О обработке персональных данных образец в тсж. Имеют ли право работники ЖКХ использовать персональные данные? Что относится к персональным данным

О защите персональных данных, примерно года 2 назад, мы, в принципе, в отношении многоквартирных домов, даже и не говорили. Эта ситуация стала возникать в 2010 году, когда по всей стране прокатился шквал проверок председателей ТСЖ, ЖСК, в отношении управляющих компаний по жалобам граждан.

Началось это все с того, что председатели ЖСК, ТСЖ использовали в качестве метода борьбы с должниками вывешивание списков должников в общедоступных местах, с указанием ФИО, номер квартиры, сумму долга. И должники, поскольку они у нас люди умные, подкованные, с законодательством знакомятся всегда, обжаловали эти действия в прокуратуру, прокуратура признала, что вывешивание списков должников является нарушением законе о персональных данных и является незаконным распространением этих персональных данных. Соответственно, было очень много штрафов наложено в отношении председателей ТСЖ, ЖСК, реже управляющих компаний.

Поэтому, такой метод борьбы с должниками, как вывешивание списков, даже если вы там напишите просто квартиру и сумму долга, это является нарушением закона о персональных данных и признается незаконным распространением этих персональных данных. Потому, что все те сведения, которые позволяют прямо или косвенно установить собственника, а номер квартиры позволяет установить собственника, являются персональными данными и если собственник на это согласие не дал, то, соответственно, распространять их нельзя. В отношении должников мы применяем метод только общедоступный, это взыскание задолжности в судебном порядке.

В прошлом году, в июле месяце, в закон о персональных данных были введены небольшие изменения, и там было указано, что ЖСК, ТСЖ и управляющие компании могут без согласия собственников собирать всю информацию и, собственно, ее далее передавать, если это требуется для управления многоквартирным домом. Но, эта норма, буквально, действовала 1 месяц или где-то полтора, не больше и была также отменена и в закон о персональных данных были введены достаточно большие изменения, согласно которым, в принципе, мы можем сделать вывод о том, что заявления о согласии собственника обрабатывать персональные данные, конечно нужно. И здесь у нас мы говорим не просто об обработке персональных данных, мы так же говорим о передаче персональных данных третьим организациям, если это нужно для управления, ресурсоснабжающими организациям, вычислительным центрам, которые производить начисление и печать квитанций, юристам, когда вы планируете, допустим, обращаться в суд с исками о взыскании долга по оплате коммунальных услуг.

Это все приравнивается к передаче персональных данных и на это, конечно, нужно согласие. Если в дальнейшем собственник свое согласие отозвал, то вы имеете право производить обработку персональных данных в не зависимости уже от наличия согласия собственника, но первоначальное согласие закон, конечно, требует получать. Понятное дело, что собственники врятли выдадут свое согласие на то, чтоб их персональные данные обрабатывались, несмотря на то, то это нужно для управления домом, для начисления коммунальных услуг и, собственно, в конечном итоге, для получения собственниками этих коммунальных услуг. Это все собственникам достаточно сложно объяснить, особенно, если многоквартирный дом большой. Поэтому, здесь может быть несколько вариантов событий. Первый - это вы продолжаете работать так, как работали до возникновения каких-то спорных случаев, если они возникают, то решаете в зависимости от поступления каких-то жалоб. Второй возможный выход - вы начинаете собирать согласия собственников на обработку персональных данных, причем тогда нужно, в обязательном порядке, указать, на какие виды услуг собственник выдает это согласие, обязательно надо писать полностью ФИО собственника, паспортные данные, место регистрации. О том, что он дает согласие на обработку и передачу своих персональных данных в целях, которые необходимы для управления домом, в том числе, и дальше перечисляете, для заключения договоров с ресурсоснабжающими организациями, на получение коммунальных услуг, на заключение договоров, на техническое обслуживание, ремонт, капитальный ремонт многоквартирного дома, для заключения договоров с иными организациями, для осуществления работ и услуг, для управления многоквартирным домом, и какие-то иные, которые вы считаете необходимым включить в это согласие.

Обязательно, что-то должно быть написано, не просто это должно быть отпечатано рукой, не просто одна подпись должна быть вписана рукой самого лица, допустим, ФИО должно быть вписано, чтобы он полностью написал, подпись поставил и дату поставил. Потому, что одну подпись, ее достаточно легко подделать, и сложно доказать, что это делал собственник, или не собственник., а вам нужно, чтобы эта позиция была, если уж собрали согласия, чтобы собственник в дальнейшем, если будет отказываться, можно было доказать, что это было не подделано. Поэтому, как можно больше слов должно быть написано, но при этом не все, потому, что понятное дело, что люди не будут писать все от руки, это достаточно долго и объемно. Это второй вариант, когда надо собирать и третий вариант, не могу сказать, что очень действенный, но в общем можно попробовать, и на общем собрании решить вопрос о том, что все данные, которые собираются в целях управления домом, собственники не возражают, чтобы управление обрабатывало и хранило, причем надо на общем собрании утвердить положение о защите персональных данных. Это будет отдельный документ, вы там прописываете, где все персональные данные хранятся, в сейфе, у кого ключи, кто имеет допуск, допустим, к данному сейфу. Если эта информация храниться на компьютере, а она явно должна храниться, в какой-то степени, на компьютере, допустим, для работы бухгалтера, то надо указать, что доступ к этой информации находится под паролем, пароль знают те-то, те-то граждане, председатель, допустим, бухгалтер, допускаются к работе с компьютером ограниченное количество лиц.

