Согласие на обработку персональных данных управляющей компанией

Содержание

Что требуется от УК и ТСЖ при работе с персональными данными

Согласие на обработку персональных данных управляющей компанией

В 2019 году четко сформировалась система осуществления административного контроля в сфере организации защиты персональных данных (ПП РФ от 13.02.

2019 №146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»).

Данный документ рассматривает вопросы о проведении плановых и внеплановых проверок и указывает на то, что в целях проверки операторов персональных данных, они могут быть включены в ежегодный план проверок по истечении 3-х лет с момента регистрации или последней проверки.

Сразу дам совет, в начале каждого года просматривать план проверок, публикуемый на сайте прокуратуры, чтобы точно знать какие проверки каких государственных надзорных органов, проводимые на плановой основе, предстоят вам в ближайшем будущем.

Но давайте будем разбираться с защитой персональных данных в организациях, работающих в сфере ЖКХ.

Для начала необходимо условиться о терминологии. Все необходимые для понимания термины указаны в ст.3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — 152-ФЗ). Их желательно прочитать хотя бы один раз в жизни.

Самый первый вопрос, который обычно задают будущие операторы — какой набор данных о физическом лице считать персональными данными (ПДн). Печально, что законодатель в п.1 ст.

3 152-ФЗ дает следующее размытое понятие: ПДн — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

На сегодняшний день лучше всего ориентироваться на то, что персональными данными физического лица являются те данные, которые позволяют однозначно идентифицировать это самое физическое лицо и прямо к нему относятся, например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, имущественное положение и т.д. Юридические лица, как субъекты персональных данных вовсе не имеют.

Далее необходимо разобраться в том, является УК, ТСЖ оператором персональных данных или нет, обязано оно выполнять требования законодательства в области обработки ПДн или нет. Согласно п.2 ст.

3 152-ФЗ оператором является юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, сомнений в том, что УК, ТСЖ является оператором персональных данных не возникает, отсюда у УК, ТСЖ, согласно требованиям Гл. 4 152-ФЗ возникают обязанности по защите ПДн при из обработке. Вот с реализацией этих обязанностей на практике часто возникает множество вопросов.

Давайте разберемся, что нам необходимо сделать с целью выполнения требований законодательства

Первое, что нам надо сделать, четко ответить на следующие вопросы:

какой набор персональных данных мы обрабатываем (например, фамилия, имя, отчество (заметьте не ФИО, а каждый реквизит в отдельности), адрес, сведения об объектах недвижимости, принадлежащих на праве собственности (или ином праве), суммы платежей и т.д.);

каковы цели обработки персональных данных (при этом, цели должны быть четко сформулированы, например: управление эксплуатацией жилого и нежилого фондов; ведение реестра собственников помещений в соответствии с ЖК РФ; ведение списка членов ТСЖ «НАЗВАНИЕ», осуществление расчетов с потребителями коммунальных услуг в рамках заключенных договоров; обработка персональных данных работников ТСЖ «НАЗВАНИЕ» в соответствии с ТК РФ). Почему тут нет ничего о ПДн, обрабатываемых при паспортном учете? Автор придерживается позиции о том, что ведение паспортного учета сотрудниками ТСЖ, УК после упразднения ФМС России и обновления редакции Административного регламента по учету граждан МВД от 31.12.2017 №984 не целесообразно, т.к. гораздо дешевле и практичнее осуществлять все операции непосредственно собственникам напрямую в органах МВД или путем направления электронных заявок через портал Госуслуг, чем платить ежемесячно за услуги паспортного стола, ждать когда паспортист съездит в органы МВД. Для ТСЖ это платить зарплату паспортисту, оборудовать помещения паспортных столов в соответствии с требованиями МВД, выделять (и оплачивать) транспорт для путешествий паспортиста. Более того, с учетом положений нового Административного регламента паспортист выполняет функции приема-передатчика не более того, самостоятельно никакого учета он не ведет.

