Письменное согласие субъекта персональных данных на работу с ними – не единственный документ, который должен быть у УО как оператора ПДн. Читайте, какие ещё шаблоны, инструкции и регламенты в этой сфере необходимо разработать управляющим домами организациям, чтобы соблюсти требования НПА при работе с персональными данными.
Управляющие организации и ТСЖ являются операторами персональных данных жителей домов
Персональные данные (ПДн) – это любая информация, прямо или косвенно относящаяся к определённому физическому лицу. Главное отличие таких данных от других – возможность определить по ним человека. УО и ТСЖ обрабатывают персональные данные собственников и нанимателей помещений в многоквартирных домах и членов их семей.
Как правило, оператор ПДн обязан получать письменное согласие человека на обработку его личных данных. Но управляющие домами в ряде случаев используют ПДн жителей домов без учёта их мнения по этому поводу, в силу закона. О таких ситуациях ранее рассказал юрист компании «МКДЭКСПЕРТ» Алик Зеленков. Он разобрал, когда УО требуется получить согласие собственников на обработку их данных, а в каких можно обойтись без него.
Но даже если управляющая организация не обязана просить от жителей домов разрешения использовать их личные сведения, она должна иметь внутренние документы, которые эту деятельность регламентируют. Это иногда становится проблемой для УО и ТСЖ. Не все из них понимают, какие документы в соответствии № 152-ФЗ должны быть в организации. Разбираемся в вопросе.
УО и ТСЖ как операторы персональных данных должны разработать семь групп документов в сфере обработки ПДн
Согласно требованиям ст. 14 № 152-ФЗ, субъект данных вправе знать, почему и для чего их обрабатывают, кто это делает и как, а также сроки хранения ПДн. Внутренние регламенты УО должны давать ответы на такие вопросы жителей домов, а также содержать инструкции для сотрудников компании по работе с данными в рамках закона.
Алик Зеленков условно разделил необходимые УО в данной сфере документы на группы. Это инструкции, регламенты и шаблоны, связанные:
- с информационной системой;
- с обеспечением безопасности ПДн;
- с обращениями субъектов данных;
- с местом обработки личных сведений;
а также документы,
- регламентирующие деятельность оператора;
- посвящённые ответственному за обработку ПДн;
- закрепляющие процедуру уничтожения данных.
Компании должны их разработать и принять локальными актами. Сделать это необходимо сразу, как УО приступает к работе с личными данными собственников и нанимателей жилья в МКД. Рассмотрим состав этих групп подробнее и приведём советы эксперта по их составлению.
Вопросы обработки УО личных данных жителей с их согласия и без68290
Перечни информационных систем и лиц, допущенных к работе с ними, и инструкция по безопасности ПДн
Информационная система (ИС) в понимании № 152-ФЗ – это совокупность содержащихся в базах данных персональных сведений, информационных технологий и технических средств, обеспечивающих их обработку.
Сначала управляющей организации следует составить перечень таких информационных систем. Определите, в каких ИС вы обрабатываете ПДн при проведении ОСС или расчёте платы за жилищно-коммунальные услуги.
Затем составьте список лиц, допущенных к работе с такими ИС, и разработайте для них инструкцию пользователя ИС. Также подготовьте:
- журнал учёта прав;
- источники угроз ИС;
- журнал регистрации фактов нарушения и восстановления работоспособности оборудования;
- инструкцию по организации восстановления программного обеспечения, баз информационных систем персональных данных.
Для обеспечения безопасности данных при их хранении и обработке УО следует разработать специальную инструкцию по защите ПДн, в том числе антивирусной. Ведь обычно операции с ПДн проводятся на компьютерах.
Также в компании необходимо принять комплект документов по учёту и хранению бумажных и съёмных носителей ПДн: флеш-карт, внешних дисков, доверенностей на ведение дел в суде, договоров с любыми контрагентами.
Политика и положение в сфере обработки персональных данных, журнал обращений и соглашения для сотрудников
В группе документов, регламентирующих деятельность оператора данных, главный – положение об обработке ПДн. В нём раскрываются принципы и цели такой обработки, категории персональных данных, с которыми УО имеет дело.
