Персональные данные и ГИС ЖКХ. Защита персональных данных в ЖКХ (152-ФЗ) Обработка персональных данных для тсж обязательность уведомления

Базы данных органов жилищно-коммунального хозяйства (ЖКХ) содержат сведения личного характера. Такие сведения подпадают под действие законодательства РФ в области персональных данных. Какие требования должны соблюдать органы ЖКХ, осуществляющие деятельность с персональными данными своих абонентов, вы узнаете из этой статьи.

В п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) указано, что персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Под оператором персональных данных согласно п. 2 ст. 3 Закона N 152-ФЗ понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Органы, осуществляющие деятельность в сфере ЖКХ, подпадают под категорию операторов, занимающихся обработкой персональных данных, которой на основании п. 3 ст. 3 Закона N 152-ФЗ признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
- сбор, запись, систематизацию;
- накопление, хранение;
- уточнение (обновление, изменение), извлечение;
- использование, передачу (распространение предоставление, доступ);
- обезличивание, блокирование, удаление, уничтожение.
Сразу же оговоримся, что каких-либо специальных положений, касающихся субъектов персональных данных и операторов в сфере ЖКХ, Закон N 152-ФЗ не содержит. Дополнительных требований к работе с персональными данными в этой области в данном Законе также нет.
В силу ст. 161 Жилищного кодекса РФ управляющая организация обязана обеспечить свободный доступ к информации об основных показателях ее финансово-хозяйственной деятельности, об оказываемых услугах и о выполняемых работах по содержанию и ремонту общего имущества в многоквартирном доме, о порядке и об условиях их оказания и выполнения, об их стоимости, о ценах (тарифах) на ресурсы, необходимые для предоставления коммунальных услуг, в соответствии со стандартом раскрытия информации, утвержденным Правительством РФ.
Особенности раскрытия информации о деятельности по управлению многоквартирным домом и предоставления для ознакомления документов, предусмотренных ЖК РФ, товариществом собственников жилья либо жилищным кооперативом или иным специализированным потребительским кооперативом, осуществляющим управление многоквартирным домом (без заключения договора с управляющей организацией), устанавливаются также стандартом раскрытия информации.
Контроль за соблюдением стандарта раскрытия информации товариществом, кооперативом, управляющей организацией осуществляется уполномоченными органами исполнительной власти субъектов РФ в порядке, установленном уполномоченным правительством РФ федеральным органом исполнительной власти (Приказ Минрегиона России от 09.04.2012 N 162 "Об утверждении Порядка осуществления уполномоченными органами исполнительной власти субъектов Российской Федерации контроля за соблюдением стандарта раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами").
В соответствии с положениями Постановления Правительства РФ от 23.09.2010 N 731 "Об утверждении стандарта раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами" установлены требования к составу информации, подлежащей раскрытию организациями, осуществляющими деятельность в сфере управления многоквартирными домами на основании договора управления многоквартирным домом, порядку, способам и срокам ее раскрытия, а также особенности раскрытия информации и предоставления для ознакомления документов, предусмотренных ЖК РФ, товариществами собственников жилья, жилищными кооперативами и иными специализированными потребительскими кооперативами, осуществляющими управление многоквартирным домом без заключения договора с управляющей организацией.
Под раскрытием информации в данном случае понимается обеспечение доступа неограниченного круга лиц к информации (независимо от цели ее получения) в соответствии с процедурой, гарантирующей нахождение и получение информации.
Управляющая организация, товарищество и кооператив обязаны раскрывать:
- общую информацию об управляющей организации, о товариществе и кооперативе;
- основные показатели финансово-хозяйственной деятельности управляющей организации (в части исполнения ею договоров управления), товарищества и кооператива;
- сведения о выполняемых работах (оказываемых услугах) по содержанию и ремонту общего имущества в многоквартирном доме;
- порядок и условия оказания услуг по содержанию и ремонту общего имущества в многоквартирном доме;
- сведения о стоимости работ (услуг) по содержанию и ремонту общего имущества в многоквартирном доме;
- сведения о ценах (тарифах) на коммунальные ресурсы.
Согласно п. 1 ст. 5 Закона N 152-ФЗ обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
В соответствии с п. 6 ст. 5 Закона N 152-ФЗ при обработке персональных данных должны быть обеспечены их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки.
Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Не допускается:
- обработка персональных данных, несовместимая с целями их сбора (п. 2 ст. 5 Закона N 152-ФЗ);
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (п. 3 ст. 5 Закона N 152-ФЗ).
В силу п. 7 ст. 5 Закона N 152-ФЗ хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных. В случае получения согласия от представителя субъекта персональных данных оператор проверяет его полномочия на дачу согласия от имени этого субъекта.
Обработка персональных данных допускается в случаях, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Таким образом, независимо от того, что оператор использует данные абонента в целях исполнения заключенного договора, он обязан получить согласие абонента на передачу сведений третьим лицам.
