Вопрос: Что включает в себя понятие конфиденциальности? Уведомление об обработке (о намерении осуществлять обработку) персональных данных Отказ от дачи персональных данных для тсж

Пример заполнения № 7

(товарищество собственников жилья)

Управление Федеральной службы

по надзору в сфере связи, информационных

технологий и массовых коммуникаций

(наименование территориального органа Роскомнадзора)

УВЕДОМЛЕНИЕ

об обработке (о намерении осуществлять обработку) персональных данных

Товарищество собственников жилья «Дом» (ТСЖ «Дом»); ИНН; КПП;

(полное (сокращенное) наименование, фамилия, имя, отчество)

г. Ростов-на-Дону,

(адрес местонахождения, почтовый адрес оператора)

Руководствуясь: Жилищным кодексом РФ; ст. 85‑90 Трудового кодекса РФ; ст. 5, 7, 19 Федерального закона от 01.01.2001 № 152-ФЗ «О персональных данных»; Уставом ТСЖ «Дом»

(правовое основание обработки персональных данных)

с целью: управления эксплуатацией жилого и нежилого фондов; ведения списка членов ТСЖ «Дом»; ведения паспортного учета; осуществления расчетов с пользователями коммунальных услуг ; учета персональных данных работников ТСЖ «Дом».

(цель обработки персональных данных)

осуществляет обработку: персональных данных – фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, состав семьи, паспортные данные, номер телефона.

принадлежащих: работникам ТСЖ «Дом», физическим лицам, состоящим с ТСЖ «Дом» в гражданско-правовых отношениях, собственникам жилых и нежилых помещений.

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных осуществляется путем смешанной обработки персональных данных с применением ЭВМ, с передачей по внутренней (локальной) сети юридического лица и по сети общего пользования Интернет.

(перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных)

Приказом назначен ответственный за обработку персональных данных: Катерина Викторовна Антипова, т. 8 (863) ; г. Ростов-на-Дону, ; *****@***ru.

Приняты локальные акты по вопросам обработки персональных данных. Политика в отношении обработки персональных данных опубликована на официальном сайте организации. Применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных: определены угрозы безопасности персональных данных при их обработке в информационной системе персональных данных; ведется учет машинных носителей персональных данных; осуществляется контроль за применяемыми мерами по обеспечению безопасности персональных данных. Шифровальные (криптографические) средства не применяются. Уровень защищенности персональных данных – 4.

(описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 01.01.2001 «О персональных данных», в т. ч. сведения о наличии шифровальных (криптографических) средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их телефонов, почтовые адреса и адреса электронной почты)

Трансграничная передача персональных данных не осуществляется.

(при наличии трансграничной передачи персональных данных в процессе их обработки, указывается перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных)

В соответствии с постановлением Правительства от 01.01.2001 № 1119 для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими трудовых обязанностей.

В соответствии с постановлением Правительства от 01.01.2001 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц осуществляющих обработку персональных данных.

(сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации)

Дата начала обработки персональных данных: 01.02.2002 (дата регистрации ЮЛ)

Срок или условие прекращения обработки персональных данных: прекращение деятельности ТСЖ «Дом»

Председатель ТСЖ «Дом» _________

(должность) (подпись)

“____” ______________ 20__ г.

«Защита персональных данных», «уведомление об обработке персональных данных», «согласие на обработку персональных данных», «законодательство о защите персональных данных» — данные словосочетания становятся проблемой и головной болью многих УО, ТСЖ, ЖСК, которые неожиданно столкнулись с понятием «персональные данные» и которым не хочется ни нарушить закон, ни поссорится с собственниками, ни навлечь на себя предписания и штрафы контролирующих органов. При этом расплывчатые формулировки законодательства о персональных данных, отсутствие внятных разъяснений гос.органов (и их стремление, в первую очередь, к карательной, а не регулирующей функции) делают еще более сложно определяемыми как отнесение той или иной информации к персональным данным, так и порядок обращения с такими данными. Да еще и собственники помещений все больше проникаются пониманием некой «священной неприкосновенности» их персональных данных, которые, по мнению довольно значительного их (собственников) числа, якобы нельзя использовать для целей предъявления этим собственникам к оплате стоимости потребленных ими же услуг, для взыскания имеющихся задолженностей, для исполнения обязанностей, предусмотренных законодательством, и т.д. и т.п. В последнее время в все чаще поступают вопросы о том, в каких случаях необходимо УО, ТСЖ, ЖСК получать согласие собственника на передачу о нем информации в иные организации и гос.органы, а также о необходимости предоставления персональных данных собственников в РСО в связи с переходом на «прямые договоры» и региональному оператору по работе с ТКО. Попробуем ответить на наиболее актуальные вопросы в .

Что такое персональные данные?

Согласно пункту 1 статьи 3 Федерального закона от 27.07.2016 № 152-ФЗ (далее — ФЗ № 152) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 ФЗ № 152).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ № 152).

Таким образом:

• персональные данные — это любая информация, относящаяся к собственникам (нанимателям) помещений МКД, а также работникам УО, ТСЖ, ЖСК;
• обработка персональных данных — это любое действие, которое с ними совершается;
• все управляющие компании, ТСЖ, ЖСК (далее — управляющие организации) являются операторами по обработке персональных данных, поскольку собирают, систематизируют, хранят, уточняют, используют и передают информацию, касающуюся собственников многоквартирного дома.

Уведомление уполномоченного органа

По общему правилу оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (п. 1 ст. 22 ФЗ № 152).

Органом, уполномоченным на защиту прав субъектов персональных данных в соответствии со ст. 23 ФЗ № 152 является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Уведомление рекомендуется направлять в территориальный орган Роскомнадзора — управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Приказа Роскомнадзора от 30 мая 2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения». Уведомление должно быть подготовлено и направлено в уполномоченный орган в соответствии с вышеуказанными методическими рекомендациями»).

Неуведомление (непредставление или несвоевременное представление) уполномоченного госоргана в порядке ст. 22 ФЗ № 152 влечет за собой административную ответственность в соответствии с Кодексом Российской Федерации об административных правонарушениях (ст. 19.7). Ответственность за подобные правонарушения установлена в виде предупреждения или наложения административного штрафа (на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц от трех тысяч до пяти тысяч рублей).

