зачем ук снилс собственника и другие персональные данные и как отказать ук
Действия и обязанности управляющей организации в области обработки и защиты персональных данных
Практика последних лет показывает, что многие управляющие организации и ТСЖ так и не выстроили правильную политику работы с персональными данными собственников помещений многоквартирных домом. Процедурные обязанности, установленные в законе, или не исполняются вовсе, либо являются реализованными не в полной мере.
Персональные данные в ЖКХ
В соответствии с пп. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152), персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Соответственно оператором является управляющая организация или ТСЖ, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
ЖКХ и отрасль управления многоквартирными домами агрегирует большой объем персональных данных, необходимых для работы. В максимальном (расширенном) виде по собственникам помещений они включают: фамилию, имя, отчество; год, месяц, дату рождения; место рождения; паспортные данные, адрес регистрации по месту жительства и адреса фактического проживания; количество проживающих и зарегистрированных в помещении; контактный телефон; электронную почту (емейл), марку и номер транспортного средства, сведения о праве собственности на жилое помещение в МКД, сведения о собственниках помещений в МКД.
В связи с отменой поквартирных карточек и домовых книг объем персональных данных, которыми обладает управляющая домом организация, несколько сократился, потому что новая информация не поступает, а старая – не актуализируется. Но даже отмена отдельных форм документов не перечеркивает возможность или право управляющей организации собирать персональные данные. В любом случае управляющая организация стремится собрать как можно больше персональных данных, потому что они необходимы при работе (например, емейл используется для отправки квитанций, марка и номер транспортного средства необходимы при уборке снега во дворе, паспортные данные нужно для ведения работы с должниками и т.п.).
Обязанности управляющей организации
Самое главное для управляющей организации – включить себя в Реестр операторов, осуществляющих обработку персональных данных. Реестр расположен по ссылке https://rkn.gov.ru/personal-data/register/ и предполагает возможность поиска организаций по ИНН, регистрационному номеру или названию юридического лица. Данный реестр ведет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор). По состоянию на апрель 2020 года в Реестре содержатся данные о 407 тысячах операторах персональных данных.
Для того, чтобы добавиться в Реестр, необходимо заполнить специальную форму, которая заполняется и генерируется на сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/. После заполнения данной формы, ее необходимо распечатать, подписать, поставить на ней печать и сдать с рядом дополнительных документов в Роскомнадзор.
Стоить отметить, что в законе установлена обязанность уведомить Роскомнадзор до начала обработки персональных данных о таком намерении.
Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе в Реестр. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
Применительно к управлению многоквартирными домами следует отметить ряд ситуацией по обработке персональных данных, когда уведомлять Роскомнадзор не требуется.
Во-первых, если данные обрабатываются в соответствии с трудовым законодательством.
Во-вторых, если они получены в связи с заключением договора управления многоквартирным домом, стороной которого является субъект персональных данных. Однако важно, чтобы в данном случае персональные данные не распространялись и не предоставлялись третьим лицам без согласия субъекта персональных данных и использовались оператором исключительно для исполнения указанного договора. Однако нужно учитывать, что крайне редко удается заключить договор с 100% собственников, а кроме того, могут быть проблемы при передаче персональных данных собственника, например, в расчетный центр (либо это нужно предельно конкретно прописывать в договоре).
Кроме того, нужно помнить, что лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором (п. 4 и 5 ст. 6 Закона № 152).
В-третьих, если персональные данные сделаны субъектом персональных данных общедоступными.
В-четвертых, если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных (п. 2 ст. 22 Закона № 152).
Помимо обязанности включить себя в Реестр, к операторам персональных данных есть ряд дополнительных требований.
1.Необходимо издать политику в области обработки персональных данных, опубликовать ее или иным образом обеспечить неограниченный доступ к данному документу. Проще всего разместить такую политику на сайте управляющей организации или ТСЖ.
2.Необходимо локальным актом (приказом) назначить ответственного за организацию обработки персональных данных. Копия данного приказа предоставляется в Роскомнадзор (ст. 18.1 Закона № 152).
Как собрать персональные данные?