Согласно п. 4 ст. 9 Закона N 152-ФЗ в случаях, предусмотренных этим Законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
Согласие в письменной форме субъекта на обработку его персональных данных должно включать в себя, в частности:
- его фамилию, имя, отчество, адрес, данные документа, удостоверяющего личность (номер, сведения о дате выдачи и выдавшем его органе);
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи данного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных с указанием их полного перечня;
- перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Согласие на передачу личных данных третьим лицам включается в текст договора на оказание соответствующих услуг.
В силу ст. 17 Закона N 152-ФЗ, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований данного Закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
Согласно п. 1 ст. 22 Закона N 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных п. 2 ст. 22 Закона N 152-ФЗ.
Согласно п. 2 ст. 22 Закона N 152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- обрабатываемых в соответствии с трудовым законодательством.
Следует иметь в виду, что данная норма не применяется к лицам, работающим по договорам подряда или возмездного оказания услуг;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Таким договором может быть договор на оказание услуг, договор гражданско-правового характера на выполнение работ (оказание услуг).
В этом случае должны выполняться дополнительные требования, а именно:
личная информация не должна распространяться и предоставляться третьим лицам без согласия субъекта персональных данных;
персональные данные должны использоваться организацией исключительно для исполнения договора и заключения договоров с субъектом персональных данных;
- сделанных субъектом персональных данных общедоступными.
К таким сведениям относятся сведения, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта персональных данных. Как правило, такие сведения содержатся в общедоступных источниках (например, в справочниках, адресных книгах и т.д.). Эти данные оператор может использовать без предварительных уведомлений, так как на них не распространяется требование конфиденциальности, запрещающее распространение информации без согласия субъекта персональных данных, или другое законное основание;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Замечу, что в случае, если оператор обрабатывает сведения по основаниям, которые не перечислены выше, ему следует уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) об обработке данных своих абонентов. Процедура уведомления является бесплатной: на оператора не могут возлагаться расходы в связи с рассмотрением уведомления о соответствующей обработке уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
Согласно п. 3 ст. 4 Закона N 152-ФЗ порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.
В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение N 687). Согласно п. 1 данного Положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без применения средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Соответственно, если персональные данные клиентов обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения N 687).
Таким образом, к обработке персональных данных абонентов должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.
Персональные данные при такой обработке должны быть обособлены от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
Согласно п. 6 Положения N 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки, категориях обрабатываемых данных, а также об особенностях и правилах обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).
Условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных, содержит п. 7 Положения N 687.
В соответствии с пп. "а" п. 7 типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
- сведения о целях обработки персональных данных, осуществляемой без использования средств автоматизации;
- фамилию, имя, отчество и адрес оператора;
- фамилию, имя, отчество и адрес абонента;
- источник получения данных;
- сроки их обработки;
- перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
- общее описание используемых оператором способов обработки персональных данных.
Кроме того, типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения такого согласия (пп. "б" п. 7 Положения N 687).
При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. "в" п. 7 Положения N 687). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных (ст. 19 Закона N 152-ФЗ).
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (п. 1 ст. 24 Закона N 152-ФЗ).
На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:
- за неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ). Исключением из данной нормы являются случаи, предусмотренные ст. 7.23.1 КоАП РФ;
- за нарушение требований законодательства о раскрытии информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами (ст. 7.23.1 КоАП РФ);
- за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);
- за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
Преступлениями, влекущими за собой уголовную ответственность, являются:
- незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
- неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ);
- неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации (ст. 272 УК РФ).
Субъект персональных данных имеет право на возмещение морального вреда вследствие нарушения его прав, правил обработки персональных данных, а также требований к их защите, установленных п. 2 ст. 24 Закона N 152-ФЗ. При этом возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Имеет ли право УО, ТСЖ, ЖК, ЖСК раскрыть персональные данные собственников помещений в МКД в рамках реализации 731 ПП РФ?