Вместе с тем, п. 2 ст. 22 ФЗ № 152 установлены случаи, в соответствии с которыми УО, ТСЖ, ЖСК вправе осуществлять без уведомления Роскомнадзора обработку персональных данных , к которым относятся данные:
- обрабатываемые в соответствии с трудовым законодательством;
- полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- сделанные субъектом персональных данных общедоступными;
- включающие в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
- обрабатываемые в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Так, если УО, ТСЖ, ЖСК осуществляет, например, обработку в соответствии с трудовым законодательством, то при обработке данных своих работников, они не обязаны уведомлять Роскомнадзор о начале обработке персональных данных . Отметим, что право не уведомлять Роскомнадзор не исключает возможности (в случае желания, на всякий случай и по прочим индивидуальным причинам) уведомить уполномоченный орган о начале обработки данных.

Из вышеприведенного перечня интерес также представляет следующее положение — УО, ТСЖ, ЖСК вправе осуществлять обработку персональных данных без уведомления в случае, когда данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Иными словами, если УО, ТСЖ, ЖСК персональные данные собственников обрабатывает, однако не распространяет и не передает третьим лицам, то оно не обязано направлять уведомление в Роскомнадзор.

Таким образом, за исключением случаев, установленных п. 2 ст. 22 ФЗ № 152, УО, ТСЖ, ЖСК обязаны уведомлять уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

Если до того, как УО, ТСЖ, ЖСК приступили к работе, связанной с обработкой персональных данных, уведомление в Роскомнадзор направлено не было, то представление уведомления в таком случае будет несвоевременным. Вместе с тем, даже если ранее не было направлено уведомление об обработке персональных данных, такое уведомление необходимо направить во избежание более серьезных санкций в дальнейшем. К ситуации, при которой обязанности по уведомлению Роскомнадзора не существовало, а в какой-то момент она возникла, можно отнести, например, переход от обработки данных без использования средств автоматизации к обработке с использованием таких средств.

Передача данных с согласия субъекта персональных данных

Обработка персональных данных допускается в случае, когда обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (ч. 1 ст. 6 ФЗ № 152).

Требования к согласию субъекта персональных данных установлены ст. 9 ФЗ № 152.

Так, например, согласие на обработку персональных данных должно быть конкретным, информированным и сознательным (п. 1 ст. 9 ФЗ № 152), а в случаях, предусмотренных законом обработка персональных данных осуществляется только с согласия в письменной форме (п. 4 ст. 9 ФЗ № 152).

Важно отметить, что обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора (п. 3 ст. 6 ФЗ № 152), то есть именно УО, ТСЖ и ЖСК должны будут доказывать, получено ли такое согласие или его получение не требуется. Сам собственник помещения МКД (субъект персональных данных) данное обстоятельство доказывать не обязан, а просто может заявить о том, что его права были нарушены оператором персональных данных.

Более подробные разъяснения о требованиях к согласию субъекта персональных данных в настоящей статье не приведены, поскольку не являются целью данной публикации. Указанные разъяснения даны экспертом О.Е.Яндыевой в ходе вебинара, видеозапись которого доступна к приобретению на сайте АКАТО .

Обработка персональных данных без согласия субъекта и без уведомления Роскомнадзора в связи с исполнением договора

Обработка персональных данных допускается в случае, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (ч. 2 ст. 6 ФЗ № 152), а также для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (ч. 5 ст. 6 ФЗ № 152). В указанных случаях согласия субъекта персональных данных на обработку персональных данных не требуется.

Ч. 1 ст. 162 ЖК РФ устанавливает, что договор управления многоквартирным домом заключается с управляющей организацией , которой предоставлена лицензия на осуществление деятельности по управлению многоквартирными домами в соответствии с требованиями настоящего Кодекса, в письменной форме или в электронной форме с использованием системы путем составления одного документа, подписанного сторонами. При выборе управляющей организации общим собранием собственников помещений в многоквартирном доме с каждым собственником помещения в таком доме заключается договор управления на условиях, указанных в решении данного общего собрания. При этом собственники помещений в данном доме, обладающие более чем пятьюдесятью процентами голосов от общего числа голосов собственников помещений в данном доме, выступают в качестве одной стороны заключаемого договора.

Отметим, что заключившими договор с управляющей организацией считаются все собственники МКД, в том числе и те, которые не принимали участие в голосовании и непосредственно договор не подписывали, а также новые собственники (лица, у которых право собственности на помещение в МКД возникло после выбора управляющей организации).

Учитывая, что договор заключается между собственниками и управляющей организацией, а между собственниками и ТСЖ и ЖСК как таковой договор не заключается, а принимается решение (оформленное протоколом) и принимается устав о деятельности ТСЖ или ЖСК, у многих возникает вопрос, относятся ли вышеуказанные положения ст. 6 ФЗ № 152 об отсутствии необходимости получения согласия на обработку персональных данных к ТСЖ и ЖСК или применимы только к УО.

Действительно, в соответствии с ч. 1-2 ст. 135 ЖК РФ товариществом собственников жилья признается вид товариществ собственников недвижимости, представляющий собой объединение собственников помещений в многоквартирном доме для совместного управления общим имуществом в многоквартирном доме либо имуществом собственников помещений в нескольких многоквартирных домах или имуществом собственников нескольких жилых домов. Устав товарищества собственников жилья принимается на общем собрании большинством голосов от общего числа голосов собственников помещений в многоквартирном доме.

Ч. 1 ст. 110 ЖК РФ устанавливает, что жилищным или жилищно-строительным кооперативом признается добровольное объединение граждан и в установленных настоящим Кодексом, другими федеральными законами случаях юридических лиц на основе членства в целях удовлетворения потребностей граждан в жилье, а также управления многоквартирным домом. В соответствии с ч. 4 ст. 112 ЖК РФ решение собрания учредителей об организации жилищного кооператива и об утверждении его устава считается принятым при условии, если за это решение проголосовали лица, желающие вступить в жилищный кооператив (учредители).

Согласно п. 6 Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденными Постановлением Правительства РФ от 06 мая 2011 г. № 354, предоставление коммунальных услуг потребителю осуществляется на основании возмездного договора , содержащего положения о предоставлении коммунальных услуг. Договор, содержащий положения о предоставлении коммунальных услуг, может быть заключен с исполнителем в письменной форме или путем совершения потребителем действий, свидетельствующих о его намерении потреблять коммунальные услуги или о фактическом потреблении таких услуг (далее — конклюдентные действия).

