После публикации письма Роскомнадзора от 16 сентября 2022 г. № 08 – 84259 многие были встревожены новыми обязанностями инициатора общего собрания, как лица, которое обрабатывает персональные данные собственников.
О чем речь
ФИО и адрес собственников – это персональные данные. При проведении собрания и оформлении протокола осуществляется обработка этих данных.
Лица, которые обрабатывают персональные данные, называются операторами.
Чаще всего роль оператора играют инициаторы собрания, но также это могут быть председатель, секретарь, члены счетной комиссии.
У оператора есть обязанности, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Например, он должен уведомлять РКН об обработке персональных данных и прекращении этой обработки (статья 22).
Раньше закон предусматривал множество исключений из этой обязанности, поэтому инициатор собрания мог никого ни о чем не уведомлять.
Однако с 1 сентября 2022 года перечень исключений сильно сократился. Теперь в большинстве случаев операторы должны направить уведомления в РКН.
Одно из оставшихся исключений – обработка данных без использования средств автоматизации. Однако инициатор работает как с бумагами, так и с файлами на компьютере. Последнее считается автоматизированной обработкой персональных данных.
Теоретически возможен сценарий, когда инициатор получает полнейший реестр собственников от управляющей компании, на компьютере печатает неименные бюллетени, а также остальные части и приложения протокола без персональных данных, а потом все они заполняются ручкой, при этом подсчет голосов происходит тоже на бумаге, и дальше инициатор игнорирует свою обязанность по загрузке протокола в ГИС ЖКХ. В таком случае обработку можно было бы считать неавтоматизированной и не уведомлять РКН. Но такой вариант маловероятен, поэтому разбираемся с уведомлениями дальше.
Дополнительные разъяснения Роскомнадзора
Роскомнадзор об обработке персональных данных отвечает следующее от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.
Обязанность по направлению уведомления об обработке персональных данных возлагается, в том числе на физическое лицо – инициатора общего собрания, независимо от формы проведения общего собрания (спрашивали про собрания в ГИС ЖКХ).
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации (спрашивали про эти программы).
Поручение оператора на обработку данных другому лицу не отменяет возложенную на оператора обязанность по уведомлению об обработке (спрашивали про подготовку документов с помощью сторонних юристов или сервисов).
В случае прекращения обработки персональных данных оператору необходимо направить уведомление о прекращении обработки персональных данных (спрашивали про прекращение обработки).
Ответ РКН №08 – 99909 - скачать
Ответ РКН №08 – 98470 - скачать
Итак, РКН ничего обнадеживающего не написал, поэтому придется направлять два уведомления – о начале обработки и ее прекращении.
Формы уведомлений
На момент публикации материала действуют давно утвержденные формы уведомлений (приказ РКН от 30.05.2017 № 94).
В связи с изменениями в законодательстве, вступившими в силу в сентябре, готовится к выходу приказ РКН с обновленными формами. Пока он не вышел, РКН разрешает смело пользоваться старыми.
Даже когда выйдут новые формы, в содержании уведомления от инициатора собрания ничего особо не изменится.
Отправка уведомлений об обработке персональных данных
Когда: до начала обработки данных.
Куда: уведомление направляется в территориальный орган Роскомнадзора (то есть в Управление РКН по вашему региону или федеральному округу).
Как: уведомление можно направить бумажным письмом или электронно, используя авторизацию через ЕСИА (проще всего). Также возможен вариант с электронной подписью.
Для отправки нужно зайти на портал персональных данных, выбрать удобный способ и перейти к заполнению форм.
Формы для бумажной и электронной отправки практически идентичны, поэтому дальше приводим универсальную инструкцию.
Как инициатору собрания заполнить уведомление об обработке персональных данных (инструкция)
Ниже приводим образец заполнения уведомления: можно копировать и вставлять в форму применительно к своему собранию.
1. Выбрать подходящий территориальный орган РКН (регион или, если его нет, округ), а также заполнить свои данные, включая адрес и электронную почту).
При авторизации через ЕСИА данные об операторе заполняются автоматически, очень удобно
2. После своих данных надо будет выбрать регион, на территории которого инициатор будет обрабатывать данные.
3. Заполнить раздел «Общие сведения».
Правовое основание обработки персональных данных, руководствуясь:
ст. ст. 44 – 48 Жилищного кодекса РФ, Приказом Министерства строительства и жилищно-коммунального хозяйства РФ от 28 января 2019 г. № 44/пр “Об утверждении Требований к оформлению протоколов общих собраний собственников помещений в многоквартирных домах и Порядка направления подлинников решений и протоколов общих собраний собственников помещений в многоквартирных домах в уполномоченные органы исполнительной власти субъектов Российской Федерации, осуществляющие государственный жилищный надзор”.