Действие положений Федерального закона № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) распространяется на правоотношения, возникшие с 1 июля 2011 г.
Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых в Роскомнадзор чаще всего поступают обращения от субъектов персональных данных (граждан), позволяет утверждать, что "лидерами" являются кредитные учреждения; жилищно-коммунальные организации; операторы связи.

Основные нарушения законодательства в сфере обработки персональных данных касаются следующих положений Закона № 152-ФЗ:

в части обработки персональных данных без согласия субъекта персональных данных;
в части несоответствия содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ;
в части не предоставления оператором субъекту персональных данных необходимой информации до начала обработки, если персональные данные были получены не от субъекта персональных данных;
в части представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения;
несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации.

Указанные нарушения характерны для большинства предприятий, работающих в сфере ЖКХ и занимающихся обработкой персональных данных . Результаты проверки их на "организацию и состояние работ по обеспечению безопасности персональных данных", мягко говоря, оставляют желать лучшего. Многие руководители до сих пор не вполне ясно представляют себе, что конкретно нужно делать для защиты персональных данных (ПДн) в соответствии с требованиями Закона № 152-ФЗ. Такая ситуация вызвана отсутствием практики применения норм закона.

В пользу того, что необходимость обработки персональных данных регламентирована федеральным законом, подтверждает сам Закон № 152-ФЗ в нынешней редакции – п. 2 ч. 1 ст. 6 "обработка персональных данных необходима для достижения целей, предусмотренных законом". Каких целей?
Расчет платы за жилое помещение и коммунальные услуги, формирование платежных документов – счетов-квитанций, которые содержат персональные данные граждан (ст. 155,ст. 157 ЖК РФ) – это разве не цель?
ЕИРЦ, управляющим и ресурсоснабжающим организациям необходимо привести свои договорные отношения в сфере обработки ПДн граждан в соответствие с требованием Закона № 152-ФЗ.

Закон "О персональных данных" в ЖКХ

Одни данные нуждаются в защите, другие — должны быть раскрыты. Прокуратура Челябинской области провела проверку соблюдения требований законодательства о персональных данных организациями жилищно-коммунального комплекса в областном центре и выявила нарушение законодательства в некоторых управляющих компаниях.

В ходе проверки установлено, что в нарушение Федерального закона "О персональных данных" в ряде организаций не разработаны документы, регламентирующие порядок обработки и защиты персональных данных жильцов многоквартирных домов, и не обеспечена возможность ознакомления с документацией, определяющей политику таких организаций в отношении обработки персональных данных. Такие нарушения в одном из случаев привели к неправомерному распространению сведений конфиденциального характера в сети Интернет.

Как сообщил прокурор отдела по надзору за соблюдением федерального законодательства, прав и свобод граждан прокуратуры Челябинской области Денис Полежаев, данная проверка была плановой, но носила выборочный характер: ею были охвачены организации, работающие в областном центре:

— Одной из целей проведения проверки было формирование единообразной практики в организации надзорной деятельности органов прокуратуры за соблюдением законодательства о персональных данных. Информация о типичных нарушениях, допускаемых организациями жилищно-коммуналь-ного комплекса в этой сфере, доведена до прокуроров городов и районов области, они ориентированы на усиление правозащитной роли прокуратуры в данном направлении.

