О защите персональных данных, примерно года 2 назад, мы, в принципе, в отношении многоквартирных домов, даже и не говорили. Эта ситуация стала возникать в 2010 году, когда по всей стране прокатился шквал проверок председателей ТСЖ, ЖСК, в отношении управляющих компаний по жалобам граждан.
Началось это все с того, что председатели ЖСК, ТСЖ использовали в качестве метода борьбы с должниками вывешивание списков должников в общедоступных местах, с указанием ФИО, номер квартиры, сумму долга. И должники, поскольку они у нас люди умные, подкованные, с законодательством знакомятся всегда, обжаловали эти действия в прокуратуру, прокуратура признала, что вывешивание списков должников является нарушением законе о персональных данных и является незаконным распространением этих персональных данных. Соответственно, было очень много штрафов наложено в отношении председателей ТСЖ, ЖСК, реже управляющих компаний.
Поэтому, такой метод борьбы с должниками, как вывешивание списков, даже если вы там напишите просто квартиру и сумму долга, это является нарушением закона о персональных данных и признается незаконным распространением этих персональных данных. Потому, что все те сведения, которые позволяют прямо или косвенно установить собственника, а номер квартиры позволяет установить собственника, являются персональными данными и если собственник на это согласие не дал, то, соответственно, распространять их нельзя. В отношении должников мы применяем метод только общедоступный, это взыскание задолжности в судебном порядке.
В прошлом году, в июле месяце, в закон о персональных данных были введены небольшие изменения, и там было указано, что ЖСК, ТСЖ и управляющие компании могут без согласия собственников собирать всю информацию и, собственно, ее далее передавать, если это требуется для управления многоквартирным домом. Но, эта норма, буквально, действовала 1 месяц или где-то полтора, не больше и была также отменена и в закон о персональных данных были введены достаточно большие изменения, согласно которым, в принципе, мы можем сделать вывод о том, что заявления о согласии собственника обрабатывать персональные данные, конечно нужно. И здесь у нас мы говорим не просто об обработке персональных данных, мы так же говорим о передаче персональных данных третьим организациям, если это нужно для управления, ресурсоснабжающими организациям, вычислительным центрам, которые производить начисление и печать квитанций, юристам, когда вы планируете, допустим, обращаться в суд с исками о взыскании долга по оплате коммунальных услуг.
Это все приравнивается к передаче персональных данных и на это, конечно, нужно согласие. Если в дальнейшем собственник свое согласие отозвал, то вы имеете право производить обработку персональных данных в не зависимости уже от наличия согласия собственника, но первоначальное согласие закон, конечно, требует получать. Понятное дело, что собственники врятли выдадут свое согласие на то, чтоб их персональные данные обрабатывались, несмотря на то, то это нужно для управления домом, для начисления коммунальных услуг и, собственно, в конечном итоге, для получения собственниками этих коммунальных услуг. Это все собственникам достаточно сложно объяснить, особенно, если многоквартирный дом большой. Поэтому, здесь может быть несколько вариантов событий. Первый - это вы продолжаете работать так, как работали до возникновения каких-то спорных случаев, если они возникают, то решаете в зависимости от поступления каких-то жалоб. Второй возможный выход - вы начинаете собирать согласия собственников на обработку персональных данных, причем тогда нужно, в обязательном порядке, указать, на какие виды услуг собственник выдает это согласие, обязательно надо писать полностью ФИО собственника, паспортные данные, место регистрации. О том, что он дает согласие на обработку и передачу своих персональных данных в целях, которые необходимы для управления домом, в том числе, и дальше перечисляете, для заключения договоров с ресурсоснабжающими организациями, на получение коммунальных услуг, на заключение договоров, на техническое обслуживание, ремонт, капитальный ремонт многоквартирного дома, для заключения договоров с иными организациями, для осуществления работ и услуг, для управления многоквартирным домом, и какие-то иные, которые вы считаете необходимым включить в это согласие.
Обязательно, что-то должно быть написано, не просто это должно быть отпечатано рукой, не просто одна подпись должна быть вписана рукой самого лица, допустим, ФИО должно быть вписано, чтобы он полностью написал, подпись поставил и дату поставил. Потому, что одну подпись, ее достаточно легко подделать, и сложно доказать, что это делал собственник, или не собственник., а вам нужно, чтобы эта позиция была, если уж собрали согласия, чтобы собственник в дальнейшем, если будет отказываться, можно было доказать, что это было не подделано. Поэтому, как можно больше слов должно быть написано, но при этом не все, потому, что понятное дело, что люди не будут писать все от руки, это достаточно долго и объемно. Это второй вариант, когда надо собирать и третий вариант, не могу сказать, что очень действенный, но в общем можно попробовать, и на общем собрании решить вопрос о том, что все данные, которые собираются в целях управления домом, собственники не возражают, чтобы управление обрабатывало и хранило, причем надо на общем собрании утвердить положение о защите персональных данных. Это будет отдельный документ, вы там прописываете, где все персональные данные хранятся, в сейфе, у кого ключи, кто имеет допуск, допустим, к данному сейфу. Если эта информация храниться на компьютере, а она явно должна храниться, в какой-то степени, на компьютере, допустим, для работы бухгалтера, то надо указать, что доступ к этой информации находится под паролем, пароль знают те-то, те-то граждане, председатель, допустим, бухгалтер, допускаются к работе с компьютером ограниченное количество лиц.
Вот эти все моменты нужно в этом Положении прописать и хранить. В правом верхнем углу у вас в Положении о защите персональных данных будет гриф «утверждено решением общего собрания членов ТСЖ № такой-то, председатель собрания и секретарь собрания» председатель и секретарь подписывают и ставится круглая печать. Документ, если он содержит более одного листа, если два листа, то можно, знаете, распечатывать лист с оборотом, чтобы не сшивать, если более двух листов, то конечно обязательно сшивать и на сшивке ставится так же печать и две подписи, председателя и секретаря собрания так же. Этот способ, конечно, не следует из законодательства, я бы даже сказала, в общем, ни коем образом не вытекает из требований законодательства, но как один из вариантов его использовать можно. Поэтому, что касается персональных данных, в идеале, конечно же, нужно собирать все согласия. Как вариант, можно продолжать работать так же, пока у вас, в принципе, не возникла какая-нибудь спорная ситуация, но проблема здесь заключается в том, что ответственность могут применить и проверку провести, если поступила какая-то жалоба от граждан.
