Главная-Правила торговли-Роскомнадзор об обработке персональных данных. Политика обработки персональных данных Принципы и цели обработки

Роскомнадзор об обработке персональных данных. Политика обработки персональных данных Принципы и цели обработки

В области обработки персональных данных

Вопрос: Что включает в себя понятие конфиденциальности?

Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?

Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?

Ответ: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

Вопрос: Необходимо ли согласие субъектов персональных данных (граждан) в случае передачи персональных данных граждан третьему лицу (РКЦ) обслуживающей многоквартирный дом Управляющей компании для формирования квитанций на оплату ЖКУ? Правомерны ли в данном случае действия Управляющей компании?

Ответ: В соответствии со ст. 3 Федерального закона от 27.07.2006 "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Следовательно, Управляющая компания является оператором, осуществляющим обработку персональных данных граждан.

В соответствии с ч. 3 ст. 6 настоящего закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Таким образом, в силу договорных отношений, возникших между Управляющей компанией и РКЦ, осуществляющей начисление платы за ЖКУ и выпуск квитанций, в силу исполнения требований жилищного законодательства, предоставление одной организацией персональных данных жильцов дома другой организации является допустимым.

На основании ч. 5 вышеназванной нормы права, в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

Вопрос : Какие санкции существуют за не представление ответа на запрос уполномоченного органа по защите прав субъектов персональных данных? Необходимо ли указывать в уведомлении об обработке (о намерении осуществлять обработку) персональных данных лечебного учреждения сведения о физических лицах, обратившихся за медицинской помощью в данное лечебное учреждение?

Ответ: Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", а также ведение Реестра операторов, осуществляющих обработку персональных данных на территории РФ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций.

На территории Приморского края таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Приморскому краю - (Управление Роскомнадзора по Приморскому краю).

Для формирования Реестра операторов, осуществляющих обработку персональных данных, Управлением операторам направляются запросы о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

На основании требования ч. 1 ст. 22 Закона Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ч. 3 ст. 22), за исключением случаев, предусмотренных ч. 2 настоящей статьи Закона.

Оператор в соответствии с ч. 4 ст. 20 Закона обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Непредставление запрашиваемых сведений, а равно представление таких сведений в неполном объеме, является нарушением требований данной статьи Закона и влечет административную ответственность по статье 19.7 КоАП РФ (наложение административного штрафа).

В случае не предоставления или несвоевременного представления вышеуказанных сведений организациями, которым был направлен запрос, государственными инспекторами Управления составляются протоколы об административном правонарушении по ст. 19.7 КоАП РФ и направляются на рассмотрение мировым судьям.

Категории персональных данных - это фамилия, имя, отчество, адрес, паспортные данные, образование, состав семьи, доходы, пол, гражданство, данные пенсионного свидетельства, биометрические данные (фотография), сведения о воинском учете, ИНН, состояние здоровья, контактная информация и т.д. На сайте размещены образцы уведомлений, из которых видно, что указывать в уведомлении сведения о физических лицах, обратившихся за медицинской помощью в лечебное учреждение (пациентам) не нужно, т.к. категории персональных данных, указываемые в данном документе, являются обезличенными. Таким образом, направление в Управление персональных данных по каждому субъекту персональных данных (пациенту) не требуется.

Лечебными учреждениями должен быть решен вопрос о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

Вопрос ГУЗ «Краевая клиническая больница № 2»: в праве ли данное учреждение спрашивать согласие на обработку персональных данных у пациентов, которые получают медицинские услуги в рамках программы обязательного медицинского страхования?

Ответ: в соответствии с ч. 2 ст. 6 Закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (п. 1); обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (п. 2); обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 3). Обработка специальных категорий персональных данных, касающихся состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона, в т.ч. в случае: обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования (п. 8). При этом операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность и безопасность персональных данных при их обработке (п. 4 ст. 6, ст. 7 Закона).

Вопрос гр. К.: в организации ко дню рождения работников практикуется размещение в общедоступном месте списка работников с указанием их персональных данных. Согласия работников на размещение на стенде их персональных данных не имеется. Являются ли правомерными действия работодателя?

Ответ: ст. 3 Федерального закона «О персональных данных» определяет понятие персональных данных как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных ч. 2 ст. 7 Закона: обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона). Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 Закона). В соответствии со ст. 9 данного Закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва;

7) собственноручную подпись субъекта персональных данных.

Таким образом, размещение в общедоступных местах работодателем списка работников с указанием фамилии, имени, отчества, даты рождения работника без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

Вопрос: Вправе ли должностное лицо, в производстве которого находится дело об административном правонарушении, запрашивать у организаций персональные данные их работников?

Ответ : В соответствии со статьей 28.3 КоАП РФ протоколы об административных правонарушениях составляются должностными лицами органов, уполномоченных рассматривать дела об административных правонарушениях в пределах компетенции соответствующего органа.