В ходе нашей проверки нарушения в обращении с персональными данными были выявлены в ТСЖ "Победа" и в управляющей компании "Созвездие". По итогам проверки прокуратурой области в адрес руководителей этих юридических лиц внесено два представления об устранении нарушений закона, которые рассмотрены, выявленные недостатки устранены, два лица наказаны в дисциплинарном порядке.

Кроме этого, по постановлению прокуратуры области мировым судом привлечено к административной ответственности по статье 13.11 Кодекса Российской Федерации об административных правонарушениях должностное лицо управляющей компании "Созвездие", которому предписано выплатить штраф. Постановление не вступило в законную силу и может быть обжаловано в вышестоящем суде.

В управляющей компании "Созвездие" рассказали, что персональные данные обнаружились в благодарственном письме от жильца, которое было размещено на сайте организации. Нарушение состояло в том, что в этом письме были указаны его фамилия, имя, отчество, а также адрес места жительства. На данный момент письмо убрано с сайта.

Прокурор отдела Денис Полежаев подтвердил эту информацию, пояснив, что такие сведения согласно законодательству являются персональными данными, носящими конфиденциальный характер. Их распространение в свободном доступе в сети Интернет возможно только с согласия гражданина, которое управляющей компанией у него получено не было.

Но и излишняя "скрытность" управляющим компаниям тоже не на руку. Так, обслуживающая компания "Наш дом" была оштрафована на 30 тысяч рублей за отсутствие в открытых источниках отчета о выполненных работах и потраченных финансовых средствах.

Как сообщила пресс-служба прокуратуры Челябинской области, при проверке компании было установлено, что на ее сайте не размещается информация об основных показателях финансово-хозяйственной деятельности. Жители многоквартирных домов, которые обслуживает фирма, не могли узнать о выполненных работах и услугах, а также найти сведения о том, на что были потрачены их деньги.

Прокурор вынес постановление, согласно которому управляющая компания признана нарушителем стандарта раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами.

На основании постановления прокурора директор УК оштрафован на 30 тысяч рублей по части 1 статьи 7.23.1 КоАП РФ: нарушение требований законодательства о раскрытии информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами. Аналогичная ситуация и в области. Прокуратурой города Еманжелинска также проведена проверка соблюдения законодательства о раскрытии стандарта информации ООО "Управляющая компания ЖКХ", оказывающего услуги по содержанию и ремонту общедомового имущества 200 многоквартирных домов.

В нарушение требований законодательства компания не разместила сведения о доходах, полученных за оказание услуг по управлению домами, о расходах в связи с оказанием услуг, о порядке и условиях из оказания (проект договора управления, план работ на 2013 год, сведения о количестве случаев снижения платы за нарушения качества содержания и ремонта общего имущества в многоквартирном доме за 2012 год; сведения о количестве случаев снижения платы за нарушения качества коммунальных услуг, сведения о стоимости выполненных работ, периодичность их выполнения, стоимость каждой работы).

Также отдельные сведения в нарушение закона не размещены на стендах в помещении офиса компании, а также в городской газете. Все это в комплексе и повлекло жалобы горожан. По результатам проверки прокуратурой города внесено представление об устранении нарушений жилищного законодательства руководству ООО "УК ЖКХ" с требованием привлечь виновных лиц к дисциплинарной ответственности, а в отношении директора управляющей компании Марины Валуевой прокурором возбуждено и направлено для рассмотрения в Государственную жилищную инспекцию Челябинской области дело об административном правонарушении. Санкция статьи для должностных лиц — наказание в виде штрафа от 30 до 50 тысяч рублей.

Данные, которые не подлежат раскрытию

Третья статья Федерального закона "О персональных данных" определяет понятие персональных данных как любой информации, относящейся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 статьи 7 закона: обеспечение конфиденциальности персональных данных не требуется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных, например справочники или адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 закона).

