Ранее мы начали рассказывать о наиболее распространённых нарушениях, которые могут допустить управляющие организации при работе с персональными данными собственников и нанимателей помещений в домах. Читайте о том, какие ещё ошибки могут допустить операторы ПДн при работе с данными и как их избежать.
Обработка ПДн без согласия субъекта и в сторонних целях
В ст. 13.11 КоАП РФ прописаны нарушения, за которые операторы персональных данных могут быть наказаны. Наиболее частыми в работе УО можно считать нарушения по ч.ч. 1–3 ст. 13.11 КоАП РФ:
- Действия с ПДн, несовместимые с целями, для которых такие сведения были получены (ч. 1 ст. 13.11 КоАП РФ).
- Обработка ПДн без письменного согласия на это субъекта данных в случаях, когда такое согласие должно быть получено (ч. 2 ст. 13.11 КоАП РФ).
- Отсутствие свободного доступа к политике обработки персональных данных (ч. 3 ст. 13.11 КоАП РФ).
Чтобы избежать штрафов за такие нарушения, УО следует использовать персональные данные собственников только для реализации договора управления, не передавать данные без согласия субъектов ПДн сторонним лицам и разместить в открытом доступе, например, на сайте, политику по работе с персональными данными.
При этом передача ПДн расчётным центрам или в контрольные госорганы без согласия собственников, размещение данных в ГИС ЖКХ не является нарушением.
Почему и как Роскомнадзор проводит проверки управляющих организаций1736310
Непредоставление сведений субъекту об обработке его ПДн
В отдельную группу нарушений можно условно выделить те, что допускает управляющая организация при взаимодействии с субъектом ПДн. Собственник или наниматель помещений, чьи личные данные обрабатывает УО в рамках исполнения договора управления, имеет право:
- получать сведения, касающиеся любых действий с такими сведениями;
- уточнять или просить внести исправления в ПДн;
- требовать блокировать или уничтожить его персональные данные, если они неполные, устаревшие, неточные, получены оператором незаконно или не являются необходимыми для заявленной цели обработки.
Согласно ч. 7 ст. 14 № 152-ФЗ, субъект ПДн имеет право получать следующую информацию:
- наименование и адрес оператора ПДн;
- подтверждение факта обработки его личных данных;
- на каких основаниях и с какой целью его ПДн обрабатываются;
- источник получения его ПДн;
- сроки обработки и хранения ПДн;
- применяемые оператором способы обработки;
- сведения о лицах, допущенных к его ПДн;
- информация о передаче данных третьим лицам.
Например, если собственник обратился в УО с просьбой предоставить ему информацию о том, кому и когда были переданы его персональные данные и с какой целью, то управляющая организация обязана ответить на такой запрос. В ином случае, согласно ч. 4 ст. 13.11 КоАП РФ, её могут оштрафовать на сумму от 20 000 до 40 000 рублей.
Или, например, собственник обратился в УО с требованием уничтожить его персональные данные в связи с тем, что он продал квартиру в доме и более не является стороной договора управления таким МКД. Если у такого собственника нет долгов перед УО, то управляющая организация обязана уничтожить его персональные данные и перестать совершать с ними какие-либо действия. В ином случае – штраф от 25 000 до 45 000 рублей, предусмотренный ч. 5 ст. 13.11 КоАП РФ.
Вправе ли УО передавать РСО персональные данные при прямом договоре808448
Несоблюдение мер по защите персональных данных
В ч. 6 ст. 13.11 КоАП РФ говорится о нарушениях оператором персональных данных в области хранения и защиты персональных данных, если они обрабатываются полностью или частично без использования средств автоматизации. Персональные данные не должны находиться в открытом доступе, который может повлечь их распространение или передачу третьим лицам.
Однако стоит отметить, что наказание за необеспечение сохранности ПДн в такой ситуации будет только в случае, если такие действия/бездействие привели к негативным последствиям, распространению данных, уничтожению или изменению, копированию или блокированию.
Примером такого нарушения является хранение протоколов ОСС с приложениями, где перечисляются персональные данные собственников, их заявлений и прочих документов с ПДн, в бумажном виде на виду, не в закрытых шкафах или помещениях, куда доступ не ограничен.
Защиту персональных данных при неавтоматизированной обработке необходимо обеспечить в соответствии со ст. 19 № 152-ФЗ и п. 13–15 постановления Правительства РФ от 15.09.08 № 687, а при использовании систем автоматизации – согласно постановлению Правительства РФ от 01.11.12 № 1119 и приказу ФСТЭК России от 18.02.13 № 21.
УО как оператору персональных данных следует обеспечить защиту и сохранность ПДн жителей многоквартирных домов, в том числе с привлечением IT-специалистов, созданием правил и внутренних регламентов по работе с данными.
Когда действия УО считаются нарушением закона о ПДн (часть 1)1325910
Отсутствие системной работы с персональными данными сотрудников УО
Внимательно управляющим организациям следует подходить и к обработке персональных данных своих сотрудников, ведь их личные сведения также защищены № 152-ФЗ.
Например, нарушением требований ч. 4 ст. 21 № 152-ФЗ считается хранение резюме соискателей, которые не были приняты на работу. Персональные данные не прошедших конкурс специалистов необходимо уничтожить, в том числе удалить электронную копию из электронной почты, если субъект ПДн не давал согласия на хранение данных в банке кадрового резерва.
При приёмке на работу нового сотрудника обязательно нужно ознакомить под подпись с политикой работы с ПДн, принятой в управляющей организации, и иными документами, которые регламентируют права и обязанности оператора и субъекта персональных данных (п. 8 ст. 86 ТК РФ). Для сбора подписей можно завести отдельный журнал или лист ознакомления.
Данные сотрудников нельзя размещать в открытом доступе, а специалисты отдела кадров, бухгалтерская служба, которые работают с ПДн, не имеют права распространять доступные им сведения. Обработка личных данных сотрудников должна соответствовать целям, с которыми эти сведения были получены.
Нарушением будет не только рассказ работника кадров за обедом о личных данных другого работника, полученных из анкеты, например, о семейном положении или детях, но и передача без письменного согласия субъекта ПДн информации о нём в охранное предприятие или аутсорсинговую компанию, которая ведёт кадровый или бухгалтерский учёт. На подобные действия сотрудник должен дать письменное согласие.
Запомнить
Список нарушений в области работы с персональными данными изложен в ст. 13.11 КоАП РФ, и управляющие организации, являясь операторами ПДн, обязаны следить за соблюдением № 152-ФЗ и других нормативно-правовых актов при работе с личными данными жителей МКД и собственных сотрудников. УО обязана:
- Отвечать на запросы субъектов ПДн, которые она обрабатывает, и предоставлять заявителям необходимую информацию.
- Уничтожать ПДн, если они больше не требуются для достижения целей, для которых они были получены.
- Обеспечивать защиту персональных данных.
- Организовывать правильную работу с персональными данными не только жителей МКД, но и сотрудников организации.
В третьей статье цикла мы расскажем о работе УО с персональными данными при выставлении платёжных документов за жилищно-коммунальные услуги, в том числе о судебной практике в области нарушений № 152-ФЗ при направлении счетов собственникам помещений в многоквартирных домах.