Персональные данные собираются путем заполнения согласия на обработку, которое заполняет и предоставляет субъект. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Важно также то, что обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку возлагается на оператора.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Для управляющей организации или ТСЖ целесообразно сгенерировать форму согласия на обработку персональных данных и собирать их либо постепенно (например, во время приема жителей по личным вопросам), либо сразу массово (путем обхода или раскладывания форм согласий в почтовые ящики с предельной датой предоставления). В отношении тех собственников, которые отказываются предоставлять согласия на обработку персональных данных можно реализовать обезличенный подход при выставлении квитанций (например, указывать на ФИО, а деперсонализированный номер лицевого счета). Это мотивирует собственников сдать данные документы оператору.
Ответственность за нарушения в области персональных данных
Содержание административной ответственности за нарушения в области персональных данных определено в ст. 13.11 КоАП РФ. Особенность данной статьи состоит в том, что она максимально расписана под каждый вид нарушения (например, обработка персональных данных без согласия субъекта, неразмещение политики оператора в отношении обработки персональных данных и пр.). Исходя из конкретного вида нарушения или набора нарушений размер ответственности колеблется от 6 тысяч до 18 миллионов рублей.
В настоящее время Роскомнадзору даны некоторые важные для государства и цензуры полномочия, а в связи с этим требования законодательства о персональных данных ужесточаются. Специально Роскомнадзор обычно не проводит проверки управляющих организаций и ТСЖ, а потому следует исполнить набор обязанностей, установленный в Законе № 152, чтобы минимизировать риск наложения штрафов.
Вправе ли УО передавать РСО персональные данные при прямом договоре
В новом выпуске программы «ЖКХ. Мечты сбываются» наш постоянный эксперт, практикующий юрист Елена Шерешовец рассказала, имеет ли УО законное право передавать РСО персональные данные жителей дома при переходе собственников на прямые договоры по оказанию коммунальных услуг. Поговорим об этом подробнее.
Что относится к обработке персональных данных и когда она разрешена
Персональные данные (ПДн), согласно ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ, – это любая информация, которая относится к физическому лицу и помогает идентифицировать его. Такое физическое лицо иначе называется субъектом персональных данных.
К персональным данным относятся общие сведения о человеке: фамилия, имя, отчество, дата и место рождения, данные документа, удостоверяющего личность, другие сведения, по которым прямо или косвенно можно определить конкретного человека. К личным сведениям относятся также специальные и биометрические данные о человеке (ст. ст. 11, 12 № 152-ФЗ).
Под обработкой персональных данных подразумевается любое действие или их совокупность, которые совершаются с такими сведениями: сбор, запись, систематизация и накопление, хранение, обновление, изменение, использование, передача и др. (ч. 3 ст. 3 № 152-ФЗ).
Случаи, когда допускается обработка персональных данных, перечислены в ст. 6 № 152-ФЗ. Самое простое условие, когда личная информация о человеке может быть обработана, – наличие его согласия на такие действия.
Почему УО и РСО вправе обрабатывать персональные данные жителей домов
Обработку персональных данных подразумевают заключённый УО с собственниками помещений в МКД договор управления, устав ТСН (ст. ст. 135, 155, 162 ЖК РФ).
Право на совершение действий с ПДн потребителей получает ресурсоснабжающая организация при заключении прямого договора с собственниками помещений в МКД на оказание коммунальных услуг (п. 31 ПП № 354). При этом заключать такой договор в письменной форме не требуется (ст. 157.2 ЖК РФ).
Таким образом, исполнитель коммунальных услуг – управляющие организации, ТСН, РСО – вправе обрабатывать персональные данные жителей МКД без их согласия в силу закона и заключённых договоров.
Какую информацию УО должна передавать в РСО при прямом договоре
После того, как собственники на общем собрании приняли решение о переходе на прямые договоры с ресурсоснабжающей организацией, РСО необходимо получить от уже бывшего исполнителя коммунальных услуг персональные данные жителей дома. Они используются для корректных расчётов платы за КУ.
Согласно п. 1 ч. 11 ст. 161 ЖК РФ, при переходе на прямые договоры УО или ТСН обязаны передать РСО персональные данные жителей дома, необходимые для расчётов за коммунальные услуги. Сделать это можно без согласия субъектов ПДн.
Состав информации, которая необходима для начисления платы за КУ, закреплён в п. 69 ПП № 354. Там же содержится перечень сведений, которые исполнитель услуг обязан включать в платёжный документ. Следовательно, у РСО должны быть такие сведения.
Почему расчётный центр вправе передавать РСО персональные данные
Рассмотрим ситуацию, когда исполнитель коммунальных услуг не самостоятельно производит начисление и оформление платёжных документов, а передаёт эти обязательства расчётному центру по соответствующему договору.
Если у расчётного центра есть договор с организацией, имеющей право на получение платы за ЖКУ и предмет такого договора – организация расчётов, то это даёт центру расчётов право без согласия жителей дома и собственников помещений получать их персональные данные (ч. 16 ст. 155 ЖК РФ).
Следовательно, если у УО был заключён договор с расчётным центром, а собственники приняли решение о переходе на прямые договоры с ресурсоснабжающей компанией, то управляющая домом организация вправе поручить центру передачу персональных данных новому исполнителю коммунальных услуг.
В какой срок УО должна передать РСО персональные данные жителей
Жилищным законодательством на сегодня не установлено, в какой срок УО или ТСН обязаны передать новому исполнителю КУ персональные данные после перехода собственников на прямые договоры с поставщиком ресурсов. Поэтому организациям, управляющим многоквартирными домами, следует ориентироваться на п. 2 ст. 314 ГК РФ.
В статье указано, что обязательства по передаче информации должны быть исполнены в разумный срок. Для отношений в сфере предоставления коммунальных услуг таким сроком можно считать период с момента заключения договора между РСО и собственниками до проведения первых начислений платы за КУ по такому договору.
Управляющим организациям на заметку
Согласно нормам нормативно-правовых актов РФ, управляющая организация, ТСН или ЖК не только имеют право, но и обязаны в разумные сроки передавать в РСО персональные данные жителей и собственников помещений в МКД после перехода на прямые договоры. Делать это следует не позднее периода, когда у РСО наступает обязанность выставить первые счета по договору за оказанные коммунальные услуги.
Объём передаваемых данных должен соответствовать требованиям к составу сведений, необходимых для корректного расчёта платы за коммунальные услуги и обязательных для указания в платёжных документах.
При этом управляющая организация сама решает, в какой форме передать персональные данные жителей МКД: в электронном виде или на бумажном носителе. Важно, чтобы в случае претензий со стороны РСО или органов Госжилнадзора УО смогла подтвердить исполнение своих обязательств по передаче сведений новому исполнителю коммунальных услуг.
Что делать с персональными данными в протоколе ОСС для ГИС ЖКХ
Вы провели общее собрание собственников и составили протокол. Теперь об итогах собрания нужно уведомить собственников и ГЖИ, а протокол ещё разместить в ГИС ЖКХ.
Появляется закономерный вопрос: нужно ли обезличивать персональные данные в протоколе общего собрания собственников помещений в МКД. Ответственность за нарушение законодательства о персональных данных ужесточилась, и всем страшно.
Объясняем, что бояться нечего.
Персональные данные в протоколе ОСС
Даже если голосование не состоялось – не набралось кворума – протокол ОСС необходимо внести в систему.
Сомнений не вызывают только сведения об инициаторе собрания, которые не являются персональными данными.
Не обезличивайте персональные данные в ГИС ЖКХ
Организации, поставляющие коммунальные ресурсы, необходимые для оказания коммунальных услуг, и организации, оказывающие такие услуги, раскрывают в системе информацию, предусмотренную законодательством о ГИС ЖКХ (п. 4 ст. 165 ЖК РФ).
Состав информации, которую нужно разместить в ГИС ЖКХ, определяет приказ Минстроя РФ, Минкомсвязи РФ от 29.02.2016 № 74/114/пр. Персональные данные, предусмотренные этим приказом, размещаются в закрытой части системы, если иное не предусмотрено федеральным законодательством (пп. 12 п. 2 Приказа).