Иными словами, хотя прямо в ЖК РФ не предусмотрено заключение договора между собственниками и ТСЖ и ЖСК, согласно Правилам № 354 они такой договор, даже если и не письменно, а путем совершения конклюдентных действий совершают, а значит, вышеуказанные положения ст. 6 ФЗ № 254 применимы как к УО, так и к ТСЖ и ЖСК,

Таким образом, договор о предоставлении коммунальных услуг заключается между собственниками помещений МКД и УО, ТСЖ и ЖСК, и, следовательно, обработка персональных данных (исключая распространение и передачу) в таком случае не требует дополнительного согласия субъектов персональных данных. Что касается распространения и передачи данных сторонним лицам и организациям, то в таком случае будет необходимо получать письменное согласие собственника, на распространение и передачу их данных, вне зависимости от факта наличия заключенного договора.

Передача персональных данных расчетным центрам (платежным агентам)

Один из исключительных случаев, когда не требуется согласие субъекта персональных данных (собственника, нанимателя) на передачу сведений, содержащих персональные данные, является передача сведений платежным или банковским агентам, а именно расчетным центрам, которые осуществляют прием платежей собственников (нанимателей).

Данная возможность закреплена в чч. 15-16 ст. 155 ЖК РФ, в соответствии с которыми наймодатель жилого помещения, управляющая организация, иное юридическое лицо или индивидуальный предприниматель, которым в соответствии с настоящим Кодексом вносится плата за жилое помещение и коммунальные услуги, а также их представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов , осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов , осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности. При привлечении такими лицами представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется .

Таким образом, УО, ТСЖ, ЖСК, не опасаясь, на законных основаниях имеют право передавать необходимые для осуществления расчетов сведения, содержащие персональные данные, платежным или банковским агентам для выставления и приема платежей, а жалобы собственников (нанимателей) на то, что данные без их согласия переданы в расчетные центры, необоснованы.

Передача персональных данных собственников от УО/ТСЖ/ЖСК в РСО, оператору по обращению с ТКО при переходе на «прямые договоры»

Особо актуален вопрос, обязаны ли УО, ТСЖ и ЖСК передавать информацию ресурсоснабжающей организации (далее — РСО) или региональному оператору по обращению с твердыми коммунальными отходами (далее — Оператор ТКО) при заключении собственниками «прямого договора» на предоставление коммунальных услуг. РСО часто запрашивают сведения о собственниках, паспортные данные или копии паспортов собственников, данные о собственности (доля в праве, количество голосов), реквизиты документа, подтверждающего право собственности и иную информацию.

Если от собственников ранее было получено согласие на передачу требуемых данных, то здесь вопросов не возникает — передача данных может быть осуществлена. Однако случаи наличия такого согласия крайне редки.

В соответствии с ч 3.1 ст. 45 ЖК РФ управляющая организация, правление товарищества собственников жилья, жилищного или жилищно-строительного кооператива, иного специализированного потребительского кооператива обязаны вести реестр собственников помещений в многоквартирном доме, который содержит сведения, позволяющие идентифицировать собственников помещений в данном многоквартирном доме (фамилия, имя, отчество (при наличии) собственника помещения в многоквартирном доме, полное наименование и основной государственный регистрационный номер юридического лица, если собственником помещения в многоквартирном доме является юридическое лицо, номер помещения в многоквартирном доме, собственником которого является физическое или юридическое лицо), а также сведения о размерах принадлежащих им долей в праве общей собственности на общее имущество собственников помещений в многоквартирном доме. Согласие собственников помещений в многоквартирном доме на передачу персональных данных, содержащихся в реестре собственников помещений в многоквартирном доме, при предоставлении этого реестра в порядке, установленном настоящей частью, в целях созыва и организации проведения общего собрания собственников помещений в многоквартирном доме не требуется.

Согласно пп. «а» п. 19 Приказа Минстроя России от 25 декабря 2015 г. № 937/пр «Об утверждении Требований к оформлению протоколов общих собраний собственников помещений в многоквартирных домах и Порядка передачи копий решений и протоколов общих собраний собственников помещений в многоквартирных домах в уполномоченные органы исполнительной власти субъектов Российской Федерации, осуществляющие государственный жилищный надзор» обязательными приложениями к протоколу общего собрания являются реестр собственников помещений в многоквартирном доме , содержащий сведения обо всех собственниках помещений в многоквартирном доме с указанием фамилии, имени, отчества (при наличии) собственников — физических лиц, полного наименования и ОГРН юридических лиц, номеров принадлежащих им помещений, и реквизитов документов, подтверждающих права собственности на помещения, количества голосов, которым владеет каждый собственник помещения в многоквартирном доме.

Таким образом, если переход на «прямые договоры» осуществлен по решению собственников МКД, то в РСО направляется копия протокола общего собрания собственников, на котором такое решение принималось, с приложением — реестром собственников помещений МКД. Отметим, что Приказ Минстроя РФ от 25 декабря 2015 г. № 937/пр предусматривает, что в реестре собственников должны быть указаны «реквизиты документов, подтверждающих права собственности на помещения». Однако, если РСО или Оператор ТКО требуют паспортные данные (дату и место рождения, серию и номер паспорта, дату выдачи и орган, его выдавший), а также иные данные, не предусмотренные в реестре, то передача таких данных возможна только в случае наличия согласия субъекта персональных данных.

Если же РСО или Оператор ТКО по своей инициативе приняли решение о переходе на «прямые договоры», в таком случае протокол общего собрания собственников отсутствует, соответственно, реестр собственников РСО получить не может.

Отметим, что в случае заключения с РСО и (или) Оператором ТКО договора, содержащего положения о предоставлении коммунальных услуг, и договора на оказание услуг по обращению с твердыми коммунальными отходами соответственно, в отношении них действуют те же самые положения ст. 6 ФЗ № 152, и в случае, если РСО или Оператор ТКО не осуществляют распространение и передачу персональных данных собственников третьим лицам, согласие собственников считается выраженным уже в договоре, и дополнительно согласия на обработку персональных данных не требуется. Однако, указанные положения не означают наличие обязанности УО/ТСЖ/ЖСК по передаче таких данных в РСО.

Передача персональных данных в иных случаях

Дополнительно отметим, что существуют и иные условия и требования к обработке персональных данных, в данной статье освещены наиболее актуальные из них.

