Материал обновлен 04.01.2023 (первоначально опубликован 15.11.22).
После публикации письма Роскомнадзора от 16 сентября 2022 г. № 08 – 84259 некоторые наши читатели и подписчики были встревожены новыми обязанностями инициатора общего собрания, как лица, которое обрабатывает персональные данные собственников.
ФИО и адрес собственников – это персональные данные. При проведении собрания и оформлении протокола осуществляется обработка этих данных.
Лица, которые обрабатывают персональные данные, называются операторами.
Чаще всего роль оператора играют инициаторы собрания, но также это могут быть председатель, секретарь, члены счетной комиссии.
У оператора есть обязанности, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Например, он должен уведомлять РКН об обработке персональных данных и прекращении этой обработки (статья 22).
Раньше закон предусматривал множество исключений из этой обязанности, поэтому инициатор собрания мог никого ни о чем не уведомлять.
Однако с 1 сентября 2022 года перечень исключений сильно сократился. Теперь в большинстве случаев операторы должны направить уведомления в РКН.
Одно из оставшихся исключений – обработка данных без использования средств автоматизации. Однако инициатор работает как с бумагами, так и с файлами на компьютере. Последнее считается автоматизированной обработкой персональных данных.
Теоретически возможен сценарий, когда инициатор получает полнейший реестр собственников от управляющей компании, на компьютере печатает неименные бюллетени, а также остальные части и приложения протокола без персональных данных, а потом все они заполняются ручкой, при этом подсчет голосов происходит тоже на бумаге, и дальше инициатор игнорирует свою обязанность по загрузке протокола в ГИС ЖКХ. В таком случае обработку можно было бы считать неавтоматизированной и не уведомлять РКН. Но такой вариант маловероятен, поэтому разбираемся с уведомлениями дальше.
Мы направили в РКН два обращения с просьбой о дополнительном разъяснении обязанности инициатора общего собрания собственников уведомлять Роскомнадзор об обработке персональных данных.
Вот что написало ведомство в своих двух ответах от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.
Итак, РКН ничего обнадеживающего не написал, поэтому придется направлять два уведомления – о начале обработки и ее прекращении.
Формы уведомлений: сейчас действуют утвержденные формы уведомлений (приказ РКН от 28.10.2022 № 180).
Когда: до начала обработки данных.
Куда: уведомление направляется в территориальный орган Роскомнадзора (то есть в Управление РКН по вашему региону или федеральному округу).
Как: уведомление можно направить бумажным письмом или электронно, используя авторизацию через ЕСИА (проще всего). Также возможен вариант с электронной подписью.
Для отправки нужно зайти на портал персональных данных, выбрать удобный способ и перейти к заполнению форм.
Формы для бумажной и электронной отправки практически идентичны, поэтому дальше приводим универсальную инструкцию.
Ниже приводим образец заполнения уведомления: можно копировать и вставлять в форму применительно к своему собранию.
Департамент государственного жилищного и строительного надзора Свердловской области разработал свои рекомендации по заполнению Уведомления об обработке (о намерении осуществлять обработку) персональных данных. Возможно, они вам понравятся больше.
Цель обработки персональных данных: обеспечение соблюдения жилищного законодательства.
Категории персональных данных: отметить галочки у «Фамилия, имя, отчество», «адрес регистрации», «адрес места жительства» и «иные». В поле «иные» указать «информация о праве собственности на помещение (номер записи о регистрации права собственности с указанием долей собственности, дата регистрации права собственности, адрес помещения)».
Категории субъектов, персональные данные которых обрабатываются: «иные категории субъектов персональных данных, персональные данные которых обрабатываются».
В поле вставить: физические лица – собственники помещений в многоквартирном доме по адресу…
Правовое основание обработки персональных данных:
«обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей».
Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление,
уничтожение, распространение.
Расставить точки в способах обработки:
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
Организационные меры: разграничение прав доступа к базе персональных данных, информация хранится и обрабатывается в строго контролируемом помещении, расположенном в пределах границ контролируемой зоны. Технические меры: установлены системы защиты информации – антивирус. Разграничение прав доступа к информационной системе на уровне операционной системы и парольной защиты файлов.
Сведения обеспечения безопасности:
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения 4‑го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; перечень лиц, имеющих доступ к персональным данным, обрабатываемых в информационной системе ограничен одним лицом, являющимся инициатором общего собрания собственников.
В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, определено место хранения персональных данных, а перечень лиц, осуществляющих обработку персональных данных ограничены решением общего собрания об избрании председателя, секретаря и членов счётной комиссии.
Использование шифровальных (криптографических) средств: не используются.
Ответственный за организацию обработки персональных данных:
здесь снова указать данные об инициаторе общего собрания.
Дата начала и окончания обработки персональных данных – заполняется применительно к вашему собранию.
Осуществление трансграничной передачи персональных данных – «не осуществляется».
ЦОД – это компьютер, на котором инициатор хранит файлы с данными. Поэтому здесь заполняется просто адрес нахождения компьютера.
Собственный ЦОД – отметка «да».
Нажать «Удалить».
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения 4‑го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; перечень лиц, имеющих доступ к персональным данным, обрабатываемых в информационной системе ограничен одним лицом, являющимся инициатором общего собрания собственников.
В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, определено место хранения персональных данных, а перечень лиц, осуществляющих обработку персональных данных ограничены решением общего собрания об избрании председателя, секретаря и членов счётной комиссии.
Для этого поставить галочки об ознакомлении с порядком подачи уведомления в электронном виде и согласием, и нажать на кнопку «отправить».
Если был выбран вариант заполнения без авторизации через ЕСИА, но с направлением бумаги почтой, то продублировать уведомление почтой.
Когда собрание проведено, а протокол передан в управляющую организацию (ГЖИ), то инициатор должен уведомить РКН о прекращении обработки персональных данных.
На это дается десять рабочих дней с даты прекращения обработки персональных данных.
Форма такого уведомления проще, но нужно приложить документы, подтверждающие прекращение обработки.
И еще из минусов: на сайте нашлась только та форма, которую нужно заполнить электронно и продублировать бумагой.
Вот сама форма.
Начало заполняется несложно – куда направляется (где находитесь) и от кого.
Дальше нужно найти и указать номер записи в реестре уведомлений.
Номер записи ищется в неудобном реестре уведомлений. В поле «организация» можно указать свою фамилию (фамилия и имя – уже не находит).
Номер копируется в специальное поле. Осталось поставить отметку – «основание прекращения» – «наступление для оператора срока…»:
После отправки уведомления в электронном виде надо продублировать то же самое на бумаге.
РКН рассматривает уведомления (и об обработке, и о прекращении) в течение 30 дней с даты поступления уведомления (обычно быстрее) и включает / исключает соответствующие сведения из реестра уведомлений.
Инициатор собрания (или другое лицо, которое участвует в обработке персональных данных) сам решает, соблюдать ли ему требования закона о персональных данных.
По мнению автора материала, уведомить РКН стоит, особенно если в доме есть оппозиция или соседи, чрезмерно озабоченные защитой своих персональных данных.
А вообще, ответственность за неуведомление РКН достаточно смешная.
Она предусмотрена статьей 19.7 КоАП РФ – «Непредставление сведений (информации)». Наказание для граждан – предупреждение или административный штраф от 100 до 300 рублей.
Чтобы максимально упростить эту бюрократическую процедуру для тех, кто на нее решится, и был подготовлен этот материал.
Автор материала благодарит подписчика Андрея за помощь в подготовке этой статьи.
Наш сервис ДомОнлайн поможет с составлением реестра, подготовкой всех документов для собрания в любой форме (включая бюллетени с информацией о собственности), а также подсчетом голосов.
View Comments (7)
На сайте РКН добавили пункт "Осуществление трансграничной передачи персональных данных", обязательный для выбора (осуществляется/не осуществляется).
5 пункт в вашей статье "Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах" указан как "не заполняется", однако обязателен по умолчанию при заполнении формы на сайте РКН. Для того, чтобы не заполнять его в, следует нажать "Удалить".
Очень полезный материал, спасибо!
Огромное спасибо, Михаил! Дополнила.
Огромная благодарность за статью!
Возник вопрос, если инициатором ОСС является УК, обязаны ли они уведомлять РКН отдельно о началах таких обработок?
УК и так должна быть в реестре уведомлений обработчиков.
Сейчас поменялась форма уведомления - надо отдельно расписывать все для каждой цели обработки данных.
Поэтому если УО еще не направляла уведомление по новой форме, можно это сделать там - прописать обработку для целей организации и проведения ОСС (в целом, не применительно к каждому отдельному собранию).
Добрый день. Уже не нужно прикладывать документы при отправке уведомления о прекращении обработки ПД. В форме отсутствует возможность вложения файлов.
Спасибо за статью!
Добрый день, Светлана! Спасибо, что сообщили об изменении формы! Скорректировали материал.
Большое спасибо за статью, за Ваш труд, вроде всë понятно, попробуем на практике