Безопасность персональных данных

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Управляющая организация, ТСЖ, ЖК или ЖСК являются оператором персональных данных.
Любое действие, которое совершается с персональными данными, – это их обработка (ч. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ): сбор, хранение, накопление, систематизация, использование, передача и т.д.

За нарушения правил обработки персональных данных УО несёт ответственность по ст. 13.11 КоАП РФ.
Оператор персональных данных должен выполнять следующие обязанности:

  • уведомлять Роскомнадзор о намерении обрабатывать персональные данные;
  • соблюдать принципы обработки данных;
  • обрабатывать данные, только когда это допускает закон;
  • получать согласие на обработку данных;
  • опубликовать политику в отношении обработки;
  • предоставить доступ к персональным данным их владельцам;
  • уточнять, блокировать или уничтожить данные по требованию владельца;
  • обеспечить безопасность данных при обработке;
  • обрабатывать данные на российских серверах;
  • назначить ответственных лиц;
  • уведомлять, что ведётся видеосъемка.

Согласно ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ до начала деятельности по обработке персональных данных оператор должен направить уведомление в Роскомнадзор.

Оператор обязан разместить на своём сайте документ, который определяет политику организации в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных. Доступ к этим документам не должен быть ограничен (ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).

УО должна получить согласие собственников в любой форме, которая позволяет подтвердить получение. Роскомнадзор рекомендует оформлять согласие письменно отдельным документом.

Возможно разместить пункты об обработке персональных данных в договоре управления и оказания коммунальных услуг.

Если УО привлекает представителя для осуществления расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов персональных данных на передачу данных таким представителям не требуется (ч. 16 ст. 155 ЖК РФ).

При этом необходимо закрепить в договоре между УО/РСО и представителем положения о конфиденциальности ПДн (ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).

Персональные данные, которые должны быть размещены в ГИС ЖКХ, попадают в закрытую часть системы, если иное не предусмотрено федеральным законом (п. 12 Приказа Минстроя от 29.02.2016 № 74/114/пр).

К таким персональным данным относится информация:

  • ФИО представителя собственников помещений в МКД, подписавшего акт о приёмке выполненных работ (оказанных услуг) по капитальному ремонту ОИ в МКД (в случае подписания акта представителем собственников);
  • ФИО лица, являющегося стороной договора о предоставлении в пользование части ОИ собственников помещений в МКД;
  • протоколы общего собрания членов ТСЖ/ЖСК;
  • сведения, позволяющие идентифицировать председателя, члена правления, члена ревизионной комиссии ТСЖ/ЖСК;
  • адрес, номер контактного телефона и сведения, позволяющие идентифицировать члена ТСЖ/ЖСК;
  • протоколы общего собрания собственников помещений в МКД;
  • информация о лицевых счетах, присвоенных собственникам и пользователям помещений в МКД для внесения платы на ЖКУ;
  • протоколы ЖСК;
  • ФИО председателя и членов правления ЖСК;
  • ФИО председателя и членов ревизионной комиссии ЖСК;
  • ФИО, номер телефона и адрес электронной почты (при наличии) членов ЖСК;
  • адрес помещения, в отношении которого внесена плата, а также ФИО потребителя (для физического лица, не являющегося ИП), ИНН (для ИП и для юридического лица) и период оплаты (при указании лицом, которым внесена плата, периода оплаты);
  • ФИО, СНИЛС, документ удостоверяющий личность, адрес электронной почты, место постоянного проживания администратора ОССП в МКД;
  • ФИО, СНИЛС, документ удостоверяющий личность собственника или представителя собственника, сделавшего предложения по повестке дня ОССП в МКД;
  • ФИО, СНИЛС, документ удостоверяющий личность собственника или представителя собственника, проголосовавшего на ОССП в МКД;
  • ФИО, СНИЛС, номер контактного телефона, адрес электронной почты председателя и членов совета МКД;
  • протокол ОССП в МКД об избрании совета МКД.

Уничтожение персональных данных

Оператор обязан уничтожить персональные данные:

Чтобы уничтожить данные, необходимо создать комиссию по уничтожению и утвердить акт об уничтожении персональных данных.

Меры по защите персональных данных

При автоматизированной обработке персональных данных, чтобы определить, какие меры безопасности применять, оператор должен:

  • установить тип угрозы,
  • установить уровень защищенности,
  • принять организационно-технические меры, которые предусмотрены для своего уровня защищенности.

Перечень мер содержат:

При неавтоматизированной обработке также нужно соблюдать ряд требований (ПП РФ от 15.09.2008 № 687).

Персональные данные необходимо хранить отдельно и в отношении каждой категории персональных данных:

  • определить места хранения данных (материальных носителей);
  • установить перечень лиц, которые обрабатывают данные либо имеют к ним доступ.

Хранить материальные носители необходимо с соблюдением условий, которые обеспечивают сохранность персональных данных и исключают несанкционированный к ним доступ.

УО сама может определить перечень мер, которые необходимы для обеспечения таких условий, порядок их принятия и перечень лиц, которые несут ответственность за реализацию указанных мер.

Ответственные лица

Если оператор персональных данных является юридическим лицом, он назначает лицо, ответственное за организацию обработки персональных данных.
Ответственное лицо обязано (ч.ч. 2 и 4 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ):

  • выполнять указания руководителя УО/РСО и отчитываться перед ним;
  • контролировать, чтобы в УО/РСО все соблюдали законодательство о ПДн, в том числе требования к их защите;
  • организовывать и контролировать приём и обработку обращений и запросов субъектов ПДн или их представителей.
Полное или частичное копирование материалов разрешено только при указании источника и добавлении прямой ссылки на сайт roskvartal.ru