Граждане, в принципе, могут и не пожаловаться, но при этом, государственные органы сами могут проверить, соответствующие, которые имеют право производить, в данном случае, проверку, могут сами проверить соблюдение закона о защите персональных данных. Что касается привлечения к административной ответственности, надо сказать, что вообще существует 2 вида проверок, проверки плановые и проверки внеплановые, вот с графиком проведения плановых проверок вы можете ознакомиться на сайте прокуратуры вашего субъекта РФ. Введите в поисковике слово «прокуратура вашего региона» и посмотрите в том окошечке, которое вам выйдет на сайте официальном, там обязательно должен быть план проверок, вот сейчас, в январе, появился на 2012 год, сейчас он будет уже согласовываться в декабре на 13 и в январе 13 года появиться плановый план проверок на 2013 год. Вы можете поискать там свою организацию и посмотреть, кто вас будет проверять, в какие сроки и какой предмет и, соответственно, к этому моменту подготовиться.
Плановые проверки проводятся организациями по соответствующей компетенции, нельзя прийти и начинать проверять все подряд. Для того, в этом плане, который помещен на сайтах прокуратуры, субъекта РФ расписывается, какие организации на какой предмет проверяют. Когда к вам приходит проверяющий, вы обязательно просматриваете, какие у него есть документы на проведение проверки, у него должно быть либо приказ, либо какое-то поручение, либо направление, где расписано, что именно он проверяет.
Если вас в дальнейшем привлекают за все подряд, что он там нарыл этот проверяющий, то вы имеете право пожаловаться на это и в своей жалобе на вынесенное Постановление о привлечении к административной ответственности, как один из оснований для обжалования это расписать. Также бывают проверки внеплановые, они проводятся в любой момент, если в прокуратуру, либо в контролирующие органы, например, в жилищную инспекцию, поступила какая-то жалоба от граждан, от юридических лиц, но в основном это от граждан и тогда государственные органы, в обязательном порядке, должны на нее отреагировать и ввести соответствующую проверку. Конечно, о проведении внеплановой проверки вы уведомляетесь заранее, но, как правило, этот срок достаточно маленький, нужно будет очень быстро готовиться к проведению этой проверки. Без уведомления прийти для проведения проверки не могут, вы имеете право на это тоже пожаловаться и в жалобе на Постановление о привлечение к административной ответственности написать свои основания, по которым считаете проведенную проверку, проведенной с нарушением закона и от того недействительной.
В этом случае большинство жалуются на то, что если меня либо представляемое лицо, например председателя ЖСК, ТСЖ , управляющей компании привлекает за нарушение закона, то и привлечение к административной ответственности должно идти строго по закону, без нарушений данного закона, потому, что привлекать и штрафовать за нарушение закона, при этом, нарушая закон самими проверяющими, это абсурдно и нелогично. В таком случае, и проверяющие должны быть наказаны за то, что они при проведении проверки нарушают закон. Поскольку обжаловать Постановление о привлечении к административной ответственности достаточно сложно, вам нужно все эти доказательства накапливать как можно больше. И мы всегда рекомендуем, если уж у вас такая ситуация случилась, ведь как у нас проходит административная ответственность, сначала проверяют, потом должны составить протокол об административном правонарушении, а потом, через некоторый период времени, должны вынести Постановление, где указывается какой-то штраф.
Если вы с Постановлением согласны, вы его исполняете, если не согласны, вы в течение 10 дней с момента получения Постановления, не вынесения, а получения имеете право обжаловать его либо в вышестоящий орган, либо в судебный орган. Как правило, большинство граждан, в вышестоящий орган никогда ничего не обжалуют, почему? Потому, что это, в принципе, бессмысленно и трата времени просто, поскольку нижестоящие государственные органы, они действуют в согласии с требованиями и указаниями вышестоящих органов. Поэтому, граждане сразу обращаются в суд, хотя я не особо верю в состязательность нашего судебного процесса, я все равно считаю, что эту процедуру нужно проходить, особенно, если штраф достаточно большой, а привлечение к административной ответственности было неправомерным.
Если штраф маленький, то вы можете, в принципе, действовать для себя, как посчитаете нужным. Если хочется бороться за справедливось - обжалуете, если не хочется бороться за справедливость - заплатили штраф и забыли. Это касается, кстати, и нарушения закона о персональных данных, потому, что ответственность там предусмотрена, в принципе, небольшая, там от 1500 - 3000 рублей, это, в принципе, не так много и, наверное, в некоторых случаях проще нарушить этот закон, не собирать эти все согласия о персональных данных и не беспокоить, не будоражить народ заранее. Хотя в принципе, сейчас граждане у нас, практически всегда в курсе всех событий и в отношении закона о персональных данных вы, пожалуйста, исходите, прежде всего, из ситуации, которая у вас сложилась в многоквартирном доме. Если вы видите, что собственники требуют либо наличия согласия, либо они, в принципе, не против эти согласия выдать, пользуйтесь моментом и собирайте, пусть они будут. Неважно, пригодится ли вам, не пригодится этот момент, эти согласия, но они у вас будут.
Если вы считаете и видите по ситуации в доме, что если вы будете очень много об этом говорить, это приведет к вегетативным последствиям, ненужным последствиям, то лучше, может быть, тогда и не трогать эту ситуацию и работать продолжать так, как было. Потому, что хоть у нас и звучали такие, знаете, редкие голоса о том, что квитанции нужно переупаковывать в конвертики, там же тоже персональные данные указаны, чтоб никто не прочитал и, в принципе, на обращения в суд, на заключение договора с юристом на представление в суде, для передачи документов в ресурсоснабжающие организации, как бы, тоже нужны согласия, но, как правило, их не требуют и собственник как то на это внимание не заостряет, так в общем то и не надо, потому, что сейчас у 354 Постановления итак очень много нововведений, которые нужно осваивать, применять, соответственно, много других более актуальных моментов.
Материал посвящен анализу законодательных норм в области обработки персональных данных. Существуют ли на сегодняшний день четкие требования к тому, каким способом и в каком виде гражданам должны представляться документы на оплату ЖКУ?
Платежные документы гражданам - только в конвертах?
Вопросом, вынесенным в заглавие статьи, задаются управляющие организации, ТСЖ, специализированные расчетные центры, а также работающие в иных сферах компании, которые обязаны представлять гражданам счета за услуги (например, операторы связи). Естественно, этот вопрос актуален, если платежные документы гражданам доставляются в почтовые ящики. Каковы тенденции решения данной проблемы в настоящее время?
Для начала введем следующие понятия (ст. 3 Закона о персональных данных 1 ):
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Требования к платежным документам приведены в п. 38 Правил предоставления коммунальных услуг (и в п. 69 Новых правил предоставления коммунальных услуг ), примерная форма платежного документа утверждена 454 . Сведения, которые необходимы для расчета и взимания платы за жилое помещение и коммунальные услуги и заполнения платежного документа, безусловно, являются персональными данными (Ф. И. О., почтовый адрес и площадь помещения, принадлежность потребителя к той или иной льготной категории, сведения о задолженности, объем потребления тех или иных коммунальных услуг). УК (как и ТСЖ), как самостоятельно начисляющая платежи, так и передающая эти функции специализированной компании, признается оператором, поскольку она как минимум организует обработку персональных данных и определяет цели обработки, состав данных и операции, совершаемые с ними.
Поскольку исполнители коммунальных услуг связаны договорами с субъектами персональных данных, никакого согласия от последних на обработку персональных данных получать не нужно (пп. 5 п. 1 ст. 6 Закона о персональных данных в действующей редакции). Именно на это обратила внимание Судебная коллегия по гражданским делам Нижегородского областного суда в Определении от 24.08.2011 № 33-8182 , отказав в удовлетворении иска гражданину, считавшему нарушением своих прав и закона указание в счетах-квитанциях, выставленных ему управляющей организацией, его персональных данных (Ф. И. О., адреса, площади квартиры, числа зарегистрированных и проживающих в квартире человек, вида собственности, сведений об инвалидности).
Подчеркнем: такая обработка должна быть необходима для исполнения договора. Если же речь идет о принудительном взыскании платежей (в частности, в виде привлечения коллекторов либо передачи задолженности по договору уступки требования), нужно получить согласие граждан на распространение их персональных данных с такой целью 2 . Одновременно лицо, которому переданы персональные данные для взыскания платежей, должно предоставить гражданам соответствующую информацию, названную в п. 3 ст. 18 Закона о персональных данных (Постановление ФАС УО от 13.01.2012 № Ф09-9061/11 ).
Сотрудничество УК и ТСЖ со специализированными компаниями
Прежде чем приступить к обсуждению вопроса о необходимости вкладывать платежные документы в конверты при их доставке в почтовые ящики, нужно расставить все точки над i в вопросе правомерности привлечения управляющими компаниями для расчета платежей, печати и доставки счетов специализированных организаций. Новые правила предоставления коммунальных услуг (пп. «е» п. 32 ) прямо предусматривают право исполнителя (УК и ТСЖ) привлекать на основании договора, содержащего условие об обеспечении требований законодательства РФ о защите персональных данных, организацию или ИП, в частности, для начисления платы за коммунальные услуги и подготовки доставки, а также для самой доставки платежных документов потребителям. Несмотря на то, что указанный нормативный документ еще не вступил в силу, такое право у УК и ТСЖ есть и на сегодняшний момент. Обязательность включения в договор об оказании услуг (по начислению платы, печати и доставке счетов), который в Законе о персональных данных именуется поручением оператора по обработке персональных данных, условия о соблюдении специализированной компанией норм указанного закона прописана в п. 3 ст. 6 данного закона. Важно, что сама специализированная компания (лицо, осуществляющее обработку персональных данных по поручению оператора) не обязана получать согласие субъекта на обработку его персональных данных (п. 4 ст. 6 Закона о персональных данных ). Однако в силу прямого указания п. 3 той же статьи оператор имеет право поручить обработку персональных данных другому лицу лишь с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Учитывая, что право исполнителя коммунальных услуг заключать с третьим лицом договор о начислении платы, печати и доставке платежных документов прописано в Новых правилах предоставления коммунальных услуг , которые не являются федеральным законом, УК и ТСЖ обязаны получить согласие граждан на передачу указанных функций специализированным компаниям. В противном случае поручение оператора (УК, ТСЖ) незаконно. Соответственно, обработка персональных данных специализированной компанией также незаконна. Кроме того, следует учитывать, что ответственность перед субъектом персональных данных за действия специализированной компании несет УК (ТСЖ) (п. 5 ст. 6 Закона о персональных данных ).
Все приведенные выше положения содержатся в Законе о персональных данных в редакции Федерального закона от 25.07.2011 № 261-ФЗ , которая применяется к правоотношениям, возникшим с 01.07.2011. В период с 18.06.2011 по 01.07.2011 действовала другая редакция, согласно которой специализированным компаниям (точнее, лицам, привлеченным на основе договоров для осуще-ствления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги ) не требовалось согласие субъекта персональных данных на их обработку. До 18.06.2011 на основании ст. 3 , 7 Закона о персональных данных оператор, чтобы обеспечить законность передачи персональных данных третьему лицу для их обработки (в частности, для начисления платежей за жилищно-коммунальные услуги), должен был заручиться согласием граждан на такую передачу 3 .
Подробнее о доставке платежных документов
Жилищное законодательство не регламентирует способы доставки платежных документов потребителям. Однако оговорен срок их направления: не позднее 1-го числа месяца, следующего за истекшим месяцем, если иной срок не установлен договором управления МКД либо решением общего собрания членов ТСЖ, жилищного кооператива или иного специализированного потребительского кооператива (п. 2 ст. 155 ЖК РФ ).
В пункте 6 Методических рекомендаций по заполнению примерной формы платежного документа для внесения платы за содержание и ремонт жилого помещения и предоставление коммунальных услуг , утвержденных Приказом Минрегиона РФ от 19.09.2011 № 454 , сказано следующее. Платежный документ рекомендуется представлять потребителям услуг на бумажном носителе, за исключением случаев, когда договором управления многоквартирным домом, письменным соглашением между потребителями услуг и организацией, производящей расчеты, прочими документами согласована иная форма представления потребителю платежного документа. При этом к иным способам представления потребителю платежного документа в настоящих методических рекомендациях относятся: возможность печати платежного документа самостоятельно потребителем с использованием доступа в личный кабинет на интернет-портале; представление платежного документа по адресу электронной почты потребителя услуг; возможность печати платежного документа посредством информационных терминалов и др .
Как видим, в нормативном документе (который, кстати, носит рекомендательный характер) опять-таки не сказано о способе доставки счетов в бумажном виде. Между тем на практике в подавляющем большинстве случаев платежные документы помещаются в почтовые ящики потребителей, а в договорах управления этот момент никак не освещается. Полагаем, что договором управления либо решением общего собрания членов ТСЖ могут быть преду-смотрены и иные варианты (подчеркнем: иные варианты доставки бумажных счетов, а не формы их представления). Из более трудоемких можно назвать вручение счетов лично в руки, из более затратных - почтовым отправлением, из наиболее простых для исполнителя - получение платежного документа непосредственно в офисе УК (ТСЖ) либо, например, в кассе одновременно с внесением платы. Несмотря на то, что в ЖК РФ не указано на необходимость проработки вопроса о способах представления платежных документов собственникам помещений, это и не запрещено.
Итак, как уже было сказано, исторически сложилось, что платежные документы, напечатанные на бумаге, просто опускаются в почтовые ящики граждан. Существует мнение, что при таком способе доставки счетов персональные данные не защищены от случайного доступа к ним посторонних лиц. А это, в свою очередь, означает нарушение требований конфиденциальности и безопасности персональных данных. Так, в силу операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом . Одновременно оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных ().
Именно такого мнения (доставка платежных документов в открытом (без конверта) виде означает невыполнение требований конфиденциальности и безопасности персональных данных) придерживаются Роскомнадзор, являющийся уполномоченным органом по защите прав субъектов персональных данных, и прокуратура. Судя по сообщениям в СМИ, проверяющие выдают предписания управляющим компаниям и специализированным организациям прекратить нарушение закона, которое выражается, в частности, в рассылке счетов за жилищно-коммунальные услуги в открытом виде. В распоряжении автора есть несколько судебных решений, принятых по интересующему нас вопросу.
Судебная практика
Решением от 22.09.2011 № 2-549 Мензелинский районный суд Республики Татарстан удовлетворил иск прокурора к управляющей организации о понуждении, в частности, принять необходимые правовые, организационные и технические меры для защиты персональных данных граждан. Основанием для подачи иска стал тот факт, что счета за предоставляемые услуги доставляются жителям без конвертов, поэтому персональные данные граждан не защищены от случайного доступа.
В другом случае доставка платежных документов, содержащих персональные данные, в открытом виде также была расценена как нарушение требований конфиденциальности при обработке персональных данных. Это обстоятельство наряду с непредставлением в уполномоченный орган уведомления об обработке персональных данных, а также отсутствие в договорах с третьими лицами существенного условия (обязанности обеспечения указанным лицом конфиденциальности персональных данных и их безопасности при обработке) стали поводом для возбуждения дела об административном правонарушении (ст. 13.11 КоАП РФ 4 ) в отношении руководителя энергоснабжающей организации. Однако Постановлением мирового судьи судебного участка № 4 Левобережного района г. Воронежа от 14.03.2011 дело было прекращено в связи с отсутствием состава правонарушения. Этот акт был опротестован прокурором и впоследствии отменен Решением Левобережного районного суда г. Воронежа от 12.04.2011 (нарушителю удалось избежать ответственности, поскольку производство по делу об административном правонарушении было прекращено в связи с истечением срока давности привлечения к ответственности).
Аналогичным образом дело обстояло и с руководителем другой компании. В постановлении, принятом также 14.03.2011 и содержащем вывод об отсутствии в действиях лица состава административного правонарушения, тот же мировой судья указал: направление получателю услуг платежных документов (квитанций) не является распространением, в связи с чем рассылка этих документов в открытом виде не нарушает требования Закона о персональных данных . Между тем Решением Левобережного районного суда г. Воронежа от 13.04.2011 данное постановление было отменено со следующим обоснованием. Рассылка по почте платежных документов, содержащих данные о фамилии, имени, отчестве, месте жительства потребителя электроэнергии и другие сведения, относящиеся к персональным данным, влечет передачу этих сведений определенному кругу лиц и в силу этого обстоятельства является распространением, при этом их рассылка в открытом виде не препятствует ознакомлению с персональными данными неограниченному кругу лиц и, следовательно, не соответствует требованиям закона о конфиденциальности персональных данных .
Особый интерес вызывает еще одно судебное разбирательство по тому же вопросу, но уже между компанией и управлением
Роскомнадзора по поводу привлечения компании к ответственности, предусмотренной п. 1 ст. 19.5 КоАП РФ 5 . Постановлением все того же мирового судьи судебного участка № 4 Левобережного района г. Воронежа от 16.03.2011 дело опять-таки было прекращено в связи с отсутствием состава правонарушения. Однако Решением от 04.05.2011 Левобережного районного суда г. Воронежа оно было отменено. Приведем цитату из текста данного судебного акта.Из материалов дела следует и не оспаривалось правонарушителем, что ОАО «Воронежская энергосбытовая компания» через ФГУП «Почта России» осуществляет рассылку платежных документов (квитанций) по уплате потребителями платежей за потребленную электроэнергию, в которых содержатся сведения о фамилии, инициалах получателя (потребителя электроэнергии), его почтовый адрес, номер лицевого счета, количество членов семьи, количество комнат, сведения о размере платежа. Платежные документы рассылаются в открытом (неконвертованном виде), что, по мнению суда, является распространением этих данных в нарушение требований конфиденциальности, поскольку допускается возможность ознакомления с персональными данными неограниченного круга лиц. Доводы мирового судьи о том, что отправление платежных документов самому получателю услуг (обладателю персональных данных) через органы почтовой связи не может рассматриваться как распространение персональных данных и нарушение требований конфиденциальности, являются ошибочными, поскольку извещения на оплату электроэнергии не подпадают под понятие почтовых отправлений, установленное ст. 2 Федерального закона от 17.07.1999 № 176-ФЗ «О почтовой связи», и, следовательно, не являются тайной связи.
С тем, что доставка платежных документов в открытом виде (без конверта) образует состав административного правонарушения, предусмотренного ст. 13.11 КоАП РФ , согласен и мировой судья судебного участка № 5 Октябрьского округа г. Липецка (см. Постановление от 17.03.2011 № 5-55/2011). Заметим, что в данном случае к административной ответственности была привлечена управляющая организация, которая поручила специализированной компании (регистрационно-вычислительному центру) ежемесячно изготавливать счета-квитанции для оплаты жилищно-коммунальных услуг и доставлять их населению до почтовых ящиков. Тем не менее именно управляющая организация считается не принявшей необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним неограниченного круга лиц (а это является нарушением ст. 19 Закона о персональных данных ).
Справедливости ради отметим, что встречаются примеры, когда суд вставал на сторону управляющих компаний. Например, Постановлением мирового судьи судебного участка № 14 Правобережного округа г. Липецка от 19.04.2011 № 5-166/2011 было установлено отсутствие состава правонарушения в действиях УК несмотря на то, что платежные документы доставлялись в открытом виде. Существенным обстоятельством явилось то, что УК поручила специализированной компании печатать и доставлять платежные документы до почтовых ящиков потребителей без конвертов. Однако в договоре между ними было указано условие о необходимости соблюдать конфиденциальность персональных данных, впоследствии УК в письменном виде просила специализированную компанию доставлять квитанции в свернутом виде и даже предупреждала ее о расторжении договора в случае несоблюдения его условий (в частности, о защите персональных данных). Этот факт послужил для суда основанием считать УК невиновной в правонарушении. Кроме того, суд согласился с УК в том, что порядок доставки платежных документов, а именно их конвертование или доставка иным способом, требующим затрат, повлияет на размер платы за содержание и ремонт жилого помещения. В одностороннем порядке УК не вправе изменить открытый способ доставки счетов, а собственники помещений не принимали решения об увеличении стоимости и изменении порядка доставки платежных документов.