какие действия по обработке персональных данных мы планируем осуществлять, а это может быть сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных;

будем ли мы передавать ПДн третьим лицам и, если будем, то на каких правовых основаниях. Важно понимать, это будет передача в силу исполнения положений нормативных правовых актов (например, передача данных в адрес органов социальной защиты на основании ФЗ от 28.12.

2013 №442-ФЗ, налоговые органы на основании положений НК РФ и т.д.) или это будет передача в расчетные центры, агентства по распечатке и доставке платежек по договорам).

Обращаю внимание на то, что передача квитанций по оплате коммунальных услуг, согласно разъяснениям регулятора, должна быть выполнена в конвертированном виде, иначе это является нарушением;

каким способом («автоматизированным» или «бумажным») мы обрабатываем ПДн. По смыслу новой редакции 152-ФЗ автоматизированной считается любая обработка ПДн в цифровом виде (ранее такой обработкой считалась только обработка в специальной программе, например, 1С, а вот обработка в текстовых документах нет);

– в случае, если мы используем облачные сервисы по обработке ПДн (например 1С: Рарус), нам необходимо уточнить физическое местонахождение серверов и убедиться в том, что серверы компании, оказывающей облачные услуги, располагаются на территории РФ (отсутствует трансграничная передача данных). Обычная проверка Роскомнадзора возможно и не станет так сильно углубляться в детали, а вот проверка ФСБ России может.

После того, как нами составлен такой список, необходимо еще раз пробежаться по перечню персональных данных и убедиться, что данный перечень не является избыточным и соответствует заявляемым нами целям.

Теперь мы можем написать уведомление в органы Роскомнадзора о том, что мы обрабатываем персональные данные, с целью избежать штрафа (ст.13.11 КоАП), но не будем торопиться.

Для начала, имея исходные данные, посмотрим на то, какие меры мы готовы принимать по защите ПДн и выпускать документы, которые от нас как операторов требует ст.19 152-ФЗ. В ст.19 152-ФЗ содержатся основные меры, которые раскрываются, уточняются и дополняются следующими подзаконными актами:

если у нас только «бумажная обработка» руководствуемся постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

если у нас автоматизированная обработка

Источник: https://zen.yandex.ru/media/id/5c32e880871d9300abf8bfc6/chto-trebuetsia-ot-uk-i-tsj-pri-rabote-s-personalnymi-dannymi-5c66f57b5f895b00aef0d340

Когда УО, ТСЖ, ЖК, ЖСК нужно получить согласие на обработку персональных данных и как это сделать | Защита потребителей в сфере ЖКХ

Согласие на обработку персональных данных управляющей компанией

По общему правилу согласие на обработку персональных данных требуется всегда. Но в деятельности по управлению МКД обязанность получать такое согласие зависит от действий, которые выполняет УО, ТСЖ, ЖК, ЖСК.

Внимание: управляющей МКД организации грозит штраф и взыскание морального вреда, если обрабатывать персональные данные без согласия, когда это необходимо.

В каких случаях нужно получить согласие на обработку персональных данных

В большинстве случаев УО и жилищному объединению не нужно получать согласие на обработку персональных данных, так как они попадают под исключения.

Случай № 1. Можете не получать письменное согласие собственника, если используете персональные данные в рамках обязанностей, которые возложены на вас законом или договором, при этом обработку данных не передаете третьим лицам. Такое исключение предусмотрено пунктами 2 и 5 части 1 статьи 6 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Случай № 2. Согласие не требуется оформлять для расчетов за ЖКУ с помощью платежного или банковского агента. Это предусматривает часть 16 статьи 155 Жилищного кодекса РФ.

Если в процессе работы передаете персональные данные собственников и нанимателей третьим лицам (организациям, физическим лицам), то получите согласие от каждого собственника. Например, согласие на обработку персональных данных получите, чтобы привлечь:

  • сторонних юристов для взыскания задолженности за ЖКУ;
  • расчетно-кассовый центр (РКЦ), который не обладает критериями платежного агента, для начисления платежей;
  • подрядную организацию для проведения общего собрания собственников помещений в МКД (технический сервис);
  • организацию, которая выгружает сведения в ГИС ЖКХ;
  • стороннего бухгалтера или организацию для расчета платы за ЖКУ.