Более подробную информацию, в том числе по ряду иных положений ФЗ № 152 (разработка положения о персональных данных) с разъяснениями эксперта и с шаблонами (примерами) необходимых документов, Вы можете получить, приобретя видеозапись онлайн-семинара , описание которого представлено

«УТВЕРЖДАЮ»:
Председатель
ТСЖ «Панфилат»
_____________ Н.С. Матвеенков
«_____»______________ 20___г.
Положение об обработке и защите персональных данных собственников и пользователей помещений в многоквартирных домах ТСЖ «Панфилат»
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», «Положением об особенностях обработки персональных данных, «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 01.11.2012г. № 1119, и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
1.2. ТСЖ «Панфилат», согласно законодательству РФ, является оператором персональных данных.
1.3. Основные понятия, используемые в Положение:
— ТСЖ — Товарищество собственников жилья «Панфилат», управляющее многоквартирным домом (МКД) на основании решения общего собрания собственников МКД.
— Клиент — собственник помещения в многоквартирном доме, жилого дома, домовладения, а также лицо, пользующееся на ином законном основании помещением в многоквартирном доме, жилым домом, домовладением, потребляющее коммунальные услуги;
— услуги ТСЖ — действия ТСЖ по оказанию услуг и выполнению работ по управлению, по надлежащему содержанию и ремонту общего имущества в многоквартирном доме, предоставлению коммунальных услуг собственникам помещений в таком доме и пользующимся помещениями в этом доме лицам, осуществление иной направленной на достижение целей управления многоквартирным домом деятельности;
— персональные данные — информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении управляющей компании, позволяет идентифицировать личность Клиента;
— обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
— распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
— использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
— конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

1.4. Настоящее Положение устанавливает порядок обработки персональных данных Клиентов, для которых ТСЖ осуществляет весь спектр услуг по управлению многоквартирным домом, по содержанию и (или) выполнению работ по ремонту общего имущества, исполнению жилищно-коммунальных услуг.
1.5. Настоящее Положение обязательно к исполнению всеми сотрудниками ТСЖ, описывает основные цели, принципы обработки и требования к безопасности персональных данных в ТСЖ.
1.6. Настоящее Положение разработано с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.7. Персональные данные обрабатываются в целях выполнения услуг по управлению многоквартирным домом, по содержанию и (или) выполнению работ по ремонту общего имущества, исполнению жилищно-коммунальных услуг. ТСЖ собирает и обрабатывает персональные данные только в объеме, необходимом для достижения указанной в пункте 2.2. настоящего Положения цели.
1.8. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности ТСЖ.
2. Принципы и цели обработки. Состав персональных данных
2.1. Обработка персональных данных ТСЖ осуществляется на основе принципов:
– обработка персональных данных Клиентов осуществляется исключительно для обеспечения соблюдения федеральных законов и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных;
– объем и содержание обрабатываемых персональных данных субъектов, способы обработки персональных данных соответствуют требованиям федерального законодательства, а также другим нормативным актам и целям обработки персональных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– персональные данные ТСЖ получает у самого Клиента, в том числе дистанционно, посредством сети Интернет, с использованием электронной почты или путем заполнения формы на сайте ТСЖ; а также иными способами в соответствии с законодательством РФ;
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных.
ТСЖ принимаются необходимые меры по уничтожению (удалению) либо уточнению неполных или неточных данных.
2.2. Обработка персональных данных субъектов персональных данных проводится ТСЖ с целью исполнения договорных и иных гражданско-правовых отношений при осуществлении ТСЖ хозяйственной деятельности, повышения оперативности и качества обслуживания Клиентов.
2.3. ТСЖ обрабатываются следующие категории персональных данных:
— анкетные данные (фамилия, имя, отчество, число, месяц, год рождения и др.);
— паспортные данные;
— адрес регистрации;
— адрес места жительства;
— семейное положение;
— статус члена семьи;
— наличие льгот и преимуществ для начисления и внесения платы за содержание жилого помещения и коммунальные услуги;
— сведения о регистрации права собственности в Едином государственном реестра прав на недвижимое имущество (ином уполномоченном органе), а равно о иных правах на пользование помещением, в том числе о его площади, количестве проживающих, зарегистрированных и временно пребывающих;
— размер платы за содержание жилого помещения и коммунальные услуги (в т.ч. и размер задолженности);
— сведения о произведенных в пользу ТСЖ платежах по оплате жилищно-коммунальных услуг;
— иные необходимые персональные данные.
3. Условия обработки
3.1. Порядок работы с персональными данными Клиентов в ТСЖ регламентирован действующим законодательством Российской Федерации, внутренними документами ТСЖ и осуществляется с соблюдением строго определенных правил и условий.
3.2. Обработка персональных данных в ТСЖ осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), обезличивания, блокирования, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов выполнения договорных и иных гражданско-правовых обязательств с субъектом персональных данных. При этом используется смешанный (автоматизированный и неавтоматизированный) способ обработки персональных данных.
3.3. Согласие на обработку персональных данных Клиентом подтверждается Заявлением о согласии на обработку персональных данных, подписанным Клиентом или подтвержденном иным способом, предусмотренным действующим законодательством. Отсутствие Заявления не является основанием для отказа ТСЖ от исполнения обязательств по управлению, содержанию и ремонту общего имущества МКД, равно по оплате Клиентом полученных услуг. Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством, в том числе с использованием защищенных телекоммуникационных каналов связи.
3.4. ТСЖ не осуществляет трансграничную передачу персональных данных Клиентов.
3.5. Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, Федеральным законом РФ «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2004 г., сроком исковой давности, а также иными требованиями законодательства РФ. По истечении сроков хранения таких документов они подлежат уничтожению.
3.6. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними ТСЖ применяются организационные и технические меры.
3.7. Председатель ТСЖ «Панфилат» утверждает перечень сотрудников ТСЖ, имеющих доступ к персональным данным Клиентов.
3.8. Персональные данные на бумажных носителях хранятся в служебных помещениях ТСЖ в условиях, исключающих ознакомление лиц, не имеющих допуска к работе с персональными данными Клиента. Вынос персональных данных за пределы служебных помещений, а равно их передача третьим лицам запрещена, за исключением случаев, когда это требуется для исполнения целей обработки персональных данных, включая требования государственных и иных органов Российской Федерации, осуществление претензионно-исковой деятельности.
3.9. Персональные данные Клиентов хранятся в электронном виде на компьютерах сотрудников, имеющих доступ к обработке персональных данных, защищенных индивидуальным паролем. Передача, а равно разглашение пароля доступа к компьютерам посторонним лицам не допускается.
4. Основные мероприятия по обеспечению безопасности обработки персональных данных
4.1 . ТСЖ обязано при обработке персональных данных Клиентов принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий
4.2. Для эффективной защиты персональных данных Клиентов необходимо:
4.2.1. соблюдать порядок получения, учета и хранения персональных данных Клиентов;
4.2.2. применять технические средства охраны, сигнализации;
4.2.З. заключить со всеми сотрудниками, связанными с получением, обработкой и защитой персональных данных Клиента, Соглашение о неразглашении персональных данных Клиента;
4.2.4. привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента.
4.3. Допуск к персональным данным Клиентов сотрудников ТСЖ, не имеющих надлежащим образом оформленного доступа, запрещается.
4.4. Документы, содержащие персональные данные Клиентов, хранятся в помещениях ТСЖ, обеспечивающих защиту от несанкционированного доступа.
4.5. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
— системой паролей. Пароли устанавливаются системным администратором и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
— использованием специального программного обеспечения: антивирусы, сетевые экраны, средства шифрования.
4.6. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях.
5. Порядок предоставления информации, содержащей персональные данные
5.1. При обращении субъекта персональных данных (владельца этих данных или его законного представителя) или получении запроса ТСЖ безвозмездно предоставляет в течение 30 дней с даты получения запроса или обращения персональные данные, относящиеся к субъекту персональных данных, в доступной форме, исключающей предоставление персональных данных, относящихся к другим субъектам персональных данных.
5.2. Сторонние организации имеют право доступа к персональным данным субъектов персональных данных только если они наделены необходимыми полномочиями в соответствии с законодательством Российской Федерации, либо на основании договоров с ТСЖ, заключенных в связи с требованиями законодательства Российской Федерации.
Основанием для сотрудника ТСЖ в целях предоставления информации о персональных данных субъектов служит резолюция председателя правления ТСЖ на соответствующем запросе либо факт подписания соглашения (договора) об информационном обмене.
В соглашение (договор) об информационном обмене включается условие о неразглашении сведений, составляющих персональные данные субъектов, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
5.3. При передаче персональных данных субъектов ТСЖ и уполномоченные им должностные лица соблюдают следующие требования:
– не сообщают персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
– предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требуют от этих лиц подтверждения соблюдения этого условия, за исключением случаев, установленных федеральным законодательством;
– не отвечают на вопросы, связанные с предоставлением персональной информации, любым третьим лицам без законных оснований (письменного запроса);
– ведут учет передачи персональных данных субъектов по поступившим в Компанию запросам субъектов.

