Роскомнадзор об обработке персональных данных. О возможности раскрытия персональных данных собственников помещений в мкд Раскрытие персональных данных управляющей компанией

Вопрос правомерности предоставления по запросам различных органов документов, содержащих персональные данные собственников помещений многоквартирных домов, потребителей коммунальных услуг, проживающих в управляемых домах, всегда волновал специалистов УО, ТСЖ, ЖСК. С появлением обязанности исполнителей коммунальных услуг размещать персональные данные в ГИС ЖКХ, актуальность вопроса существенно возросла.

Одновременное наличие запрета на распространение персональных данных, установленного Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон 152-ФЗ), и обязанности по размещению персональных данных в ГИС ЖКХ, установленной Федеральным законом от 21.07.2014 № 209-ФЗ «О ГИС ЖКХ», приводит к возникновению сомнений в законности как действий, так и бездействия УО, ТСЖ, ЖСК. Попробуем разрешить эти сомнения.

В соответствии со ст.3 Закона 152-ФЗ:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Таким образом, мы видим, что любые сведения о потребителе жилищно-коммунальных услуг (далее — ЖКУ) являются его персональными данными. Сказать конкретно, какие данные являются персональными, а какие не являются, сложно, так как закон очень широко определяет понятие персональных данных, включая в их число любую информацию о гражданине. В таком случае можно сделать вывод о том, что помимо фамилии, имени, отчества, сведений о семье, работе, профессии, прочих данных, сведения о квартире, размере долга за ЖКУ и прочие косвенные сведения о потребителе являются его персональными данными, а на оператора персональных данных возлагается обязанность по обеспечению их защиты и сохранности. Деятельность УО подпадает под понятие «обработка персональных данных», так как УО осуществляют сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Следовательно, УО являются операторами персональных данных и на них распространяются требования и правила указанного закона в части обработки персональных данных, их систематизации, хранения, передачи и т.п.

Для того, чтобы начать деятельность по обработке персональных данных, оператор должен выполнить два условия:

Требование № 1

Получить согласие субъекта персональных данных в соответствии со ст.9 Закона 152-ФЗ:

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

В указанной статье предъявляются и требования к такому согласию (ч.4 ст.9 Закона 152-ФЗ):

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Требование № 2

Принятие мер по обеспечению безопасности персональных данных при их обработке, требования к объёму и порядку применения которых установлены ст.19 Закона 152-ФЗ

Есть ещё одно требование к оператору персональных данных — подача в Роскомнадзор специального уведомления по форме о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи (ст.22 Закона 152-ФЗ).

В соответствии с ч.2 ст.22 Закона 152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных (извлечение а части относящихся к деятельности УО случаев):

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

С точки зрения жилищного законодательства деятельность УО осуществляется на основании договора управления. В этом случае (наличие договора) ч.2 ст.22 Закона 152-ФЗ позволяет УО осуществлять обработку персональных данных без уведомления Роскомнадзора. Сложнее обстоит дело с ТСЖ и ЖСК, поскольку эти организации не заключают договор с потребителем в обязательном порядке. Так в соответствии с ПП РФ от 06.05.2011 N354 ТСЖ обязано заключить договор на предоставление коммунальных услуг со всеми потребителями, однако понудить несогласных потребителей заключить договоры ТСЖ не может. Кроме того, договор предоставления коммунальных услуг охватывает не все элементы деятельности ТСЖ/ЖСК, требующие обрабатывать персональные данные.

Помимо коммунальных услуг ТСЖ/ЖСК оказывают услуги по содержанию жилья. На эти услуги ТСЖ заключает договоры с только собственниками, помещений, не являющимися членами ТСЖ (ст.155 ЖК РФ). В отношении ЖСК требования по заключению таких договоров вообще не установлены. Таким образом, исходя из требований Закона 152-ФЗ и отсутствии договоров с частью (или всеми) субъектов персональных данных, ТСЖ и ЖСК обязаны уведомлять Роскомнадзор о начале своей деятельности по обработке персональных данных.