Вот эти все моменты нужно в этом Положении прописать и хранить. В правом верхнем углу у вас в Положении о защите персональных данных будет гриф «утверждено решением общего собрания членов ТСЖ № такой-то, председатель собрания и секретарь собрания» председатель и секретарь подписывают и ставится круглая печать. Документ, если он содержит более одного листа, если два листа, то можно, знаете, распечатывать лист с оборотом, чтобы не сшивать, если более двух листов, то конечно обязательно сшивать и на сшивке ставится так же печать и две подписи, председателя и секретаря собрания так же. Этот способ, конечно, не следует из законодательства, я бы даже сказала, в общем, ни коем образом не вытекает из требований законодательства, но как один из вариантов его использовать можно. Поэтому, что касается персональных данных, в идеале, конечно же, нужно собирать все согласия. Как вариант, можно продолжать работать так же, пока у вас, в принципе, не возникла какая-нибудь спорная ситуация, но проблема здесь заключается в том, что ответственность могут применить и проверку провести, если поступила какая-то жалоба от граждан.

Граждане, в принципе, могут и не пожаловаться, но при этом, государственные органы сами могут проверить, соответствующие, которые имеют право производить, в данном случае, проверку, могут сами проверить соблюдение закона о защите персональных данных. Что касается привлечения к административной ответственности, надо сказать, что вообще существует 2 вида проверок, проверки плановые и проверки внеплановые, вот с графиком проведения плановых проверок вы можете ознакомиться на сайте прокуратуры вашего субъекта РФ. Введите в поисковике слово «прокуратура вашего региона» и посмотрите в том окошечке, которое вам выйдет на сайте официальном, там обязательно должен быть план проверок, вот сейчас, в январе, появился на 2012 год, сейчас он будет уже согласовываться в декабре на 13 и в январе 13 года появиться плановый план проверок на 2013 год. Вы можете поискать там свою организацию и посмотреть, кто вас будет проверять, в какие сроки и какой предмет и, соответственно, к этому моменту подготовиться.

Плановые проверки проводятся организациями по соответствующей компетенции, нельзя прийти и начинать проверять все подряд. Для того, в этом плане, который помещен на сайтах прокуратуры, субъекта РФ расписывается, какие организации на какой предмет проверяют. Когда к вам приходит проверяющий, вы обязательно просматриваете, какие у него есть документы на проведение проверки, у него должно быть либо приказ, либо какое-то поручение, либо направление, где расписано, что именно он проверяет.

Если вас в дальнейшем привлекают за все подряд, что он там нарыл этот проверяющий, то вы имеете право пожаловаться на это и в своей жалобе на вынесенное Постановление о привлечении к административной ответственности, как один из оснований для обжалования это расписать. Также бывают проверки внеплановые, они проводятся в любой момент, если в прокуратуру, либо в контролирующие органы, например, в жилищную инспекцию, поступила какая-то жалоба от граждан, от юридических лиц, но в основном это от граждан и тогда государственные органы, в обязательном порядке, должны на нее отреагировать и ввести соответствующую проверку. Конечно, о проведении внеплановой проверки вы уведомляетесь заранее, но, как правило, этот срок достаточно маленький, нужно будет очень быстро готовиться к проведению этой проверки. Без уведомления прийти для проведения проверки не могут, вы имеете право на это тоже пожаловаться и в жалобе на Постановление о привлечение к административной ответственности написать свои основания, по которым считаете проведенную проверку, проведенной с нарушением закона и от того недействительной.

В этом случае большинство жалуются на то, что если меня либо представляемое лицо, например председателя ЖСК, ТСЖ , управляющей компании привлекает за нарушение закона, то и привлечение к административной ответственности должно идти строго по закону, без нарушений данного закона, потому, что привлекать и штрафовать за нарушение закона, при этом, нарушая закон самими проверяющими, это абсурдно и нелогично. В таком случае, и проверяющие должны быть наказаны за то, что они при проведении проверки нарушают закон. Поскольку обжаловать Постановление о привлечении к административной ответственности достаточно сложно, вам нужно все эти доказательства накапливать как можно больше. И мы всегда рекомендуем, если уж у вас такая ситуация случилась, ведь как у нас проходит административная ответственность, сначала проверяют, потом должны составить протокол об административном правонарушении, а потом, через некоторый период времени, должны вынести Постановление, где указывается какой-то штраф.

Если вы с Постановлением согласны, вы его исполняете, если не согласны, вы в течение 10 дней с момента получения Постановления, не вынесения, а получения имеете право обжаловать его либо в вышестоящий орган, либо в судебный орган. Как правило, большинство граждан, в вышестоящий орган никогда ничего не обжалуют, почему? Потому, что это, в принципе, бессмысленно и трата времени просто, поскольку нижестоящие государственные органы, они действуют в согласии с требованиями и указаниями вышестоящих органов. Поэтому, граждане сразу обращаются в суд, хотя я не особо верю в состязательность нашего судебного процесса, я все равно считаю, что эту процедуру нужно проходить, особенно, если штраф достаточно большой, а привлечение к административной ответственности было неправомерным.

Если штраф маленький, то вы можете, в принципе, действовать для себя, как посчитаете нужным. Если хочется бороться за справедливось - обжалуете, если не хочется бороться за справедливость - заплатили штраф и забыли. Это касается, кстати, и нарушения закона о персональных данных, потому, что ответственность там предусмотрена, в принципе, небольшая, там от 1500 - 3000 рублей, это, в принципе, не так много и, наверное, в некоторых случаях проще нарушить этот закон, не собирать эти все согласия о персональных данных и не беспокоить, не будоражить народ заранее. Хотя в принципе, сейчас граждане у нас, практически всегда в курсе всех событий и в отношении закона о персональных данных вы, пожалуйста, исходите, прежде всего, из ситуации, которая у вас сложилась в многоквартирном доме. Если вы видите, что собственники требуют либо наличия согласия, либо они, в принципе, не против эти согласия выдать, пользуйтесь моментом и собирайте, пусть они будут. Неважно, пригодится ли вам, не пригодится этот момент, эти согласия, но они у вас будут.