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 закона). В соответствии со ст. 9 данного закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

Наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

Цель обработки персональных данных;

Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

Срок, в течение которого действует согласие, а также порядок его отзыва;

Собственноручную подпись субъекта персональных данных.

Таким образом, размещение в общедоступных местах управляющей компанией информацией с указанием фамилии, имени, отчества, даты рождения без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

Данные, подлежащие раскрытию

Правительство РФ постановлением от 23 сентября № 731 утвердило стандарт раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами. Управляющие компании обязаны разместить информацию по форме, утвержденной стандартом, в течение двух месяцев со дня вступления в силу постановления.

Прежде всего УК обязана раскрыть следующую информацию: основные показатели финансово-хозяйственной деятельности управляющей организации в части исполнения договоров управления; сведения о выполняемых работах, оказываемых услугах по содержанию и ремонту общего имущества в многоквартирном доме; порядок и условия оказания таких услуг; сведения о стоимости таких работ и услуг; сведения о ценах и тарифах на коммунальные ресурсы. Отказ в предоставлении информации может быть обжалован в установленном законодательством РФ судебном порядке.

Управляющие организации опубликовывают информацию на официальном сайте органа исполнительной власти, в официальных печатных СМИ, размещают ее на информационных стендах и стойках в помещении управляющей организации, предоставляют по запросу. Вся информация должна быть доступна в течение пяти лет.

Раскрытию подлежат следующие сведения:

Фирменное наименование юридического лица, фамилия, имя и отчество руководителя управляющей организации или фамилия, имя и отчество индивидуального предпринимателя; реквизиты свидетельства о государственной регистрации;

Почтовый адрес, адрес фактического местонахождения органов управления УК, контактные телефоны, официальный сайт в сети Интернет и адрес электронной почты; режим работы, часы личного приема граждан;

Перечень многоквартирных домов, находящихся в управлении управляющей организации на основе договора управления, с указанием адресов этих домов и общей площади помещений в них;

Перечень многоквартирных домов, в отношении которых договоры управления были расторгнуты в предыдущем календарном году, с указанием адресов этих домов и оснований расторжения договоров управления;

Сведения о членстве управляющей организации в СРО и /или/ других объединениях управляющих организаций с указанием их наименований и адресов, включая официальный сайт в сети Интернет;

Годовая бухгалтерская отчетность, включая бухгалтерский баланс и приложения к нему;

Сведения о доходах, полученных за оказание услуг по управлению многоквартирными домами;

Сведения о расходах, понесенных в связи с оказанием услуг по управлению многоквартирными домами;

Сведения об услугах, оказываемых управляющей организацией в отношении общего имущества собственников помещений в многоквартирном доме, из числа услуг, указанных в правилах содержания общего имущества в многоквартирном доме, утвержденных постановлением Правительства РФ от 13 августа 2006 г. № 491;

Услуги, связанные с достижением целей управления многоквартирным домом, которые оказываются управляющей организацией, то есть услуги, оказываемые УК по обеспечению поставки в многоквартирный дом коммунальных ресурсов, заключение от имени собственников договоров об использовании общего имущества; охрана подъезда; охрана коллективных автостоянок; учет собственников помещений.

В случае привлечения управляющей организации к административной ответственности за нарушения в сфере управления многоквартирными домами раскрытию подлежат количество таких случаев, копии документов о применении мер административного воздействия, а также меры, принятые для устранения нарушений, повлекших применение административных санкций.

Информация о стоимости работ и услуг управляющей организации должна содержать описание каждой работы, периодичность ее выполнения, результат, гарантийный срок, указание конструктивных особенностей, степени физического износа и технического состояния общего имущества многоквартирного дома, определяющие выбор конкретных работ или услуг, стоимость каждой работы или услуги.