Напомним, что, согласно требованиям к оформлению протоколов ОСС, утверждённым приказом Минстроя РФ от 28.01.2019 № 44/пр, протоколы ОСС включают в себя сведения о присутствующих на общем собрании лицах.
Для физических лиц такие сведения содержат: фамилию, имя, отчество собственника помещения в МКД или его представителя, номер помещения в МКД, собственником которого является физическое лицо и реквизиты документа, подтверждающего право собственности, количество голосов, которыми владеет собственник, наименование и реквизиты документа, удостоверяющего полномочия представителя собственника, подписи указанных лиц.
Все эти сведения считаются персональными данными и размещаются в закрытой части ГИС ЖКХ. Протокол не отображается в открытой части системы.
Если собственники не дают согласие на публикацию персональных данных в закрытой части системы, рекомендуем вам взять с них расписку об отказе.
Если же такие персональные данные у вас уже есть, вы не обязаны спрашивать у собственников разрешения, в силу закона вы обязаны передать их в ГИС ЖКХ. Но если вы поручаете размещать сведения сторонней компании или пользуетесь облачным сервисом, в этом случае нужно брать согласие на передачу персональных данных.
С 1 января 2018 года начинает действовать новая норма по размещению протоколов ОСС в ГИС ЖКХ. Появится новая должность в Жилищном кодексе РФ – администратор общих собраний собственников помещений МКД. Это человек, который проводит ОСС в ГИС ЖКХ.
Рекомендуем вам заранее подготовиться и внести поправки в Политику обработки персональных данных. Взять согласие с собственников о том, что они согласны передавать свои персональные данные администратору.
Обезличьте персональные данные на Реформе ЖКХ
До 1 января 2018 года Реформа ЖКХ остаётся лицензионным требованием и заполнять её нужно. Здесь ситуация, обратная ГИС ЖКХ. Если в системе скрывать персональные данные не нужно, то в Реформе ЖКХ их нужно обезличивать.
Согласно п. 10 ст. 161 ЖК РФ управляющая организация должна обеспечить свободный доступ к информации о своей деятельности и оказываемых услугах в соответствии со Стандартом раскрытия информации.
Стандарт раскрытия информации, обязательный для управляющих организаций, ввело постановление Правительства РФ от 23.09.2010 № 731. К этому постановлению Минстрой РФ выпустил приказ № 882/пр, в котором утвердил формы раскрытия информации.
В форме 2.7 нужно размещать сведения о проведённых общих собрания собственников. При этом приложить нужно сканированную копию протокола ОСС, содержащего решение собрания.
Реестры собственников и другие документы, по Стандарту раскрытия информации, выкладывать на Реформу ЖКХ не нужно. Если в этой части встретятся персональные данные, их нужно обезличить.
Зачем ук снилс собственника и другие персональные данные и как отказать ук
ПАМЯТКА ПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОКАЗАНИИ УСЛУГ В СФЕРЕ ЖКХ
ПАМЯТКА ПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОКАЗАНИИ УСЛУГ В СФЕРЕ ЖКХ
Сфера применения Федерального закона №152 такова, что он равным образом распространяется на субъектов, осуществляющих обработку персональных данных, независимо их статуса: государственный орган, муниципальный орган, юридическое или физическое лицо.
Юридические лица, оказывающие услуги в сфере ЖКХ, также обязаны соблюдать нормы Федерального закона №152-ФЗ.
Правовое основание обработки персональных данных юридических лиц, оказывающих услуги в сфере ЖКХ (далее именуются Управляющие компании) определяется, в том числе, такими нормативными правовыми актами, как Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Жилищный кодекс Российской Федерации, Федеральный закон от 21.07.2014 № 209-ФЗ «О государственной информационной системе жилищно-коммунального хозяйства», Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе», Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», постановление Правительства Российской Федерации от 27.11.2006 № 719 «Об утверждении Положения о воинском учете», постановление Правительства Российской Федерации от 17.07.1995 № 713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учёта по месту пребывания и по месту жительства в пределах Российской Федерации и Перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации», постановление Правительства Российской Федерации от 06.05.2011 № 354 «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов», постановление Правительства Российской Федерации от 14.02.2012 № 124 «О правилах, обязательных при заключении договоров снабжения коммунальными ресурсами».