Эксперт рекомендует управляющим организациям составить два разных документа – политику в области обработки ПДн и положение об использовании персональных данных собственников и пользователей помещений в МКД. В политике пропишите цели и принципы работы с ПДн в целом по организации, в положении – то же самое в отношении жителей МКД.
При составлении этих документов опирайтесь на требования №152-ФЗ к работе с данными и уже готовые примеры коллег: положение от ООО «УК “Сервис”», политика от ООО «УК “Южный район”».
Поскольку субъект данных вправе получать практически любую информацию о действиях с его ПДн, управляющая организация должна вести журнал поступающих обращений и инструкцию по их рассмотрению. Формат таких документов компания выбирает самостоятельно.
УО и ТСЖ как работодатели используют данные и своих сотрудников, поэтому ей нужны шаблоны согласия на обработку ПДн и соглашения о неразглашении информации, содержащей личные сведения работников.
Когда действия УО считаются нарушением закона о ПДн (часть 1)1340410
Приказ о назначении ответственного за работу с ПДн сотрудника и инструкция для него
Как отметил Алик Зеленков, в УО должен быть ответственный за обработку ПДн. Это сотрудник, который проводит внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных. В его обязанности входит информирование других работников о нормах НПА в этой сфере и организация работы с обращениями и запросами субъектов ПДн.
Для такого ответственного сотрудника нужно разработать инструкцию: закрепите в ней его обязанности, права и ответственность. Также УО следует создать и утвердить такие документы, как:
- порядок контроля выполнения требований законодательства;
- акт контроля соответствия нормам НПА;
- план проведения периодического внутреннего контроля;
- инструкцию и журнал учёта прохождения первичного инструктажа лицами, допущенными к обработке ПДн.
Также Алик Зеленков советует управляющим домами составить список должностей, доступ которых к персональным данным необходим для осуществления ими трудовых обязанностей.
Перечень помещений, где сотрудники работают с ПДн, и положение о допуске в них
Ещё один документ, необходимый управляющим домами, – перечень помещений, в которых происходит работа с персональными данными. Тогда руководство компании будет понимать, кто из сотрудников, когда и где работал с ПДн. Как правило, это кабинеты в офисе УО.
Вместе с перечнем таких помещений нужно составить положение о допуске в них сотрудников. В этом документе следует прописать режим доступа работников и иных лиц в кабинеты, меры безопасности от проникновения в них посторонних лиц.
Регламент уничтожения и обезличивания ПДн
Ещё одна группа необходимых УО документов в области работы с персональными данными связана с порядком уничтожения таких сведений. В ст. 21 № 152-ФЗ прописано, что оператор ПДн обязан уничтожать личные сведения, которые больше не обрабатываются.
Для этого управляющим домами необходимо разработать соответствующую инструкцию. Закрепите в ней в каких случаях и как ПДн будут стираться из баз данных. Также пропишите в ней алгоритм обезличивания личных сведений и ответственность за эти действия.
К инструкции следует приложить шаблон акта уничтожения ПДн. Его подписывает комиссия из трёх человек, куда обязательно входит сотрудник, отвечающий в УО за обработку персональных данных.
Когда действия УО считаются нарушением закона о ПДн (часть 2)142236
На заметку
Полный комплект документов, которые необходимы УО как оператору персональных данных, состоит примерно из 55 документов, в том числе внутренние приказы по организации. Они регламентируют деятельность ответственного за обработку, правила хранения и учета носителей, уничтожения ПДн, взаимодействие с субъектами ПД, разрешают другие вопросы.
Алик Зеленков советует управляющим домами не откладывать их разработку. В ином случае нельзя исключить ситуации, когда сотрудники компании нарушат нормы № 152-ФЗ, даже не зная о них. За такие проступки надзорные органы могут привлечь компанию к ответственности по ст. 13.11 КоАП РФ, штрафы по которой для юрлиц достигают в некоторых ситуациях сотен тысяч рублей.
Документов много, шаблонов для них законодатели не утвердили, поэтому управляющим домами нужно самостоятельно их составить, опираясь на требования № 152-ФЗ и примеры коллег. Можно использовать готовые шаблоны юридических порталов, адаптировав их под себя. Если вам сложно это сделать своими силами, обратитесь к специалистам компании «МКДЭКСПЕРТ» за помощью.