Требования к содержанию протокола об административном правонарушении установлены статьей 28.2 КоАП РФ. В частности, в протоколе об административном правонарушении указываются сведения о лице, в отношении которого возбуждено дело об административном правонарушении.

Кроме того, статьей 26.10 КоАП РФ предусмотрено, что орган, должностное лицо, в производстве которых находится дело об административном правонарушении, вправе вынести определение об истребовании сведений, необходимых для разрешения дела. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения. При невозможности представления указанных сведений организация обязана в трехдневный срок уведомить об этом в письменной форме судью, орган, должностное лицо, вынесших определение.

Пунктом 1 части 2 статьи 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» предусмотрена обработка персональных данных на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора без согласия субъекта персональных данных.

Таким образом, должностное лицо органа, уполномоченного составлять и рассматривать протоколы об административном правонарушении вправе в рамках производства по делу об административном правонарушении запрашивать у организаций персональные данные их работников, в отношении которых возбуждено дело об административном правонарушении. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения в порядке, предусмотренном ст.26.10 КоАП РФ .

Вопрос: У нас стоматологический кабинет, сбор персональных данных пациентов производится на бумажных носителях, в электронном виде обрабатываются только снимки с визиографа, доступа к сети Интернет нет. Нужно ли нам оформлять к договору на оказание услуг приложение с согласием на обработку персональных данных пациентов, если у нас база пациентов на бумажных носителях?

Ответ: Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее Закон). Обработка персональных данных допускается в определенных случаях, указанных в части 1 статьи 6 Закона, в том числе, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Обработка специальных категорий персональных данных (часть 1 статьи 10 Закона) также допускается в определенных случаях, в том числе если обработка персональных данных осуществляется в медико- профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (пункт 4 части 2 статьи 10 Закона).

Следовательно, если обработка персональных данных соответствует вышеуказанным статьям Закона и принципам обработки персональных данных, указанных в статье 5 Закона, то согласия на обработку персональных данных не требуется.

Время публикации: 26.10.2011 12:25
Последнее изменение: 05.04.2019 12:53

Ольга Перминова , СИ СМИ "Солнечный дом"

Согласно ст.6 ФЗ №152 от 27.07.2006 №152 –ФЗ «О персональных данных» (далее - ФЗ №152) под персональными данными понимается любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, обработка которых осуществляется Товариществами собственников жилья (далее - ТСЖ) в соответствии с ФЗ №152 п 9 , а именно - обработка персональных данных осуществляется в статистических или иных исследовательских целях. Ст. 6 ФЗ №152 содержит закрытый перечень случаев обработки персональных данных, в том числе осуществление обработки с согласия субъекта персональных данных на обработку его персональных данных. Согласно ст. 2. ФЗ №152 не допускается обработка персональных данных, несовместимая с целями сбора персональных данных . Согласно ст. 7. ФЗ №152 операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Поскольку ТСЖ, как правило, не получает согласие субъекта персональных данных - собственников помещений многоквартирного дома на передачу их персональных данных третьим лицам, то передача их в различные инстанции по запросам не представляется возможным.

Кроме того, ФЗ №210-фз от 27 июля 2010 года гласит: «Органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги , не вправе требовать предоставления документов и информации, которые находятся в распоряжении органов, предоставляющих государственные услуги, и органов, предоставляющих муниципальные услуги, иных государственных органов, органов местного самоуправления, организаций, в соответствии с нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами».

Из чего следует, что данные структуры (Органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги или функциональный орган исполнительной власти города Москвы,) всегда могут получить сведения о собственниках многоквартирного дома по запросу, не прибегая к помощи ТСЖ

Последнее время участились запросы из МЖИ в ТСЖ различных районов c требованием о внесении в реестр членов ТСЖ номеров свидетельства о госрегистрации права каждого собственника. Такое требование незаконно и полностью игнорирует требования ст. 7. ФЗ №152 "операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных."

Согласно пункту 9 статьи 138 ЖК РФ товарищество собственников жилья обязано вести реестр членов товарищества и ежегодно в течение первого квартала текущего года направлять копию этого реестра в органы исполнительной власти субъектов Российской Федерации, указанные в части 2 статьи 20 Жилищного кодекса РФ (органы государственного жилищного надзора).

Согласно ч.4 ст. 143 ЖК РФ реестр членов товарищества собственников жилья должен содержать сведения, позволяющие идентифицировать членов товарищества и осуществлять связь с ними, а также сведения о размерах принадлежащих им долей в праве общей собственности на общее имущество в многоквартирном доме.