Если вы считаете и видите по ситуации в доме, что если вы будете очень много об этом говорить, это приведет к вегетативным последствиям, ненужным последствиям, то лучше, может быть, тогда и не трогать эту ситуацию и работать продолжать так, как было. Потому, что хоть у нас и звучали такие, знаете, редкие голоса о том, что квитанции нужно переупаковывать в конвертики, там же тоже персональные данные указаны, чтоб никто не прочитал и, в принципе, на обращения в суд, на заключение договора с юристом на представление в суде, для передачи документов в ресурсоснабжающие организации, как бы, тоже нужны согласия, но, как правило, их не требуют и собственник как то на это внимание не заостряет, так в общем то и не надо, потому, что сейчас у 354 Постановления итак очень много нововведений, которые нужно осваивать, применять, соответственно, много других более актуальных моментов.

Товарищества собственников жилья (ТСЖ) «Октябрьский» в отношении обработки и обеспечения безопасности персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) действует в отношении всех персональных данных, которые ТСЖ может получить от субъекта персональных данных, регулируемых трудовым законодательством, (далее – Работник) или от субъекта персональных данных – физического лица, владеющего жилым или нежилым имуществом в МКД №68 и 70по адресу г. Пермь, ул. 25 Октября, (далее – собственник).
1.2. Целью настоящей Политики является соблюдение прав субъектов персональных данных при обработке их персональных данных в ТСЖ.
1.3. Настоящая Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», «Положением об особенностях обработки персональных данных, «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», утв. Постановлением Правительства РФ от 01.11.2012г. N 1119, и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
1.4. Настоящая политика обязательна к исполнению всеми сотрудниками ТСЖ, описывает основные цели, принципы обработки и требования к безопасности персональных данных в ТСЖ.
1.5. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности ТСЖ.

2. Принципы и цели обработки. Состав персональных данных

2.1. Обработка персональных данных ТСЖ осуществляется на основе принципов:
– обработка персональных данных субъектов осуществляется исключительно для обеспечения соблюдения федеральных законов и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных;
– объем и содержание обрабатываемых персональных данных субъектов, способы обработки персональных данных соответствуют требованиям федерального законодательства, а также другим нормативным актам и целям обработки персональных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– персональные данные ТСЖ получает только у самого субъекта (или его законного представителя);
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных. ТСЖ принимаются необходимые меры по уничтожению (удалению) либо уточнению неполных или неточных данных.
2.2. Обработка персональных данных субъектов персональных данных проводится ТСЖ с целью осуществления прав и обязанностей Работников в соответствии с трудовым законодательством; ведения персонифицированного учета; исполнения договорных и иных гражданско-правовых отношений при осуществлении ТСЖ хозяйственной деятельности, повышения оперативности и качества обслуживания клиентов установленного правилами ТСЖ, предоставления жилищно-коммунальных услуг собственникам.
2.3. ТСЖ обрабатываются следующие категории персональных данных:
2.3.1. В отношении Работников: фамилия, имя, отчество, дата и место рождения, адрес регистрации и место жительства, реквизиты основного документа, удостоверяющего личность гражданина, данные страхового свидетельства, семейное и социальное положения, образование, квалификация, профессия, сведения о воинском учете (при их наличии), данные медицинского характера (в случаях, предусмотренных законодательством РФ);
2.3.2. В отношении Собственников: фамилия, имя и отчество, год, месяц, дата и место рождения, реквизиты документа, удостоверяющего личность гражданина, сведения о регистрации по месту жительства или временной регистрации по месту пребывания, о месте проживания.

3. Условия обработки

3.1. Порядок работы с персональными данными в ТСЖ регламентирован действующим законодательством РФ, внутренними документами ТСЖ и осуществляется с соблюдением строго определенных правил и условий.
3.2. Обработка персональных данных в ТСЖ осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), обезличивания, блокирования, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов выполнения договорных и иных гражданско-правовых обязательств с субъектом персональных данных. При этом используется смешанный (автоматизированный и неавтоматизированный) способ обработки персональных данных.
3.3. Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством, в том числе с использованием защищенных телекоммуникационных каналов связи.
3.4. ТСЖ не осуществляет трансграничную передачу персональных данных Собственников.
3.5. Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, Федеральным законом РФ «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2004 г., сроком исковой давности, а также иными требованиями законодательства РФ. По истечении сроков хранения таких документов они подлежат уничтожению.
3.6. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними ТСЖ применяются организационные и технические меры.

4. Основные мероприятия по обеспечению безопасности обработки персональных данных

4.1. Для защиты персональных данных при их обработке в ТСЖ применяются следующие организационные и технические меры:
-доступ к персональным данным предоставляется только тем сотрудникам ТСЖ, на которых возложена обязанность по их обработке. Указанные лица имеют право на обработку только тех персональных данных, которые необходимы им для выполнения конкретных функций, связанных с исполнением должностных обязанностей;
-обработка персональных данных ведется сотрудниками ТСЖ на рабочих местах, выделенных для исполнения ими должностных обязанностей;
-рабочие места размещаются таким образом, чтобы исключить бесконтрольное использование конфиденциальной информации;
-конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с принятым в ТСЖ порядком в сроки, установленные законодательством РФ;
-проводятся процедуры, направленные на обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
-разграничены права доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
-проводится ознакомление работников ТСЖ, непосредственно осуществляющих обработку персональных данных либо имеющих к ним доступ в силу своих должностных обязанностей, с положениями законодательства РФ, требованиями к защите персональных данных, локальными нормативными актами ТСЖ по вопросам обработки персональных данных;
-своевременно выявляются и предотвращаются нарушения требований законодательства РФ в области обработки персональных данных, устраняются последствия таких нарушений;
-проводится контроль за принимаемыми мерами по обеспечению безопасности персональных данных при их обработке, а также проводится контроль соответствия обработки персональных данных требованиям Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным нормативным актам ТСЖ.

5. Порядок предоставления информации, содержащей персональные данные

5.1. При обращении субъекта персональных данных (владельца этих данных или его законного представителя) или получении запроса ТСЖ безвозмездно предоставляет в течение 30 дней с даты получения запроса или обращения персональные данные, относящиеся к субъекту персональных данных, в доступной форме, исключающей предоставление персональных данных, относящихся к другим субъектам персональных данных.
5.2. Сторонние организации имеют право доступа к персональным данным субъектов персональных данных только, если они наделены необходимыми полномочиями в соответствии с законодательством РФ, либо на основании договоров с ТСЖ, заключенных в связи с требованиями законодательства РФ.
Основанием для сотрудника ТСЖ в целях предоставления информации о персональных данных субъектов служит резолюция председателя правления ТСЖ на соответствующем запросе, либо факт подписания соглашения (договора) об информационном обмене.
В соглашение (договор) об информационном обмене включается условие о неразглашении сведений, составляющих персональные данные субъектов, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
5.3. При передаче персональных данных субъектов ТСЖ и уполномоченные им должностные лица соблюдают следующие требования:
– не сообщают персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
– предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требуют от этих лиц подтверждения соблюдения этого условия, за исключением случаев, установленных федеральным законодательством;
– не отвечают на вопросы, связанные с предоставлением персональной информации, любым третьим лицам без законных оснований (письменного запроса);
– ведут учет передачи персональных данных субъектов по поступившим в ТСЖ запросам субъектов.

6. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных

6.1. Должностные лица ТСЖ, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
6.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством РФ.

7. Заключительные положения

7.1. Настоящая Политика вступает в силу с момента ее утверждения председателем правления ТСЖ.
7.2. ТСЖ имеет право вносить изменения в настоящую Политику в случае изменения законодательства РФ, регулирующих органов в области защиты персональных данных, внутренних документов ТСЖ в области защиты конфиденциальной информации. Новая редакция Политики вступает в силу с момента ее размещения на сайте Компании, если иное не предусмотрено новой редакцией Политики.
7.3. В случае изменения законодательства РФ в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.
7.4. Действующая редакция Политики хранится в месте нахождения правления ТСЖ «Октябрьский» по адресу: 614007, г. Пермь, ул. 25 Октября, д.68, электронная версия Политики на сайте ТСЖ «Октябрьский»:

Председатель правления
ТСЖ «Октябрьский»
Белякова Л.Л.

«УТВЕРЖДАЮ»:
Председатель
ТСЖ «Панфилат»
_____________ Н.С. Матвеенков
«_____»______________ 20___г.
Положение об обработке и защите персональных данных собственников и пользователей помещений в многоквартирных домах ТСЖ «Панфилат»
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», «Положением об особенностях обработки персональных данных, «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 01.11.2012г. № 1119, и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
1.2. ТСЖ «Панфилат», согласно законодательству РФ, является оператором персональных данных.
1.3. Основные понятия, используемые в Положение:
— ТСЖ — Товарищество собственников жилья «Панфилат», управляющее многоквартирным домом (МКД) на основании решения общего собрания собственников МКД.
— Клиент — собственник помещения в многоквартирном доме, жилого дома, домовладения, а также лицо, пользующееся на ином законном основании помещением в многоквартирном доме, жилым домом, домовладением, потребляющее коммунальные услуги;
— услуги ТСЖ — действия ТСЖ по оказанию услуг и выполнению работ по управлению, по надлежащему содержанию и ремонту общего имущества в многоквартирном доме, предоставлению коммунальных услуг собственникам помещений в таком доме и пользующимся помещениями в этом доме лицам, осуществление иной направленной на достижение целей управления многоквартирным домом деятельности;
— персональные данные — информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении управляющей компании, позволяет идентифицировать личность Клиента;
— обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
— распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
— использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
— конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