В рамках информации о ценах и тарифах на коммунальные ресурсы УК обязаны раскрыть сведения о перечне коммунальных ресурсов, которые управляющая организация закупает у ресурсоснабжающих организаций, с указанием конкретных поставщиков, а также объема закупаемых ресурсов и закупочных цен на них, а также конечных тарифах для потребителей. Сведения приводятся по состоянию на день раскрытия информации и подлежат обновлению. Изменения, внесенные в раскрытую информацию, подлежат опубликованию в тех же источниках.

Передача ТСЖ персональных данных третьим лицам - законно ли?

Прокуратура начала штрафовать ТСЖ/ЖСК/ЖК/УК за передачу персональных данных собственников помещений в многоквартирном доме третьим лицам. Однако в своей работе ТСЖ постоянно сталкиваются с необходимостью сообщать персональную информацию о жильцах ресурсоснабжающими компаниям, вычислительным центрам, которые производят начисление и печать квитанций, юристам, если, например, планируется обращаться в суд с исками о взыскании долга по оплате коммунальных услуг и т.д. Как же быть ТСЖ/ЖСК/ЖК/УК и что нужно, чтобы в соответствии с законом передать персональные данные третьи лицам?

Что такое персональные данные?

Ст. 3 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» дает определение понятия «персональные данные» - это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту персональных данных).

Таким образом, к персональным данным будут отнесены ФИО, адрес регистрации, паспортные данные, сведения о доходах и задолженностях и т.д.

Персональные данные для ТСЖ - какие сведения нужны?

Ст. 15 настоящего Федерального закона говорит о том, что персональные данные должны обрабатываться на законной основе для достижения легитимных целей. Для управления домом, начисления коммунальных услуг, наконец, для получения собственниками этих коммунальных услуг и для осуществления прочих работ ТСЖ/ЖСК/ЖК/УК необходимо производить обработку персональных данных собственников многоквартирного дома (МКД). То есть в данном случае ТСЖ/ЖСК/ЖК/УК выступает в качестве оператора, работающего с персональной информацией.

Кроме того, в обязанность товариществ собственников жилья входит также ведение реестра членов ТСЖ. Согласно ч.4 ст.143 ЖК РФ данный документ должен содержать сведения, которые позволят идентифицировать членов товарищества и осуществлять с ними связь. Кроме того, в реестр необходимо включить информацию о размерах принадлежащих им долей в праве общей собственности на общее имущество в МКД.

ТСЖ самостоятельно определяют, какую информацию о его членах следует занести в реестр. Этих сведений должно быть достаточно для идентификации собственников МКД, и они не должны противоречить действующим правовым актам. В реестры ТСЖ обычно вносится следующая информация: ФИО, адрес, номер квартиры, долю в праве общей собственности на общее имущество в многоквартирном доме.

Могут ли ТСЖ/ЖСК/ЖК/УК передавать персональные данные третьим лицам?

В соответствии со ст. 7 Федерального закона №152, ТСЖ/ЖСК/ЖК/УК не имеют права раскрывать третьим лицам или распространять персональные данные без согласия субъектов персональных данных (членов ТСЖ/ЖСК/ЖК/УК). Следовательно, прежде чем передать персональные сведения в какую-либо организацию, председателю ТСЖ/ЖСК/ЖК/УК необходимо получить письменное согласие с того, на кого эти сведения передаются.

Если от ТСЖ/ЖСК/ЖК/УК требуют передачи персональных данных - что делать?

В случае, когда государственные органы требуют от ТСЖ/ЖСК/ЖК/УК предоставить персональные данные, например, в соответствии с п. 9 ст. 138 ЖК РФ, то управляющий товарищества собственников жилья может сослаться на Федеральный закон от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг". Из данного документа следует, что органы, предоставляющие государственные или муниципальные услуги, всегда могут получить сведения о собственниках многоквартирного дома по запросу, не прибегая к помощи ТСЖ/ЖСК/ЖК/УК.

Наказание за разглашение персональных данных без согласия собственников

За несоблюдение конфиденциальности персональной информации предусмотрено административное наказание в виде выплаты штрафа. Поэтому, если есть необходимость предоставления персональных данных, сначала нужно получить согласие соответствующих субъектов персональных данных.

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.