После публикации письма Роскомнадзора от 16 сентября 2022 г. № 08 – 84259 некоторые наши читатели и подписчики были встревожены новыми обязанностями инициатора общего собрания, как лица, которое обрабатывает персональные данные собственников.
О чем речь
ФИО и адрес собственников – это персональные данные. При проведении собрания и оформлении протокола осуществляется обработка этих данных.
Лица, которые обрабатывают персональные данные, называются операторами.
Чаще всего роль оператора играют инициаторы собрания, но также это могут быть председатель, секретарь, члены счетной комиссии.
У оператора есть обязанности, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Например, он должен уведомлять РКН об обработке персональных данных и прекращении этой обработки (статья 22).
Раньше закон предусматривал множество исключений из этой обязанности, поэтому инициатор собрания мог никого ни о чем не уведомлять.
Однако с 1 сентября 2022 года перечень исключений сильно сократился. Теперь в большинстве случаев операторы должны направить уведомления в РКН.
Одно из оставшихся исключений – обработка данных без использования средств автоматизации. Однако инициатор работает как с бумагами, так и с файлами на компьютере. Последнее считается автоматизированной обработкой персональных данных.
Теоретически возможен сценарий, когда инициатор получает полнейший реестр собственников от управляющей компании, на компьютере печатает неименные бюллетени, а также остальные части и приложения протокола без персональных данных, а потом все они заполняются ручкой, при этом подсчет голосов происходит тоже на бумаге, и дальше инициатор игнорирует свою обязанность по загрузке протокола в ГИС ЖКХ. В таком случае обработку можно было бы считать неавтоматизированной и не уведомлять РКН. Но такой вариант маловероятен, поэтому разбираемся с уведомлениями дальше.
Дополнительные разъяснения Роскомнадзора
Мы направили в РКН два обращения с просьбой о дополнительном разъяснении обязанности инициатора общего собрания собственников уведомлять Роскомнадзор об обработке персональных данных.
Вот что написало ведомство в своих двух ответах от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.
- Обязанность по направлению уведомления об обработке персональных данных возлагается, в том числе на физическое лицо – инициатора общего собрания, независимо от формы проведения общего собрания (спрашивали про собрания в ГИС ЖКХ).
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации (спрашивали про эти программы).
- Поручение оператора на обработку данных другому лицу не отменяет возложенную на оператора обязанность по уведомлению об обработке (спрашивали про подготовку документов с помощью сторонних юристов или сервисов).
- В случае прекращения обработки персональных данных оператору необходимо направить уведомление о прекращении обработки персональных данных (спрашивали про прекращение обработки).
Итак, РКН ничего обнадеживающего не написал, поэтому придется направлять два уведомления – о начале обработки и ее прекращении.
Отправка уведомлений об обработке персональных данных
Формы уведомлений: сейчас действуют утвержденные формы уведомлений (приказ РКН от 28.10.2022 № 180).
Когда: до начала обработки данных.
Куда: уведомление направляется в территориальный орган Роскомнадзора (то есть в Управление РКН по вашему региону или федеральному округу).
Как: уведомление можно направить бумажным письмом или электронно, используя авторизацию через ЕСИА (проще всего). Также возможен вариант с электронной подписью.
Для отправки нужно зайти на портал персональных данных, выбрать удобный способ и перейти к заполнению форм.
Формы для бумажной и электронной отправки практически идентичны, поэтому дальше приводим универсальную инструкцию.
Как инициатору собрания заполнить уведомление об обработке персональных данных (инструкция)
Ниже приводим образец заполнения уведомления: можно копировать и вставлять в форму применительно к своему собранию.
1. Выбрать регион регистрации, а также заполнить свои данные, включая адрес и электронную почту).
2. После своих данных надо будет выбрать регион, на территории которого инициатор будет обрабатывать данные.
3. Заполнить раздел «Цели обработки персональных данных».
Цель обработки персональных данных: обеспечение соблюдения жилищного законодательства.
Категории персональных данных: отметить галочки у «Фамилия, имя, отчество», «адрес регистрации», «адрес места жительства» и «иные». В поле «иные» указать «информация о праве собственности на помещение (номер записи о регистрации права собственности с указанием долей собственности, дата регистрации права собственности, адрес помещения)».
Категории субъектов, персональные данные которых обрабатываются: «иные категории субъектов персональных данных, персональные данные которых обрабатываются».