Цель обработки персональных данных:
Проведение общего собрания собственников помещений в многоквартирном доме по адресу: [указать адрес], в том числе оформление результатов собрания.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
Организационные меры: разграничение прав доступа к базе персональных данных, информация хранится и обрабатывается в строго контролируемом помещении, расположенном в пределах границ контролируемой зоны. Технические меры: установлены системы защиты информации – антивирус. Разграничение прав доступа к информационной системе на уровне операционной системы и парольной защиты файлов.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения 4‑го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; перечень лиц, имеющих доступ к персональным данным, обрабатываемых в информационной системе ограничен одним лицом, являющимся инициатором общего собрания собственников.
В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, определено место хранения персональных данных, а перечень лиц, осуществляющих обработку персональных данных ограничены решением общего собрания об избрании председателя, секретаря и членов счётной комиссии.
Дата начала и окончания обработки персональных данных – заполняется применительно к вашему собранию.
Дата окончания – дата передачи протокола в УК или ГЖИ либо дата составления акта об уничтожении персональных данных, если он будет составлен позже
4. Дальше заполняется раздел со сведениями об информационной системе.
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных:
Неавтоматизированная обработка – хранение заполненных бюллетеней голосования, составление протокола общего собрания собственников, передача протокола в соответствии с требованиями ЖК РФ в [куда именно – управляющую компанию или ГЖИ].
Автоматизированная обработка – внесение персональных данных в информационную систему для осуществления операций с персональными данными с целью учёта и подсчёта голосов общего собрания собственников: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, удаление, уничтожение персональных данных.
Расставить точки:
«с передачей по сети интернет» отмечается в случае, если инициатор будет сам загружать протокол в ГИС ЖКХ
Категории персональных данных: отметить галочки у «Фамилия, имя, отчество» и «адрес».
Другие категории персональных данных, не указанные в данном перечне: вставить «информация о праве собственности на помещение (номер записи о регистрации права собственности с указанием долей собственности, дата регистрации права собственности)».
Категории субъектов, персональные данные которых обрабатываются:
принадлежащих «физическим лицам – собственникам помещений в многоквартирном доме по адресу [адрес]».
Ниже отметить, что ничего не осуществляется и не используется.
5. Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ.
ЦОД – это компьютер, на котором инициатор хранит файлы с данными. Поэтому здесь заполняется просто адрес нахождения компьютера.
Собственный ЦОД – отметка «да»
6. Заполнить данные об ответственном за организацию обработки персональных данных.
Здесь снова указать данные об инициаторе общего собрания.
7. Отправить уведомление.
Для этого поставить галочки об ознакомлении с порядком подачи уведомления в электронном виде и согласием, и нажать на кнопку «отправить».
Если был выбран вариант заполнения без авторизации через ЕСИА, но с направлением бумаги почтой, то продублировать уведомление почтой.
Отправка уведомлений о прекращении обработки персональных данных
Когда собрание проведено, а протокол передан в управляющую организацию (ГЖИ), то инициатор должен уведомить РКН о прекращении обработки персональных данных.
На это дается десять рабочих дней с даты прекращения обработки персональных данных.
Форма такого уведомления проще, но нужно приложить документы, подтверждающие прекращение обработки.
И еще из минусов: на сайте нашлась только та форма, которую нужно заполнить электронно и продублировать бумагой.
Вот сама форма.
Начало заполняется аналогично – куда направляется и от кого.
Дальше нужно найти и указать номер записи в реестре уведомлений.
Номер записи ищется в неудобном реестре уведомлений. В поле «организация» можно указать свою фамилию (фамилия и имя – уже не находит).
Номер копируется в специальное поле. Осталось поставить отметку – «основание прекращения» и прикрепить подтверждающие документы:
Приложениями будут документы о передаче протокола, например, акт о передаче протокола в УК или сопроводительное письмо в ГЖИ, а также акт об уничтожении информационной системы персональных данных на компьютере.
Сопроводительное письмо к протоколу в ГЖИ - скачать
Акт передачи протокола в управляющую организацию - скачать
Акт об уничтожении персональных данных собственников - скачать
В акте об уничтожении данных в комиссию, помимо инициатора собрания, можно включить членов счетной комиссии, председателя или секретаря собрания.
После отправки уведомления в электронном виде надо продублировать то же самое на бумаге.
РКН рассматривает уведомления (и об обработке, и о прекращении) в течение 30 дней с даты поступления уведомления (обычно быстрее) и включает / исключает соответствующие сведения из реестра уведомлений.
Стоит ли инициатору собрания направлять уведомления в Роскомнадзор
Инициатор собрания (или другое лицо, которое участвует в обработке персональных данных) сам решает, соблюдать ли ему требования закона о персональных данных.
По мнению автора материала, уведомить РКН стоит, особенно если в доме есть оппозиция или соседи, чрезмерно озабоченные защитой своих персональных данных.
А вообще, ответственность за неуведомление РКН достаточно смешная.
Она предусмотрена статьей 19.7 КоАП РФ – «Непредставление сведений (информации)». Наказание для граждан – предупреждение или административный штраф от 100 до 300 рублей.
Материал «ЖКХ и ЖКХ Ньюс»