В соответствии со ст. 18.1. федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»: «Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом. "

Товарищества собственников жилья самостоятельно определяют достаточность оснований для предоставления персональной информации собственников МКД в реестр для их идентификации, если иное не установлено нормами закона. Реестры членов ТСЖ, как правило, включают в себя: ФИО, адрес, номер квартиры, долю в праве общей собственности на общее имущество в многоквартирном доме.

Этих сведений вполне достаточно для идентификации членов товарищества. Такой реестр соответствует действующим НПА и позволяет идентифицировать собственника МКД.

Вольное обращение с персональными данными наносит непоправимый вред собственникам.

И это произошло в районе Ясенево.

_______________________________________________

Активные жители районов Москвы не прекращают свои расследования, связанные с деятельностью организаций, учреждений и органов власти, касающихся ЖКХ Москвы.

На сей раз обратим внимание на исследование жителей района Ясенево и дополним его своими изысканиями.

Активные жители района Ясенево обнаружили, что на официальном сайте ГБУ "Жилищник района Ясенево" опубликованы списки должников по ЖКУ на 01.06.2014 года. При этом в списках приведены полные фамилия-имя-отчество должника, адрес дома проживания и размер задолженности. Такая информация явно относится к категории персональных данных и безусловно попадает под действие соответствующего законодательства. При этом среди должников жители обнаружили действующего депутата Московской Государственной Думы (Мосгордумы) - . По мнению активных жителей района Ясенево, Семенников Александр Григорьевич обязан обратиться в прокуратуру или в суд с исковыми требованиями к директору ГБУ "Жилищник района Ясенево", нарушившему Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных", целью которого является защита прав на неприкосновенность частной жизни, личной и семейной тайны.

Но наше дополнительное исследование показало еще более удручающую картину и высветило полную безалаберность сотрудников ГБУ Жилищник района Ясенево, объективную оценку которым даст, мы очень надеемся, Прокуратура Москвы и суд.

Посмотрев внимательно содержимое файла со списком тысяч должников, выложенного сотрудниками ГБУ Жилищник района Ясенево на всеобщее обозрение, выяснилось следующее. Данный файл имеет формат электронных таблиц Excel. И, как известно любому пользователю, в электронных таблицах пронумерованы все строки и столбцы последовательно. Взглянув на выложенный файл мы обнаружили, что нумерация столбцов в них не последовательна, а имеет пропуски, т.е. вместо A,B,C,D,E,F,... (или 1,2,3,4,5,... в зависимости от настроек), мы увидели столбцы с номерами A,E,G,I,P,Q,... Такие пропуски означают, что в файле присутствуют скрытые столбцы. Профессиональный пользователь электронных таблиц сможет открыть эти скрытые столбцы и обнаружится удивительная вещь: сотрудники ГБУ Жилищник района Ясенево выложили файл, в котором кроме уже озвученной персональной информации, мы предполагаем, что дополнительно выложены номера домашних телефонов должников, номера лицевых счетов, площади квартир, количество зарегистрированных жильцов и масса другой информации (это наша оценочная информация, достоверность которой может подтвердить только знающий специалист). По структуре представленной информации можно с высокой долей вероятности предположить, что это так называемая "выгрузка" из базы данных расчетной системы ЕИРЦ Москвы. Т.е. сотрудники ГБУ Жилищник района Ясенево получили файл с должниками из ЕИРЦ и выложили его в открытый доступ в сеть Интернет, сопроводив устрашающими угрозами (цитата с официального сайта): В целях недопущения неприятных ситуаций в период отпусков, связанных с запретом на выезд за пределы Российской Федерации, просим Вас при наличии задолженности, произвести оплату в кратчайшие сроки, также текущие платежи за ЖКУ .

Таким образом, любой пользователь сети Интернет получает доступ к персональной информации должников района Ясенево. Ну а депутат МГД Семенников А.Г. теперь может получить шквал звонков на домашний номер телефона (предположительно) от своих избирателей с вопросами или наказами перед предстоящей выборной кампанией в Мосгордуму, "благодаря" такому нерадивому (а может и преступному - решить это может только суд) подходу со стороны сотрудников ГБУ Жилищник района Ясенево .

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

я просто обязан был скомпоновать макет для обращения

подать

В Федеральную cлужбу по надзору в сфере связи, информационных технологий и массовых коммуникаций субъекта РФ

КОПИЯ - В прокуратуру района (для сведения)

от Дмитрия Витальевича

адрес, телефон, эмэйл

ЗАЯВЛЕНИЕ о с ов ершенном правонарушении

Я проживаю по указанному выше адресу в многоквартирном доме. Считается, что дом находится под управлением управляющей организации УК (адрес, ИНН). Без моего согласия УК передала мои персональные данные Расчетно-Информационному Центру (адрес, ИНН), а последний незаконно занимается обработкой моих персональных данных для составления платежных документов, выставляемых за якобы предоставленные услуги ЖКХ. Хотя само требование оплаты услуг, предоставляемых в обход закона, не может восприниматься иначе как поборы и открытое противопоставление закону.