6. Обязанности ТСЖ

6.1. ТСЖ обязано:

6.1.1. Осуществлять обработку персональных данных Клиентов исключительно в целях оказания законных услуг Клиентам.

6.1.2. Не получать и не обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.

6.1.3. Предоставлять доступ к своим персональным данным Клиенту или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя, или иным путём предусмотренным соглашением между Клиентом и ТСЖ. Запрос также может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

6.1.4. Ограничить право Клиента на доступ к своим персональным данным, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

6.1.5. Обеспечить хранение и защиту персональных данных Клиента от неправомерного их использования или утраты.

6.1.6. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязал осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

6.1.7. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

6.1.8. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.1.9. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить установленным способом об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7. Права Клиента

7.1. Клиент имеет право, в рамках действующего законодательства, на:
— доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки; способы обработки персональных данных, применяемые управляющей компанией; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных;
— запрет на распространение персональных данных без его согласия;
— изменение, уточнение, уничтожение информации о самом себе.

8. Конфиденциальность персональных данных Клиентов

8.1. Сведения о персональных данных Клиентов, являются конфиденциальными.

8.2. ТСЖ обеспечивает конфиденциальность персональных данных и обязана не допускать их распространения третьим лицом без согласия Клиентов либо наличия иного законного основания.

8.3. Лица, имеющие доступ к персональным данным Клиентов, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.

8.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиентов распространяются на все носители информации, как на бумажные, так и на автоматизированные.

8.5. Режим конфиденциальности персональных данных снимается в случае обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
9. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных.
9.1. Должностные лица ТСЖ, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
9.3. Клиент несет ответственность за передачу заведомо недостоверных персональных данных, или персональных данных, которые Клиент не имеет права передавать, в соответствии с действующим законодательством Российской Федерации.
10. Заключительные положения
10.1. Настоящее Положение вступает в силу с момента ее утверждения председателем правления ТСЖ.
10.2. Настоящее Положение подлежит корректировке в случае изменения законодательства Российской Федерации, регулирующих органов в области защиты персональных данных, внутренних документов ТСЖ в области защиты конфиденциальной информации. При внесении изменений в заголовке Положения указывается номер версии и дата последнего обновления редакции. Новая редакция Положения вступает в силу с момента ее утверждения председателем правления ТСЖ и размещения на сайте ТСЖ.
10.3. В случае изменения законодательства Российской Федерации в области защиты персональных данных, нормы Положения, противоречащие законодательству, не применяются до приведения их в соответствие.
10.4. Действующая редакция Положения хранится по адресу: г.Москва, ул.Туристская д.33 к 1, помещение ОДС 59.

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Материал посвящен анализу законодательных норм в области обработки персональных данных. Существуют ли на сегодняшний день четкие требования к тому, каким способом и в каком виде гражданам должны представляться документы на оплату ЖКУ?

Платежные документы гражданам - только в конвертах?

Вопросом, вынесенным в заглавие статьи, задаются управляющие организации, ТСЖ, специализированные расчетные центры, а также работающие в иных сферах компании, которые обязаны представлять гражданам счета за услуги (например, операторы связи). Естественно, этот вопрос актуален, если платежные документы гражданам доставляются в почтовые ящики. Каковы тенденции решения данной проблемы в настоящее время?

Для начала введем следующие понятия (ст. 3 Закона о персональных данных 1 ):

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Требования к платежным документам приведены в п. 38 Правил предоставления коммунальных услуг (и в п. 69 Новых правил предоставления коммунальных услуг ), примерная форма платежного документа утверждена  454 . Сведения, которые необходимы для расчета и взимания платы за жилое помещение и коммунальные услуги и заполнения платежного документа, безусловно, являются персональными данными (Ф. И. О., почтовый адрес и площадь помещения, принадлежность потребителя к той или иной льготной категории, сведения о задолженности, объем потребления тех или иных коммунальных услуг). УК (как и ТСЖ), как самостоятельно начисляющая платежи, так и передающая эти функции специализированной компании, признается оператором, поскольку она как минимум организует обработку персональных данных и определяет цели обработки, состав данных и операции, совершаемые с ними.