По сути весь Закон 152-ФЗ направлен на защиту субъекта персональных данных от передачи его данных третьим лицам без его согласия. По общему правилу передача данных невозможна без согласия субъекта персональных данных, но из этого правила есть исключения.

Исключение № 1

В соответствии со ст. 155 ЖК РФ:

2. Плата за жилое помещение и коммунальные услуги вносится на основании:

1) платежных документов (в том числе платежных документов в электронной форме, размещенных в системе), представленных не позднее первого числа месяца, следующего за истекшим месяцем, если иной срок не установлен договором управления многоквартирным домом либо решением общего собрания членов товарищества собственников жилья, жилищного кооператива или иного специализированного потребительского кооператива;

2) информации о размере платы за жилое помещение и коммунальные услуги, задолженности по оплате жилых помещений и коммунальных услуг, размещенной в системе или в иных информационных системах, позволяющих внести плату за жилое помещение и коммунальные услуги. Информацией о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилых помещений и коммунальных услуг являются сведения о начислениях в системе, сведения, содержащиеся в представленном платежном документе по адресу электронной почты потребителя услуг или в полученном посредством информационных терминалов платежном документе.

2.1. Платежные документы, информация о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилых помещений и коммунальных услуг подлежат размещению в системе в срок, предусмотренный частью 2 настоящей статьи.

2.2. В случае неразмещения платежных документов и информации о размере платы за жилое помещение и коммунальные услуги, задолженности по оплате жилого помещения и коммунальных услуг в системе в срок, предусмотренный частью 2 настоящей статьи, граждане и организации вносят плату за жилое помещение и коммунальные услуги до десятого числа месяца, следующего за истекшим месяцем, в котором были размещены платежные документы и указанная информация в системе.

2.3. Информация о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилого помещения и коммунальных услуг, размещенная в системе, должна соответствовать сведениям, содержащимся в платежном документе, представленном в соответствии с пунктом 1 части 2 настоящей статьи. При несоответствии сведений, содержащихся в платежном документе, представленном в соответствии с пунктом 1 части 2 настоящей статьи, информации о размере платы за жилое помещение и коммунальные услуги и задолженности по оплате жилого помещения и коммунальных услуг, размещенной в системе, достоверной считается информация, размещенная в системе.

Таким образом, размещение платежного документа в ГИС ЖКХ, информации о размере задолженности, не является нарушением Закона 152-ФЗ.

Исключение № 2

В соответствии с ч. 16 статьи 155 ЖК РФ:

При привлечении лицами, указанными в части 15 настоящей статьи, представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется.

Таким образом, передача персональных данных в расчетные центры для изготовления квитанций, осуществления расчётов и т.п. также не будет являться нарушением Закона 152-ФЗ.

Исключение № 3

Предоставление персональных данных по запросам органов власти, при исполнении иных установленных законом обязанностей оператора персональных данных передавать информацию в органы власти. За непредоставление органам власти сведений, предоставление которых установлено законом (например, реестр членов ТСЖ) влечет за собой административную ответственность по ст. 19.7 КоАП РФ:

Непредоставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьей 6.16, частями 1, 2 и 4 статьи 8.28.1, частью 2 статьи 6.31, частью 4 статьи 14.28, статьями 19.7.1, 19.7.2, 19.7.2-1, 19.7.3, 19.7.5, 19.7.5-1, 19.7.5-2, 19.7.7, 19.7.8, 19.7.9, 19.7.12, 19.8, 19.8.3 настоящего Кодекса, —

влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.

Передача персональных данных в иных случаях, не подпадающих под описанные три исключения, возможна только с согласия субъекта персональных данных. Например, на рынке услуг появились организации предлагающие услуги по раскрытию информации на ГИС ЖКХ или в соответствии со Стандартом раскрытия информации на reformagkh.ru, если, например, у УО или ТСЖ не хватает времени или знаний, умений для раскрытия информации на портале. Предоставление персональных данным таким организациям возможно только по согласию потребителей, что в реальности очень сложно получить. Кроме того, передача данных и документов о должнике привлекаемому по договору юристу (не штатному, не являющемуся работником УО или ТСЖ) для подачи иска в суд, также потребует согласия должника на передачу информации о нем юристу.

Существует ответственность за нарушение Закона о защите персональных данных, а именно ст. 13.11. КоАП РФ:

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) —

влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Однако, на сегодняшний день количество обращений субъектов персональных данных в контролирующие органы с жалобами о нарушений своих прав ничтожно мало, следовательно, количество проверок в этой сфере незначительно, и фактов привлечения к ответственности за нарушения законодательства о персональных данных весьма немного.

В общем, как писал еще М.Е.Салтыков-Щедрин: «Строгость российских законов смягчается необязательностью их исполнения ».

Правовое регулирование

Персональные данные россиян должны быть под защитой. Федеральный закон 152 гласит, что необходимы меры на случай неравномерного или случайного доступа к ним. Этот же закон обязывает защищать персональный данные от уничтожения, изменения, блокирования и распространения.

Отметим, закон вышел еще 27 июля 2006 года. Он так и называется - «О персональных данных». Именно в связи с этим законам все мы периодически подписываем согласия на обработку персональных данных - на работе, в школе, в детском саду, в поликлиниках и в других учреждениях. В том числе и в жилищно-коммунальной сфере. В противном случае, поясняют нам, невозможна работа.

Для начала поясним, что персональными данными может быть любая информация о ком-либо. Персональные данные делятся на несколько групп. В одной информация о национальности, об убеждениях - религиозных, философских или политических. Сюда же входит информация о здоровье и личной жизни. Во вторую группу входят биологические или физиологические особенности. Причем, практически все понимают, что отпечатки пальцев - это персональные данные, а на счет фотографии порою не догадываются.

В третью группы входят общедоступные сведения. И в четвертую - те данные, которые не попали в вышеперечисленные категории.

Организуют сбор персональных данных и обрабатывают их обычно органы государственной власти, местное самоуправление. Могут это делать юридические и физические лица - самостоятельно или с другими людьми.

В сфере ЖКХ в качестве операторов персональных данных выступают управляющие и обслуживающие компании, ресурсоснабжающие организации, ТСЖ, ЖСК, информационно-расчетные центры, фонд капитального ремонта.

Обрабатывать персональные данные можно только с письменного согласия человека. Еще возможен вариант согласия в форме электронного документа, подписанного электронной подписью.

В Согласии указываются фамилия, имя, отчество, адрес, данные документа, удостоверяющего личность (номер, сведения о дате выдачи и выдавшем его органе), сведения об учреждении, для которого подписывается согласие, а также причины - для чего это делается. Помимо общей цели должен быть список действий, на совершение которых дается согласие. Также в документе указывается срок его действия и способ его отзыва.

Законы РФ декларируют, что персональные данные должны использоваться в законных целях, соответствовать цели объявленного сбора. И собираемые данные не должны быть избыточными, слишком уж подробными. Вместе с тем неполные или неточные данные оператор должен уточнить или удалить вовсе.

Есть и правила обработки, хранения персональных данных. Нельзя, к примеру, объединять базы данных, которые собирались для выполнения разных задач. Хранить данные должны не более указанного срока. А потом - уничтожить.

Статья 17-я 152 ФЗ гласит, что человек, даже если он согласился на обработку своих личных данных, имеет право на защиту своих прав, интересов. В законе прописано и возмещение убытков, а также компенсация морального вреда в судебном порядке в случае, если оператор работает с нарушением требований законодательства или иным образом нарушает права гражданина.

Организации ЖКХ обязаны озвучить, показать или написать о своей политике по отношению к обработке персональных данных. В соответствии со статьей 161 Жилищного кодекса управляющая компания обязана обеспечить свободный доступ к информации об основных показателях ее финансово-хозяйственной деятельности; о своих услугах и работах по содержанию и ремонту общего имущества в многоквартирном доме. Также общедоступной должна быть информация о порядке, условиях и стоимости их оказания, выполнения, о ценах (тарифах) на ресурсы, необходимые для предоставления коммунальных услуг. Такие стандарты раскрытия информации о деятельности УК соответствуют стандартам, которые утверждены Правительством РФ.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Процедура уведомления для операторов является бесплатной.

В некоторых случаях оператор имеет право обрабатывать персональные данные без уведомления. Речь идет о данных, которые используются в соответствии с трудовым законодательством. Отметим, эта норма не применяется к тем, кто работает по договорам подряда или возмездного оказания услуг. Без уведомления можно обойтись при заключении договора, стороной которого является субъект персональных данных. Например, договор на оказание услуг, договор гражданско-правового характера на выполнение работ. В этом случае личная информация не должна распространяться и предоставляться третьим лицам без согласия субъекта персональных данных. Организация может использовать персональные данные только для исполнения договора и заключения договоров с субъектом персональных данных.

Также без уведомления могут обрабатываться общедоступные данные, то есть та информация, доступ к которой предоставлен неограниченному кругу лиц с согласия носителя этих данных. Можно использовать без уведомления и фамилии, имена и отчества, которые необходимы для однократного пропуска.

В список данных, при использовании которых не требуется уведомление, входят сведения из государственных информационных систем.

Теперь обратим внимание на типичные нарушения при обращении с персональными данными в жилищно-коммунальной сфере. Зачастую не предоставляются уведомления об обработке персональных данных; указываются неполные или неправильные сведения. Случается, что нарушаются требования конфидециальности. Руководство компании не всегда знает, что нужно определить и утвердить перечень сотрудников, которые имеют доступ к персональным данным и к их обработке; разработать правила обработки данных, опубликовать документ, который определяет политику по обработке персональных данных.

Встречаются ситуации, когда не соблюдаются элементарные меры для защиты от утечки информации. Компании, работающие в сфере ЖКХ, например, не всегда заботятся об установке антивирусной защиты, паролей, не разграничивают доступ к конфиденциальной информации.

Собственников жилья больше всего зачастую интересует, могут ли работники ЖКХ вешать на всеобщее обозрение или публиковать списки должников. Поясняем, сначала для этого требуется согласие гражданина. То есть, управляющая или ресурсоснабжающая компания, как и любая другая, не имеет право без согласия потребителя передавать его данные кому-либо, публиковать в СМИ и даже вешать листочек с этими данными на двери подъезда. Это нарушение закона.

Добавим, запрет не действует в отношении обезличенных и общедоступных персональных данных.

За нарушение закона о персональных данных в большинстве случаев предусмотрена административная ответственность. Уголовными считаются незаконные сбор или распространение сведений о тайнах частной жизни - без согласия (ст. 137 УК РФ); неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ). Также под уголовную ответственность попадает неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации (ст. 272 УК РФ).

Ольга Перминова , СИ СМИ "Солнечный дом"

Согласно ст.6 ФЗ №152 от 27.07.2006 №152 –ФЗ «О персональных данных» (далее - ФЗ №152) под персональными данными понимается любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, обработка которых осуществляется Товариществами собственников жилья (далее - ТСЖ) в соответствии с ФЗ №152 п 9 , а именно - обработка персональных данных осуществляется в статистических или иных исследовательских целях. Ст. 6 ФЗ №152 содержит закрытый перечень случаев обработки персональных данных, в том числе осуществление обработки с согласия субъекта персональных данных на обработку его персональных данных. Согласно ст. 2. ФЗ №152 не допускается обработка персональных данных, несовместимая с целями сбора персональных данных . Согласно ст. 7. ФЗ №152 операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Поскольку ТСЖ, как правило, не получает согласие субъекта персональных данных - собственников помещений многоквартирного дома на передачу их персональных данных третьим лицам, то передача их в различные инстанции по запросам не представляется возможным.

Кроме того, ФЗ №210-фз от 27 июля 2010 года гласит: «Органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги , не вправе требовать предоставления документов и информации, которые находятся в распоряжении органов, предоставляющих государственные услуги, и органов, предоставляющих муниципальные услуги, иных государственных органов, органов местного самоуправления, организаций, в соответствии с нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами».