Совет: оформите согласие собственника на обработку персональных данных, даже если пока оно вам не нужно.

В процессе управления домом может возникнуть ситуация, когда потребуется передать данные третьим лицам и вы воспользуетесь заранее оформленным документом.

Заключение соглашения под конкретную ситуацию может затормозить работу УО, ТСЖ, ЖСК или поставить ее под угрозу в целом.

Пример нарушения обработки персональных данных собственника

УО передала список должников юридической организации, которая оказывала услуги по взысканию задолженности в суде. Согласие собственников на обработку персональных данных УО не получала, полагая, что оно не требуется, чтобы реализовать свое право на получение квалифицированной юридической помощи.

Конституционный суд РФ указал, что УО обязана получить у собственников и нанимателей жилых помещений согласие на обработку персональных данных, в том числе на их передачу третьим лицам.

Также суд пояснил, что УО вправе получить юридическую помощь. Для этого необходимо получить согласие, которое можно включить в условия договора управления МКД (определение Конституционного суда РФ от 28 января 2016 г. № 100-О).

Ситуация: нужно ли РКЦ получать отдельное согласие собственников на обработку персональных данных, если его получили УО, ТСЖ, ЖК, ЖСК

Нет, не нужно.

Управляющая МКД организация вправе поручить обработку персональных данных РКЦ лишь с согласия субъекта персональных данных – потребителя ЖКУ. Это правило предусматривает часть 3 статьи 6 Закона № 152-ФЗ. При этом РКЦ не должен получать согласие собственников помещений в МКД на обработку персональных данных (ч. 4 ст. 6 Закона № 152-ФЗ).

Ситуация: должна ли УО предоставлять документы общего собрания по запросу одного из собственников, если он не согласен с результатами принятых решений

Нет, не должна.

Управляющая МКД организация обязана не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом (ст. 7 Закона № 152-ФЗ). Заинтересованные собственники в такой ситуации вправе обратиться в орган ГЖН либо оспорить решение общего собрания в суде.

Ситуация: должна ли управляющая МКД организация предоставлять по запросу ГЖИ информацию, которая содержит персональные данные собственников

Да, должна, если запрошенные документы необходимы ГЖИ для проверки.

Законодательство допускает обработку персональных данных без согласия субъекта, если обработка необходима, чтобы исполнить в том числе полномочия исполнительных органов государственной власти субъектов и органов МСУ. Такую возможность предусматривает пункт 4 части 1 статьи 6 Закона № 152-ФЗ.

Как получить согласие на обработку персональных данных

Получить согласие человека на обработку его персональных данных возможно двумя способами: предусмотреть в договоре или оформить отдельным документом.

Способ 1. Предусмотрите в договоре с собственником или уставе ТСЖ, ЖК, ЖСК.

Включите согласие в договор с собственником, если оформляете его впервые, или внесите изменения в действующий договор. Такую возможность подтверждает Конституционный суд РФ в определении от 28 января 2016 г. № 100-О.

В зависимости от способа управления МКД это может быть договор, который содержит условия предоставления коммунальных услуг или выполнения услуг и работ по содержанию и текущему ремонту общего имущества в МКД, или договор управления МКД.

Внимание: условия обработки персональных данных в договоре управления МКД должны утвердить собственники помещений в МКД на общем собрании (ч. 1, 8 ст. 162 ЖК РФ).

Кроме того, Минстрой рекомендовал включать в договор управления МКД информацию о том, как УО обрабатывает персональные данные собственников и пользователей помещений в МКД (подп. «д» п. 12, подп. «з» п. 25 Примерных условий договора управления многоквартирным домом, утвержденных приказом Минстроя России от 31 июля 2014 г. № 411/пр).

Жилищные объединения могут включить условия обработки персональных данных в положения своего устава.

Способ 2. Оформите отдельным документом.

Согласие оформите в письменной форме на бумажном носителе с собственноручной подписью собственника или в электронной форме с электронной подписью. Документы будут равнозначными (ч. 4 ст. 9 Закона № 152-ФЗ).