Поскольку исполнители коммунальных услуг связаны договорами с субъектами персональных данных, никакого согласия от последних на обработку персональных данных получать не нужно (пп. 5 п. 1 ст. 6 Закона о персональных данных в действующей редакции). Именно на это обратила внимание Судебная коллегия по гражданским делам Нижегородского областного суда в Определении от 24.08.2011 №  33-8182 , отказав в удовлетворении иска гражданину, считавшему нарушением своих прав и закона указание в счетах-квитанциях, выставленных ему управляющей организацией, его персональных данных (Ф. И. О., адреса, площади квартиры, числа зарегистрированных и проживающих в квартире человек, вида собственности, сведений об инвалидности).

Подчеркнем: такая обработка должна быть необходима для исполнения договора. Если же речь идет о принудительном взыскании платежей (в частности, в виде привлечения коллекторов либо передачи задолженности по договору уступки требования), нужно получить согласие граждан на распространение их персональных данных с такой целью 2 . Одновременно лицо, которому переданы персональные данные для взыскания платежей, должно предоставить гражданам соответствующую информацию, названную в п. 3 ст. 18 Закона о персональных данных (Постановление ФАС УО от 13.01.2012 №   Ф09-9061/11 ).

Сотрудничество УК и ТСЖ со специализированными компаниями

Прежде чем приступить к обсуждению вопроса о необходимости вкладывать платежные документы в конверты при их доставке в почтовые ящики, нужно расставить все точки над i в вопросе правомерности привлечения управляющими компаниями для расчета платежей, печати и доставки счетов специализированных организаций. Новые правила предоставления коммунальных услуг (пп. «е» п. 32 ) прямо предусматривают право исполнителя (УК и ТСЖ) привлекать на основании договора, содержащего условие об обеспечении требований законодательства РФ о защите персональных данных, организацию или ИП, в частности, для начисления платы за коммунальные услуги и подготовки доставки, а также для самой доставки платежных документов потребителям. Несмотря на то, что указанный нормативный документ еще не вступил в силу, такое право у УК и ТСЖ есть и на сегодняшний момент. Обязательность включения в договор об оказании услуг (по начислению платы, печати и доставке счетов), который в Законе о персональных данных именуется поручением оператора по обработке персональных данных, условия о соблюдении специализированной компанией норм указанного закона прописана в п. 3 ст. 6 данного закона. Важно, что сама специализированная компания (лицо, осуществляющее обработку персональных данных по поручению оператора) не обязана получать согласие субъекта на обработку его персональных данных (п. 4 ст. 6 Закона о персональных данных ). Однако в силу прямого указания п. 3 той же статьи оператор имеет право поручить обработку персональных данных другому лицу лишь с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Учитывая, что право исполнителя коммунальных услуг заключать с третьим лицом договор о начислении платы, печати и доставке платежных документов прописано в Новых правилах предоставления коммунальных услуг , которые не являются федеральным законом, УК и ТСЖ обязаны получить согласие граждан на передачу указанных функций специализированным компаниям. В противном случае поручение оператора (УК, ТСЖ) незаконно. Соответственно, обработка персональных данных специализированной компанией также незаконна. Кроме того, следует учитывать, что ответственность перед субъектом персональных данных за действия специализированной компании несет УК (ТСЖ) (п. 5 ст. 6 Закона о персональных данных ).

Все приведенные выше положения содержатся в Законе о персональных данных в редакции Федерального закона от 25.07.2011 №  261-ФЗ , которая применяется к правоотношениям, возникшим с 01.07.2011. В период с 18.06.2011 по 01.07.2011 действовала другая редакция, согласно которой специализированным компаниям (точнее, лицам, привлеченным на основе договоров для осуще-ствления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги ) не требовалось согласие субъекта персональных данных на их обработку. До 18.06.2011 на основании ст. 3 , 7 Закона о персональных данных оператор, чтобы обеспечить законность передачи персональных данных третьему лицу для их обработки (в частности, для начисления платежей за жилищно-коммунальные услуги), должен был заручиться согласием граждан на такую передачу 3 .

Подробнее о доставке платежных документов

Жилищное законодательство не регламентирует способы доставки платежных документов потребителям. Однако оговорен срок их направления: не позднее 1-го числа месяца, следующего за истекшим месяцем, если иной срок не установлен договором управления МКД либо решением общего собрания членов ТСЖ, жилищного кооператива или иного специализированного потребительского кооператива (п. 2 ст. 155 ЖК РФ ).

В пункте 6 Методических рекомендаций по заполнению примерной формы платежного документа для внесения платы за содержание и ремонт жилого помещения и предоставление коммунальных услуг , утвержденных Приказом Минрегиона РФ от 19.09.2011 №  454 , сказано следующее. Платежный документ рекомендуется представлять потребителям услуг на бумажном носителе, за исключением случаев, когда договором управления многоквартирным домом, письменным соглашением между потребителями услуг и организацией, производящей расчеты, прочими документами согласована иная форма представления потребителю платежного документа. При этом к иным способам представления потребителю платежного документа в настоящих методических рекомендациях относятся: возможность печати платежного документа самостоятельно потребителем с использованием доступа в личный кабинет на интернет-портале; представление платежного документа по адресу электронной почты потребителя услуг; возможность печати платежного документа посредством информационных терминалов и др .

Как видим, в нормативном документе (который, кстати, носит рекомендательный характер) опять-таки не сказано о способе доставки счетов в бумажном виде. Между тем на практике в подавляющем большинстве случаев платежные документы помещаются в почтовые ящики потребителей, а в договорах управления этот момент никак не освещается. Полагаем, что договором управления либо решением общего собрания членов ТСЖ могут быть преду-смотрены и иные варианты (подчеркнем: иные варианты доставки бумажных счетов, а не формы их представления). Из более трудоемких можно назвать вручение счетов лично в руки, из более затратных - почтовым отправлением, из наиболее простых для исполнителя - получение платежного документа непосредственно в офисе УК (ТСЖ) либо, например, в кассе одновременно с внесением платы. Несмотря на то, что в ЖК РФ не указано на необходимость проработки вопроса о способах представления платежных документов собственникам помещений, это и не запрещено.

Итак, как уже было сказано, исторически сложилось, что платежные документы, напечатанные на бумаге, просто опускаются в почтовые ящики граждан. Существует мнение, что при таком способе доставки счетов персональные данные не защищены от случайного доступа к ним посторонних лиц. А это, в свою очередь, означает нарушение требований конфиденциальности и безопасности персональных данных. Так, в силу операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом . Одновременно оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных ().

Именно такого мнения (доставка платежных документов в открытом (без конверта) виде означает невыполнение требований конфиденциальности и безопасности персональных данных) придерживаются Роскомнадзор, являющийся уполномоченным органом по защите прав субъектов персональных данных, и прокуратура. Судя по сообщениям в СМИ, проверяющие выдают предписания управляющим компаниям и специализированным организациям прекратить нарушение закона, которое выражается, в частности, в рассылке счетов за жилищно-коммунальные услуги в открытом виде. В распоряжении автора есть несколько судебных решений, принятых по интересующему нас вопросу.

Судебная практика

Решением от 22.09.2011 № 2-549 Мензелинский районный суд Республики Татарстан удовлетворил иск прокурора к управляющей организации о понуждении, в частности, принять необходимые правовые, организационные и технические меры для защиты персональных данных граждан. Основанием для подачи иска стал тот факт, что счета за предоставляемые услуги доставляются жителям без конвертов, поэтому персональные данные граждан не защищены от случайного доступа.

В другом случае доставка платежных документов, содержащих персональные данные, в открытом виде также была расценена как нарушение требований конфиденциальности при обработке персональных данных. Это обстоятельство наряду с непредставлением в уполномоченный орган уведомления об обработке персональных данных, а также отсутствие в договорах с третьими лицами существенного условия (обязанности обеспечения указанным лицом конфиденциальности персональных данных и их безопасности при обработке) стали поводом для возбуждения дела об административном правонарушении (ст. 13.11 КоАП РФ 4 ) в отношении руководителя энергоснабжающей организации. Однако Постановлением мирового судьи судебного участка № 4 Левобережного района г. Воронежа от 14.03.2011 дело было прекращено в связи с отсутствием состава правонарушения. Этот акт был опротестован прокурором и впоследствии отменен Решением Левобережного районного суда г. Воронежа от 12.04.2011 (нарушителю удалось избежать ответственности, поскольку производство по делу об административном правонарушении было прекращено в связи с истечением срока давности привлечения к ответственности).

Аналогичным образом дело обстояло и с руководителем другой компании. В постановлении, принятом также 14.03.2011 и содержащем вывод об отсутствии в действиях лица состава административного правонарушения, тот же мировой судья указал: направление получателю услуг платежных документов (квитанций) не является распространением, в связи с чем рассылка этих документов в открытом виде не нарушает требования Закона о персональных данных . Между тем Решением Левобережного районного суда г. Воронежа от 13.04.2011 данное постановление было отменено со следующим обоснованием. Рассылка по почте платежных документов, содержащих данные о фамилии, имени, отчестве, месте жительства потребителя электроэнергии и другие сведения, относящиеся к персональным данным, влечет передачу этих сведений определенному кругу лиц и в силу этого обстоятельства является распространением, при этом их рассылка в открытом виде не препятствует ознакомлению с персональными данными неограниченному кругу лиц и, следовательно, не соответствует требованиям закона о конфиденциальности персональных данных .

Особый интерес вызывает еще одно судебное разбирательство по тому же вопросу, но уже между компанией и управлением

Роскомнадзора по поводу привлечения компании к ответственности, предусмотренной п. 1 ст. 19.5 КоАП РФ 5 . Постановлением все того же мирового судьи судебного участка № 4 Левобережного района г. Воронежа от 16.03.2011 дело опять-таки было прекращено в связи с отсутствием состава правонарушения. Однако Решением от 04.05.2011 Левобережного районного суда г. Воронежа оно было отменено. Приведем цитату из текста данного судебного акта.Из материалов дела следует и не оспаривалось правонарушителем, что ОАО «Воронежская энергосбытовая компания» через ФГУП «Почта России» осуществляет рассылку платежных документов (квитанций) по уплате потребителями платежей за потребленную электроэнергию, в которых содержатся сведения о фамилии, инициалах получателя (потребителя электроэнергии), его почтовый адрес, номер лицевого счета, количество членов семьи, количество комнат, сведения о размере платежа. Платежные документы рассылаются в открытом (неконвертованном виде), что, по мнению суда, является распространением этих данных в нарушение требований конфиденциальности, поскольку допускается возможность ознакомления с персональными данными неограниченного круга лиц. Доводы мирового судьи о том, что отправление платежных документов самому получателю услуг (обладателю персональных данных) через органы почтовой связи не может рассматриваться как распространение персональных данных и нарушение требований конфиденциальности, являются ошибочными, поскольку извещения на оплату электроэнергии не подпадают под понятие почтовых отправлений, установленное ст. 2 Федерального закона от 17.07.1999 №  176-ФЗ «О почтовой связи», и, следовательно, не являются тайной связи.

С тем, что доставка платежных документов в открытом виде (без конверта) образует состав административного правонарушения, предусмотренного ст. 13.11 КоАП РФ , согласен и мировой судья судебного участка № 5 Октябрьского округа г. Липецка (см. Постановление от 17.03.2011 № 5-55/2011). Заметим, что в данном случае к административной ответственности была привлечена управляющая организация, которая поручила специализированной компании (регистрационно-вычислительному центру) ежемесячно изготавливать счета-квитанции для оплаты жилищно-коммунальных услуг и доставлять их населению до почтовых ящиков. Тем не менее именно управляющая организация считается не принявшей необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним неограниченного круга лиц (а это является нарушением ст. 19 Закона о персональных данных ).

Справедливости ради отметим, что встречаются примеры, когда суд вставал на сторону управляющих компаний. Например, Постановлением мирового судьи судебного участка № 14 Правобережного округа г. Липецка от 19.04.2011 № 5-166/2011 было установлено отсутствие состава правонарушения в действиях УК несмотря на то, что платежные документы доставлялись в открытом виде. Существенным обстоятельством явилось то, что УК поручила специализированной компании печатать и доставлять платежные документы до почтовых ящиков потребителей без конвертов. Однако в договоре между ними было указано условие о необходимости соблюдать конфиденциальность персональных данных, впоследствии УК в письменном виде просила специализированную компанию доставлять квитанции в свернутом виде и даже предупреждала ее о расторжении договора в случае несоблюдения его условий (в частности, о защите персональных данных). Этот факт послужил для суда основанием считать УК невиновной в правонарушении. Кроме того, суд согласился с УК в том, что порядок доставки платежных документов, а именно их конвертование или доставка иным способом, требующим затрат, повлияет на размер платы за содержание и ремонт жилого помещения. В одностороннем порядке УК не вправе изменить открытый способ доставки счетов, а собственники помещений не принимали решения об увеличении стоимости и изменении порядка доставки платежных документов.

