ТСЖ и ЖСКУКПишут читатели

Что учесть УК про работе с персональным данными работников

Часто управляющие организации так переживают за работу с персональными данными собственников, что забывают о защите персональных данных своих же работников. Зато Роскомнадзор не забывает и находит у управляющих организаций нарушения.

Что такое персональные данные (ПДн)

Закон относит к персональным данным (ПДн) большой пласт информации о гражданине и может включать любые события его жизни, которые позволяют идентифицировать человека. Персональная информация составляет открытый перечень:

  • имя (по закону включает собственно имя, фамилию и отчество — если оно есть);
  • место рождения;
  • возраст;
  • адрес и номер телефона;
  • социальное и семейное положение;
  • образование;
  • место работы и должность;
  • данные СНИЛС и медицинской страховки;
  • номер водительского удостоверения;
  • цифровые данные — адрес электронной почты, аккаунт;
  • иная информация, которая позволяет опознать личность.

Контроль за соблюдением требований о защите персональных данных возложен на Роскомнадзор.

Ошибки работодателя при обработке ПДн

Нарушение правил о защите персональных данных чревато привлечением к административной ответственности — от 5 тыс. до 18 млн. руб. Введение столь жёсткой ответственности стимулирует компании придерживаться правил сбора, хранения и обработки личных данных клиентов.

Иногда работодатели забывают, что Закон о защите персональных данных распространяется не только на клиентов, но и на работников компании. Управляющие компании допускают ошибки при обработке ПДн:

  • Не определяют категории персональных данных работников, которые обрабатывает: сведения о состоянии здоровья (содержатся в листках нетрудоспособности); сведения о доходах (содержатся в штатном расписании, трудовом договоре, приказе о приеме на работу); дата регистрации по месту жительства; номер расчётного счёта (указывается в заявлении работника о перечислении заработной платы) и иные.
  • Не указывают категории субъектов ПДН, например, сведения о близких родственниках работника, которые указаны в личной карточке работника; собственников и нанимателей жилых и нежилых помещений.
  • Неверно указывают информацию о лице, ответственном за организацию обработки ПДн и контактную информация о нем.
  • Не описывают действия с данными (например — передача и уничтожение).
  • Не обеспечивают неограниченный доступ к документу, который определяет политику компании в отношении обработки персональных данных.
  • Своевременно не предоставляют информацию о месте нахождения базы данных и т.д.

Показательный случай произошел в Воронежской области.

Управление Роскомнадзора по Воронежской области проверило деятельность управляющей компании и обнаружило множество нарушений при обработке персональных данных работников.
Нарушения касались как указания сведений о компании, которые в уведомлении об обработке персональных данных не совпадали с информацией из ЕГРЮЛ, так и несоблюдения требований закона в части правил обработки конфиденциальной информации о других лицах — жильцах обслуживаемых многоквартирных домов и работниках самой компании.
Роскомнадзор потребовал от управляющей компании устранить нарушения правил защиты персональных сведений и указал перечень мероприятий, которые управляющая компания должна осуществить, чтобы обеспечить сохранность данных.
Не согласившись с претензиями Роскомнадзора, УК обратилась в Арбитражный суд Воронежской области с требованием признать предписание недействительным (дело №А14 – 6779/2019).

Выводы суда по делу

Чтобы признать требование любого контролирующего органа недействительными, суд должен установить, что действием или бездействием госоргана одновременно нарушены:
- права заявителя;
- закон. 
Нарушение своих прав в суд доказывает заявитель, а соответствие своих действий закону доказывает госорган.

Арбитражный суд установил, что:

  • уведомление управляющей компании об обработке персональных данных содержит не всю необходимую информацию;
  • заявитель не обеспечил безопасность ПДн, когда заключал договор со сторонней организацией на предоставление диспетчерских и информационных услуг;
  • заявитель не обеспечил неограниченный доступ к документу, определяющему политику УК в отношении обработки персональных данных;
  • заявитель не указал категории субъектов персональных данных и не указал правовые основания обработки ПДн;
  • не выполнил обязанность уведомить уполномоченный орган в случае прекращения обработки ПДн или изменения сведений о компании и допустил иные нарушения закона, которые отмечены в предписании Роскомнадзора.

Суд пришел к выводу, что оспариваемое предписание выдано в рамках полномочий, которые предоставлены Управлению Роскомнадзора по Воронежской области, соответствует требованиям закона и не нарушает прав и законных интересов заявителя.

В апелляционной жалобе УК ссылалась на отсутствие у неё обязанности уведомлять Роскомнадзор об обработке персональных данных работников. Однако суд счёл этот довод несостоятельным и отметил, что в соответствии со ст. 86 ТК РФ работодатель и его представители в целях обеспечения прав и свобод человека и гражданина, обязаны соблюдать ряд требований:

  1. Обрабатывать ПДн работников исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
  2. При определении объёма и содержания обрабатываемых персональных данных работника руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.
  3. Все персональные данные работника получать только у него самого. При необходимости получить ПДн у третьей стороны обязан уведомить работника заранее и получить от него письменное согласие.
  4. Не получать и не обрабатывать сведения о работнике, которые относятся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям ПДн.
  5. Не получать и не обрабатывать данные работника о его членстве в общественных объединениях или его профсоюзной деятельности.
  6. Принимая решение, которое касается интересов работника, работодатель не имеет права основываться на данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  7. За счёт собственных средств защищать ПДн работника от неправомерного их использования или утраты.
  8. Ознакомить работников и их представителей под подпись с документами работодателя, которые определяют порядок обработки ПДн работников.

Суд подчеркнул, что трудовое законодательство не устанавливает каких-либо особенностей в отношении обработки персональных данных работников, включая работников управляющей компании.

Суд признал обоснованным предписание Роскомнадзора и оставил решение первой инстанции без изменения.
Арбитражный суд Центрального округа, рассмотрев дело в кассационном порядке, полностью согласился с выводами нижестоящих судов.

Управляющим организациям не стоит забывать, что защита персональных данных распространяется не только на потребителей, но и на самих работников организации, при этом Роскомнадзор при проверках уделяет большое внимание соблюдению законодательства именно в отношении персонала управляющей организации.

Похожие новости
Колонка редактораЖКХФЛУК

Может ли инициировать собрание управляющая организация, которая не управляет домом

ЖКХТСЖ и ЖСКУК

Договор на ТО ВДГО надо заключать своевременно

ЖКХУК

Штраф за снег на крыше

ЖКХФЛУК

УК несёт ответственность за причинение морального вреда жильцам