Безопасность персональных данных
Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Управляющая организация, ТСЖ, ЖК или ЖСК являются оператором персональных данных.
Любое действие, которое совершается с персональными данными, – это их обработка (): сбор, хранение, накопление, систематизация, использование, передача и т.д.
За нарушения правил обработки персональных данных УО несёт ответственность по .
Оператор персональных данных должен выполнять следующие обязанности:
- уведомлять Роскомнадзор о намерении обрабатывать персональные данные;
- соблюдать принципы обработки данных;
- обрабатывать данные, только когда это допускает закон;
- получать согласие на обработку данных;
- опубликовать политику в отношении обработки;
- предоставить доступ к персональным данным их владельцам;
- уточнять, блокировать или уничтожить данные по требованию владельца;
- обеспечить безопасность данных при обработке;
- обрабатывать данные на российских серверах;
- назначить ответственных лиц;
- уведомлять, что ведётся видеосъемка.
Согласно до начала деятельности по обработке персональных данных оператор должен направить уведомление в Роскомнадзор.
Оператор обязан разместить на своём сайте документ, который определяет политику организации в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных. Доступ к этим документам не должен быть ограничен ().
УО должна получить согласие собственников в любой форме, которая позволяет подтвердить получение. Роскомнадзор рекомендует оформлять согласие письменно отдельным документом.
Возможно разместить пункты об обработке персональных данных в договоре управления и оказания коммунальных услуг.
Если УО привлекает представителя для осуществления расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов персональных данных на передачу данных таким представителям не требуется ().
При этом необходимо закрепить в договоре между УО/РСО и представителем положения о конфиденциальности ПДн ().
Персональные данные, которые должны быть размещены в ГИС ЖКХ, попадают в закрытую часть системы, если иное не предусмотрено федеральным законом ().
К таким персональным данным относится информация:
- ФИО представителя собственников помещений в МКД, подписавшего акт о приёмке выполненных работ (оказанных услуг) по капитальному ремонту ОИ в МКД (в случае подписания акта представителем собственников);
- ФИО лица, являющегося стороной договора о предоставлении в пользование части ОИ собственников помещений в МКД;
- протоколы общего собрания членов ТСЖ/ЖСК;
- сведения, позволяющие идентифицировать председателя, члена правления, члена ревизионной комиссии ТСЖ/ЖСК;
- адрес, номер контактного телефона и сведения, позволяющие идентифицировать члена ТСЖ/ЖСК;
- протоколы общего собрания собственников помещений в МКД;
- информация о лицевых счетах, присвоенных собственникам и пользователям помещений в МКД для внесения платы на ЖКУ;
- протоколы ЖСК;
- ФИО председателя и членов правления ЖСК;
- ФИО председателя и членов ревизионной комиссии ЖСК;
- ФИО, номер телефона и адрес электронной почты (при наличии) членов ЖСК;
- адрес помещения, в отношении которого внесена плата, а также ФИО потребителя (для физического лица, не являющегося ИП), ИНН (для ИП и для юридического лица) и период оплаты (при указании лицом, которым внесена плата, периода оплаты);
- ФИО, СНИЛС, документ удостоверяющий личность, адрес электронной почты, место постоянного проживания администратора ОССП в МКД;
- ФИО, СНИЛС, документ удостоверяющий личность собственника или представителя собственника, сделавшего предложения по повестке дня ОССП в МКД;
- ФИО, СНИЛС, документ удостоверяющий личность собственника или представителя собственника, проголосовавшего на ОССП в МКД;
- ФИО, СНИЛС, номер контактного телефона, адрес электронной почты председателя и членов совета МКД;
- протокол ОССП в МКД об избрании совета МКД.
Уничтожение персональных данных
Оператор обязан уничтожить персональные данные:
- в течение 7 дней с момента поступления информации от субъекта данных или его представителя о том, что данные были получены незаконно или данные не являются необходимыми для заявленных целей обработки ();
- в течение 10 дней с момента, когда оператор сам обнаружил, что обрабатывает информацию неправомерно ();
- в течение 30 дней с момента достижения цели обработки персональных данных ( № 152-ФЗ);
- в течение 30 дней с момента отзыва согласия на обработку субъектом персональных данных.
Чтобы уничтожить данные, необходимо создать комиссию по уничтожению и утвердить акт об уничтожении персональных данных.
Меры по защите персональных данных
При автоматизированной обработке персональных данных, чтобы определить, какие меры безопасности применять, оператор должен:
- установить тип угрозы,
- установить уровень защищенности,
- принять организационно-технические меры, которые предусмотрены для своего уровня защищенности.
Перечень мер содержат:
При неавтоматизированной обработке также нужно соблюдать ряд требований ().
Персональные данные необходимо хранить отдельно и в отношении каждой категории персональных данных:
- определить места хранения данных (материальных носителей);
- установить перечень лиц, которые обрабатывают данные либо имеют к ним доступ.
Хранить материальные носители необходимо с соблюдением условий, которые обеспечивают сохранность персональных данных и исключают несанкционированный к ним доступ.
УО сама может определить перечень мер, которые необходимы для обеспечения таких условий, порядок их принятия и перечень лиц, которые несут ответственность за реализацию указанных мер.
Ответственные лица
Если оператор персональных данных является юридическим лицом, он назначает лицо, ответственное за организацию обработки персональных данных.
Ответственное лицо обязано ():
- выполнять указания руководителя УО/РСО и отчитываться перед ним;
- контролировать, чтобы в УО/РСО все соблюдали законодательство о ПДн, в том числе требования к их защите;
- организовывать и контролировать приём и обработку обращений и запросов субъектов ПДн или их представителей.