В поле вставить: физические лица – собственники помещений в многоквартирном доме по адресу…
Правовое основание обработки персональных данных:
«обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей».
Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление,
уничтожение, распространение.
Расставить точки в способах обработки:
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
Организационные меры: разграничение прав доступа к базе персональных данных, информация хранится и обрабатывается в строго контролируемом помещении, расположенном в пределах границ контролируемой зоны. Технические меры: установлены системы защиты информации – антивирус. Разграничение прав доступа к информационной системе на уровне операционной системы и парольной защиты файлов.
Сведения обеспечения безопасности:
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения 4‑го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; перечень лиц, имеющих доступ к персональным данным, обрабатываемых в информационной системе ограничен одним лицом, являющимся инициатором общего собрания собственников.
В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, определено место хранения персональных данных, а перечень лиц, осуществляющих обработку персональных данных ограничены решением общего собрания об избрании председателя, секретаря и членов счётной комиссии.
Использование шифровальных (криптографических) средств: не используются.
Ответственный за организацию обработки персональных данных:
здесь снова указать данные об инициаторе общего собрания.
Дата начала и окончания обработки персональных данных – заполняется применительно к вашему собранию.
4. Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ.
ЦОД – это компьютер, на котором инициатор хранит файлы с данными. Поэтому здесь заполняется просто адрес нахождения компьютера.
Собственный ЦОД – отметка «да».
5. Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах
Не заполняется.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения 4‑го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; перечень лиц, имеющих доступ к персональным данным, обрабатываемых в информационной системе ограничен одним лицом, являющимся инициатором общего собрания собственников.
В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, определено место хранения персональных данных, а перечень лиц, осуществляющих обработку персональных данных ограничены решением общего собрания об избрании председателя, секретаря и членов счётной комиссии.
6. Заполнить данные об исполнителе (себе).
7. Отправить уведомление.
Для этого поставить галочки об ознакомлении с порядком подачи уведомления в электронном виде и согласием, и нажать на кнопку «отправить».
Если был выбран вариант заполнения без авторизации через ЕСИА, но с направлением бумаги почтой, то продублировать уведомление почтой.
Отправка уведомлений о прекращении обработки персональных данных
Когда собрание проведено, а протокол передан в управляющую организацию (ГЖИ), то инициатор должен уведомить РКН о прекращении обработки персональных данных.
На это дается десять рабочих дней с даты прекращения обработки персональных данных.
Форма такого уведомления проще, но нужно приложить документы, подтверждающие прекращение обработки.
И еще из минусов: на сайте нашлась только та форма, которую нужно заполнить электронно и продублировать бумагой.
Вот сама форма.
Начало заполняется несложно – куда направляется (где находитесь) и от кого.
Дальше нужно найти и указать номер записи в реестре уведомлений.
Номер записи ищется в неудобном реестре уведомлений. В поле «организация» можно указать свою фамилию (фамилия и имя – уже не находит).
Номер копируется в специальное поле. Осталось поставить отметку – «основание прекращения» и прикрепить подтверждающие документы:
Приложениями будут документы о передаче протокола, например, акт о передаче протокола в УК или сопроводительное письмо в ГЖИ, а также акт об уничтожении информационной системы персональных данных на компьютере.
В акте об уничтожении данных в комиссию, помимо инициатора собрания, можно включить членов счетной комиссии, председателя или секретаря собрания.
После отправки уведомления в электронном виде надо продублировать то же самое на бумаге.
РКН рассматривает уведомления (и об обработке, и о прекращении) в течение 30 дней с даты поступления уведомления (обычно быстрее) и включает / исключает соответствующие сведения из реестра уведомлений.
Стоит ли инициатору собрания направлять уведомления в Роскомнадзор
Инициатор собрания (или другое лицо, которое участвует в обработке персональных данных) сам решает, соблюдать ли ему требования закона о персональных данных.
По мнению автора материала, уведомить РКН стоит, особенно если в доме есть оппозиция или соседи, чрезмерно озабоченные защитой своих персональных данных.
А вообще, ответственность за неуведомление РКН достаточно смешная.
Она предусмотрена статьей 19.7 КоАП РФ – «Непредставление сведений (информации)». Наказание для граждан – предупреждение или административный штраф от 100 до 300 рублей.
Чтобы максимально упростить эту бюрократическую процедуру для тех, кто на нее решится, и был подготовлен этот материал.