Вместо резюме
Итак, как мы видим, суды отождествляют доставку платежных документов с передачей персональных данных определенному кругу лиц (по всей видимости, самим получателям). Исходя из этого, требование о принятии мер по защите персональных данных от неправомерного или случайного доступа к ним третьих лиц вполне справедливо. Если УК не готова спорить с Роскомнадзором, у нее есть несколько вариантов обезопасить себя от претензий (все они, кстати, уже применяются на практике). Первый - помещать платежные документы в почтовые конверты, приобрести специальное оборудование для изготовления бесконвертных отправлений (сам платежный документ складывается и запечатывается, часть документа с персональными данными оказывается внутри) либо доставлять платежные документы лично в руки получателям под роспись. Второй - получить согласие граждан на доставку платежных документов в почтовые ящики в открытом виде. Это наиболее популярный вариант для УК, у которых недостаточно средств на реализацию первого. Однако анализ Закона о персональных данных применительно ко второму варианту действий выявляет некоторые несостыковки. Поясним.
Напомним, что согласие на обработку (в том числе на передачу) персональных данных в целях исполнения договора получать не нужно. О том, что доставка платежных документов осуществляется в целях исполнения договора управления МКД, можно и не спорить. Получается, что, требуя согласие граждан на доставку счетов без конвертов, УК (оператор) просит согласие на то, на что имеет право по закону. Есть смысл спрашивать такое согласие только на осуществление конкретной операции с персональными данными, которая не необходима в целях исполнения договора, например, как уже говорилось выше, на передачу данных третьему лицу с целью взыскания долгов. Впрочем, если опять-таки считать, что доставка платежных документов является распространением персональных данных (действием, направленным на раскрытие персональных данных неопределенному кругу лиц), такое согласие может решить проблему. Получив его, оператор выполнит требование ст. 7 Закона о персональных данных (запрет на распространение данных без согласия субъекта). При этом нужно помнить, что согласие субъекта персональных данных должно соответствовать нормам ст. 9 Закона о персональных данных (в противном случае оно незаконно). При наличии согласия на раскрытие данных неопределенному кругу лиц, казалось бы, теряет смысл требование п. 1 ст. 19 Закона о персональных данных в части защиты таких данных от неправомерного или случайного доступа к ним третьих лиц. Действительно, все, кто получил такой доступ, входят в неограниченный круг лиц, раскрывать данные которым можно на основании специального согласия самого субъекта. Тем не менее у УК при доставке платежных документов без конвертов нет цели (а обработка персональных данных подра-зумевает определение цели) раскрыть их неограниченному кругу лиц. Получается, что п. 1 ст. 19 Закона о персональных данных продолжает действовать, а непринятие мер по обеспечению безопасности персональных данных по-прежнему является нарушением закона. Поэтому можно прийти к выводу, что рассматриваемое согласие граждан на доставку платежных документов без конвертов, по сути, ничего не меняет в решении проблемы.
Вместе с тем существует иное мнение по рассматриваемому вопросу, не совпадающее с позицией Роскомнадзора. Оно базируется на положении о том, что доставка (рассылка) платежных документов в бумажном виде не охватывается действием Закона о персональных данных . Пункт 1 ст. 1 этого документа гласит: законом регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств , если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации , то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным . Доставка счетов - чисто «ручная» операция, не соответствующая характеру операций, совершаемых с использованием средств автоматизации. Кроме того, при доставке корреспонденции персональные данные никому не раскрываются. Тем не менее, отмечают приверженцы данной позиции, обеспечивать безопасность персональных данных все же необходимо. Для этого как раз достаточно опустить платежный документ в почтовый ящик (оставлять пачку счетов на подоконнике в подъезде недопустимо, поскольку тогда персональные данные действительно не будут защищены от случайного к ним доступа). Вопросы безопасности персональных данных, содержащихся в платежных документах, после их помещения в почтовый ящик уже вне зоны ответственности оператора (УК). И хотя на УК как на лицо, обязанное обеспечивать надлежащее содержание общего имущества, возложена ответственность за сохранность общего имущества, в том числе абонентских почтовых шкафов 6 , она не в силах противостоять неправомерному намеренному доступу третьих лиц в почтовые ящики и обеспечить сохранность почтовых отправлений и иной корреспонденции (в частности, платежных документов). В этом смысле совершенно никакой роли не играет, будет ли платежный документ помещен в конверт: при наличии у кого-либо умысла на неправомерное получение доступа к персональным данным рассылка счетов в закрытом виде (в конверте) не будет препятствовать реализации этого умысла. Обеспечить безопасность персональных данных в этой ситуации можно, например, путем отправки платежных документов заказными почтовыми отправлениями с уведомлением о вручении либо доставкой курьером лично в руки субъекту персональных данных. А таких требований, к слову, проверяющие не выдвигают.
Подведем итог. УК и ТСЖ обязаны представлять платежные документы по умолчанию на бумажном носителе. Закон не регламентирует конкретный способ доставки счетов потребителям, традиционно они помещаются в почтовые ящики. Существует мнение, что рассылка платежных документов в открытом виде не соответствует требованиям конфиденциальности при обработке персональных данных и не обеспечивает безопасность этих данных. Поэтому органы Роскомнадзора выдают предписания УК устранить нарушения, а прокуроры возбуждают дела об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ . Большинство из имеющихся (немногочисленных) в распоряжении автора судебных актов говорят о том, что рассылка счетов без конвертов незаконна. Тем не менее есть и противоположная точка зрения, согласно которой наличие конверта не убережет от неправомерного доступа к персональным данным в счете, помещенном в почтовый ящик, поэтому конвертование бессмысленно.
_________________________
- Федеральный закон от 27.07.2006 № 152-ФЗ.
- См. статью О. В. Давыдовой «С переуступкой права требования по долгам жильцов коллекторам надо быть осторожнее!» (№ 9, 2011).
- См. статью А. Б. Вифлеемского «Правомочность деятельности информационно-расчетных центров в сфере ЖКХ» (№ 11, 2009).
- Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
- Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства.
- Почтовые ящики могут быть отнесены к общему имуществу собственников помещений в МКД либо к частной собственности каждого из жильцов (см. статью Н. В. Сергеевой «Батареи и почтовые ящики - общее имущество?» (№ 8, 2009).
Вопрос правомерности предоставления по запросам различных органов документов, содержащих персональные данные собственников помещений многоквартирных домов, потребителей коммунальных услуг, проживающих в управляемых домах, всегда волновал специалистов УО, ТСЖ, ЖСК. С появлением обязанности исполнителей коммунальных услуг размещать персональные данные в ГИС ЖКХ, актуальность вопроса существенно возросла.
Одновременное наличие запрета на распространение персональных данных, установленного Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон 152-ФЗ), и обязанности по размещению персональных данных в ГИС ЖКХ, установленной Федеральным законом от 21.07.2014 № 209-ФЗ «О ГИС ЖКХ», приводит к возникновению сомнений в законности как действий, так и бездействия УО, ТСЖ, ЖСК. Попробуем разрешить эти сомнения.
В соответствии со ст.3 Закона 152-ФЗ:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Таким образом, мы видим, что любые сведения о потребителе жилищно-коммунальных услуг (далее — ЖКУ) являются его персональными данными. Сказать конкретно, какие данные являются персональными, а какие не являются, сложно, так как закон очень широко определяет понятие персональных данных, включая в их число любую информацию о гражданине. В таком случае можно сделать вывод о том, что помимо фамилии, имени, отчества, сведений о семье, работе, профессии, прочих данных, сведения о квартире, размере долга за ЖКУ и прочие косвенные сведения о потребителе являются его персональными данными, а на оператора персональных данных возлагается обязанность по обеспечению их защиты и сохранности. Деятельность УО подпадает под понятие «обработка персональных данных», так как УО осуществляют сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Следовательно, УО являются операторами персональных данных и на них распространяются требования и правила указанного закона в части обработки персональных данных, их систематизации, хранения, передачи и т.п.
Для того, чтобы начать деятельность по обработке персональных данных, оператор должен выполнить два условия:
Требование № 1
Получить согласие субъекта персональных данных в соответствии со ст.9 Закона 152-ФЗ:
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
В указанной статье предъявляются и требования к такому согласию (ч.4 ст.9 Закона 152-ФЗ):
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Требование № 2
Принятие мер по обеспечению безопасности персональных данных при их обработке, требования к объёму и порядку применения которых установлены ст.19 Закона 152-ФЗ
Есть ещё одно требование к оператору персональных данных — подача в Роскомнадзор специального уведомления по форме о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи (ст.22 Закона 152-ФЗ).
В соответствии с ч.2 ст.22 Закона 152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных (извлечение а части относящихся к деятельности УО случаев):
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
С точки зрения жилищного законодательства деятельность УО осуществляется на основании договора управления. В этом случае (наличие договора) ч.2 ст.22 Закона 152-ФЗ позволяет УО осуществлять обработку персональных данных без уведомления Роскомнадзора. Сложнее обстоит дело с ТСЖ и ЖСК, поскольку эти организации не заключают договор с потребителем в обязательном порядке. Так в соответствии с ПП РФ от 06.05.2011 N354 ТСЖ обязано заключить договор на предоставление коммунальных услуг со всеми потребителями, однако понудить несогласных потребителей заключить договоры ТСЖ не может. Кроме того, договор предоставления коммунальных услуг охватывает не все элементы деятельности ТСЖ/ЖСК, требующие обрабатывать персональные данные.
Помимо коммунальных услуг ТСЖ/ЖСК оказывают услуги по содержанию жилья. На эти услуги ТСЖ заключает договоры с только собственниками, помещений, не являющимися членами ТСЖ (ст.155 ЖК РФ). В отношении ЖСК требования по заключению таких договоров вообще не установлены. Таким образом, исходя из требований Закона 152-ФЗ и отсутствии договоров с частью (или всеми) субъектов персональных данных, ТСЖ и ЖСК обязаны уведомлять Роскомнадзор о начале своей деятельности по обработке персональных данных.
По сути весь Закон 152-ФЗ направлен на защиту субъекта персональных данных от передачи его данных третьим лицам без его согласия. По общему правилу передача данных невозможна без согласия субъекта персональных данных, но из этого правила есть исключения.
Исключение № 1
В соответствии со ст. 155 ЖК РФ:
2. Плата за жилое помещение и коммунальные услуги вносится на основании:
1) платежных документов (в том числе платежных документов в электронной форме, размещенных в системе), представленных не позднее первого числа месяца, следующего за истекшим месяцем, если иной срок не установлен договором управления многоквартирным домом либо решением общего собрания членов товарищества собственников жилья, жилищного кооператива или иного специализированного потребительского кооператива;
2) информации о размере платы за жилое помещение и коммунальные услуги, задолженности по оплате жилых помещений и коммунальных услуг, размещенной в системе или в иных информационных системах, позволяющих внести плату за жилое помещение и коммунальные услуги. Информацией о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилых помещений и коммунальных услуг являются сведения о начислениях в системе, сведения, содержащиеся в представленном платежном документе по адресу электронной почты потребителя услуг или в полученном посредством информационных терминалов платежном документе.
2.1. Платежные документы, информация о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилых помещений и коммунальных услуг подлежат размещению в системе в срок, предусмотренный частью 2 настоящей статьи.
2.2. В случае неразмещения платежных документов и информации о размере платы за жилое помещение и коммунальные услуги, задолженности по оплате жилого помещения и коммунальных услуг в системе в срок, предусмотренный частью 2 настоящей статьи, граждане и организации вносят плату за жилое помещение и коммунальные услуги до десятого числа месяца, следующего за истекшим месяцем, в котором были размещены платежные документы и указанная информация в системе.
2.3. Информация о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилого помещения и коммунальных услуг, размещенная в системе, должна соответствовать сведениям, содержащимся в платежном документе, представленном в соответствии с пунктом 1 части 2 настоящей статьи. При несоответствии сведений, содержащихся в платежном документе, представленном в соответствии с пунктом 1 части 2 настоящей статьи, информации о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилого помещения и коммунальных услуг, размещенной в системе, достоверной считается информация, размещенная в системе.
Таким образом, размещение платежного документа в ГИС ЖКХ, информации о размере задолженности, не является нарушением Закона 152-ФЗ.
Исключение № 2
В соответствии с ч. 16 статьи 155 ЖК РФ:
При привлечении лицами, указанными в части 15 настоящей статьи, представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется.
Таким образом, передача персональных данных в расчетные центры для изготовления квитанций, осуществления расчётов и т.п. также не будет являться нарушением Закона 152-ФЗ.
Исключение № 3
Предоставление персональных данных по запросам органов власти, при исполнении иных установленных законом обязанностей оператора персональных данных передавать информацию в органы власти. За непредоставление органам власти сведений, предоставление которых установлено законом (например, реестр членов ТСЖ) влечет за собой административную ответственность по ст. 19.7 КоАП РФ:
Непредоставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьей 6.16, частями 1, 2 и 4 статьи 8.28.1, частью 2 статьи 6.31, частью 4 статьи 14.28, статьями 19.7.1, 19.7.2, 19.7.2-1, 19.7.3, 19.7.5, 19.7.5-1, 19.7.5-2, 19.7.7, 19.7.8, 19.7.9, 19.7.12, 19.8, 19.8.3 настоящего Кодекса, —
влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.