Согласие, оформленное письменно, пригодится в конфликтной ситуации. Также собственник будет помнить, что подписывал отдельный документ, ведь большинство не читает договор полностью.

Один из вариантов оформления согласия в электронной форме – разместить на сайте как документ Согласие на обработку персональных данных. Это самый распространенный вариант. Он подойдет для всех случаев, когда через свой сайт вы только собираете контактные данные и информируете о своих услугах.

Совет: под каждой формой ввода данных на сайте или в мобильных приложениях дать ссылку на текст согласия на обработку персональных данных и разместить кнопку с текстом: «Даю согласие на обработку персональных данных».

Смысл в том, чтобы пользователь сайта не мог отправить свои персональные данные без согласия на их обработку.

Какие сведения должно содержать согласие на обработку персональных данных

Вне зависимости от способа оформления согласия оно должно содержать восемь групп сведений:

  • Ф. И. О., адрес, номер паспорта или другого документа, удостоверяющего личность, сведения о дате выдачи этого документа и выдавшем его органе1;
  • наименование и адрес УО, ТСЖ, ЖК, ЖСК – оператора обработки персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или Ф. И. О. и адрес лица, которое обрабатывает персональные данные по поручению оператора (если обработка будет поручена такому лицу);
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено законом;
  • подпись субъекта персональных данных.
  • Если согласие оформляете на представителя субъекта персональных данных, укажите: Ф. И. О., адрес представителя, номер паспорта или другого документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.Ситуация: есть ли срок действия у согласия собственника помещения в МКД на обработку персональных данныхНет, не имеет.Закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) не содержит требований к сроку действия согласия субъекта персональных данных на их обработку.В случае оформления письменного согласия собственника помещения в МКД на обработку его персональных данных в РКЦ срок действия такого согласия должен быть указан в тексте (п. 8 ч. 4 ст. 9 Закона № 152-ФЗ).Вместе с тем, в соответствии с частью 2 статьи 9 Закона 152-ФЗ согласие на обработку персональных данных может быть отозвано. Если собственник помещения в МКД как субъект персональных данных отзывает согласие на их обработку, вы как оператор вправе продолжить обработку персональных данных без согласия. Это связано с тем, что обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ).

    Какая ответственность грозит, если не получить согласие

    Если УО или жилищное объединение обрабатывают персональные данные собственников без их письменного согласия, когда такого согласия требует закон, Роскомнадзор оштрафует (ч. 2 ст. 13.11 КоАП РФ):

    • должностное лицо и предпринимателя – от 10 000 до 20 000 руб.;
    • организацию – от 15 000 до 75 000 руб.

    При этом нарушение не должно содержать состав уголовного преступления. Помимо штрафа, есть риск, что взыщут моральный вред.

    Пример взыскания с УО морального вреда за передачу персональных данных должника

    УО передала данные собственника квартиры – должника по оплате ЖКУ коллекторам, которые стали ему угрожать. Он вызывал бригаду скорой помощи.

    Собственник обратился в суд с иском к УО о компенсации морального вреда, который причинили незаконным распространением персональных данных.

    Суд удовлетворил требования и взыскал моральный вред.

    Судья пояснил, что УО не получала согласия должника на передачу персональных данных коллекторскому агентству и не заключала договора с коллекторами по расчетам с собственниками.

    Из этого следует, что УО не имела оснований передавать данные должников коллекторам (определение Санкт-Петербургского городского суда от 2 июня 2014 г. № 33-8467).

    См. также, какие еще предусмотрены штрафы за нарушение обработки персональных данных.

    Ситуация: кто несет ответственность за персональные данные, если управляющая МКД организация поручает обработку персональных данных собственников третьему лицу

    Перед собственниками помещений в МКД ответственность будет нести управляющая МКД организация.

    Если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия третьего лица несет оператор. Лицо, которое обрабатывает персональные данные по поручению оператора, несет ответственность перед оператором. Ответственность лиц устанавливает часть 5 статьи 6 Закона № 152-ФЗ.

