения  или наложения административного штрафа:

• на должностных лиц — от 300 до 500 руб.;

• на юридических лиц от 3000 до 5000 руб.

2. Если юридическое лицо не включено  в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Требования к уведомлению в Роскомнадзор перечислены в ч. 3 ст. 22 Закона № 152-ФЗ. Необходимые для заполнения формы утверждены Методическими рекомендациями  по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (приказ Роскомнадзора от 30.05.2017 № 94):

• уведомление об обработке (о намерении осуществлять обработку) персональных данных (Приложение № 1);

• уведомление о внесении изменений в сведения об операторе в Реестре (Приложение № 2);

• заявление о прекращении оператором обработки персональных данных (Приложение № 3);

• заявление о предоставлении выписки из Реестра (Приложение № 4).

Оператор направляет Уведомление в ТО Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом. Электронная форма Уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора http://pd.rkn.gov.ru/ operators-registry/notification/form/

█ Важно!

После отправки  уведомления в электронной форме, не забудьте:

• распечатать его на бланке ТСЖ;

• подписать у руководителя;

• отправить по почте.

Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Срок рассмотрения Уведомления исчисляется со дня его регистрации в Роскомнадзоре. Сведения об Операторе вносятся в Реестр не позднее 30 дней  с даты регистрации Уведомления.

► Обратите внимание!

1. Информация о внесении сведений об операторе в Реестр  размещается на официальном сайте и Портале персональных данных.

2. Закон обязывает операторов в течение 10 дней  оповещать Роскомнадзор о корректировке предоставленных сведений.

После получения согласия субъекта персональных данных ТСЖ вправе поручить обработку персональных данных другому лицу, например РКЦ (ч. 3 ст. 6 Закона № 152-ФЗ).

В поручении оператора необходимо (ч. 4 ст. 6 Закона № 152-ФЗ):

• определить перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки такой обработки;

• установить обязанность лица, осуществляющего обработку персональных данных, соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;

• указать требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона № 152-ФЗ.

► Важно!

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано  получать согласие  субъекта на обработку его персональных данных. Ответственность в этой ситуации перед субъектом  ПД несет ТСЖ.