Персональные данные. Общие положения.

ТСЖ, как и другие организации, управляющие МКД, автоматически становятся операторами по обработке персональных данных, поскольку собирают, систематизируют, хранят, уточняют, используют и передают информацию, касающуюся собственников многоквартирного дома. Что же относится к этой категории информации?

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

• сведения о его Ф.И.О.;
• поле и возрасте;
• образовании;
• месте жительства;
• семейном положении и др.

Помимо этого, к персональным данным относится и изображение человека, с помощью которого можно установить его личность, например фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Если в доме, на дворовой территории или в офисе ТСЖ есть видеонаблюдение, предупредите посетителей публичных мест о видеосъемке (текстовыми или графическими предупреждениями). Тогда согласие субъектов на видеосъемку не требуется.

Равнозначным согласию в письменной форме признается согласие в электронной форме, скрепленное электронной подписью субъекта.

Собственники не всегда соглашаются оформить такой документ. Заставить их нельзя, но и работать ТСЖ без такого согласия не может. Есть риск достаточно серьезного наказания в виде штрафа. Поэтому необходимо проводить разъяснения о том, с какой целью собираются согласия на обработку персональных данных (ПД):

• для управления многоквартирным домом, в том числе привлечения сторонних специалистов, например для взыскания задолженности, размещения информации в ГИС ЖКХ, оказания бухгалтерских услуг;
• заключения договоров с ресурсоснабжающими организациями;
• заключения договоров на техническое обслуживание общего имущества, ремонт, капитальный ремонт многоквартирного дома, договоров с иными организациями и т.д.

Обязательно довести до собственников, что их ПД не будут использоваться для других целей, например, для рассылки рекламы, и не будут передаваться иным лицам, не имеющим отношения к процессу управления МКД.

Приготовьте для заполнения формы, в которых Ф.И.О., адрес собственника и его паспортные данные будут заполняться от руки. Подпись также должна быть собственноручной, как и проставленная дата на заявлении. Дело в том, что одну подпись можно легко подделать, и впоследствии, если собственник заявит, что не давал согласия на обработку ПД, будет сложно доказать, что подписывал это заявление сам.

Не требуется получать письменное согласие собственника на обработку персональных данных, если ТСЖ:

• исполняет договор, заключенный с собственниками помещений в МКД (п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
• привлекает для расчетов за ЖКУ платежных агентов или банковских платежных агентов (ч. 16 ст. 155 Жилищного кодекса Российской Федерации);
• предоставляет информацию контролирующим органам;
• выкладывает информацию о владельце помещения в ГИС ЖКХ.

Все же оформить согласие собственников на обработку персональных данных необходимо, даже если оно на данный момент не нужно. В процессе управления домом может возникнуть ситуация, когда потребуется передать данные третьим лицам, например, чтобы привлечь:

• сторонних юристов для взыскания задолженности за ЖКУ;
• расчетно-кассовый центр (РКЦ), который не обладает критериями платежного агента, для начисления платежей;
• подрядную организацию для проведения общего собрания собственников помещений в МКД (технический сервис);
• организацию, которая выгружает сведения в ГИС ЖКХ;
• стороннего бухгалтера или организацию для расчета платы за ЖКУ и др.

Ст. 13.11 Кодекса Российской Федерации об административных правонарушениях предусматривает основания, чтобы привлечь оператора по обработке персональных данных к ответственности за нарушение законодательства в этой области. Также увеличились штрафы за нарушение обработки ПД - размер штрафа зависит от вида нарушения. Максимальный штраф установлен в размере 75 000 руб.

Обратите внимание на следующие обстоятельства:

1. Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

2. Гражданин вправе в любой момент отозвать свое согласие на обработку его персональных данных (ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

3. Если собственник свое согласие отозвал, то ТСЖ имеет право производить в дальнейшем обработку ПД независимо от наличия согласия данного собственника, но первоначально согласие должно быть получено.

Что нужно сделать председателю правления параллельно со сбором согласий на обработку ПД?

1. Издать приказ о назначении ответственного за организацию обработки ПД (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Унифицированной формы приказа нет, поэтому его составляют в произвольной форме.

Обязанности ответственного лица установлены ч. 2 и 4 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

• выполнять указания непосредственно от исполнительного органа организации;
• отчитываться перед таким органом;
• контролировать в организации соблюдение законодательства о ПД, в том числе требования к защите персональных данных;
• организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) контролировать прием и обработку таких обращений и запросов;
• доводить до сведения работников оператора положения законодательства о ПД, локальных актов по вопросам обработки ПД, требований к защите персональных данных.

Целесообразно назначить два ответственных лица:

1) работника службы персонала в отношении данных сотрудников, например кадровика;

2) сотрудника, который обрабатывает персональные данные жителей в МКД, например бухгалтер, паспортист.

2. Издать приказ об утверждении политики в отношении обработки ПД (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

3. Издать приказ или утвердить на общем собрании членов ТСЖ положение о защите ПД.

В отличие от предыдущего документа, положение должно быть максимально конкретным в отношении ТСЖ. В нем необходимо прописать следующие разделы:

• состав персональных данных сотрудников и собственников помещений в МКД;
• организация сбора, обработки и хранения персональных данных;
• передача персональных данных;
• доступ к персональным данным;
• защита персональных данных;
• ответственность за нарушение норм, регулирующих обработку персональных данных.

В правом верхнем углу в положении о защите персональных данных будет гриф «Утверждено решением общего собрания членов ТСЖ ___________ № ______, председатель собрания и секретарь собрания». Председатель и секретарь подписывают документ, ставится круглая печать. Документ, если он содержит более одного листа, обязательно сшивать, и на сшивке ставится также печать и две подписи, председателя и секретаря собрания.

4. Обеспечить неограниченный доступ через Интернет к документу, который определяет вашу политику в отношении обработки персональных данных, и сведениям о том, как вы реализуете требования к защите персональных данных (ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Если вы не разместите на своем сайте (при наличии) или на каком-либо другом ресурсе в сети Интернет указанную информацию, то рискуете быть привлеченным к административной ответственности. Роскомнадзор вправе привлечь за это к ответственности по ч. 3 ст. 13.11 КоАП РФ. Максимальный штраф - 30 000 руб.

Уточнить, заблокировать или уничтожить ПД нужно по требованию от субъекта, если они (ч. 1 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

• утратили актуальность, неполные, неточные;
• получены незаконно;
• не отвечают заявленной цели обработки персональных данных.

Обратите внимание на следующее.

ТСЖ обязано по запросу владельца ПД (ч. 1 и 4 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

• предоставить данные их владельцу в течение 30 дней с даты получения запроса;
• уточнить неточность в течение семи рабочих дней;
• прекратить неправомерную обработку ПД в течение 7 дней.

Источник. Жилищный кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Кодекс Российской Федерации об административных правонарушениях; Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; разъяснения Роскомнадзора от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки».