С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?
Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.
Об обработке персональных данных
Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?
Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.
К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.
При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.
Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.
Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.
Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.
Об операторе по обработке персональных данных
Кто является оператором персональных данных?
В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.
Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.
Кого должна уведомить УО о том, что она является оператором персональных данных?
Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.
Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .
Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.
Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.
Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.
Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .
О согласии на обработку персональных данных
Когда нужно заручиться согласием на обработку персональных данных?
Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.
Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?
Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?
Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.
Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.
Об ответственности за нарушение законодательства о персональных данных
Какие штрафы существуют и кто их выписывает?
До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.
Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.
С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.
Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.
Базы данных органов жилищно-коммунального хозяйства (ЖКХ) содержат сведения личного характера. Такие сведения подпадают под действие законодательства РФ в области персональных данных. Какие требования должны соблюдать органы ЖКХ, осуществляющие деятельность с персональными данными своих абонентов, вы узнаете из этой статьи.
В п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) указано, что персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Под оператором персональных данных согласно п. 2 ст. 3 Закона N 152-ФЗ понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Органы, осуществляющие деятельность в сфере ЖКХ, подпадают под категорию операторов, занимающихся обработкой персональных данных, которой на основании п. 3 ст. 3 Закона N 152-ФЗ признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
- сбор, запись, систематизацию;
- накопление, хранение;
- уточнение (обновление, изменение), извлечение;
- использование, передачу (распространение предоставление, доступ);
- обезличивание, блокирование, удаление, уничтожение.
Сразу же оговоримся, что каких-либо специальных положений, касающихся субъектов персональных данных и операторов в сфере ЖКХ, Закон N 152-ФЗ не содержит. Дополнительных требований к работе с персональными данными в этой области в данном Законе также нет.
В силу ст. 161 Жилищного кодекса РФ управляющая организация обязана обеспечить свободный доступ к информации об основных показателях ее финансово-хозяйственной деятельности, об оказываемых услугах и о выполняемых работах по содержанию и ремонту общего имущества в многоквартирном доме, о порядке и об условиях их оказания и выполнения, об их стоимости, о ценах (тарифах) на ресурсы, необходимые для предоставления коммунальных услуг, в соответствии со стандартом раскрытия информации, утвержденным Правительством РФ.
Особенности раскрытия информации о деятельности по управлению многоквартирным домом и предоставления для ознакомления документов, предусмотренных ЖК РФ, товариществом собственников жилья либо жилищным кооперативом или иным специализированным потребительским кооперативом, осуществляющим управление многоквартирным домом (без заключения договора с управляющей организацией), устанавливаются также стандартом раскрытия информации.
Контроль за соблюдением стандарта раскрытия информации товариществом, кооперативом, управляющей организацией осуществляется уполномоченными органами исполнительной власти субъектов РФ в порядке, установленном уполномоченным правительством РФ федеральным органом исполнительной власти (Приказ Минрегиона России от 09.04.2012 N 162 "Об утверждении Порядка осуществления уполномоченными органами исполнительной власти субъектов Российской Федерации контроля за соблюдением стандарта раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами").
В соответствии с положениями Постановления Правительства РФ от 23.09.2010 N 731 "Об утверждении стандарта раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами" установлены требования к составу информации, подлежащей раскрытию организациями, осуществляющими деятельность в сфере управления многоквартирными домами на основании договора управления многоквартирным домом, порядку, способам и срокам ее раскрытия, а также особенности раскрытия информации и предоставления для ознакомления документов, предусмотренных ЖК РФ, товариществами собственников жилья, жилищными кооперативами и иными специализированными потребительскими кооперативами, осуществляющими управление многоквартирным домом без заключения договора с управляющей организацией.
Под раскрытием информации в данном случае понимается обеспечение доступа неограниченного круга лиц к информации (независимо от цели ее получения) в соответствии с процедурой, гарантирующей нахождение и получение информации.
Управляющая организация, товарищество и кооператив обязаны раскрывать:
- общую информацию об управляющей организации, о товариществе и кооперативе;
- основные показатели финансово-хозяйственной деятельности управляющей организации (в части исполнения ею договоров управления), товарищества и кооператива;
- сведения о выполняемых работах (оказываемых услугах) по содержанию и ремонту общего имущества в многоквартирном доме;
- порядок и условия оказания услуг по содержанию и ремонту общего имущества в многоквартирном доме;
- сведения о стоимости работ (услуг) по содержанию и ремонту общего имущества в многоквартирном доме;
- сведения о ценах (тарифах) на коммунальные ресурсы.
Согласно п. 1 ст. 5 Закона N 152-ФЗ обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
В соответствии с п. 6 ст. 5 Закона N 152-ФЗ при обработке персональных данных должны быть обеспечены их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки.
Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Не допускается:
- обработка персональных данных, несовместимая с целями их сбора (п. 2 ст. 5 Закона N 152-ФЗ);
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (п. 3 ст. 5 Закона N 152-ФЗ).
В силу п. 7 ст. 5 Закона N 152-ФЗ хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных. В случае получения согласия от представителя субъекта персональных данных оператор проверяет его полномочия на дачу согласия от имени этого субъекта.
Обработка персональных данных допускается в случаях, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Таким образом, независимо от того, что оператор использует данные абонента в целях исполнения заключенного договора, он обязан получить согласие абонента на передачу сведений третьим лицам.
Согласно п. 4 ст. 9 Закона N 152-ФЗ в случаях, предусмотренных этим Законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
Согласие в письменной форме субъекта на обработку его персональных данных должно включать в себя, в частности:
- его фамилию, имя, отчество, адрес, данные документа, удостоверяющего личность (номер, сведения о дате выдачи и выдавшем его органе);
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи данного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных с указанием их полного перечня;
- перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Согласие на передачу личных данных третьим лицам включается в текст договора на оказание соответствующих услуг.
В силу ст. 17 Закона N 152-ФЗ, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований данного Закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
Согласно п. 1 ст. 22 Закона N 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных п. 2 ст. 22 Закона N 152-ФЗ.
Согласно п. 2 ст. 22 Закона N 152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- обрабатываемых в соответствии с трудовым законодательством.
Следует иметь в виду, что данная норма не применяется к лицам, работающим по договорам подряда или возмездного оказания услуг;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Таким договором может быть договор на оказание услуг, договор гражданско-правового характера на выполнение работ (оказание услуг).
В этом случае должны выполняться дополнительные требования, а именно:
личная информация не должна распространяться и предоставляться третьим лицам без согласия субъекта персональных данных;
персональные данные должны использоваться организацией исключительно для исполнения договора и заключения договоров с субъектом персональных данных;
- сделанных субъектом персональных данных общедоступными.
К таким сведениям относятся сведения, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта персональных данных. Как правило, такие сведения содержатся в общедоступных источниках (например, в справочниках, адресных книгах и т.д.). Эти данные оператор может использовать без предварительных уведомлений, так как на них не распространяется требование конфиденциальности, запрещающее распространение информации без согласия субъекта персональных данных, или другое законное основание;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Замечу, что в случае, если оператор обрабатывает сведения по основаниям, которые не перечислены выше, ему следует уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) об обработке данных своих абонентов. Процедура уведомления является бесплатной: на оператора не могут возлагаться расходы в связи с рассмотрением уведомления о соответствующей обработке уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
Согласно п. 3 ст. 4 Закона N 152-ФЗ порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.
В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение N 687). Согласно п. 1 данного Положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без применения средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Соответственно, если персональные данные клиентов обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения N 687).
Таким образом, к обработке персональных данных абонентов должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.
Персональные данные при такой обработке должны быть обособлены от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
Согласно п. 6 Положения N 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки, категориях обрабатываемых данных, а также об особенностях и правилах обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).
Условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных, содержит п. 7 Положения N 687.
В соответствии с пп. "а" п. 7 типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
- сведения о целях обработки персональных данных, осуществляемой без использования средств автоматизации;
- фамилию, имя, отчество и адрес оператора;
- фамилию, имя, отчество и адрес абонента;
- источник получения данных;
- сроки их обработки;
- перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
- общее описание используемых оператором способов обработки персональных данных.
Кроме того, типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения такого согласия (пп. "б" п. 7 Положения N 687).
При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. "в" п. 7 Положения N 687). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных (ст. 19 Закона N 152-ФЗ).
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (п. 1 ст. 24 Закона N 152-ФЗ).
На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:
- за неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ). Исключением из данной нормы являются случаи, предусмотренные ст. 7.23.1 КоАП РФ;
- за нарушение требований законодательства о раскрытии информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами (ст. 7.23.1 КоАП РФ);
- за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);
- за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
Преступлениями, влекущими за собой уголовную ответственность, являются:
- незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
- неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ);
- неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации (ст. 272 УК РФ).
Субъект персональных данных имеет право на возмещение морального вреда вследствие нарушения его прав, правил обработки персональных данных, а также требований к их защите, установленных п. 2 ст. 24 Закона N 152-ФЗ. При этом возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Вопрос правомерности предоставления по запросам различных органов документов, содержащих персональные данные собственников помещений многоквартирных домов, потребителей коммунальных услуг, проживающих в управляемых домах, всегда волновал специалистов УО, ТСЖ, ЖСК. С появлением обязанности исполнителей коммунальных услуг размещать персональные данные в ГИС ЖКХ, актуальность вопроса существенно возросла.
Одновременное наличие запрета на распространение персональных данных, установленного Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон 152-ФЗ), и обязанности по размещению персональных данных в ГИС ЖКХ, установленной Федеральным законом от 21.07.2014 № 209-ФЗ «О ГИС ЖКХ», приводит к возникновению сомнений в законности как действий, так и бездействия УО, ТСЖ, ЖСК. Попробуем разрешить эти сомнения.
В соответствии со ст.3 Закона 152-ФЗ:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Таким образом, мы видим, что любые сведения о потребителе жилищно-коммунальных услуг (далее — ЖКУ) являются его персональными данными. Сказать конкретно, какие данные являются персональными, а какие не являются, сложно, так как закон очень широко определяет понятие персональных данных, включая в их число любую информацию о гражданине. В таком случае можно сделать вывод о том, что помимо фамилии, имени, отчества, сведений о семье, работе, профессии, прочих данных, сведения о квартире, размере долга за ЖКУ и прочие косвенные сведения о потребителе являются его персональными данными, а на оператора персональных данных возлагается обязанность по обеспечению их защиты и сохранности. Деятельность УО подпадает под понятие «обработка персональных данных», так как УО осуществляют сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Следовательно, УО являются операторами персональных данных и на них распространяются требования и правила указанного закона в части обработки персональных данных, их систематизации, хранения, передачи и т.п.
Для того, чтобы начать деятельность по обработке персональных данных, оператор должен выполнить два условия:
Требование № 1
Получить согласие субъекта персональных данных в соответствии со ст.9 Закона 152-ФЗ:
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
В указанной статье предъявляются и требования к такому согласию (ч.4 ст.9 Закона 152-ФЗ):
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Требование № 2
Принятие мер по обеспечению безопасности персональных данных при их обработке, требования к объёму и порядку применения которых установлены ст.19 Закона 152-ФЗ
Есть ещё одно требование к оператору персональных данных — подача в Роскомнадзор специального уведомления по форме о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи (ст.22 Закона 152-ФЗ).
В соответствии с ч.2 ст.22 Закона 152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных (извлечение а части относящихся к деятельности УО случаев):
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
С точки зрения жилищного законодательства деятельность УО осуществляется на основании договора управления. В этом случае (наличие договора) ч.2 ст.22 Закона 152-ФЗ позволяет УО осуществлять обработку персональных данных без уведомления Роскомнадзора. Сложнее обстоит дело с ТСЖ и ЖСК, поскольку эти организации не заключают договор с потребителем в обязательном порядке. Так в соответствии с ПП РФ от 06.05.2011 N354 ТСЖ обязано заключить договор на предоставление коммунальных услуг со всеми потребителями, однако понудить несогласных потребителей заключить договоры ТСЖ не может. Кроме того, договор предоставления коммунальных услуг охватывает не все элементы деятельности ТСЖ/ЖСК, требующие обрабатывать персональные данные.
Помимо коммунальных услуг ТСЖ/ЖСК оказывают услуги по содержанию жилья. На эти услуги ТСЖ заключает договоры с только собственниками, помещений, не являющимися членами ТСЖ (ст.155 ЖК РФ). В отношении ЖСК требования по заключению таких договоров вообще не установлены. Таким образом, исходя из требований Закона 152-ФЗ и отсутствии договоров с частью (или всеми) субъектов персональных данных, ТСЖ и ЖСК обязаны уведомлять Роскомнадзор о начале своей деятельности по обработке персональных данных.
По сути весь Закон 152-ФЗ направлен на защиту субъекта персональных данных от передачи его данных третьим лицам без его согласия. По общему правилу передача данных невозможна без согласия субъекта персональных данных, но из этого правила есть исключения.
Исключение № 1
В соответствии со ст. 155 ЖК РФ:
2. Плата за жилое помещение и коммунальные услуги вносится на основании:
1) платежных документов (в том числе платежных документов в электронной форме, размещенных в системе), представленных не позднее первого числа месяца, следующего за истекшим месяцем, если иной срок не установлен договором управления многоквартирным домом либо решением общего собрания членов товарищества собственников жилья, жилищного кооператива или иного специализированного потребительского кооператива;
2) информации о размере платы за жилое помещение и коммунальные услуги, задолженности по оплате жилых помещений и коммунальных услуг, размещенной в системе или в иных информационных системах, позволяющих внести плату за жилое помещение и коммунальные услуги. Информацией о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилых помещений и коммунальных услуг являются сведения о начислениях в системе, сведения, содержащиеся в представленном платежном документе по адресу электронной почты потребителя услуг или в полученном посредством информационных терминалов платежном документе.
2.1. Платежные документы, информация о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилых помещений и коммунальных услуг подлежат размещению в системе в срок, предусмотренный частью 2 настоящей статьи.
2.2. В случае неразмещения платежных документов и информации о размере платы за жилое помещение и коммунальные услуги, задолженности по оплате жилого помещения и коммунальных услуг в системе в срок, предусмотренный частью 2 настоящей статьи, граждане и организации вносят плату за жилое помещение и коммунальные услуги до десятого числа месяца, следующего за истекшим месяцем, в котором были размещены платежные документы и указанная информация в системе.
2.3. Информация о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилого помещения и коммунальных услуг, размещенная в системе, должна соответствовать сведениям, содержащимся в платежном документе, представленном в соответствии с пунктом 1 части 2 настоящей статьи. При несоответствии сведений, содержащихся в платежном документе, представленном в соответствии с пунктом 1 части 2 настоящей статьи, информации о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилого помещения и коммунальных услуг, размещенной в системе, достоверной считается информация, размещенная в системе.
Таким образом, размещение платежного документа в ГИС ЖКХ, информации о размере задолженности, не является нарушением Закона 152-ФЗ.
Исключение № 2
В соответствии с ч. 16 статьи 155 ЖК РФ:
При привлечении лицами, указанными в части 15 настоящей статьи, представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется.
Таким образом, передача персональных данных в расчетные центры для изготовления квитанций, осуществления расчётов и т.п. также не будет являться нарушением Закона 152-ФЗ.
Исключение № 3
Предоставление персональных данных по запросам органов власти, при исполнении иных установленных законом обязанностей оператора персональных данных передавать информацию в органы власти. За непредоставление органам власти сведений, предоставление которых установлено законом (например, реестр членов ТСЖ) влечет за собой административную ответственность по ст. 19.7 КоАП РФ:
Непредоставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьей 6.16, частями 1, 2 и 4 статьи 8.28.1, частью 2 статьи 6.31, частью 4 статьи 14.28, статьями 19.7.1, 19.7.2, 19.7.2-1, 19.7.3, 19.7.5, 19.7.5-1, 19.7.5-2, 19.7.7, 19.7.8, 19.7.9, 19.7.12, 19.8, 19.8.3 настоящего Кодекса, —
влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.
Передача персональных данных в иных случаях, не подпадающих под описанные три исключения, возможна только с согласия субъекта персональных данных. Например, на рынке услуг появились организации предлагающие услуги по раскрытию информации на ГИС ЖКХ или в соответствии со Стандартом раскрытия информации на reformagkh.ru, если, например, у УО или ТСЖ не хватает времени или знаний, умений для раскрытия информации на портале. Предоставление персональных данным таким организациям возможно только по согласию потребителей, что в реальности очень сложно получить. Кроме того, передача данных и документов о должнике привлекаемому по договору юристу (не штатному, не являющемуся работником УО или ТСЖ) для подачи иска в суд, также потребует согласия должника на передачу информации о нем юристу.
Существует ответственность за нарушение Закона о защите персональных данных, а именно ст. 13.11. КоАП РФ:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) —
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
Однако, на сегодняшний день количество обращений субъектов персональных данных в контролирующие органы с жалобами о нарушений своих прав ничтожно мало, следовательно, количество проверок в этой сфере незначительно, и фактов привлечения к ответственности за нарушения законодательства о персональных данных весьма немного.
В общем, как писал еще М.Е.Салтыков-Щедрин: «Строгость российских законов смягчается необязательностью их исполнения ».
В области обработки персональных данных
Вопрос: Что включает в себя понятие конфиденциальности?
Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?
Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.
Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.
Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.
Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?
Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.
Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?
Ответ: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
В случае соответствия веб-сайта указанным требованиям он является информационной системой.
Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?
Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.
Вопрос: Необходимо ли согласие субъектов персональных данных (граждан) в случае передачи персональных данных граждан третьему лицу (РКЦ) обслуживающей многоквартирный дом Управляющей компании для формирования квитанций на оплату ЖКУ? Правомерны ли в данном случае действия Управляющей компании?
Ответ: В соответствии со ст. 3 Федерального закона от 27.07.2006 "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Следовательно, Управляющая компания является оператором, осуществляющим обработку персональных данных граждан.
В соответствии с ч. 3 ст. 6 настоящего закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Таким образом, в силу договорных отношений, возникших между Управляющей компанией и РКЦ, осуществляющей начисление платы за ЖКУ и выпуск квитанций, в силу исполнения требований жилищного законодательства, предоставление одной организацией персональных данных жильцов дома другой организации является допустимым.
На основании ч. 5 вышеназванной нормы права, в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.
Вопрос : Какие санкции существуют за не представление ответа на запрос уполномоченного органа по защите прав субъектов персональных данных? Необходимо ли указывать в уведомлении об обработке (о намерении осуществлять обработку) персональных данных лечебного учреждения сведения о физических лицах, обратившихся за медицинской помощью в данное лечебное учреждение?
Ответ: Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", а также ведение Реестра операторов, осуществляющих обработку персональных данных на территории РФ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций.
На территории Приморского края таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Приморскому краю - (Управление Роскомнадзора по Приморскому краю).
Для формирования Реестра операторов, осуществляющих обработку персональных данных, Управлением операторам направляются запросы о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.
На основании требования ч. 1 ст. 22 Закона Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ч. 3 ст. 22), за исключением случаев, предусмотренных ч. 2 настоящей статьи Закона.
Оператор в соответствии с ч. 4 ст. 20 Закона обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Непредставление запрашиваемых сведений, а равно представление таких сведений в неполном объеме, является нарушением требований данной статьи Закона и влечет административную ответственность по статье 19.7 КоАП РФ (наложение административного штрафа).
В случае не предоставления или несвоевременного представления вышеуказанных сведений организациями, которым был направлен запрос, государственными инспекторами Управления составляются протоколы об административном правонарушении по ст. 19.7 КоАП РФ и направляются на рассмотрение мировым судьям.
Категории персональных данных - это фамилия, имя, отчество, адрес, паспортные данные, образование, состав семьи, доходы, пол, гражданство, данные пенсионного свидетельства, биометрические данные (фотография), сведения о воинском учете, ИНН, состояние здоровья, контактная информация и т.д. На сайте размещены образцы уведомлений, из которых видно, что указывать в уведомлении сведения о физических лицах, обратившихся за медицинской помощью в лечебное учреждение (пациентам) не нужно, т.к. категории персональных данных, указываемые в данном документе, являются обезличенными. Таким образом, направление в Управление персональных данных по каждому субъекту персональных данных (пациенту) не требуется.
Лечебными учреждениями должен быть решен вопрос о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.
Вопрос ГУЗ «Краевая клиническая больница № 2»: в праве ли данное учреждение спрашивать согласие на обработку персональных данных у пациентов, которые получают медицинские услуги в рамках программы обязательного медицинского страхования?
Ответ: в соответствии с ч. 2 ст. 6 Закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (п. 1); обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (п. 2); обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 3). Обработка специальных категорий персональных данных, касающихся состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона, в т.ч. в случае: обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования (п. 8). При этом операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность и безопасность персональных данных при их обработке (п. 4 ст. 6, ст. 7 Закона).
Вопрос гр. К.: в организации ко дню рождения работников практикуется размещение в общедоступном месте списка работников с указанием их персональных данных. Согласия работников на размещение на стенде их персональных данных не имеется. Являются ли правомерными действия работодателя?
Ответ: ст. 3 Федерального закона «О персональных данных» определяет понятие персональных данных как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных ч. 2 ст. 7 Закона: обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона). Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 Закона). В соответствии со ст. 9 данного Закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва;
7) собственноручную подпись субъекта персональных данных.
Таким образом, размещение в общедоступных местах работодателем списка работников с указанием фамилии, имени, отчества, даты рождения работника без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
Вопрос: Вправе ли должностное лицо, в производстве которого находится дело об административном правонарушении, запрашивать у организаций персональные данные их работников?
Ответ : В соответствии со статьей 28.3 КоАП РФ протоколы об административных правонарушениях составляются должностными лицами органов, уполномоченных рассматривать дела об административных правонарушениях в пределах компетенции соответствующего органа.
Требования к содержанию протокола об административном правонарушении установлены статьей 28.2 КоАП РФ. В частности, в протоколе об административном правонарушении указываются сведения о лице, в отношении которого возбуждено дело об административном правонарушении.
Кроме того, статьей 26.10 КоАП РФ предусмотрено, что орган, должностное лицо, в производстве которых находится дело об административном правонарушении, вправе вынести определение об истребовании сведений, необходимых для разрешения дела. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения. При невозможности представления указанных сведений организация обязана в трехдневный срок уведомить об этом в письменной форме судью, орган, должностное лицо, вынесших определение.
Пунктом 1 части 2 статьи 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» предусмотрена обработка персональных данных на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора без согласия субъекта персональных данных.
Таким образом, должностное лицо органа, уполномоченного составлять и рассматривать протоколы об административном правонарушении вправе в рамках производства по делу об административном правонарушении запрашивать у организаций персональные данные их работников, в отношении которых возбуждено дело об административном правонарушении. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения в порядке, предусмотренном ст.26.10 КоАП РФ .
Вопрос: У нас стоматологический кабинет, сбор персональных данных пациентов производится на бумажных носителях, в электронном виде обрабатываются только снимки с визиографа, доступа к сети Интернет нет. Нужно ли нам оформлять к договору на оказание услуг приложение с согласием на обработку персональных данных пациентов, если у нас база пациентов на бумажных носителях?
Ответ: Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее Закон). Обработка персональных данных допускается в определенных случаях, указанных в части 1 статьи 6 Закона, в том числе, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Обработка специальных категорий персональных данных (часть 1 статьи 10 Закона) также допускается в определенных случаях, в том числе если обработка персональных данных осуществляется в медико- профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (пункт 4 части 2 статьи 10 Закона).
Следовательно, если обработка персональных данных соответствует вышеуказанным статьям Закона и принципам обработки персональных данных, указанных в статье 5 Закона, то согласия на обработку персональных данных не требуется.
Время публикации: 26.10.2011 12:25
Последнее изменение: 05.04.2019 12:53
Одни данные нуждаются в защите, другие — должны быть раскрыты. Прокуратура Челябинской области провела проверку соблюдения требований законодательства о персональных данных организациями жилищно-коммунального комплекса в областном центре и выявила нарушение законодательства в некоторых управляющих компаниях.
В ходе проверки установлено, что в нарушение Федерального закона "О персональных данных" в ряде организаций не разработаны документы, регламентирующие порядок обработки и защиты персональных данных жильцов многоквартирных домов, и не обеспечена возможность ознакомления с документацией, определяющей политику таких организаций в отношении обработки персональных данных. Такие нарушения в одном из случаев привели к неправомерному распространению сведений конфиденциального характера в сети Интернет.
Как сообщил прокурор отдела по надзору за соблюдением федерального законодательства, прав и свобод граждан прокуратуры Челябинской области Денис Полежаев, данная проверка была плановой, но носила выборочный характер: ею были охвачены организации, работающие в областном центре:
— Одной из целей проведения проверки было формирование единообразной практики в организации надзорной деятельности органов прокуратуры за соблюдением законодательства о персональных данных. Информация о типичных нарушениях, допускаемых организациями жилищно-коммуналь-ного комплекса в этой сфере, доведена до прокуроров городов и районов области, они ориентированы на усиление правозащитной роли прокуратуры в данном направлении.
В ходе нашей проверки нарушения в обращении с персональными данными были выявлены в ТСЖ "Победа" и в управляющей компании "Созвездие". По итогам проверки прокуратурой области в адрес руководителей этих юридических лиц внесено два представления об устранении нарушений закона, которые рассмотрены, выявленные недостатки устранены, два лица наказаны в дисциплинарном порядке.
Кроме этого, по постановлению прокуратуры области мировым судом привлечено к административной ответственности по статье 13.11 Кодекса Российской Федерации об административных правонарушениях должностное лицо управляющей компании "Созвездие", которому предписано выплатить штраф. Постановление не вступило в законную силу и может быть обжаловано в вышестоящем суде.
В управляющей компании "Созвездие" рассказали, что персональные данные обнаружились в благодарственном письме от жильца, которое было размещено на сайте организации. Нарушение состояло в том, что в этом письме были указаны его фамилия, имя, отчество, а также адрес места жительства. На данный момент письмо убрано с сайта.
Прокурор отдела Денис Полежаев подтвердил эту информацию, пояснив, что такие сведения согласно законодательству являются персональными данными, носящими конфиденциальный характер. Их распространение в свободном доступе в сети Интернет возможно только с согласия гражданина, которое управляющей компанией у него получено не было.
Но и излишняя "скрытность" управляющим компаниям тоже не на руку. Так, обслуживающая компания "Наш дом" была оштрафована на 30 тысяч рублей за отсутствие в открытых источниках отчета о выполненных работах и потраченных финансовых средствах.
Как сообщила пресс-служба прокуратуры Челябинской области, при проверке компании было установлено, что на ее сайте не размещается информация об основных показателях финансово-хозяйственной деятельности. Жители многоквартирных домов, которые обслуживает фирма, не могли узнать о выполненных работах и услугах, а также найти сведения о том, на что были потрачены их деньги.
Прокурор вынес постановление, согласно которому управляющая компания признана нарушителем стандарта раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами.
На основании постановления прокурора директор УК оштрафован на 30 тысяч рублей по части 1 статьи 7.23.1 КоАП РФ: нарушение требований законодательства о раскрытии информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами. Аналогичная ситуация и в области. Прокуратурой города Еманжелинска также проведена проверка соблюдения законодательства о раскрытии стандарта информации ООО "Управляющая компания ЖКХ", оказывающего услуги по содержанию и ремонту общедомового имущества 200 многоквартирных домов.
В нарушение требований законодательства компания не разместила сведения о доходах, полученных за оказание услуг по управлению домами, о расходах в связи с оказанием услуг, о порядке и условиях из оказания (проект договора управления, план работ на 2013 год, сведения о количестве случаев снижения платы за нарушения качества содержания и ремонта общего имущества в многоквартирном доме за 2012 год; сведения о количестве случаев снижения платы за нарушения качества коммунальных услуг, сведения о стоимости выполненных работ, периодичность их выполнения, стоимость каждой работы).
Также отдельные сведения в нарушение закона не размещены на стендах в помещении офиса компании, а также в городской газете. Все это в комплексе и повлекло жалобы горожан. По результатам проверки прокуратурой города внесено представление об устранении нарушений жилищного законодательства руководству ООО "УК ЖКХ" с требованием привлечь виновных лиц к дисциплинарной ответственности, а в отношении директора управляющей компании Марины Валуевой прокурором возбуждено и направлено для рассмотрения в Государственную жилищную инспекцию Челябинской области дело об административном правонарушении. Санкция статьи для должностных лиц — наказание в виде штрафа от 30 до 50 тысяч рублей.
Данные, которые не подлежат раскрытию
Третья статья Федерального закона "О персональных данных" определяет понятие персональных данных как любой информации, относящейся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 статьи 7 закона: обеспечение конфиденциальности персональных данных не требуется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных, например справочники или адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 закона).
