Ранее мы начали рассказывать о наиболее распространённых нарушениях, которые могут допустить управляющие организации при работе с персональными данными собственников и нанимателей помещений в домах. Читайте о том, какие ещё ошибки могут допустить операторы ПДн при работе с данными и как их избежать.

Обработка ПДн без согласия субъекта и в сторонних целях

В ст. 13.11 КоАП РФ прописаны нарушения, за которые операторы персональных данных могут быть наказаны. Наиболее частыми в работе УО можно считать нарушения по ч.ч. 1–3 ст. 13.11 КоАП РФ:

  1. Действия с ПДн, несовместимые с целями, для которых такие сведения были получены (ч. 1 ст. 13.11 КоАП РФ).
  2. Обработка ПДн без письменного согласия на это субъекта данных в случаях, когда такое согласие должно быть получено (ч. 2 ст. 13.11 КоАП РФ).
  3. Отсутствие свободного доступа к политике обработки персональных данных (ч. 3 ст. 13.11 КоАП РФ).

Чтобы избежать штрафов за такие нарушения, УО следует использовать персональные данные собственников только для реализации договора управления, не передавать данные без согласия субъектов ПДн сторонним лицам и разместить в открытом доступе, например, на сайте, политику по работе с персональными данными.

При этом передача ПДн расчётным центрам или в контрольные госорганы без согласия собственников, размещение данных в ГИС ЖКХ не является нарушением.

Почему и как Роскомнадзор проводит проверки управляющих организаций
Почему и как Роскомнадзор проводит проверки управляющих организаций
15962
10

Непредоставление сведений субъекту об обработке его ПДн

В отдельную группу нарушений можно условно выделить те, что допускает управляющая организация при взаимодействии с субъектом ПДн. Собственник или наниматель помещений, чьи личные данные обрабатывает УО в рамках исполнения договора управления, имеет право:

  • получать сведения, касающиеся любых действий с такими сведениями;
  • уточнять или просить внести исправления в ПДн;
  • требовать блокировать или уничтожить его персональные данные, если они неполные, устаревшие, неточные, получены оператором незаконно или не являются необходимыми для заявленной цели обработки.

Согласно ч. 7 ст. 14 № 152-ФЗ, субъект ПДн имеет право получать следующую информацию:

  • наименование и адрес оператора ПДн;
  • подтверждение факта обработки его личных данных;
  • на каких основаниях и с какой целью его ПДн обрабатываются;
  • источник получения его ПДн;
  • сроки обработки и хранения ПДн;
  • применяемые оператором способы обработки;
  • сведения о лицах, допущенных к его ПДн;
  • информация о передаче данных третьим лицам.

Например, если собственник обратился в УО с просьбой предоставить ему информацию о том, кому и когда были переданы его персональные данные и с какой целью, то управляющая организация обязана ответить на такой запрос. В ином случае, согласно ч. 4 ст. 13.11 КоАП РФ, её могут оштрафовать на сумму от 20 000 до 40 000 рублей.

Или, например, собственник обратился в УО с требованием уничтожить его персональные данные в связи с тем, что он продал квартиру в доме и более не является стороной договора управления таким МКД. Если у такого собственника нет долгов перед УО, то управляющая организация обязана уничтожить его персональные данные и перестать совершать с ними какие-либо действия. В ином случае – штраф от 25 000 до 45 000 рублей, предусмотренный ч. 5 ст. 13.11 КоАП РФ.

Вправе ли УО передавать РСО персональные данные при прямом договоре
Вправе ли УО передавать РСО персональные данные при прямом договоре
74020
8

Несоблюдение мер по защите персональных данных

В ч. 6 ст. 13.11 КоАП РФ говорится о нарушениях оператором персональных данных в области хранения и защиты персональных данных, если они обрабатываются полностью или частично без использования средств автоматизации. Персональные данные не должны находиться в открытом доступе, который может повлечь их распространение или передачу третьим лицам.

Однако стоит отметить, что наказание за необеспечение сохранности ПДн в такой ситуации будет только в случае, если такие действия/бездействие привели к негативным последствиям, распространению данных, уничтожению или изменению, копированию или блокированию.

Примером такого нарушения является хранение протоколов ОСС с приложениями, где перечисляются персональные данные собственников, их заявлений и прочих документов с ПДн, в бумажном виде на виду, не в закрытых шкафах или помещениях, куда доступ не ограничен.

Защиту персональных данных при неавтоматизированной обработке необходимо обеспечить в соответствии со ст. 19 № 152-ФЗ и п. 13–15 постановления Правительства РФ от 15.09.08 № 687, а при использовании систем автоматизации – согласно постановлению Правительства РФ от 01.11.12 № 1119 и приказу ФСТЭК России от 18.02.13 № 21.

УО как оператору персональных данных следует обеспечить защиту и сохранность ПДн жителей многоквартирных домов, в том числе с привлечением IT-специалистов, созданием правил и внутренних регламентов по работе с данными.

Когда действия УО считаются нарушением закона о ПДн (часть 1)
Когда действия УО считаются нарушением закона о ПДн (часть 1)
12203
4

Отсутствие системной работы с персональными данными сотрудников УО

Внимательно управляющим организациям следует подходить и к обработке персональных данных своих сотрудников, ведь их личные сведения также защищены № 152-ФЗ.

Например, нарушением требований ч. 4 ст. 21 № 152-ФЗ считается хранение резюме соискателей, которые не были приняты на работу. Персональные данные не прошедших конкурс специалистов необходимо уничтожить, в том числе удалить электронную копию из электронной почты, если субъект ПДн не давал согласия на хранение данных в банке кадрового резерва.

При приёмке на работу нового сотрудника обязательно нужно ознакомить под подпись с политикой работы с ПДн, принятой в управляющей организации, и иными документами, которые регламентируют права и обязанности оператора и субъекта персональных данных (п. 8 ст. 86 ТК РФ). Для сбора подписей можно завести отдельный журнал или лист ознакомления.

Данные сотрудников нельзя размещать в открытом доступе, а специалисты отдела кадров, бухгалтерская служба, которые работают с ПДн, не имеют права распространять доступные им сведения. Обработка личных данных сотрудников должна соответствовать целям, с которыми эти сведения были получены.

Нарушением будет не только рассказ работника кадров за обедом о личных данных другого работника, полученных из анкеты, например, о семейном положении или детях, но и передача без письменного согласия субъекта ПДн информации о нём в охранное предприятие или аутсорсинговую компанию, которая ведёт кадровый или бухгалтерский учёт. На подобные действия сотрудник должен дать письменное согласие.

Запомнить

Список нарушений в области работы с персональными данными изложен в ст. 13.11 КоАП РФ, и управляющие организации, являясь операторами ПДн, обязаны следить за соблюдением № 152-ФЗ и других нормативно-правовых актов при работе с личными данными жителей МКД и собственных сотрудников. УО обязана:

  1. Отвечать на запросы субъектов ПДн, которые она обрабатывает, и предоставлять заявителям необходимую информацию.
  2. Уничтожать ПДн, если они больше не требуются для достижения целей, для которых они были получены.
  3. Обеспечивать защиту персональных данных.
  4. Организовывать правильную работу с персональными данными не только жителей МКД, но и сотрудников организации.

В третьей статье цикла мы расскажем о работе УО с персональными данными при выставлении платёжных документов за жилищно-коммунальные услуги, в том числе о судебной практике в области нарушений № 152-ФЗ при направлении счетов собственникам помещений в многоквартирных домах.