Цели обработки персональных данных Управляющих компаний
В соответствии с частями 1-2 статьи 5 Федерального закона обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Применительно к Управляющим компаниям целями обработки персональных данных субъектов персональных данных могут быть: осуществление деятельности согласно Уставу; кадровое административно-хозяйственное обеспечение деятельности организации; прием и передача в органы документов для регистрации и снятия с регистрационного учета граждан Российской Федерации; осуществление договорных отношений; управление комплексом недвижимого имущества в многоквартирном доме; обеспечение эксплуатации комплекса недвижимого имущества в многоквартирном доме; оказание услуг в сфере ЖКХ в многоквартирном доме, а также другие цели.
Субъекты персональных данных и условия обработки персональных данных
Управляющие компании могут обрабатывать персональные данные следующих категорий субъектов персональных данных:
Работников, состоящих в трудовых (договорных) отношениях; близких родственников работников; соискателей вакантных должностей; собственников и нанимателей жилых помещений многоквартирных и частных домов, заключивших договоры на обслуживание; а также других категорий субъектов персональных данных, определяемых в соответствии с локальными документами, принятыми Управляющими компаниями для обеспечения их деятельности.
Обработка персональных должна осуществляться с согласия субъекта данных на обработку его персональных данных.
Согласие субъекта персональных данные не требуется в случаях, предусмотренных пп. 2-11 ч. 1 ст. 6 Федерального закона, а именно в случаях, если:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Не допускается обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских убеждений, интимной жизни, членства в общественных объединениях (специальные категории персональных данных), за исключением случаев, предусмотренных пунктами 1-10 части 2 статьи 10 Федерального закона № 152.
В случаях, предусмотренных Федеральным законом № 152 субъект персональных данных принимает решение о представлении его персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения (например путем заполнения специального значка на сайте в сети Интернет).
В случаях, предусмотренных Федеральным законом, обработка персональных данных возможна только с согласия в письменной форме субъекта персональных данных.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных на бумажном носителе должно включать, в частности:
— фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных;
— наименование Управляющей компании, получающего согласие на обработку персональных данных;
— цель обработки персональных данных;
— перечень персональных данных на обработку которых требуется согласие субъекта персональных данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена другому лицу;
— перечень действий с персональными данными на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
— срок в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом
— подпись субъекта персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Права субъекта персональных данных
Субъект персональных данных, в соответствии со ст. 14 Федерального закона, имеет право на получение от Управляющих компаний информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
Обязанности Управляющих компаний при сборе персональных данных
В соответствии с требованиями ч. 5 ст.18 Федерального закона № 152, при сборе персональных данных Управляющие компании обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона.
Обязанности Управляющих компаний по обеспечению безопасности персональных данных при их обработке
При обработке персональных данных Управляющая компания, как оператор, осуществляющий обработку персональных данных, в соответствии со ст. 18.1, 19 Федерального закона принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
К мерам, направленным на обеспечение выполнения оператором обязанностей предусмотренных ст.18.1 Федерального закона могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Обеспечение безопасности персональных данных достигается следующими мерами:
— определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
— оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учетом машинных носителей персональных данных;
— обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
— контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Уведомление уполномоченного органа об обработке персональных данных
В соответствии с частью 1 статьи 22 Федерального закона «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.
Частью 2 указанной статьи предусмотрены случаи осуществления обработки персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.
Как показывает практика, деятельность Управляющих компаний по обработке персональных данных, преимущественно, выходит за пределы случаев, предусмотренных ч. 2 ст. 22 Федерального закона № 152, в связи с чем данные организации должны в установленном порядке уведомлять уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.
Время публикации: 01.10.2019 13:02
Последнее изменение: 01.10.2019 13:01
© 2009-2021, Версия 2.15.18
Официальный интернет-ресурс Федеральной службы по надзору
в сфере связи, информационных технологий и массовых коммуникаций