Передача персональных данных в иных случаях, не подпадающих под описанные три исключения, возможна только с согласия субъекта персональных данных. Например, на рынке услуг появились организации предлагающие услуги по раскрытию информации на ГИС ЖКХ или в соответствии со Стандартом раскрытия информации на reformagkh.ru, если, например, у УО или ТСЖ не хватает времени или знаний, умений для раскрытия информации на портале. Предоставление персональных данным таким организациям возможно только по согласию потребителей, что в реальности очень сложно получить. Кроме того, передача данных и документов о должнике привлекаемому по договору юристу (не штатному, не являющемуся работником УО или ТСЖ) для подачи иска в суд, также потребует согласия должника на передачу информации о нем юристу.
Существует ответственность за нарушение Закона о защите персональных данных, а именно ст. 13.11. КоАП РФ:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) —
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
Однако, на сегодняшний день количество обращений субъектов персональных данных в контролирующие органы с жалобами о нарушений своих прав ничтожно мало, следовательно, количество проверок в этой сфере незначительно, и фактов привлечения к ответственности за нарушения законодательства о персональных данных весьма немного.
В общем, как писал еще М.Е.Салтыков-Щедрин: «Строгость российских законов смягчается необязательностью их исполнения ».
В области обработки персональных данных
Вопрос: Что включает в себя понятие конфиденциальности?
Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?
Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.
Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.
Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.
Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?
Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.
Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?
Ответ: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
В случае соответствия веб-сайта указанным требованиям он является информационной системой.
Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?
Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.
Вопрос: Необходимо ли согласие субъектов персональных данных (граждан) в случае передачи персональных данных граждан третьему лицу (РКЦ) обслуживающей многоквартирный дом Управляющей компании для формирования квитанций на оплату ЖКУ? Правомерны ли в данном случае действия Управляющей компании?
Ответ: В соответствии со ст. 3 Федерального закона от 27.07.2006 "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Следовательно, Управляющая компания является оператором, осуществляющим обработку персональных данных граждан.
В соответствии с ч. 3 ст. 6 настоящего закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Таким образом, в силу договорных отношений, возникших между Управляющей компанией и РКЦ, осуществляющей начисление платы за ЖКУ и выпуск квитанций, в силу исполнения требований жилищного законодательства, предоставление одной организацией персональных данных жильцов дома другой организации является допустимым.
На основании ч. 5 вышеназванной нормы права, в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.
Вопрос : Какие санкции существуют за не представление ответа на запрос уполномоченного органа по защите прав субъектов персональных данных? Необходимо ли указывать в уведомлении об обработке (о намерении осуществлять обработку) персональных данных лечебного учреждения сведения о физических лицах, обратившихся за медицинской помощью в данное лечебное учреждение?
Ответ: Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", а также ведение Реестра операторов, осуществляющих обработку персональных данных на территории РФ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций.
На территории Приморского края таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Приморскому краю - (Управление Роскомнадзора по Приморскому краю).
Для формирования Реестра операторов, осуществляющих обработку персональных данных, Управлением операторам направляются запросы о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.
На основании требования ч. 1 ст. 22 Закона Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ч. 3 ст. 22), за исключением случаев, предусмотренных ч. 2 настоящей статьи Закона.
Оператор в соответствии с ч. 4 ст. 20 Закона обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Непредставление запрашиваемых сведений, а равно представление таких сведений в неполном объеме, является нарушением требований данной статьи Закона и влечет административную ответственность по статье 19.7 КоАП РФ (наложение административного штрафа).
В случае не предоставления или несвоевременного представления вышеуказанных сведений организациями, которым был направлен запрос, государственными инспекторами Управления составляются протоколы об административном правонарушении по ст. 19.7 КоАП РФ и направляются на рассмотрение мировым судьям.
Категории персональных данных - это фамилия, имя, отчество, адрес, паспортные данные, образование, состав семьи, доходы, пол, гражданство, данные пенсионного свидетельства, биометрические данные (фотография), сведения о воинском учете, ИНН, состояние здоровья, контактная информация и т.д. На сайте размещены образцы уведомлений, из которых видно, что указывать в уведомлении сведения о физических лицах, обратившихся за медицинской помощью в лечебное учреждение (пациентам) не нужно, т.к. категории персональных данных, указываемые в данном документе, являются обезличенными. Таким образом, направление в Управление персональных данных по каждому субъекту персональных данных (пациенту) не требуется.
Лечебными учреждениями должен быть решен вопрос о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.
Вопрос ГУЗ «Краевая клиническая больница № 2»: в праве ли данное учреждение спрашивать согласие на обработку персональных данных у пациентов, которые получают медицинские услуги в рамках программы обязательного медицинского страхования?
Ответ: в соответствии с ч. 2 ст. 6 Закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (п. 1); обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (п. 2); обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 3). Обработка специальных категорий персональных данных, касающихся состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона, в т.ч. в случае: обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования (п. 8). При этом операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность и безопасность персональных данных при их обработке (п. 4 ст. 6, ст. 7 Закона).
Вопрос гр. К.: в организации ко дню рождения работников практикуется размещение в общедоступном месте списка работников с указанием их персональных данных. Согласия работников на размещение на стенде их персональных данных не имеется. Являются ли правомерными действия работодателя?
Ответ: ст. 3 Федерального закона «О персональных данных» определяет понятие персональных данных как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных ч. 2 ст. 7 Закона: обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона). Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 Закона). В соответствии со ст. 9 данного Закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва;
7) собственноручную подпись субъекта персональных данных.
Таким образом, размещение в общедоступных местах работодателем списка работников с указанием фамилии, имени, отчества, даты рождения работника без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
Вопрос: Вправе ли должностное лицо, в производстве которого находится дело об административном правонарушении, запрашивать у организаций персональные данные их работников?
Ответ : В соответствии со статьей 28.3 КоАП РФ протоколы об административных правонарушениях составляются должностными лицами органов, уполномоченных рассматривать дела об административных правонарушениях в пределах компетенции соответствующего органа.
Требования к содержанию протокола об административном правонарушении установлены статьей 28.2 КоАП РФ. В частности, в протоколе об административном правонарушении указываются сведения о лице, в отношении которого возбуждено дело об административном правонарушении.
Кроме того, статьей 26.10 КоАП РФ предусмотрено, что орган, должностное лицо, в производстве которых находится дело об административном правонарушении, вправе вынести определение об истребовании сведений, необходимых для разрешения дела. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения. При невозможности представления указанных сведений организация обязана в трехдневный срок уведомить об этом в письменной форме судью, орган, должностное лицо, вынесших определение.
Пунктом 1 части 2 статьи 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» предусмотрена обработка персональных данных на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора без согласия субъекта персональных данных.