Вместо резюме

Итак, как мы видим, суды отождествляют доставку платежных документов с передачей персональных данных определенному кругу лиц (по всей видимости, самим получателям). Исходя из этого, требование о принятии мер по защите персональных данных от неправомерного или случайного доступа к ним третьих лиц вполне справедливо. Если УК не готова спорить с Роскомнадзором, у нее есть несколько вариантов обезопасить себя от претензий (все они, кстати, уже применяются на практике). Первый - помещать платежные документы в почтовые конверты, приобрести специальное оборудование для изготовления бесконвертных отправлений (сам платежный документ складывается и запечатывается, часть документа с персональными данными оказывается внутри) либо доставлять платежные документы лично в руки получателям под роспись. Второй - получить согласие граждан на доставку платежных документов в почтовые ящики в открытом виде. Это наиболее популярный вариант для УК, у которых недостаточно средств на реализацию первого. Однако анализ Закона о персональных данных применительно ко второму варианту действий выявляет некоторые несостыковки. Поясним.

Напомним, что согласие на обработку (в том числе на передачу) персональных данных в целях исполнения договора получать не нужно. О том, что доставка платежных документов осуществляется в целях исполнения договора управления МКД, можно и не спорить. Получается, что, требуя согласие граждан на доставку счетов без конвертов, УК (оператор) просит согласие на то, на что имеет право по закону. Есть смысл спрашивать такое согласие только на осуществление конкретной операции с персональными данными, которая не необходима в целях исполнения договора, например, как уже говорилось выше, на передачу данных третьему лицу с целью взыскания долгов. Впрочем, если опять-таки считать, что доставка платежных документов является распространением персональных данных (действием, направленным на раскрытие персональных данных неопределенному кругу лиц), такое согласие может решить проблему. Получив его, оператор выполнит требование ст. 7 Закона о персональных данных (запрет на распространение данных без согласия субъекта). При этом нужно помнить, что согласие субъекта персональных данных должно соответствовать нормам ст. 9 Закона о персональных данных (в противном случае оно незаконно). При наличии согласия на раскрытие данных неопределенному кругу лиц, казалось бы, теряет смысл требование п. 1 ст. 19 Закона о персональных данных в части защиты таких данных от неправомерного или случайного доступа к ним третьих лиц. Действительно, все, кто получил такой доступ, входят в неограниченный круг лиц, раскрывать данные которым можно на основании специального согласия самого субъекта. Тем не менее у УК при доставке платежных документов без конвертов нет цели (а обработка персональных данных подра-зумевает определение цели) раскрыть их неограниченному кругу лиц. Получается, что п. 1 ст. 19 Закона о персональных данных продолжает действовать, а непринятие мер по обеспечению безопасности персональных данных по-прежнему является нарушением закона. Поэтому можно прийти к выводу, что рассматриваемое согласие граждан на доставку платежных документов без конвертов, по сути, ничего не меняет в решении проблемы.

Вместе с тем существует иное мнение по рассматриваемому вопросу, не совпадающее с позицией Роскомнадзора. Оно базируется на положении о том, что доставка (рассылка) платежных документов в бумажном виде не охватывается действием Закона о персональных данных . Пункт 1 ст. 1 этого документа гласит: законом регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств , если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации , то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным . Доставка счетов - чисто «ручная» операция, не соответствующая характеру операций, совершаемых с использованием средств автоматизации. Кроме того, при доставке корреспонденции персональные данные никому не раскрываются. Тем не менее, отмечают приверженцы данной позиции, обеспечивать безопасность персональных данных все же необходимо. Для этого как раз достаточно опустить платежный документ в почтовый ящик (оставлять пачку счетов на подоконнике в подъезде недопустимо, поскольку тогда персональные данные действительно не будут защищены от случайного к ним доступа). Вопросы безопасности персональных данных, содержащихся в платежных документах, после их помещения в почтовый ящик уже вне зоны ответственности оператора (УК). И хотя на УК как на лицо, обязанное обеспечивать надлежащее содержание общего имущества, возложена ответственность за сохранность общего имущества, в том числе абонентских почтовых шкафов 6 , она не в силах противостоять неправомерному намеренному доступу третьих лиц в почтовые ящики и обеспечить сохранность почтовых отправлений и иной корреспонденции (в частности, платежных документов). В этом смысле совершенно никакой роли не играет, будет ли платежный документ помещен в конверт: при наличии у кого-либо умысла на неправомерное получение доступа к персональным данным рассылка счетов в закрытом виде (в конверте) не будет препятствовать реализации этого умысла. Обеспечить безопасность персональных данных в этой ситуации можно, например, путем отправки платежных документов заказными почтовыми отправлениями с уведомлением о вручении либо доставкой курьером лично в руки субъекту персональных данных. А таких требований, к слову, проверяющие не выдвигают.

Подведем итог. УК и ТСЖ обязаны представлять платежные документы по умолчанию на бумажном носителе. Закон не регламентирует конкретный способ доставки счетов потребителям, традиционно они помещаются в почтовые ящики. Существует мнение, что рассылка платежных документов в открытом виде не соответствует требованиям конфиденциальности при обработке персональных данных и не обеспечивает безопасность этих данных. Поэтому органы Роскомнадзора выдают предписания УК устранить нарушения, а прокуроры возбуждают дела об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ . Большинство из имеющихся (немногочисленных) в распоряжении автора судебных актов говорят о том, что рассылка счетов без конвертов незаконна. Тем не менее есть и противоположная точка зрения, согласно которой наличие конверта не убережет от неправомерного доступа к персональным данным в счете, помещенном в почтовый ящик, поэтому конвертование бессмысленно.

_________________________

1. Федеральный закон от 27.07.2006 № 152-ФЗ.
2. См. статью О. В. Давыдовой «С переуступкой права требования по долгам жильцов коллекторам надо быть осторожнее!» (№ 9, 2011).
3. См. статью А. Б. Вифлеемского «Правомочность деятельности информационно-расчетных центров в сфере ЖКХ» (№ 11, 2009).
4. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства.
6. Почтовые ящики могут быть отнесены к общему имуществу собственников помещений в МКД либо к частной собственности каждого из жильцов (см. статью Н. В. Сергеевой «Батареи и почтовые ящики - общее имущество?» (№ 8, 2009).