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 закона). В соответствии со ст. 9 данного закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
Наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
Цель обработки персональных данных;
Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
Срок, в течение которого действует согласие, а также порядок его отзыва;
Собственноручную подпись субъекта персональных данных.
Таким образом, размещение в общедоступных местах управляющей компанией информацией с указанием фамилии, имени, отчества, даты рождения без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
Данные, подлежащие раскрытию
Правительство РФ постановлением от 23 сентября № 731 утвердило стандарт раскрытия информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами. Управляющие компании обязаны разместить информацию по форме, утвержденной стандартом, в течение двух месяцев со дня вступления в силу постановления.
Прежде всего УК обязана раскрыть следующую информацию: основные показатели финансово-хозяйственной деятельности управляющей организации в части исполнения договоров управления; сведения о выполняемых работах, оказываемых услугах по содержанию и ремонту общего имущества в многоквартирном доме; порядок и условия оказания таких услуг; сведения о стоимости таких работ и услуг; сведения о ценах и тарифах на коммунальные ресурсы. Отказ в предоставлении информации может быть обжалован в установленном законодательством РФ судебном порядке.
Управляющие организации опубликовывают информацию на официальном сайте органа исполнительной власти, в официальных печатных СМИ, размещают ее на информационных стендах и стойках в помещении управляющей организации, предоставляют по запросу. Вся информация должна быть доступна в течение пяти лет.
Раскрытию подлежат следующие сведения:
Фирменное наименование юридического лица, фамилия, имя и отчество руководителя управляющей организации или фамилия, имя и отчество индивидуального предпринимателя; реквизиты свидетельства о государственной регистрации;
Почтовый адрес, адрес фактического местонахождения органов управления УК, контактные телефоны, официальный сайт в сети Интернет и адрес электронной почты; режим работы, часы личного приема граждан;
Перечень многоквартирных домов, находящихся в управлении управляющей организации на основе договора управления, с указанием адресов этих домов и общей площади помещений в них;
Перечень многоквартирных домов, в отношении которых договоры управления были расторгнуты в предыдущем календарном году, с указанием адресов этих домов и оснований расторжения договоров управления;
Сведения о членстве управляющей организации в СРО и /или/ других объединениях управляющих организаций с указанием их наименований и адресов, включая официальный сайт в сети Интернет;
Годовая бухгалтерская отчетность, включая бухгалтерский баланс и приложения к нему;
Сведения о доходах, полученных за оказание услуг по управлению многоквартирными домами;
Сведения о расходах, понесенных в связи с оказанием услуг по управлению многоквартирными домами;
Сведения об услугах, оказываемых управляющей организацией в отношении общего имущества собственников помещений в многоквартирном доме, из числа услуг, указанных в правилах содержания общего имущества в многоквартирном доме, утвержденных постановлением Правительства РФ от 13 августа 2006 г. № 491;
Услуги, связанные с достижением целей управления многоквартирным домом, которые оказываются управляющей организацией, то есть услуги, оказываемые УК по обеспечению поставки в многоквартирный дом коммунальных ресурсов, заключение от имени собственников договоров об использовании общего имущества; охрана подъезда; охрана коллективных автостоянок; учет собственников помещений.
В случае привлечения управляющей организации к административной ответственности за нарушения в сфере управления многоквартирными домами раскрытию подлежат количество таких случаев, копии документов о применении мер административного воздействия, а также меры, принятые для устранения нарушений, повлекших применение административных санкций.
Информация о стоимости работ и услуг управляющей организации должна содержать описание каждой работы, периодичность ее выполнения, результат, гарантийный срок, указание конструктивных особенностей, степени физического износа и технического состояния общего имущества многоквартирного дома, определяющие выбор конкретных работ или услуг, стоимость каждой работы или услуги.
В рамках информации о ценах и тарифах на коммунальные ресурсы УК обязаны раскрыть сведения о перечне коммунальных ресурсов, которые управляющая организация закупает у ресурсоснабжающих организаций, с указанием конкретных поставщиков, а также объема закупаемых ресурсов и закупочных цен на них, а также конечных тарифах для потребителей. Сведения приводятся по состоянию на день раскрытия информации и подлежат обновлению. Изменения, внесенные в раскрытую информацию, подлежат опубликованию в тех же источниках.