Таким образом, должностное лицо органа, уполномоченного составлять и рассматривать протоколы об административном правонарушении вправе в рамках производства по делу об административном правонарушении запрашивать у организаций персональные данные их работников, в отношении которых возбуждено дело об административном правонарушении. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения в порядке, предусмотренном ст.26.10 КоАП РФ .
Вопрос: У нас стоматологический кабинет, сбор персональных данных пациентов производится на бумажных носителях, в электронном виде обрабатываются только снимки с визиографа, доступа к сети Интернет нет. Нужно ли нам оформлять к договору на оказание услуг приложение с согласием на обработку персональных данных пациентов, если у нас база пациентов на бумажных носителях?
Ответ: Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее Закон). Обработка персональных данных допускается в определенных случаях, указанных в части 1 статьи 6 Закона, в том числе, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Обработка специальных категорий персональных данных (часть 1 статьи 10 Закона) также допускается в определенных случаях, в том числе если обработка персональных данных осуществляется в медико- профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (пункт 4 части 2 статьи 10 Закона).
Следовательно, если обработка персональных данных соответствует вышеуказанным статьям Закона и принципам обработки персональных данных, указанных в статье 5 Закона, то согласия на обработку персональных данных не требуется.
Время публикации: 26.10.2011 12:25
Последнее изменение: 05.04.2019 12:53
Передача ТСЖ персональных данных третьим лицам - законно ли?
Прокуратура начала штрафовать ТСЖ/ЖСК/ЖК/УК за передачу персональных данных собственников помещений в многоквартирном доме третьим лицам. Однако в своей работе ТСЖ постоянно сталкиваются с необходимостью сообщать персональную информацию о жильцах ресурсоснабжающими компаниям, вычислительным центрам, которые производят начисление и печать квитанций, юристам, если, например, планируется обращаться в суд с исками о взыскании долга по оплате коммунальных услуг и т.д. Как же быть ТСЖ/ЖСК/ЖК/УК и что нужно, чтобы в соответствии с законом передать персональные данные третьи лицам?
Что такое персональные данные?
Ст. 3 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» дает определение понятия «персональные данные» - это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту персональных данных).
Таким образом, к персональным данным будут отнесены ФИО, адрес регистрации, паспортные данные, сведения о доходах и задолженностях и т.д.
Персональные данные для ТСЖ - какие сведения нужны?
Ст. 15 настоящего Федерального закона говорит о том, что персональные данные должны обрабатываться на законной основе для достижения легитимных целей. Для управления домом, начисления коммунальных услуг, наконец, для получения собственниками этих коммунальных услуг и для осуществления прочих работ ТСЖ/ЖСК/ЖК/УК необходимо производить обработку персональных данных собственников многоквартирного дома (МКД). То есть в данном случае ТСЖ/ЖСК/ЖК/УК выступает в качестве оператора, работающего с персональной информацией.
Кроме того, в обязанность товариществ собственников жилья входит также ведение реестра членов ТСЖ. Согласно ч.4 ст.143 ЖК РФ данный документ должен содержать сведения, которые позволят идентифицировать членов товарищества и осуществлять с ними связь. Кроме того, в реестр необходимо включить информацию о размерах принадлежащих им долей в праве общей собственности на общее имущество в МКД.
ТСЖ самостоятельно определяют, какую информацию о его членах следует занести в реестр. Этих сведений должно быть достаточно для идентификации собственников МКД, и они не должны противоречить действующим правовым актам. В реестры ТСЖ обычно вносится следующая информация: ФИО, адрес, номер квартиры, долю в праве общей собственности на общее имущество в многоквартирном доме.
Могут ли ТСЖ/ЖСК/ЖК/УК передавать персональные данные третьим лицам?
В соответствии со ст. 7 Федерального закона №152, ТСЖ/ЖСК/ЖК/УК не имеют права раскрывать третьим лицам или распространять персональные данные без согласия субъектов персональных данных (членов ТСЖ/ЖСК/ЖК/УК). Следовательно, прежде чем передать персональные сведения в какую-либо организацию, председателю ТСЖ/ЖСК/ЖК/УК необходимо получить письменное согласие с того, на кого эти сведения передаются.
Рекомендации для ТСЖ/ЖСК/ЖК/УК по получению согласия на передачу персональной информации третьим лицам
Получается, что, с одной стороны, для работы (управления домом, начисления коммунальных услуг и т.д.) ТСЖ/ЖСК/ЖК/УК необходимо обрабатывать персональные данные собственников МКД и передавать их ресурсоснабжающим организациям. Чтобы делать это в рамках закона, необходимо получить согласие от субъектов персональных данных - членов ТСЖ/ЖСК/ЖК/УК. С другой стороны, собственники в большинстве случаев неохотно соглашаются на передачу своих персональных данных третьим лицам. Получается замкнутый круг.
Мы рекомендовали бы ТСЖ/ЖСК/ЖК/УК решить этот вопрос на общем собрании собственников, с вопросом на повестке дня о предоставлении разрешения председателю от собственников на обработку и передачу персональных данных, нужных для управления домом. При этом не лишним будет утвердить положение о защите персональной информации. В данном документе указывается, где будут храниться сведения, кто будет иметь к ним допуск и т.д.
Также возможно еще одно решение, наиболее оптимальное, когда ТСЖ/ЖСК/ЖК/УК заключают с каждым собственником МКД соглашение на обработку персональных данных. Председатель ТСЖ/ЖСК/ЖК/УК может лично обойти всех жильцов и собрать подписи, либо предлагать подписывать соглашение, когда собственник обратиться за получением той или иной справки. В данном документе необходимо указать, на какие виды данных выдается согласие на обработку и передачу, обязательно полностью прописать ФИО собственника, паспортные данные, место регистрации. Также можно обозначить цели, для которых собирается информация, например, для заключения договоров с ресурсоснабжающими организациями на получение коммунальных услуг, для заключения договоров на техническое обслуживание, ремонт, капитальный ремонт и т.д.
Если от ТСЖ/ЖСК/ЖК/УК требуют передачи персональных данных - что делать?
В случае, когда государственные органы требуют от ТСЖ/ЖСК/ЖК/УК предоставить персональные данные, например, в соответствии с п. 9 ст. 138 ЖК РФ, то управляющий товарищества собственников жилья может сослаться на Федеральный закон от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг". Из данного документа следует, что органы, предоставляющие государственные или муниципальные услуги, всегда могут получить сведения о собственниках многоквартирного дома по запросу, не прибегая к помощи ТСЖ/ЖСК/ЖК/УК.
Наказание за разглашение персональных данных без согласия собственников
За несоблюдение конфиденциальности персональной информации предусмотрено административное наказание в виде выплаты штрафа. Поэтому, если есть необходимость предоставления персональных данных, сначала нужно получить согласие соответствующих субъектов персональных данных.
