Мы продолжаем рассказывать о деятельности управляющих организаций и ТСЖ как операторов персональных данных жителей многоквартирных домов. Читайте о том, почему незапечатанные платёжные документы нарушают № 152-ФЗ и кто отвечает за защиту персональных данных, размещённых в ГИС ЖКХ.
В платёжных документах в силу закона указываются ПДн плательщиков
Обязанность УО выставлять платёжные документы в адрес собственников и нанимателей жилых помещений для внесения платы за жилищно-коммунальные услуги прописана в ч. 2 ст. 155 ЖК РФ, п. 67 ПП РФ № 354.
Примерная форма такой квитанции, а также перечень обязательной для внесения в счёт информации прописаны в п. 69 ПП РФ № 354 и приказе Минстроя РФ от 26.01.2018 № 43/пр.
В соответствии с указанными нормативно-правовыми актами, в платёжном документе обязательно указываются следующие сведения: адрес помещения, фамилия, имя и отчество собственника, наименование юрлица или данные об индивидуальном предпринимателе, сведения о задолженности, льготах и субсидиях, о количестве прописанных в помещении граждан и площади в собственности.
В соответствии с ч. 1 ст. 3 № 152-ФЗ, такая информация, напрямую или косвенно позволяющая идентифицировать человека, является его персональными данными. Управляющая организация, выполняющая условия договора управления многоквартирным домом, получает и обрабатывает такие данные в силу п. 5 ч. 1 ст. 6 № 152-ФЗ. На это ей не требуется согласие субъектов ПДн.
Такую позицию подтверждают и суды, в которые обращаются жители многоквартирных домов, считающие, что УО неправомерно используют их личные данные для выставления счетов за жилищно-коммунальные услуги. Например, в деле № 33-8182 Нижегородский областной суд отказал собственнику помещений в МКД в удовлетворении иска к управляющей организации.
Истец утверждал, что не давал согласия УО на обработку своих данных и указание их в ежемесячных квитанциях. Суд первой инстанции встал на сторону жителя дома и потребовал, чтобы организация убрала из платёжных документов ПДн истца. Но областной суд с такой позицией не согласился. Судья отметил, что обработка персональных данных необходима УО в силу закона – для выполнения условий договора управления. Согласия истца на это не требуется.
Почему и как Роскомнадзор проводит проверки управляющих организаций1735710
УО обязаны обеспечить защиту ПДн в квитанциях от случайного доступа к ним третьих лиц
УО не нужно получать согласие жителей многоквартирных домов на обработку их персональных данных при формировании платёжных документов для внесения платы за ЖКУ. Однако как оператор ПДн управляющая организация обязана не раскрывать третьим лицам эти данные, не распространять их и принимать меры для защиты ПДн от случайного доступа к ним (ст. 7, ч. 1 ст. 19 № 152-ФЗ).
Это напрямую касается защиты Пдн, указанных в квитанциях за ЖКУ. В соответствии с ч. 2 ст. 155 ЖК РФ, УО выставляет жителям многоквартирных домов платёжные документы на бумаге или в электронном виде, размещая их в ГИС ЖКХ или иных информационных системах. Также счёт по письменному соглашению с собственником/нанимателем помещения может направляться ему по адресу электронной почты.
Ещё один способ получения жителем МКД платёжного документа – в информационном терминале. Это должно быть прописано в договоре управления или допсоглашении с конкретным собственником.
Электронная форма счёта – это новшество последних лет, которое обеспечивает максимальную защиту личных данных от доступа к ним третьих лиц. Но подобный способ доставки квитанций пока ещё не получил массового распространения.
Когда действия УО считаются нарушением закона о ПДн (часть 1)1325310
Контрольные органы требуют конвертировать квитанции для защиты ПДн
Исторически сложилось, что УО и ТСЖ направляют жителям домов платёжные документы на бумаге по почте или разносят по почтовым ящикам самостоятельно. При этом чаще всего счёт представляет собой лист формата А4 (половину А4) в раскрытом виде.
Такой формат и способ доставки счетов не защищает персональные данные, указанные в квитанциях, от случайного доступа к ним сторонних лиц, особенно если часть почтовых ящиков в доме сломана. Это прямое нарушение требований конфиденциальности и безопасности личных данных жителей многоквартирного дома.
Платёжные документы должны быть запечатанными в конверт либо свёрнуты таким образом, чтобы указанные в них ПДн были скрыты. Именно такой позиции придерживаются контрольно-надзорные органы – Роскомнадзор и прокуратура. Например, к административной ответственности по ст. 13.11 КоАП РФ за доставку счетов в незапечатанном виде была привлечена одна из УО Костромской области.
В судебной практике также можно найти примеры, когда суд признавал управляющую организацию виновной в распространении ПДн жителей многоквартирных домов, доставляя бумажные счета за ЖКУ в неконвертируемом виде.
В деле № 2-549 прокуратура подала иск с требованием обязать управляющую организацию обеспечить защиту личных данных, запечатав доставляемые платёжные документы в конверты. Прокурор отметил, что для доставки квитанций в открытом виде субъекты ПДн должны дать на это письменное согласие. В ином случае подобные действия являются нарушением норм № 152-ФЗ.
Суд согласился с доводами прокуратуры и обязал УО принять меры по защите ПДн жителей многоквартирного дома, а также получить их письменное согласие на обработку их личных данных. Подобные выводы приведены и в других судебных решениях, например, по делам № 2-2061/2013, № 2-1913/2013.
Когда действия УО считаются нарушением закона о ПДн (часть 2)140636
Персональные данные в ГИС ЖКХ должны размещаться в закрытой части
Персональные данные жителей многоквартирных домов управляющие организации также размещают в ГИС ЖКХ в составе информации, которую они обязаны раскрывать согласно приказу № 74/114/пр. Делают они это в силу закона, поэтому не обязаны получать на такую обработку ПДн согласие их субъектов.
Персональные данные содержатся в сведениях о собственниках и нанимателях помещений, в размещённых в системе протоколах общих собраний собственников, в платёжных документах.
В ГИС ЖКХ заносятся фамилия, имя и отчество собственника, адрес помещения в его собственности, место жительства, СНИЛС, пол, сведения о льготах и субсидиях, о задолженности и иные личные данные, которые относятся к ПДн. ТСЖ размещает в системе информацию, которая позволяет идентифицировать председателя, членов правления, членов товарищества.
При этом персональные данные, которые УО и ТСЖ размещают в ГИС ЖКХ в силу закона, должны заноситься в закрытую часть системы. При этом УО и ТСЖ, являясь операторами таких ПДн, несут ответственность за защиту личных сведений граждан, даже если какую-то информацию по агентскому договору вносит в ГИС ЖКХ подрядчик или расчётный центр.
Особенно внимательными УО необходимо быть при внесении в ГИС ЖКХ протокола ОСС и обязательных приложений к нему, ведь в этих документах содержится большой объём личных данных собственников помещений в доме: ФИО каждого собственника, сведения о собственности и адресе помещения, реквизиты правоустанавливающих документов. Протокол с приложениями вносится в закрытую часть системы.
За нарушение требований № 74/114/пр и № 152-ФЗ штрафуют по разным статьям КоАП РФ
Перед жителями многоквартирных домов за нарушения требований № 152-ФЗ при обработке персональных данных отвечает управляющая организация (ч. 5 ст. 6 № 152-ФЗ). Если у организации заключён договор с подрядчиком, по которому он размещает информацию в ГИС ЖКХ,то он несёт ответственность за свои действия с ПДн не перед субъектами данных, а перед управляющей организацией.
Нарушения в области работы с персональными данными в ГИС ЖКХ можно разделить на две группы: недочёты в работе с ГИС ЖКХ и ошибки в работе с персональными данными в системе.
При неполном размещении данных в системе или внесении недостоверных сведений УО могут оштрафовать по ч. 2 ст. 13.19.2 КоАП РФ. Если УО нарушила правила работы с ПДн в системе, например, без согласия собственников передала их третьим лицам по агентскому договору, то её привлекают к ответственности по ст. 13.11 КоАП РФ.
При этом по первой статье протокол составляет орган ГЖН, а по второй – Роскомнадзор или прокуратура. Орган ГЖН не имеет права привлекать УО к ответственности по ст. 13.11 КоАП РФ. За одно нарушение организацию могут наказать только один раз по одной статье.
На заметку
Несмотря на то, что УО не обязана получать согласие жителей дома на обработку ПДн в силу договора управления она несёт ответственность за защиту их личных данных.
Поэтому, чтобы не оказаться в суде по иску надзорного органа о нарушении № 152-ФЗ от прокуратуры или одного из собственников, управляющей организации следует:
- Предусмотреть в договоре управления согласие жителей МКД на доставку платёжных документов в раскрытом виде в их почтовые ящики, либо же учесть траты на конвертирование счетов в размере платы за содержание помещения.
- В агентском договоре с расчётными центрами прописать пункты о защите персональных данных плательщиков при формировании и доставке квитанций за ЖКУ в почтовые ящики.
- Внимательно подходить к размещению информации, содержащей персональные данные, в ГИС ЖКХ, загружая их в закрытую часть системы. Даже при заключённом с подрядчиком договора на размещение данных в системе ответственность за защиту ПДн перед их субъектами несёт управляющая организация.