Все о персональных данных и законности процедуры их сбора и обработки
Организация, управляющая многоквартирным домом, является оператором персональных данных, и на нее распространяются положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
При управлении многоквартирным домом управляющая организация собирает и использует персональные данные (это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, т. е. субъекту персональных данных).
Чаще всего такие персональные данные включают: фамилию, имя, отчество; год, месяц, дату рождения; место рождения; ИНН; паспортные данные, адрес регистрации по месту жительства и адреса фактического проживания; количество проживающих и зарегистрированных в жилом помещении; контактный телефон; электронную почту (имейл), марку и номер транспортного средства; семейное положение; сведения о праве собственности на жилое помещение, сведения о собственниках помещений; размер начисленных жилищно-коммунальных услуг по месту нахождения жилого помещения.
Для реализации требований законодательства о защите персональных данных управляющей организации необходимо:
1. Обеспечить включение управляющей организации в Реестр операторов, осуществляющих обработку персональных данных. Этот Реестр ведет уполномоченный орган — Роскомнадзор. По состоянию на март 2019 года в нем содержались сведения о почти 400 тыс. операторов персональных данных.
Для подачи уведомления об обработке (о намерении осуществлять обработку) персональных данных необходимо заполнить электронную форму на сайте Роскомнадзора: . Уведомлению будет присвоен определенный номер. Затем необходимо распечатать это уведомление, подписать, поставить печать и передать в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора. В течение 30 дней ваша организация появится в Реестре операторов, и вы сможете ее найти по ИНН (п. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Уведомление необходимо подавать до начала обработки персональных данных. В законе определен ряд ситуаций, когда подавать уведомление не требуется:
— Обработка персональных данных в соответствии с трудовым законодательством (т. е. в связи с заключением трудовых отношений со своими работниками).
— Обработка персональных данных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора.
Довольно редко бывает, когда договоры управления многоквартирным домом заключаются со всеми собственниками одновременно. А значит, останется какой-то процент собственников, чьи персональные данные управляющая организация будет обрабатывать без наличия заключенного договора. Следовательно, она обязана быть в Реестре операторов.
— Обработка персональных данных, включающих в себя только фамилии, имена и отчества субъектов. Такие персональные данные находятся, в частности, в выписке из Реестра. Однако фактически управляющие организации не могут обрабатывать только эти данные, и им необходимы сведения о дате регистрации права собственности, количестве собственников по жилому помещению и иная информация, относимая к персональным данным.
— Обработка персональных данных без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Так, в силу п. 3.1 ст. 45 ЖК РФ управляющие организации обязаны вести реестр собственников помещений в многоквартирном доме, который содержит сведения, позволяющие идентифицировать собственников помещений в данном многоквартирном доме, а также сведения о дате регистрации права и доле в праве каждого собственника. В случае передачи данного реестра третьим лицам (собственникам, которые хотят провести общее собрание) согласие собственников на передачу персональных данных, содержащихся в реестре, не требуется.
— Обработка персональных данных с помощью платежных агентов, т. е. лиц, которые привлекаются кредитной организацией в целях осуществления отдельных банковских операций. Основной функцией платежного агента в данных отношениях является прием от плательщика денежных средств на оплату жилого помещения и коммунальных услуг в соответствии с ЖК РФ и осуществление последующих расчетов с поставщиками указанных услуг. За свои посреднические услуги платежный агент вправе взимать с плательщика вознаграждение в размере, определенном соглашением между платежным агентом и плательщиком. Если у управляющей организации заключен договор на внешнюю бухгалтерию с платежным агентом, то согласия на обработку персональных данных от каждого субъекта не требуется (п. 16 ст. 155 ЖК РФ).
2. Назначить распорядительным актом лицо, ответственное за организацию обработки персональных данных (п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
— осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
— доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
— организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
3. Издать (подготовить) регламент в отношении обработки персональных данных, а также иных локальных актов по вопросам обработки персональных данных, предотвращения и выявления нарушений. Регламент должен быть опубликован на сайте управляющей организации (т. к. оператору надлежит обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных) (п. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
4. Управляющей организации необходимо получить согласие на обработку персональных данных от каждого собственника, т. к. эти сведения необходимы для эффективной работы с неплательщиками. После отмены поквартирных карточек единственным законным источником информации, например, о регистрации собственника по месту жительства (что необходимо для определения подсудности по спору с должником) может быть только сам собственник. Эту информацию управляющая организация может получить после согласия на обработку персональных данных.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Она может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Согласие может быть отозвано субъектом персональных данных. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать:
а) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
б) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
в) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
г) цель обработки персональных данных;
д) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
е) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
ж) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
з) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
и) подпись субъекта персональных данных (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Согласие на обработку персональных данных может быть включено как условие в договор управления многоквартирным домом (Определение Конституционного Суда РФ от 28.01.2016 № 100-О). При этом в силу п. 1 ст. 162 ЖК РФ, собственники помещений в данном доме, обладающие более чем 50 % голосов от общего числа голосов собственников помещений в данном доме, выступают в качестве одной стороны заключаемого договора. Следуя этой логике, условие на обработку персональных данных с правом его передачи третьим лицам может быть включено в договор, заключаемый при вхождении на объект (многоквартирный дом).
В управленческой практике возникает вопрос, можно ли передавать долги собственника коллекторам. Уступка требованиям кредитором другому лицу допускается, если она не противоречит закону (п. 1 ст. 388 ГК РФ). Таким образом, управляющая компания может передать долги собственника коллектору при условии, что от собственника было согласие на передачу его персональных данных третьим лицам. Такое согласие должно быть подписано либо в составе обязательного условия договора управления многоквартирным домом, либо отдельным документом. В противном случае пострадавший от коллекторов (пусть даже и заслуженно) имеет возможность и право обратиться с иском к управляющей организации, которая передала без его согласия персональные данные коллекторам и взыскать с управляющей организации моральный вред.
Часто встречаются ситуации, когда собственник не дал согласия на обработку персональных данных и не заключил договор управления многоквартирным домом. Однако Роскомнадзор проводит проверку и пытается найти нарушение. Линию защиты управляющая организация может построить так:
1. Необходимо реализовать все предусмотренные законом процедуры (включение в Реестр операторов, назначение ответственного лица, разработка и опубликование на сайте политики в области обработки персональных данных).
2. Необходимо придерживаться позиции, что вся обрабатываемая информация берется исключительно из открытых источников, например из выписки из ФГИС ЕГРП, которую может получить каждый.
Государственная политика в области защиты персональных данных идет по пути постепенного ужесточения. Так, 13.02.2019 Постановлением Правительства РФ № 416 были утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Эти правила устанавливают порядок проведения проверок операторов персональных данных. Поэтому начало проведения массовых проверок управляющих организаций и выявление нарушений лишь вопрос времени.
Ст. 13.11 КоАП РФ определяет довольно широкий круг ответственности за различные виды нарушений законодательства в области персональных данных, а суммарный объем всех возможных штрафов достигает почти 300 тыс. руб.