© Материал из Справочной системы «Управление многоквартирным домом»

Источник: https://maxpark.com/community/4701/content/6915739

Блог

Согласие на обработку персональных данных управляющей компанией

«В отношениях, где нет согласия, добра не бывает».

Верно ли данное изречение по отношению к собственникам помещений МКД в ситуации при смене способа управления или управляющей организации рассмотрим ниже.

Исходя из требований ч. 10 ст. 162 Жилищного кодекса Российской Федерации (далее – ЖК РФ) управляющая организация (далее – УО) в течение трех рабочих дней со дня прекращения договора управления многоквартирным домом обязана передать техническую и иную документацию на многоквартирный дом, связанную с управлением таким домом вновь выбранной УО.

Согласно ч. 1 ст. 161 ЖК РФ Правительство Российской Федерации 15.05.2013 г. Постановлением № 416 утвердило Правила осуществления деятельности по управлению многоквартирными домами (далее – Правила 416).

В силу п. 20 Правил 416 техническая документация на многоквартирный дом и иные документы, связанные с управлением многоквартирным домом, подлежат передаче в составе, предусмотренном Правилами содержания общего имущества в многоквартирном доме, утвержденными постановлением Правительства Российской Федерации от 13 августа 2006 г. № 491.

В состав иных документов, подлежащих передаче при смене управляющей организации (далее – УО) включается также реестр собственников помещений в МКД, ведение которого предусмотрено частью 3.

1 статьи 45 ЖК РФ,а также составленный с учетом требований законодательства Российской Федерации о защите персональных данных список лиц, использующих общее имущество на основании договоров (по решению общего собрания собственников помещений в многоквартирном доме) (пп.

«д(1)» п. 26 Правил 491 в ред. Постановления Правительства РФ от 13.09.2018 № 1090).

Положениями части 3.

1 статьи 45 ЖК РФ установлено, что УО обязана вести реестр собственников помещений в МКД, который содержит сведения, позволяющие идентифицировать их ФИО, номер помещения в многоквартирном доме, собственником которого является данное лицо, а также сведения о размерах принадлежащих им долей в праве общей собственности на общее имущество собственников помещений в многоквартирном доме. При этом, данная норма позволяет не получать согласие собственников на передачу персональных данных, содержащихся в реестре в случае, установленном настоящей статьей, а именно, при поступлении запроса о предоставлении такого реестра в целях созыва и организации проведения ОСС.

За отказ либо уклонение от передачи технической документации и иных связанных с управлением многоквартирным домом документов статьей 7.23.2. КоАП РФ предусмотрена административная ответственность.

Согласно пп. «б» п.

4 Правил 416 сбор, обновление и хранение информации о собственниках и нанимателях помещений в многоквартирном доме, а также о лицах, использующих общее имущество в многоквартирном доме на основании договоров, включая ведение актуальных списков в электронном виде и (или) на бумажных носителях с учетом требований законодательства Российской Федерации о защите персональных данных рассматриваются как стандарт управления МКД.

Как следует из вышеприведенных норм, при смене УО обязанность по передаче реестра собственников помещений в МКД возлагается на ранее управлявшую МКД организацию.

Стоит отметить, что отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон 152-ФЗ).

По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных (пункт 1 части 1 статьи 6 Закона 152-ФЗ).

Под обработкой персональных данных (далее – ПД) понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Закона 152-ФЗ).

В силу требований ст. 7 Закона 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Вместе с тем, обработка персональных данных допускается в том случае, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (пп. 5 п. 1 ст. 6 Закона 152-ФЗ).

Как следует из содержания данной нормы закона, согласие субъекта персональных данных на обработку указанных данных не требуется в случае, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Данная позиция подтверждается судебной практикой, в частности, Апелляционным определением Пермского краевого суда от 14.10.2015 по делу № 33-11127/2015 по спору между заемщиком и банком.

Источник: https://www.burmistr.ru/blog/sudebnaya-praktika51303298/soglasie-sobstvennikov-na-peredachu-personalnykh-dannykh/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.