1.4. Настоящее Положение устанавливает порядок обработки персональных данных Клиентов, для которых ТСЖ осуществляет весь спектр услуг по управлению многоквартирным домом, по содержанию и (или) выполнению работ по ремонту общего имущества, исполнению жилищно-коммунальных услуг.
1.5. Настоящее Положение обязательно к исполнению всеми сотрудниками ТСЖ, описывает основные цели, принципы обработки и требования к безопасности персональных данных в ТСЖ.
1.6. Настоящее Положение разработано с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.7. Персональные данные обрабатываются в целях выполнения услуг по управлению многоквартирным домом, по содержанию и (или) выполнению работ по ремонту общего имущества, исполнению жилищно-коммунальных услуг. ТСЖ собирает и обрабатывает персональные данные только в объеме, необходимом для достижения указанной в пункте 2.2. настоящего Положения цели.
1.8. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности ТСЖ.
2. Принципы и цели обработки. Состав персональных данных
2.1. Обработка персональных данных ТСЖ осуществляется на основе принципов:
– обработка персональных данных Клиентов осуществляется исключительно для обеспечения соблюдения федеральных законов и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных;
– объем и содержание обрабатываемых персональных данных субъектов, способы обработки персональных данных соответствуют требованиям федерального законодательства, а также другим нормативным актам и целям обработки персональных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– персональные данные ТСЖ получает у самого Клиента, в том числе дистанционно, посредством сети Интернет, с использованием электронной почты или путем заполнения формы на сайте ТСЖ; а также иными способами в соответствии с законодательством РФ;
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных.
ТСЖ принимаются необходимые меры по уничтожению (удалению) либо уточнению неполных или неточных данных.
2.2. Обработка персональных данных субъектов персональных данных проводится ТСЖ с целью исполнения договорных и иных гражданско-правовых отношений при осуществлении ТСЖ хозяйственной деятельности, повышения оперативности и качества обслуживания Клиентов.
2.3. ТСЖ обрабатываются следующие категории персональных данных:
— анкетные данные (фамилия, имя, отчество, число, месяц, год рождения и др.);
— паспортные данные;
— адрес регистрации;
— адрес места жительства;
— семейное положение;
— статус члена семьи;
— наличие льгот и преимуществ для начисления и внесения платы за содержание жилого помещения и коммунальные услуги;
— сведения о регистрации права собственности в Едином государственном реестра прав на недвижимое имущество (ином уполномоченном органе), а равно о иных правах на пользование помещением, в том числе о его площади, количестве проживающих, зарегистрированных и временно пребывающих;
— размер платы за содержание жилого помещения и коммунальные услуги (в т.ч. и размер задолженности);
— сведения о произведенных в пользу ТСЖ платежах по оплате жилищно-коммунальных услуг;
— иные необходимые персональные данные.
3. Условия обработки
3.1. Порядок работы с персональными данными Клиентов в ТСЖ регламентирован действующим законодательством Российской Федерации, внутренними документами ТСЖ и осуществляется с соблюдением строго определенных правил и условий.
3.2. Обработка персональных данных в ТСЖ осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), обезличивания, блокирования, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов выполнения договорных и иных гражданско-правовых обязательств с субъектом персональных данных. При этом используется смешанный (автоматизированный и неавтоматизированный) способ обработки персональных данных.
3.3. Согласие на обработку персональных данных Клиентом подтверждается Заявлением о согласии на обработку персональных данных, подписанным Клиентом или подтвержденном иным способом, предусмотренным действующим законодательством. Отсутствие Заявления не является основанием для отказа ТСЖ от исполнения обязательств по управлению, содержанию и ремонту общего имущества МКД, равно по оплате Клиентом полученных услуг. Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством, в том числе с использованием защищенных телекоммуникационных каналов связи.
3.4. ТСЖ не осуществляет трансграничную передачу персональных данных Клиентов.
3.5. Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, Федеральным законом РФ «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2004 г., сроком исковой давности, а также иными требованиями законодательства РФ. По истечении сроков хранения таких документов они подлежат уничтожению.
3.6. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними ТСЖ применяются организационные и технические меры.
3.7. Председатель ТСЖ «Панфилат» утверждает перечень сотрудников ТСЖ, имеющих доступ к персональным данным Клиентов.
3.8. Персональные данные на бумажных носителях хранятся в служебных помещениях ТСЖ в условиях, исключающих ознакомление лиц, не имеющих допуска к работе с персональными данными Клиента. Вынос персональных данных за пределы служебных помещений, а равно их передача третьим лицам запрещена, за исключением случаев, когда это требуется для исполнения целей обработки персональных данных, включая требования государственных и иных органов Российской Федерации, осуществление претензионно-исковой деятельности.
3.9. Персональные данные Клиентов хранятся в электронном виде на компьютерах сотрудников, имеющих доступ к обработке персональных данных, защищенных индивидуальным паролем. Передача, а равно разглашение пароля доступа к компьютерам посторонним лицам не допускается.
4. Основные мероприятия по обеспечению безопасности обработки персональных данных
4.1 . ТСЖ обязано при обработке персональных данных Клиентов принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий
4.2. Для эффективной защиты персональных данных Клиентов необходимо:
4.2.1. соблюдать порядок получения, учета и хранения персональных данных Клиентов;
4.2.2. применять технические средства охраны, сигнализации;
4.2.З. заключить со всеми сотрудниками, связанными с получением, обработкой и защитой персональных данных Клиента, Соглашение о неразглашении персональных данных Клиента;
4.2.4. привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента.
4.3. Допуск к персональным данным Клиентов сотрудников ТСЖ, не имеющих надлежащим образом оформленного доступа, запрещается.
4.4. Документы, содержащие персональные данные Клиентов, хранятся в помещениях ТСЖ, обеспечивающих защиту от несанкционированного доступа.
4.5. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
— системой паролей. Пароли устанавливаются системным администратором и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
— использованием специального программного обеспечения: антивирусы, сетевые экраны, средства шифрования.
4.6. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях.
5. Порядок предоставления информации, содержащей персональные данные
5.1. При обращении субъекта персональных данных (владельца этих данных или его законного представителя) или получении запроса ТСЖ безвозмездно предоставляет в течение 30 дней с даты получения запроса или обращения персональные данные, относящиеся к субъекту персональных данных, в доступной форме, исключающей предоставление персональных данных, относящихся к другим субъектам персональных данных.
5.2. Сторонние организации имеют право доступа к персональным данным субъектов персональных данных только если они наделены необходимыми полномочиями в соответствии с законодательством Российской Федерации, либо на основании договоров с ТСЖ, заключенных в связи с требованиями законодательства Российской Федерации.
Основанием для сотрудника ТСЖ в целях предоставления информации о персональных данных субъектов служит резолюция председателя правления ТСЖ на соответствующем запросе либо факт подписания соглашения (договора) об информационном обмене.
В соглашение (договор) об информационном обмене включается условие о неразглашении сведений, составляющих персональные данные субъектов, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
5.3. При передаче персональных данных субъектов ТСЖ и уполномоченные им должностные лица соблюдают следующие требования:
– не сообщают персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
– предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требуют от этих лиц подтверждения соблюдения этого условия, за исключением случаев, установленных федеральным законодательством;
– не отвечают на вопросы, связанные с предоставлением персональной информации, любым третьим лицам без законных оснований (письменного запроса);
– ведут учет передачи персональных данных субъектов по поступившим в Компанию запросам субъектов.

6. Обязанности ТСЖ

6.1. ТСЖ обязано:

6.1.1. Осуществлять обработку персональных данных Клиентов исключительно в целях оказания законных услуг Клиентам.

6.1.2. Не получать и не обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.

6.1.3. Предоставлять доступ к своим персональным данным Клиенту или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя, или иным путём предусмотренным соглашением между Клиентом и ТСЖ. Запрос также может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

6.1.4. Ограничить право Клиента на доступ к своим персональным данным, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

6.1.5. Обеспечить хранение и защиту персональных данных Клиента от неправомерного их использования или утраты.

6.1.6. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязал осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

6.1.7. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

6.1.8. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.1.9. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить установленным способом об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7. Права Клиента

7.1. Клиент имеет право, в рамках действующего законодательства, на:
— доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки; способы обработки персональных данных, применяемые управляющей компанией; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных;
— запрет на распространение персональных данных без его согласия;
— изменение, уточнение, уничтожение информации о самом себе.

8. Конфиденциальность персональных данных Клиентов

8.1. Сведения о персональных данных Клиентов, являются конфиденциальными.

8.2. ТСЖ обеспечивает конфиденциальность персональных данных и обязана не допускать их распространения третьим лицом без согласия Клиентов либо наличия иного законного основания.

8.3. Лица, имеющие доступ к персональным данным Клиентов, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.

8.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиентов распространяются на все носители информации, как на бумажные, так и на автоматизированные.

8.5. Режим конфиденциальности персональных данных снимается в случае обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
9. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных.
9.1. Должностные лица ТСЖ, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
9.3. Клиент несет ответственность за передачу заведомо недостоверных персональных данных, или персональных данных, которые Клиент не имеет права передавать, в соответствии с действующим законодательством Российской Федерации.
10. Заключительные положения
10.1. Настоящее Положение вступает в силу с момента ее утверждения председателем правления ТСЖ.
10.2. Настоящее Положение подлежит корректировке в случае изменения законодательства Российской Федерации, регулирующих органов в области защиты персональных данных, внутренних документов ТСЖ в области защиты конфиденциальной информации. При внесении изменений в заголовке Положения указывается номер версии и дата последнего обновления редакции. Новая редакция Положения вступает в силу с момента ее утверждения председателем правления ТСЖ и размещения на сайте ТСЖ.
10.3. В случае изменения законодательства Российской Федерации в области защиты персональных данных, нормы Положения, противоречащие законодательству, не применяются до приведения их в соответствие.
10.4. Действующая редакция Положения хранится по адресу: г.Москва, ул.Туристская д.33 к 1, помещение ОДС 59.

В области обработки персональных данных

Вопрос: Что включает в себя понятие конфиденциальности?

Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?

Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?

Ответ: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

Вопрос: Необходимо ли согласие субъектов персональных данных (граждан) в случае передачи персональных данных граждан третьему лицу (РКЦ) обслуживающей многоквартирный дом Управляющей компании для формирования квитанций на оплату ЖКУ? Правомерны ли в данном случае действия Управляющей компании?

Ответ: В соответствии со ст. 3 Федерального закона от 27.07.2006 "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Следовательно, Управляющая компания является оператором, осуществляющим обработку персональных данных граждан.

В соответствии с ч. 3 ст. 6 настоящего закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Таким образом, в силу договорных отношений, возникших между Управляющей компанией и РКЦ, осуществляющей начисление платы за ЖКУ и выпуск квитанций, в силу исполнения требований жилищного законодательства, предоставление одной организацией персональных данных жильцов дома другой организации является допустимым.

На основании ч. 5 вышеназванной нормы права, в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

Вопрос : Какие санкции существуют за не представление ответа на запрос уполномоченного органа по защите прав субъектов персональных данных? Необходимо ли указывать в уведомлении об обработке (о намерении осуществлять обработку) персональных данных лечебного учреждения сведения о физических лицах, обратившихся за медицинской помощью в данное лечебное учреждение?

Ответ: Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", а также ведение Реестра операторов, осуществляющих обработку персональных данных на территории РФ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций.

На территории Приморского края таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Приморскому краю - (Управление Роскомнадзора по Приморскому краю).

Для формирования Реестра операторов, осуществляющих обработку персональных данных, Управлением операторам направляются запросы о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

На основании требования ч. 1 ст. 22 Закона Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ч. 3 ст. 22), за исключением случаев, предусмотренных ч. 2 настоящей статьи Закона.

Оператор в соответствии с ч. 4 ст. 20 Закона обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Непредставление запрашиваемых сведений, а равно представление таких сведений в неполном объеме, является нарушением требований данной статьи Закона и влечет административную ответственность по статье 19.7 КоАП РФ (наложение административного штрафа).

В случае не предоставления или несвоевременного представления вышеуказанных сведений организациями, которым был направлен запрос, государственными инспекторами Управления составляются протоколы об административном правонарушении по ст. 19.7 КоАП РФ и направляются на рассмотрение мировым судьям.

Категории персональных данных - это фамилия, имя, отчество, адрес, паспортные данные, образование, состав семьи, доходы, пол, гражданство, данные пенсионного свидетельства, биометрические данные (фотография), сведения о воинском учете, ИНН, состояние здоровья, контактная информация и т.д. На сайте размещены образцы уведомлений, из которых видно, что указывать в уведомлении сведения о физических лицах, обратившихся за медицинской помощью в лечебное учреждение (пациентам) не нужно, т.к. категории персональных данных, указываемые в данном документе, являются обезличенными. Таким образом, направление в Управление персональных данных по каждому субъекту персональных данных (пациенту) не требуется.

Лечебными учреждениями должен быть решен вопрос о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

Вопрос ГУЗ «Краевая клиническая больница № 2»: в праве ли данное учреждение спрашивать согласие на обработку персональных данных у пациентов, которые получают медицинские услуги в рамках программы обязательного медицинского страхования?

Ответ: в соответствии с ч. 2 ст. 6 Закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (п. 1); обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (п. 2); обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 3). Обработка специальных категорий персональных данных, касающихся состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона, в т.ч. в случае: обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования (п. 8). При этом операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность и безопасность персональных данных при их обработке (п. 4 ст. 6, ст. 7 Закона).

Вопрос гр. К.: в организации ко дню рождения работников практикуется размещение в общедоступном месте списка работников с указанием их персональных данных. Согласия работников на размещение на стенде их персональных данных не имеется. Являются ли правомерными действия работодателя?

Ответ: ст. 3 Федерального закона «О персональных данных» определяет понятие персональных данных как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных ч. 2 ст. 7 Закона: обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона). Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 Закона). В соответствии со ст. 9 данного Закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва;

7) собственноручную подпись субъекта персональных данных.

Таким образом, размещение в общедоступных местах работодателем списка работников с указанием фамилии, имени, отчества, даты рождения работника без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

Вопрос: Вправе ли должностное лицо, в производстве которого находится дело об административном правонарушении, запрашивать у организаций персональные данные их работников?

Ответ : В соответствии со статьей 28.3 КоАП РФ протоколы об административных правонарушениях составляются должностными лицами органов, уполномоченных рассматривать дела об административных правонарушениях в пределах компетенции соответствующего органа.

Требования к содержанию протокола об административном правонарушении установлены статьей 28.2 КоАП РФ. В частности, в протоколе об административном правонарушении указываются сведения о лице, в отношении которого возбуждено дело об административном правонарушении.

Кроме того, статьей 26.10 КоАП РФ предусмотрено, что орган, должностное лицо, в производстве которых находится дело об административном правонарушении, вправе вынести определение об истребовании сведений, необходимых для разрешения дела. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения. При невозможности представления указанных сведений организация обязана в трехдневный срок уведомить об этом в письменной форме судью, орган, должностное лицо, вынесших определение.

Пунктом 1 части 2 статьи 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» предусмотрена обработка персональных данных на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора без согласия субъекта персональных данных.

Таким образом, должностное лицо органа, уполномоченного составлять и рассматривать протоколы об административном правонарушении вправе в рамках производства по делу об административном правонарушении запрашивать у организаций персональные данные их работников, в отношении которых возбуждено дело об административном правонарушении. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения в порядке, предусмотренном ст.26.10 КоАП РФ .

Вопрос: У нас стоматологический кабинет, сбор персональных данных пациентов производится на бумажных носителях, в электронном виде обрабатываются только снимки с визиографа, доступа к сети Интернет нет. Нужно ли нам оформлять к договору на оказание услуг приложение с согласием на обработку персональных данных пациентов, если у нас база пациентов на бумажных носителях?

Ответ: Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее Закон). Обработка персональных данных допускается в определенных случаях, указанных в части 1 статьи 6 Закона, в том числе, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Обработка специальных категорий персональных данных (часть 1 статьи 10 Закона) также допускается в определенных случаях, в том числе если обработка персональных данных осуществляется в медико- профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (пункт 4 части 2 статьи 10 Закона).

Следовательно, если обработка персональных данных соответствует вышеуказанным статьям Закона и принципам обработки персональных данных, указанных в статье 5 Закона, то согласия на обработку персональных данных не требуется.

Время публикации: 26.10.2011 12:25
Последнее изменение: 05.04.2019 12:53

Одни данные нуждаются в защите, другие — должны быть раскрыты. Прокуратура Челябинской области провела проверку соблюдения требований законодательства о персональных данных организациями жилищно-коммунального комплекса в областном центре и выявила нарушение законодательства в некоторых управляющих компаниях.

В ходе проверки установлено, что в нарушение Федерального закона "О персональных данных" в ряде организаций не разработаны документы, регламентирующие порядок обработки и защиты персональных данных жильцов многоквартирных домов, и не обеспечена возможность ознакомления с документацией, определяющей политику таких организаций в отношении обработки персональных данных. Такие нарушения в одном из случаев привели к неправомерному распространению сведений конфиденциального характера в сети Интернет.

Как сообщил прокурор отдела по надзору за соблюдением федерального законодательства, прав и свобод граждан прокуратуры Челябинской области Денис Полежаев, данная проверка была плановой, но носила выборочный характер: ею были охвачены организации, работающие в областном центре:

— Одной из целей проведения проверки было формирование единообразной практики в организации надзорной деятельности органов прокуратуры за соблюдением законодательства о персональных данных. Информация о типичных нарушениях, допускаемых организациями жилищно-коммуналь-ного комплекса в этой сфере, доведена до прокуроров городов и районов области, они ориентированы на усиление правозащитной роли прокуратуры в данном направлении.

В ходе нашей проверки нарушения в обращении с персональными данными были выявлены в ТСЖ "Победа" и в управляющей компании "Созвездие". По итогам проверки прокуратурой области в адрес руководителей этих юридических лиц внесено два представления об устранении нарушений закона, которые рассмотрены, выявленные недостатки устранены, два лица наказаны в дисциплинарном порядке.

Кроме этого, по постановлению прокуратуры области мировым судом привлечено к административной ответственности по статье 13.11 Кодекса Российской Федерации об административных правонарушениях должностное лицо управляющей компании "Созвездие", которому предписано выплатить штраф. Постановление не вступило в законную силу и может быть обжаловано в вышестоящем суде.

В управляющей компании "Созвездие" рассказали, что персональные данные обнаружились в благодарственном письме от жильца, которое было размещено на сайте организации. Нарушение состояло в том, что в этом письме были указаны его фамилия, имя, отчество, а также адрес места жительства. На данный момент письмо убрано с сайта.

Прокурор отдела Денис Полежаев подтвердил эту информацию, пояснив, что такие сведения согласно законодательству являются персональными данными, носящими конфиденциальный характер. Их распространение в свободном доступе в сети Интернет возможно только с согласия гражданина, которое управляющей компанией у него получено не было.

Но и излишняя "скрытность" управляющим компаниям тоже не на руку. Так, обслуживающая компания "Наш дом" была оштрафована на 30 тысяч рублей за отсутствие в открытых источниках отчета о выполненных работах и потраченных финансовых средствах.

Как сообщила пресс-служба прокуратуры Челябинской области, при проверке компании было установлено, что на ее сайте не размещается информация об основных показателях финансово-хозяйственной деятельности. Жители многоквартирных домов, которые обслуживает фирма, не могли узнать о выполненных работах и услугах, а также найти сведения о том, на что были потрачены их деньги.

Прокурор вынес постановление, согласно которому управляющая компания признана нарушителем стандарта раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами.

На основании постановления прокурора директор УК оштрафован на 30 тысяч рублей по части 1 статьи 7.23.1 КоАП РФ: нарушение требований законодательства о раскрытии информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами. Аналогичная ситуация и в области. Прокуратурой города Еманжелинска также проведена проверка соблюдения законодательства о раскрытии стандарта информации ООО "Управляющая компания ЖКХ", оказывающего услуги по содержанию и ремонту общедомового имущества 200 многоквартирных домов.

В нарушение требований законодательства компания не разместила сведения о доходах, полученных за оказание услуг по управлению домами, о расходах в связи с оказанием услуг, о порядке и условиях из оказания (проект договора управления, план работ на 2013 год, сведения о количестве случаев снижения платы за нарушения качества содержания и ремонта общего имущества в многоквартирном доме за 2012 год; сведения о количестве случаев снижения платы за нарушения качества коммунальных услуг, сведения о стоимости выполненных работ, периодичность их выполнения, стоимость каждой работы).

Также отдельные сведения в нарушение закона не размещены на стендах в помещении офиса компании, а также в городской газете. Все это в комплексе и повлекло жалобы горожан. По результатам проверки прокуратурой города внесено представление об устранении нарушений жилищного законодательства руководству ООО "УК ЖКХ" с требованием привлечь виновных лиц к дисциплинарной ответственности, а в отношении директора управляющей компании Марины Валуевой прокурором возбуждено и направлено для рассмотрения в Государственную жилищную инспекцию Челябинской области дело об административном правонарушении. Санкция статьи для должностных лиц — наказание в виде штрафа от 30 до 50 тысяч рублей.

Данные, которые не подлежат раскрытию

Третья статья Федерального закона "О персональных данных" определяет понятие персональных данных как любой информации, относящейся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 статьи 7 закона: обеспечение конфиденциальности персональных данных не требуется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных, например справочники или адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 закона).

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 закона). В соответствии со ст. 9 данного закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

Наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

Цель обработки персональных данных;

Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

Срок, в течение которого действует согласие, а также порядок его отзыва;

Собственноручную подпись субъекта персональных данных.

Таким образом, размещение в общедоступных местах управляющей компанией информацией с указанием фамилии, имени, отчества, даты рождения без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

Данные, подлежащие раскрытию

Правительство РФ постановлением от 23 сентября № 731 утвердило стандарт раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами. Управляющие компании обязаны разместить информацию по форме, утвержденной стандартом, в течение двух месяцев со дня вступления в силу постановления.

Прежде всего УК обязана раскрыть следующую информацию: основные показатели финансово-хозяйственной деятельности управляющей организации в части исполнения договоров управления; сведения о выполняемых работах, оказываемых услугах по содержанию и ремонту общего имущества в многоквартирном доме; порядок и условия оказания таких услуг; сведения о стоимости таких работ и услуг; сведения о ценах и тарифах на коммунальные ресурсы. Отказ в предоставлении информации может быть обжалован в установленном законодательством РФ судебном порядке.

Управляющие организации опубликовывают информацию на официальном сайте органа исполнительной власти, в официальных печатных СМИ, размещают ее на информационных стендах и стойках в помещении управляющей организации, предоставляют по запросу. Вся информация должна быть доступна в течение пяти лет.

Раскрытию подлежат следующие сведения:

Фирменное наименование юридического лица, фамилия, имя и отчество руководителя управляющей организации или фамилия, имя и отчество индивидуального предпринимателя; реквизиты свидетельства о государственной регистрации;

Почтовый адрес, адрес фактического местонахождения органов управления УК, контактные телефоны, официальный сайт в сети Интернет и адрес электронной почты; режим работы, часы личного приема граждан;

Перечень многоквартирных домов, находящихся в управлении управляющей организации на основе договора управления, с указанием адресов этих домов и общей площади помещений в них;

Перечень многоквартирных домов, в отношении которых договоры управления были расторгнуты в предыдущем календарном году, с указанием адресов этих домов и оснований расторжения договоров управления;

Сведения о членстве управляющей организации в СРО и /или/ других объединениях управляющих организаций с указанием их наименований и адресов, включая официальный сайт в сети Интернет;

Годовая бухгалтерская отчетность, включая бухгалтерский баланс и приложения к нему;

Сведения о доходах, полученных за оказание услуг по управлению многоквартирными домами;

Сведения о расходах, понесенных в связи с оказанием услуг по управлению многоквартирными домами;

Сведения об услугах, оказываемых управляющей организацией в отношении общего имущества собственников помещений в многоквартирном доме, из числа услуг, указанных в правилах содержания общего имущества в многоквартирном доме, утвержденных постановлением Правительства РФ от 13 августа 2006 г. № 491;

Услуги, связанные с достижением целей управления многоквартирным домом, которые оказываются управляющей организацией, то есть услуги, оказываемые УК по обеспечению поставки в многоквартирный дом коммунальных ресурсов, заключение от имени собственников договоров об использовании общего имущества; охрана подъезда; охрана коллективных автостоянок; учет собственников помещений.

В случае привлечения управляющей организации к административной ответственности за нарушения в сфере управления многоквартирными домами раскрытию подлежат количество таких случаев, копии документов о применении мер административного воздействия, а также меры, принятые для устранения нарушений, повлекших применение административных санкций.

Информация о стоимости работ и услуг управляющей организации должна содержать описание каждой работы, периодичность ее выполнения, результат, гарантийный срок, указание конструктивных особенностей, степени физического износа и технического состояния общего имущества многоквартирного дома, определяющие выбор конкретных работ или услуг, стоимость каждой работы или услуги.

В рамках информации о ценах и тарифах на коммунальные ресурсы УК обязаны раскрыть сведения о перечне коммунальных ресурсов, которые управляющая организация закупает у ресурсоснабжающих организаций, с указанием конкретных поставщиков, а также объема закупаемых ресурсов и закупочных цен на них, а также конечных тарифах для потребителей. Сведения приводятся по состоянию на день раскрытия информации и подлежат обновлению. Изменения, внесенные в раскрытую информацию, подлежат опубликованию в тех же источниках.