Из чего следует, что данные структуры (Органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги или функциональный орган исполнительной власти города Москвы,) всегда могут получить сведения о собственниках многоквартирного дома по запросу, не прибегая к помощи ТСЖ

Последнее время участились запросы из МЖИ в ТСЖ различных районов c требованием о внесении в реестр членов ТСЖ номеров свидетельства о госрегистрации права каждого собственника. Такое требование незаконно и полностью игнорирует требования ст. 7. ФЗ №152 "операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных."

Согласно пункту 9 статьи 138 ЖК РФ товарищество собственников жилья обязано вести реестр членов товарищества и ежегодно в течение первого квартала текущего года направлять копию этого реестра в органы исполнительной власти субъектов Российской Федерации, указанные в части 2 статьи 20 Жилищного кодекса РФ (органы государственного жилищного надзора).

Согласно ч.4 ст. 143 ЖК РФ реестр членов товарищества собственников жилья должен содержать сведения, позволяющие идентифицировать членов товарищества и осуществлять связь с ними, а также сведения о размерах принадлежащих им долей в праве общей собственности на общее имущество в многоквартирном доме.

В соответствии со ст. 18.1. федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»: «Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом. "

Товарищества собственников жилья самостоятельно определяют достаточность оснований для предоставления персональной информации собственников МКД в реестр для их идентификации, если иное не установлено нормами закона. Реестры членов ТСЖ, как правило, включают в себя: ФИО, адрес, номер квартиры, долю в праве общей собственности на общее имущество в многоквартирном доме.

Этих сведений вполне достаточно для идентификации членов товарищества. Такой реестр соответствует действующим НПА и позволяет идентифицировать собственника МКД.

Вольное обращение с персональными данными наносит непоправимый вред собственникам.

И это произошло в районе Ясенево.

_______________________________________________

Активные жители районов Москвы не прекращают свои расследования, связанные с деятельностью организаций, учреждений и органов власти, касающихся ЖКХ Москвы.

На сей раз обратим внимание на исследование жителей района Ясенево и дополним его своими изысканиями.

Активные жители района Ясенево обнаружили, что на официальном сайте ГБУ "Жилищник района Ясенево" опубликованы списки должников по ЖКУ на 01.06.2014 года. При этом в списках приведены полные фамилия-имя-отчество должника, адрес дома проживания и размер задолженности. Такая информация явно относится к категории персональных данных и безусловно попадает под действие соответствующего законодательства. При этом среди должников жители обнаружили действующего депутата Московской Государственной Думы (Мосгордумы) - . По мнению активных жителей района Ясенево, Семенников Александр Григорьевич обязан обратиться в прокуратуру или в суд с исковыми требованиями к директору ГБУ "Жилищник района Ясенево", нарушившему Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных", целью которого является защита прав на неприкосновенность частной жизни, личной и семейной тайны.

Но наше дополнительное исследование показало еще более удручающую картину и высветило полную безалаберность сотрудников ГБУ Жилищник района Ясенево, объективную оценку которым даст, мы очень надеемся, Прокуратура Москвы и суд.

Посмотрев внимательно содержимое файла со списком тысяч должников, выложенного сотрудниками ГБУ Жилищник района Ясенево на всеобщее обозрение, выяснилось следующее. Данный файл имеет формат электронных таблиц Excel. И, как известно любому пользователю, в электронных таблицах пронумерованы все строки и столбцы последовательно. Взглянув на выложенный файл мы обнаружили, что нумерация столбцов в них не последовательна, а имеет пропуски, т.е. вместо A,B,C,D,E,F,... (или 1,2,3,4,5,... в зависимости от настроек), мы увидели столбцы с номерами A,E,G,I,P,Q,... Такие пропуски означают, что в файле присутствуют скрытые столбцы. Профессиональный пользователь электронных таблиц сможет открыть эти скрытые столбцы и обнаружится удивительная вещь: сотрудники ГБУ Жилищник района Ясенево выложили файл, в котором кроме уже озвученной персональной информации, мы предполагаем, что дополнительно выложены номера домашних телефонов должников, номера лицевых счетов, площади квартир, количество зарегистрированных жильцов и масса другой информации (это наша оценочная информация, достоверность которой может подтвердить только знающий специалист). По структуре представленной информации можно с высокой долей вероятности предположить, что это так называемая "выгрузка" из базы данных расчетной системы ЕИРЦ Москвы. Т.е. сотрудники ГБУ Жилищник района Ясенево получили файл с должниками из ЕИРЦ и выложили его в открытый доступ в сеть Интернет, сопроводив устрашающими угрозами (цитата с официального сайта): В целях недопущения неприятных ситуаций в период отпусков, связанных с запретом на выезд за пределы Российской Федерации, просим Вас при наличии задолженности, произвести оплату в кратчайшие сроки, также текущие платежи за ЖКУ .