Со мною никаких договоров никто не заключал; согласия на обработку моих персональных данных и на передачу моих персональных данных я никому никогда не давал(а). Это означает, что каждой из названных организаций нарушено положение ч. 4 ст. 9 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных», согласно которого передача персональных данных осуществляется без письменного согласия собственников на обработку (передачу) их персональных данных. Кроме того сама процедура передачи не содержат описания используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва.

Определением Конституционного суда РФ от 28.01.2016 № 100-О постановлено

"… управляющая организация, с тем чтобы иметь возможность осуществлять деятельность по управлению многоквартирным домом, обязана получить у собственников и нанимателей жилых помещений согласие на обработку персональных данных, в том числе на их передачу третьим лицам, причем данное согласие может быть включено в качестве условия в договор управления многоквартирным домом. Министерство строительства и жилищно-коммунального хозяйства Российской Федерации, утвердившее приказом от 31 июля 2014 года № 411/пр Примерные условия договора управления многоквартирным домом и методических рекомендаций по порядку организации и проведению общих собраний собственников помещений в многоквартирных домах, также рекомендовало включать в такие договоры условие о порядке информационного взаимодействия между управляющей организацией и собственниками или пользователями помещений в многоквартирном доме, в том числе состав, порядок, случаи и сроки предоставления информации, связанной с порядком обработки персональных данных собственников и пользователей помещений в многоквартирном доме (подпункт «д» пункта 12), а в приложение к договору – включать порядок обработки персональных данных граждан, в том числе собственников помещений в многоквартирном доме и пользователей помещений в многоквартирном доме, для целей исполнения договора управления (подпункт «з» пункта 25)".

Согласно ст. 13.11 КоАП РФнарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на юридических лиц - от 5 тысяч до 10 тысяч рублей.

На основании изложенного
ПРОШУ

привлечь к ответственности за правонарушение, предусмотренное ст.13.11 КоАП РФ

1. Управляющая Компания

ИНН 662602055

2. Расчетно-информационный Центр

ИНН 6659190553

О Вашем решении прошу уведомить

Со своей стороны для понуждения неисправного участника рынка услуг ЖКХ к устранению нарушений своих законных прав объявляю о приостановлении оплаты по счетам за услуги по содержанию общего имущества и коммунальные услуги до полного устранения описанного нарушения права.

Имеет ли право УО, ТСЖ, ЖК, ЖСК раскрыть персональные данные собственников помещений в МКД в рамках реализации 731 ПП РФ?

Имеет ли право УО, ТСЖ, ЖК, ЖСК раскрыть персональные данные собственников помещений в МКД в рамках реализации 731 ПП РФ?

Действие положений Федерального закона № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) распространяется на правоотношения, возникшие с 1 июля 2011 г.
Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых в Роскомнадзор чаще всего поступают обращения от субъектов персональных данных (граждан), позволяет утверждать, что "лидерами" являются кредитные учреждения; жилищно-коммунальные организации; операторы связи.

Основные нарушения законодательства в сфере обработки персональных данных касаются следующих положений Закона № 152-ФЗ:

  • в части обработки персональных данных без согласия субъекта персональных данных;
  • в части несоответствия содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ;
  • в части не предоставления оператором субъекту персональных данных необходимой информации до начала обработки, если персональные данные были получены не от субъекта персональных данных;
  • в части представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения;
  • несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации.

Указанные нарушения характерны для большинства предприятий, работающих в сфере ЖКХ и занимающихся обработкой персональных данных . Результаты проверки их на "организацию и состояние работ по обеспечению безопасности персональных данных", мягко говоря, оставляют желать лучшего. Многие руководители до сих пор не вполне ясно представляют себе, что конкретно нужно делать для защиты персональных данных (ПДн) в соответствии с требованиями Закона № 152-ФЗ. Такая ситуация вызвана отсутствием практики применения норм закона.

В пользу того, что необходимость обработки персональных данных регламентирована федеральным законом, подтверждает сам Закон № 152-ФЗ в нынешней редакции – п. 2 ч. 1 ст. 6 "обработка персональных данных необходима для достижения целей, предусмотренных законом". Каких целей?
Расчет платы за жилое помещение и коммунальные услуги, формирование платежных документов – счетов-квитанций, которые содержат персональные данные граждан (ст. 155,ст. 157 ЖК РФ) – это разве не цель?
ЕИРЦ, управляющим и ресурсоснабжающим организациям необходимо привести свои договорные отношения в сфере обработки ПДн граждан в соответствие с требованием Закона № 152-ФЗ.



Похожие публикации: