Кемерово8-961-861-02-88
Юрга8 (38451) 4-92-79

Какие обязанности есть у УО, ТСЖ, ЖСК по работе с персональными данными жителей

Актуально на 7 мар 2024

Юлия Копеева, старший эксперт ЮСС «Система Юрист»

Анна Лежнина, главный редактор справочной системы «Управление МКД», член подкомитета ТПП РФ по развитию бизнеса в сфере управления жилой недвижимостью

В рекомендации объединили обязанности управляющей МКД организации как оператора персональных данных. Вы сможете уведомить Роскомнадзор и обеспечить безопасность данных. Используйте разъяснения и шаблоны от экспертов системы УМД.

УО или жилищное объединение становится оператором персональных данных с момента, когда начинает их получать. Выступая в такой роли, управленец обязан выполнять девять функций:

Какие изменения в работе с персональными данными вступают в силу в 2023 году

1 марта 2023 года вступили в силу новые требования к операторам персональных данных (Закон от 14.07.2022 № 266-ФЗ). Теперь операторы обязаны:

Компании получили больше времени, чтобы известить Роскомнадзор об изменении сведений. Раньше на извещение ведомство давало 10 рабочих дней с момента, когда возникли изменения. Когда теперь нужно уведомить Роскомнадзор, разобрали на примере в первом разделе рекомендации.

Роскомнадзор установил правила оценки возможного вреда. Проводить оценку может аудитор по гражданско-правовому договору или сотрудники компании. Результаты оценки оператор обязан оформить актом. Его образец предложили во втором разделе рекомендации.

Компании должны запрашивать разрешение передавать данные заграницу. Теперь Роскомнадзор отслеживает передачу персональных данных граждан России за границу. Информацию, которая убедит Роскомнадзор разрешить передачу, подобрали в третьем разделе.

Ведомство дополнило форму акта об уничтожении данных обязательными видами сведений. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. 

Убедитесь, нужно ли уведомить Роскомнадзор о намерении обрабатывать персональные данные

УО или жилищные объединения обязаны направлять уведомление в Роскомнадзор о намерении обрабатывать персональные данные всегда, за исключением двух случаев:

Уведомить необходимо до начала обработки. До 1 сентября 2022 года также не нужно было уведомлять, если вы, например, исполняете свои обязанности по трудовому законодательству или выполняете работы по договору с собственниками. Теперь это право не работает.

Такие правила предусмотрены частями 1, 2 статьи 22 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ, Закон о персональных данных). Изменения в правила обработки персданных внес Закон от 14.07.2022 № 266-ФЗ.

Проверьте, есть ли ваша организация в реестре Роскомнадзора. Если нет, то обязательно направьте уведомление. Уведомление нужно подать разово, чтобы данные попали в реестр. Если данные из уведомления поменяются, нужно подать об этом информационное письмо.

Ситуация

Какой грозит штраф, если не уведомить Роскомнадзор о намерении обрабатывать персональные данные

Если не уведомить Роскомнадзор о намерении обрабатывать персональные данные, вас могут привлечь к административной ответственности. Максимальный штраф — 5 тыс. руб. (ст. 19.7 КоАП).

Уведомите Роскомнадзор о намерении обрабатывать персональные данные

Чтобы направить уведомление, выполните три действия:

Скачайте форму уведомления, которая необходима для вашей ситуации.

Форму уведомления о намерении обрабатывать персональные данные содержит приложение № 1 к Приказу Роскомнадзора от 28.10.2022 № 180 (далее – Приказ № 180). Роскомнадзор ведет реестр операторов на своем сайте.

В уведомлении для каждои? цели обработки нужно указывать категории персданных и субъектов, чьи данные обрабатываете, правовое основание их обработки и перечень деи?ствии? с этими данными. Такие правила установили в части 3 и 3.1 статьи 22 Закона № 152-ФЗ.

Если сведения в уведомлении о начале обработки данных изменились, или вы прекратили их обрабатывать, об этом также нужно уведомить Роскомнадзор.

Сообщить об изменении нужно не позднее 15-го числа месяца, следующего за месяцем, в котором изменились данные. К примеру, в феврале вы сменили ответственного за организацию обработки персональных данных и поменяли адрес местонахождения. Об этом нужно известить Роскомнадзор до 15 марта. Если прекратили обрабатывать персональные данные, уведомите в течение 10 рабочих дней с даты прекращения обработки (ч. 7 ст. 22 Закона № 152-ФЗ).

Формы уведомлений содержат, соответственно, приложение № 2 и приложение № 3 к Приказу № 180.

Соблюдайте принципы обработки данных

Управляющая МКД организация должна соблюдать семь принципов обработки персональных данных. Их предусматривает статья 5 Закона о персональных данных:

  1. Обрабатывайте данные на законной и справедливой основе (ч. 1).
  2. Соблюдайте конкретные, заранее определенные и законные цели обработки. Нельзя обрабатывать данные, если это несовместимо с целями сбора данных (ч. 2).
  3. Не объединяйте данные, обработку которых проводите в целях, несовместимых между собой (ч. 3).
  4. Обрабатывайте только те данные, которые отвечают целям их обработки (ч. 4).
  5. Проследите, чтобы содержание и объем данных отвечали заявленным целям обработки. Нельзя требовать избыточные данные по отношению к заявленным целям их обработки (ч. 5). Например, интернет-магазин не имеет права требовать скан паспорта или водительских прав.
  6. Обеспечьте точность данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки, а также удаляйте или уточняйте неполные и неточные данные (ч. 6).
  7. Храните персональные данные в форме, которая позволяет определить субъекта персональных данных. Срок хранения может быть установлен законом или договором. Если срок не установлен — не дольше, чем этого требуют цели обработки. По окончании срока данные уничтожьте либо обезличьте (ч. 7).

Обрабатывать данные, только когда это допускает закон

Обрабатывайте данные только в случаях, когда вы получили на это согласие субъекта, если иное не предусмотрено законом. Разъясните собственникам юридические последствия отказа предоставить персональные данные и дать согласие на их обработку.

Внимание

С 1 марта 2021 года согласие на обработку персональных данных не разрешает их распространять, то есть раскрывать неограниченному кругу лиц. Для этого нужно отдельное согласие (ч. 1 ст. 10.1 Закона от 27.07.2006 № 152-ФЗ).

 

Если обрабатывать персональные данные в случаях, которые не предусматривает законодательство, Роскомнадзор оштрафует:

Таков штраф за первое нарушение. Повторное нарушение обойдется дороже:

Наказание установлено частями 1, 1.1 статьи 13.11 КоАП.

Согласие собственника помещения в МКД на обработку персональных данных
(чтобы посмотреть комментарий к тексту, наведите на точку, чтобы скачать – кликните на название шаблона)

Укажите перечень персональных данных, на обработку которых дается согласие субъекта персональных данных (п. 5 ч. 4 ст. 9 Закона от 27.07.2006 № 152-ФЗ "О персональных данных«)

Согласие на обработку персональных данных должно содержать срок, в течение которого оно действует, а также способ его отзыва (п. 8 ч. 4 ст. 9 Закона от 27.07.2006 № 152-ФЗ «О персональных данных»)

Подробнее о том, в каких случаях УО, ТСЖ, ЖК, ЖСК нужно получить согласие для работы с персональными данными и как это сделать, читайте в отдельной рекомендации.

Прописывайте всю необходимую информацию, если поручаете обработку персональных данных третьим лицам

С согласия субъекта персональных данных (потребителя ЖКУ) оператор (УО, ТСЖ, ЖК, ЖСК) вправе поручить обработку персональных данных другому лицу (например, РКЦ).

РКЦ, платежный агент или иная организация, которая обрабатывает персональные данные по поручению УО, ТСЖ, ЖСК, обязаны соблюдать принципы и правила обработки персональных данных. Для такого лица в поручении оператора необходимо прописать восемь видов сведений:

Такие правила предусмотрены в части 3 статьи 6 Закона о персональных данных.

Утвердите локальные акты о персональных данных

Закон не закрепляет перечень документов, которые должны быть в организации для обработки персональных данных. Зато устанавливает три цели, которые должны решать локальные акты (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ):

Разместите политику обработки персональных данных

Обеспечьте неограниченный доступ через Интернет к документу, который определяет вашу политику в отношении обработки персональных данных, и сведениям о том, как вы реализуете требования к защите персональных данных. Сделайте это, в том числе на вашем сайте.

Проверьте, где именно на вашем сайте размещена политика. Политику важно разместить не произвольно на сайте, а, в том числе на страницах, где собираете данные (ч. 2 ст. 18.1 Закона о персональных данных).

Так, суд привлек к административной ответственности УО по статье 13.11 КоАП в том числе за то, что она не опубликовала документ, который определяет политику организации в отношении обработки персональных данных (постановление Ярославского областного суда от 15 февраля 2013 г. № 4А-21/2013).

Роскомнадзор на своем сайте опубликовал рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Воспользуйтесь нашими шаблонами, чтобы не разрабатывать документы самостоятельно.

Политика защиты и обработки
персональных данных

Приказ об утверждении политики защиты
и обработки персональных данных

Совет

на одной странице сайта можно разместить оба документа: политику и сведения о защите данных. На этой же странице можно разместить еще и согласие на обработку персональных данных.

 Если не разместить эти документы на сайте, то Роскомнадзор вправе привлечь к ответственности по части 3 статьи 13.11 КоАП. Максимальный штраф — 60 000 руб.

 

Какие еще локальные акты нужно утвердить 

Оператор персональных данных также должен утвердить:

Предоставьте доступ к персональным данным их владельцам

Предоставьте данные их владельцу или Роскомнадзору в течение 10 рабочих дней с даты получения запроса. Срок можно продлить, но не более чем на пять рабочих дней. Для этого направьте  владельцу персональных данных  мотивированное уведомление с причинами, по которым нужно продлить срок (ч. 1 и 4 ст. 20 Закона о персональных данных). 

По общему правилу любое лицо вправе запросить у оператора сведения о себе и другую информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных. Например, правовые основания и цели обработки персональных данных. Исключения устанавливает часть 8 статьи 14 Закона о персональных данных. Так, оператор не обязан предоставлять данные, которые получил в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности.

Уточните, заблокируйте или уничтожьте персональные данные по требованию владельца

Уточнить, заблокировать или уничтожить персональные данные нужно по требованию от субъекта, если данные попадают хотя бы под один из случаев (ч. 1 ст. 14 Закона о персональных данных):

Сроки уточнения, блокирования или уничтожения зависят от оснований для выполнения этих действий и установлены статьей 21 Закона о персональных данных. Так, уточнить неточность нужно в течение семи рабочих дней, а прекратить неправомерную обработку — в течение трех дней.

Укажите адрес электронной почты, по которому субъект персональных данных может обратиться, чтобы его данные уточнили или удалили. Если специального адреса нет, то лицо отправит запрос на общую почту, которую указали на сайте в разделе «Контакты». В этом случае нужно контролировать, чтобы письмо не потерялось в общей почте.

Обеспечьте безопасность персональных данных при их обработке

Примите необходимые правовые, организационные и технические меры, чтобы защитить персональные данные:

Обязанность принять меры для защиты данных предусматривает часть 1 статьи 19 Закона о персональных данных.

Меры безопасности зависят от способа обработки данных.

Способ 1. Автоматизированная обработка.

Чтобы определить, какие меры безопасности применять, оператор должен:

1) установить тип угрозы.

Выделяют три типа угрозы, которые создают актуальную опасность несанкционированного и случайного доступа к персональным данным при их обработке (п. 6 требований к защите персональных данных при их обработке в информационных системах персональных данных, которые утвердило Правительство РФ  постановлением от 1 ноября 2012 г. № 1119; далее — Требования № 1119).

Тип угрозы оператор определяет сам (п. 7 Требований № 1119 );

2) установить уровень защищенности.

Исходя из типа угрозы и вида персональных данных, оператор применяет один из четырех уровней их защиты (п. 8 Требований № 1119 );

3) принять организационно-технические меры, которые предусмотрены для своего уровня защищенности.

Перечень таких мер содержат:

Способ 2. Неавтоматизированная обработка.

Если персональные данные проходят неавтоматизированную обработку:

Меры по обеспечению безопасности персональных данных при их обработке предусмотрены пунктами 13–15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, которое утвердило Правительство РФ  постановлением от 15 сентября 2008 г. № 687 (далее — Положение № 687).

Внимание

есть риск, что оператора оштрафуют, если он не обеспечит безопасность персональных данных при неавтоматизированной обработке. Роскомнадзор вправе привлечь оператора к ответственности по части 6 статьи 13.11 КоАП. Максимальный штраф — 100 000 руб.

 

2 Оператор сам определяет:
— перечень мер, которые необходимы для обеспечения таких условий;
— порядок их принятия;
— перечень лиц, которые несут ответственность за реализацию указанных мер.

Назначьте ответственного

Назначьте ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1 , ч. 1 ст. 22.1 Закона о персональных данных). Утвердите его приказом.

Приказ о назначении ответственного лица по работе с персональными данными
(чтобы посмотреть комментарий к тексту, наведите на точку, чтобы скачать – кликните на название шаблона)

Оператор должен назначить лицо, которое будет отвечать за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона от 27.07.2006 № 152-ФЗ «О персональных данных»; далее — Закон о персональных данных)

Унифицированной формы приказа нет, поэтому его составляют в произвольной форме

Закон устанавливает обязанности ответственного лица (ч. 2 и 4 ст. 22.1 Закона о персональных данных). Оно должно:
— выполнять указания непосредственно от исполнительного органа организации;
— отчитываться перед таким органом;
— контролировать, чтобы в организации все соблюдали законодательство о персональных данных, в том числе требования к защите персональных данных;
— организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) контролировать прием и обработку таких обращений и запросов

Как правило, назначают два ответственных лица.

Первое лицо — работник службы персонала в отношении данных сотрудников.

Второе лицо — сотрудник, который обрабатывает персональные данные жителей в МКД, например бухгалтер.

Ответственное лицо обязано (ч. 2 и 4 ст. 22.1 Закона о персональных данных):

Оцените возможный вред

Чтобы обеспечить достаточный уровень безопасности персональных данных, оператор должен провести оценку вероятного вреда (п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ). Вред может возникнуть, если оператор нарушит Закон № 152-ФЗ.

Приказом от 27.10.2022 № 178 Роскомнадзор установил правила оценки вреда для данных, которые оператор автоматизировано обрабатывает. Правила действуют 6 лет: с 1 марта 2023 до 1 марта 2029 года. Для данных, которые оператор обрабатывает на бумаге, обязательных правил оценки вреда нет, оператор вправе оценивать вред произвольно.

В приказе Роскомнадзор закрепил три степени рисков: высокий, средний или низкий. К какой степени риска отнести действия оператора при работе с персональными данными, разобрали в таблице.

Таблица 4. Какие критерии оценки вреда субъектам персональных данных выделяет Роскомнадзор

Степень вреда*

Действия компании

Высокая

Обрабатывает биометрические персданные

Обрабатывает специальные категории персональных данных

Обрабатывает персональные данные несовершеннолетних

Поручает иностранному гражданину или организации обработку персональных данных

Собираете персональные данные с использованием баз данных, которые находятся за пределами России

Средняя

Предоставляет персональные данные неограниченному кругу лиц

Обрабатывает персональные данные в целях, о которых не уведомила Роскомнадзор

Продвигает товары, работы, услуги с помощью чужих баз данных

Получает согласие на обработку персональных данных через Интернет без идентификации субъекта

Обрабатывает персональные данные в целях, несовместимых между собой

Низкая

Ведет общедоступные источники персональных данных

Назначила ответственным за обработку персональных данных внештатного сотрудника

*Если нарушения оператора могут причинить гражданину вред разных степеней, надо учитывать более высокую

Результаты оценки вреда следует оформить актом в электронной или бумажной форме. Для электронной понадобится электронная подпись. Вероятнее всего, усиленная квалифицированная, но закон этого не уточняет.

Акт оценки возможного вреда субъектам персональных данных

Проводить оценку вреда и составлять акты должны ответственные за организацию обработки персональных данных либо комиссия из сотрудников (приказ Роскомнадзора от 27.10.2022 № 178).

Ограничьте доступ к персональным данным

Чтобы защитить персональные данные от утечки, оператор должен контролировать тех, кто имеет к ним доступ. Для этого необходимо обеспечить физическую безопасность информации и регулировать доступ к данным на бумаге. Установить порядок доступа к данным нужно регламентом в свободной форме.

Регламент о допуске работников к обработке персональных данных

С регламентом нужно ознакомить под подпись всех новых и старых сотрудников компании. Так они будут знать, что делать, если доступа к данным у них нет, но получить информацию о клиенте нужно.

Дать доступ к персональным данным нужно приказом в свободной форме. В приказе должен быть перечень с Ф.И.О. работников, а не список должностей. При смене сотрудника нужно внести изменения в приказ. В противном случае Роскомнадзор выдаст предписание изменить перечень (постановление Четырнадцатого арбитражного апелляционного суда от 21.01.2013 по делу № А44-5910/2012). К сотрудникам, которым нужно дать доступ к данным клиентов, относятся, например, юристы-договорники (п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687). С каждого, кто получил доступ к данным, нужно взять письменное обязательство об их неразглашении.

В должностных инструкциях сотрудников с доступом к персональным данным нужно зафиксировать, что сведения нельзя разглашать. Только тогда вы сможете уволить сотрудника за разглашение (ст. 90 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2).

Если допуск получил человек, которого не было в приказе, его нужно внести в журнал учета выданных персональных данных. Например, сотрудников компаний или ИП, которые обрабатывают данные по заказу оператора.

Примите технические меры

Предотвратить утечку, если сотрудники решат нарушить Положение о работе с персональными данными, помогут технические меры. Перечня технических мер закон не устанавливает. Какие меры нужно использовать зависит от того, как компания хранит данные: в электронном или бумажном виде. Меры, которые операторы применяют чаще всего, указали в таблице. 

Таблица 5. Какие технические меры можно принять для защиты персональных данных

Вид технических мер

Способ защитить

Физический

Замки

Жалюзи

Системы контроля и управления доступом

Сейфы

Видеонаблюдение

Аппаратный

Межсетевые экраны

Генераторы шума

Аппаратные регистры паролей

Криптографический

Защищенное соединение

Крипто-шлюзы

Архиваторы

Программный

Пароли

Антивирусы

Резервное копирование

Системы обнаружения и предотвращения вторжений

Средства доверенной нагрузки

Прокси-серверы

Организуйте аудит

Проверить, как в компании работают меры защиты персональных данных, поможет аудит. Проводить аудит обязан каждый оператор. Процедуру аудита можно утвердить отдельным локальным актом, например, Положением об аудите, или включить в Положение о защите персональных данных. В документе необходимо зафиксировать предмет проверки, ее способ, процедуру и правила оформления результатов.

Ответственным за проведение аудита может быть сотрудник оператора или сторонняя компания. Назначить ответственного за аудит сотрудника нужно приказом в свободной форме. Как это сделать, рассказали в разделе про ответственного за обработку персональных данных. Чтобы оператор мог заказать аудит у сторонней организации, нужно предусмотреть эту возможность в локальные акты компании. С организацией-аудитором нужно заключить гражданско-правовой договор, например, об оказании услуг. В договоре должно быть условие о том, что оператор получит от аудитора документ с результатами проверки, например, заключение, отчет или акт.

Нарушения из отчета об аудиторской проверке устраняют сотрудники оператора по его приказу. После устранения нарушений рекомендуем составить акт об этом.

При проверке Роскомнадзора локальные акты об аудите, и отчет аудитора или ответственного сотрудника подтвердят, что компания предпринимала меры по защите персональных данных (ст. 18.1 Закона № 152-ФЗ).

Уведомите, что ведете видеосъемку

Получите письменное согласие граждан на видеосъемку или предупредите посетителей публичных мест о видеосъемке. Это можно сделать текстовыми или графическими предупреждениями. При таких условиях согласие субъектов на видеосъемку не требуется.

Видеозапись относится к биометрическим персональным данным. На это указал Роскомнадзор. Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ч. 1 ст. 11 Закона о персональных данных). Такие сведения можно обрабатывать только с согласия граждан. Исключения перечисляет часть 2 статьи 11 Закона о персональных данных. Например, согласие не требуется в случаях, которые предусмотрело законодательство об обороне, о безопасности, о противодействии терроризму.

Примите меры, если выявили неправомерную передачу данных

В Роскомнадзор необходимо сообщить, если выявили факт неправомерной или случайной передачи, предоставления, распространения, доступа к персональным данным и это повлекло нарушение прав субъектов персональных данных.

У вас есть 24 часа, чтобы уведомить:

Отдельно необходимо сообщить результаты внутреннего расследования выявленного инцидента и предоставить сведения о лицах, действия которых стали его причиной (при наличии). Такую информацию предоставьте в течение 72 часов с момента инцидента.

Такой порядок предусматривает часть 3.1 статьи 21 Закона о персональных данных.

Организуйте хранение персональных данных 

Есть шесть общих требований к порядку хранения персональных данных:

  1. Персональные данные нужно хранить столько, сколько достаточно для обработки.
  2. Данные нужно хранить так, чтобы можно было определить субъекта.
  3. Если персональных данных не хватает для обработки или они неточные, то оператор обязан их уточнить или удалить.
  4. Если есть базы данных с разными персональными данными, которые собирали для разных целей обработки, их нельзя объединять.
  5. После обработки персональных данных их нужно уничтожить или обезличить.
  6. Если передаете персональные данные субъекта в другую страну, удостоверьтесь, что там есть подходящая система защиты, а субъект дал на это отдельное согласие.

Порядок, как хранить персональные данные, зависит от вида данных. Для информации на бумаге и в электронном виде правила различаются. Порядок хранения персональных данных и требования к местам хранения можете закрепить в отдельном локальном акте, например в Положении о порядке хранения и защиты персональных данных пользователей или включить разделом в Положение о защите персональных данных.

Бумажные документы

Бумажные документы с персданными храните в сейфах, металлических шкафах или специальных помещениях. Документы воинского учета храните только в металлических шкафах. Такое требование установили в пункте 21 Методических рекомендаций, утв. Минобороны 11.07.2017.

Персональные данные, которые обрабатываете в разных целях, храните отдельно друг от друга. Так, храните отдельно документы, которые собираете для того, чтобы выполнять услуги и работы по управлению МКД, обеспечить личную безопасность сотрудников от документов, которые собираете для того, оформить трудовой договор, подать сведения в СФР и другие госорганы и пр. (п. 14 положения, утв. постановлением Правительства от 15.09.2008 № 687).

Затем организуйте режим доступа в помещения, где храните персданные. Для этого утвердите перечень лиц, которые обрабатывают персданные и имеют доступ к документам. Перечень таких работников закрепите в отдельном приказе или локальном акте, например, в Положении о защите персональных данных. Затем возьмите у каждого работника письменное обязательство о том, что они не имеют права разглашать персданные. Такое требование установили в п. 7 ст. 86 ТК, п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687.

Работодатель решает сам, как установить режим охраны помещений, где хранят персданные сотрудников. Например, можете оборудовать кабинет сигнализацией, металлическими самозакрывающимися дверьми или установить карточную систему доступа в кабинет (ч. 1, 2 ст. 19 Закона от 27.07.2006 № 152-ФЗ, ст. 87 ТК).

Следите за тем, чтобы на столе не было документов с персданными других работников, когда приглашаете в кабинет посетителей. На рабочем столе держите только те документы, с которыми работаете в настоящий момент, остальные храните в запертом шкафу.

Хранить персональные данные можно не дольше, чем это нужно для цели их обработки или сколько определяет закон. Например, согласие на обработку данных оператор обязан хранить в течение срока его действия, а после архивирования — еще три года (ст. 441 перечня, утв. приказом Росархива от 20.12.2019 № 236).

Электронные документы

В электронном виде документы храните так, чтобы посторонние лица не могли получить к ним доступ. Чтобы выполнить это требование, проконсультируйтесь с ИТ-специалистами. Они подскажут, как правильно хранить документы в электронном виде с учетом специфики вашей компании. Требования к защите персональных данных при их обработке в информационных системах устанавливает постановление Правительства от 01.11.2012 № 1119.

Проследите, чтобы к базе доступ получили только сотрудники с правом обрабатывать персональные данные. Для каждого такого сотрудника создайте индивидуальный логин и пароль. Программа автоматически сохранит информацию о лице, которое обработало персональные данные в электронной базе.

Советуем создавать резервную копию электронной базы и хранить ее на флешке или внешнем жестком диске, чтобы сохранить информацию.

Хранить электронные копии личных документов сотрудников закон также не позволяет. Если Роскомнадзор при проверке обнаружит сканы, например, паспортов, дипломов и военных билетов, компанию оштрафуют так же, как если бы вы хранили эти копии на бумаге.

Роскомнадзор опубликовал рекомендации операторам персональных данных по их хранению. Как теперь хранить сведения о сотрудниках и жителях, посмотрите в памятке.

Когда оператор достигает цели обработки, он должен уничтожить или обезличить данные (п. 7 ст. 5 Закона № 152-ФЗ). Как уничтожить персональные данные, рассказали в следующем разделе.

Фиксируйте уничтожение персональных данных

Все компании должны подтверждать уничтожение персональных данных.

Чтобы уничтожить документы, которые содержат персональные данные, необходимо создать комиссию из сотрудников компании. В ее состав должен войти работник, ответственный за обработку персональных данных. Состав, полномочия комиссии и срок, в который необходимо уничтожить данные, руководитель компании должен зафиксировать в приказе.

Приказ об уничтожении персональных данных

Уничтожить персональные данные необходимо в присутствии всех членов комиссии. Данные на бумаге, можно, например, измельчить в шредере или сжечь. Информацию в электронном виде – стереть или уничтожить сам носитель (п. 8 ст. 3 Закона от 27.07.2006 № 152-ФЗ).

После того как оператор уничтожил данные, он должен составить акт за подписью комиссии. В акт об уничтожении персональных данных нужно внести 10 обязательных видов сведений. 

Акт об уничтожении персональных данных

Если оператор обрабатывает данные с использованием средств автоматизации он обязан, помимо акта, составить выгрузку сведений из журнала регистрации событий в информационной системе персональных данных. В выгрузке нужно указать: Ф. И. О. субъекта, перечень категорий данных, наименование информационной системы, причину и дату уничтожения данных (п. 5 Требований, утв. приказом Роскомнадзора от 28.10.2022 № 179).

Документы об уничтожении придется хранить три года (приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»).

Об уничтожении персональных данных по запросу Роскомнадзора или субъекта, оператор обязан сообщить ведомству уведомлением в свободной форме (ч. 3 ст. 21 Закона №152-ФЗ). 

Уведомление об уничтожении персональных данных клиентов

Порядок уничтожения персональных данных оператор вправе закрепить в локальном акте, например, положении о порядке уничтожения персональных данных. Назвать документ можно как угодно. Он должен закрепить, в каких случаях и как компания уничтожает персональные данные.

Положение о порядке уничтожения персданных

© Материал из Справочной системы «Управление многоквартирным домом»
https://1umd.ru
Дата копирования: 07.03.2024