Таким образом, любой пользователь сети Интернет получает доступ к персональной информации должников района Ясенево. Ну а депутат МГД Семенников А.Г. теперь может получить шквал звонков на домашний номер телефона (предположительно) от своих избирателей с вопросами или наказами перед предстоящей выборной кампанией в Мосгордуму, "благодаря" такому нерадивому (а может и преступному - решить это может только суд) подходу со стороны сотрудников ГБУ Жилищник района Ясенево .

В области обработки персональных данных

Вопрос: Что включает в себя понятие конфиденциальности?

Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?

Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?

Ответ: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

Вопрос: Необходимо ли согласие субъектов персональных данных (граждан) в случае передачи персональных данных граждан третьему лицу (РКЦ) обслуживающей многоквартирный дом Управляющей компании для формирования квитанций на оплату ЖКУ? Правомерны ли в данном случае действия Управляющей компании?

Ответ: В соответствии со ст. 3 Федерального закона от 27.07.2006 "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Следовательно, Управляющая компания является оператором, осуществляющим обработку персональных данных граждан.

В соответствии с ч. 3 ст. 6 настоящего закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Таким образом, в силу договорных отношений, возникших между Управляющей компанией и РКЦ, осуществляющей начисление платы за ЖКУ и выпуск квитанций, в силу исполнения требований жилищного законодательства, предоставление одной организацией персональных данных жильцов дома другой организации является допустимым.

На основании ч. 5 вышеназванной нормы права, в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

Вопрос : Какие санкции существуют за не представление ответа на запрос уполномоченного органа по защите прав субъектов персональных данных? Необходимо ли указывать в уведомлении об обработке (о намерении осуществлять обработку) персональных данных лечебного учреждения сведения о физических лицах, обратившихся за медицинской помощью в данное лечебное учреждение?

Ответ: Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", а также ведение Реестра операторов, осуществляющих обработку персональных данных на территории РФ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций.

На территории Приморского края таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Приморскому краю - (Управление Роскомнадзора по Приморскому краю).

Для формирования Реестра операторов, осуществляющих обработку персональных данных, Управлением операторам направляются запросы о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

На основании требования ч. 1 ст. 22 Закона Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ч. 3 ст. 22), за исключением случаев, предусмотренных ч. 2 настоящей статьи Закона.

Оператор в соответствии с ч. 4 ст. 20 Закона обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Непредставление запрашиваемых сведений, а равно представление таких сведений в неполном объеме, является нарушением требований данной статьи Закона и влечет административную ответственность по статье 19.7 КоАП РФ (наложение административного штрафа).

В случае не предоставления или несвоевременного представления вышеуказанных сведений организациями, которым был направлен запрос, государственными инспекторами Управления составляются протоколы об административном правонарушении по ст. 19.7 КоАП РФ и направляются на рассмотрение мировым судьям.

Категории персональных данных - это фамилия, имя, отчество, адрес, паспортные данные, образование, состав семьи, доходы, пол, гражданство, данные пенсионного свидетельства, биометрические данные (фотография), сведения о воинском учете, ИНН, состояние здоровья, контактная информация и т.д. На сайте размещены образцы уведомлений, из которых видно, что указывать в уведомлении сведения о физических лицах, обратившихся за медицинской помощью в лечебное учреждение (пациентам) не нужно, т.к. категории персональных данных, указываемые в данном документе, являются обезличенными. Таким образом, направление в Управление персональных данных по каждому субъекту персональных данных (пациенту) не требуется.

Лечебными учреждениями должен быть решен вопрос о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

Вопрос ГУЗ «Краевая клиническая больница № 2»: в праве ли данное учреждение спрашивать согласие на обработку персональных данных у пациентов, которые получают медицинские услуги в рамках программы обязательного медицинского страхования?

Ответ: в соответствии с ч. 2 ст. 6 Закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (п. 1); обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (п. 2); обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 3). Обработка специальных категорий персональных данных, касающихся состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона, в т.ч. в случае: обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования (п. 8). При этом операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность и безопасность персональных данных при их обработке (п. 4 ст. 6, ст. 7 Закона).

Вопрос гр. К.: в организации ко дню рождения работников практикуется размещение в общедоступном месте списка работников с указанием их персональных данных. Согласия работников на размещение на стенде их персональных данных не имеется. Являются ли правомерными действия работодателя?

Ответ: ст. 3 Федерального закона «О персональных данных» определяет понятие персональных данных как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных ч. 2 ст. 7 Закона: обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона). Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 Закона). В соответствии со ст. 9 данного Закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва;

7) собственноручную подпись субъекта персональных данных.

Таким образом, размещение в общедоступных местах работодателем списка работников с указанием фамилии, имени, отчества, даты рождения работника без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

Вопрос: Вправе ли должностное лицо, в производстве которого находится дело об административном правонарушении, запрашивать у организаций персональные данные их работников?

Ответ : В соответствии со статьей 28.3 КоАП РФ протоколы об административных правонарушениях составляются должностными лицами органов, уполномоченных рассматривать дела об административных правонарушениях в пределах компетенции соответствующего органа.

Требования к содержанию протокола об административном правонарушении установлены статьей 28.2 КоАП РФ. В частности, в протоколе об административном правонарушении указываются сведения о лице, в отношении которого возбуждено дело об административном правонарушении.

Кроме того, статьей 26.10 КоАП РФ предусмотрено, что орган, должностное лицо, в производстве которых находится дело об административном правонарушении, вправе вынести определение об истребовании сведений, необходимых для разрешения дела. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения. При невозможности представления указанных сведений организация обязана в трехдневный срок уведомить об этом в письменной форме судью, орган, должностное лицо, вынесших определение.

Пунктом 1 части 2 статьи 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» предусмотрена обработка персональных данных на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора без согласия субъекта персональных данных.

Таким образом, должностное лицо органа, уполномоченного составлять и рассматривать протоколы об административном правонарушении вправе в рамках производства по делу об административном правонарушении запрашивать у организаций персональные данные их работников, в отношении которых возбуждено дело об административном правонарушении. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения в порядке, предусмотренном ст.26.10 КоАП РФ .

Вопрос: У нас стоматологический кабинет, сбор персональных данных пациентов производится на бумажных носителях, в электронном виде обрабатываются только снимки с визиографа, доступа к сети Интернет нет. Нужно ли нам оформлять к договору на оказание услуг приложение с согласием на обработку персональных данных пациентов, если у нас база пациентов на бумажных носителях?

Ответ: Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее Закон). Обработка персональных данных допускается в определенных случаях, указанных в части 1 статьи 6 Закона, в том числе, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Обработка специальных категорий персональных данных (часть 1 статьи 10 Закона) также допускается в определенных случаях, в том числе если обработка персональных данных осуществляется в медико- профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (пункт 4 части 2 статьи 10 Закона).

Следовательно, если обработка персональных данных соответствует вышеуказанным статьям Закона и принципам обработки персональных данных, указанных в статье 5 Закона, то согласия на обработку персональных данных не требуется.

Время публикации: 26.10.2011 12:25
Последнее изменение: 05.04.2019 12:53