Как инициатору общего собрания уведомить Роскомнадзор об обработке персональных данных (инструкция + образец заполнения)
ЖКХ и ЖКХ НьюсПосле публикации письма Роскомнадзора от 16 сентября 2022 г. № 08 – 84259 некоторые наши читатели и подписчики были встревожены новыми обязанностями инициатора общего собрания, как лица, которое обрабатывает персональные данные собственников.
О чем речь
ФИО и адрес собственников – это персональные данные. При проведении собрания и оформлении протокола осуществляется обработка этих данных.
Лица, которые обрабатывают персональные данные, называются операторами.
Чаще всего роль оператора играют инициаторы собрания, но также это могут быть председатель, секретарь, члены счетной комиссии.
У оператора есть обязанности, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Например, он должен уведомлять РКН об обработке персональных данных и прекращении этой обработки (статья 22).
Раньше закон предусматривал множество исключений из этой обязанности, поэтому инициатор собрания мог никого ни о чем не уведомлять.
Однако с 1 сентября 2022 года перечень исключений сильно сократился. Теперь в большинстве случаев операторы должны направить уведомления в РКН.
Одно из оставшихся исключений – обработка данных без использования средств автоматизации. Однако инициатор работает как с бумагами, так и с файлами на компьютере. Последнее считается автоматизированной обработкой персональных данных.
Теоретически возможен сценарий, когда инициатор получает полнейший реестр собственников от управляющей компании, на компьютере печатает неименные бюллетени, а также остальные части и приложения протокола без персональных данных, а потом все они заполняются ручкой, при этом подсчет голосов происходит тоже на бумаге, и дальше инициатор игнорирует свою обязанность по загрузке протокола в ГИС ЖКХ. В таком случае обработку можно было бы считать неавтоматизированной и не уведомлять РКН. Но такой вариант маловероятен, поэтому разбираемся с уведомлениями дальше.
Дополнительные разъяснения Роскомнадзора
Мы направили в РКН два обращения с просьбой о дополнительном разъяснении обязанности инициатора общего собрания собственников уведомлять Роскомнадзор об обработке персональных данных.
Вот что написало ведомство в своих двух ответах от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.
- Обязанность по направлению уведомления об обработке персональных данных возлагается, в том числе на физическое лицо – инициатора общего собрания, независимо от формы проведения общего собрания (спрашивали про собрания в ГИС ЖКХ).
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации (спрашивали про эти программы).
- Поручение оператора на обработку данных другому лицу не отменяет возложенную на оператора обязанность по уведомлению об обработке (спрашивали про подготовку документов с помощью сторонних юристов или сервисов).
- В случае прекращения обработки персональных данных оператору необходимо направить уведомление о прекращении обработки персональных данных (спрашивали про прекращение обработки).
Ответ РКН №08 – 99909 - скачать
Ответ РКН №08 – 98470 - скачать
Итак, РКН ничего обнадеживающего не написал, поэтому придется направлять два уведомления – о начале обработки и ее прекращении.
Формы уведомлений
На момент публикации материала действуют давно утвержденные формы уведомлений (приказ РКН от 30.05.2017 № 94).
В связи с изменениями в законодательстве, вступившими в силу в сентябре, готовится к выходу приказ РКН с обновленными формами. Пока он не вышел, РКН разрешает смело пользоваться старыми.
Даже когда выйдут новые формы, в содержании уведомления от инициатора собрания ничего особо не изменится.
Отправка уведомлений об обработке персональных данных
Когда: до начала обработки данных.
Куда: уведомление направляется в территориальный орган Роскомнадзора (то есть в Управление РКН по вашему региону или федеральному округу).
Как: уведомление можно направить бумажным письмом или электронно, используя авторизацию через ЕСИА (проще всего). Также возможен вариант с электронной подписью.
Для отправки нужно зайти на портал персональных данных, выбрать удобный способ и перейти к заполнению форм.
Формы для бумажной и электронной отправки практически идентичны, поэтому дальше приводим универсальную инструкцию.
Как инициатору собрания заполнить уведомление об обработке персональных данных (инструкция)
Ниже приводим образец заполнения уведомления: можно копировать и вставлять в форму применительно к своему собранию.
1. Выбрать подходящий территориальный орган РКН (регион или, если его нет, округ), а также заполнить свои данные, включая адрес и электронную почту).
2. После своих данных надо будет выбрать регион, на территории которого инициатор будет обрабатывать данные.
3. Заполнить раздел «Общие сведения».
Правовое основание обработки персональных данных, руководствуясь:
ст. ст. 44 – 48 Жилищного кодекса РФ, Приказом Министерства строительства и жилищно-коммунального хозяйства РФ от 28 января 2019 г. № 44/пр “Об утверждении Требований к оформлению протоколов общих собраний собственников помещений в многоквартирных домах и Порядка направления подлинников решений и протоколов общих собраний собственников помещений в многоквартирных домах в уполномоченные органы исполнительной власти субъектов Российской Федерации, осуществляющие государственный жилищный надзор”.
Цель обработки персональных данных:
Проведение общего собрания собственников помещений в многоквартирном доме по адресу: [указать адрес], в том числе оформление результатов собрания.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
Организационные меры: разграничение прав доступа к базе персональных данных, информация хранится и обрабатывается в строго контролируемом помещении, расположенном в пределах границ контролируемой зоны. Технические меры: установлены системы защиты информации – антивирус. Разграничение прав доступа к информационной системе на уровне операционной системы и парольной защиты файлов.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения 4‑го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; перечень лиц, имеющих доступ к персональным данным, обрабатываемых в информационной системе ограничен одним лицом, являющимся инициатором общего собрания собственников.
В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, определено место хранения персональных данных, а перечень лиц, осуществляющих обработку персональных данных ограничены решением общего собрания об избрании председателя, секретаря и членов счётной комиссии.
Дата начала и окончания обработки персональных данных – заполняется применительно к вашему собранию.
4. Дальше заполняется раздел со сведениями об информационной системе.
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных:
Неавтоматизированная обработка – хранение заполненных бюллетеней голосования, составление протокола общего собрания собственников, передача протокола в соответствии с требованиями ЖК РФ в [куда именно – управляющую компанию или ГЖИ].
Автоматизированная обработка – внесение персональных данных в информационную систему для осуществления операций с персональными данными с целью учёта и подсчёта голосов общего собрания собственников: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, удаление, уничтожение персональных данных.
Расставить точки:
Категории персональных данных: отметить галочки у «Фамилия, имя, отчество» и «адрес».
Другие категории персональных данных, не указанные в данном перечне: вставить «информация о праве собственности на помещение (номер записи о регистрации права собственности с указанием долей собственности, дата регистрации права собственности)».
Категории субъектов, персональные данные которых обрабатываются:
принадлежащих «физическим лицам – собственникам помещений в многоквартирном доме по адресу [адрес]».
Ниже отметить, что ничего не осуществляется и не используется.
5. Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ.
ЦОД – это компьютер, на котором инициатор хранит файлы с данными. Поэтому здесь заполняется просто адрес нахождения компьютера.
Собственный ЦОД – отметка «да»
6. Заполнить данные об ответственном за организацию обработки персональных данных.
Здесь снова указать данные об инициаторе общего собрания.
7. Отправить уведомление.
Для этого поставить галочки об ознакомлении с порядком подачи уведомления в электронном виде и согласием, и нажать на кнопку «отправить».
Если был выбран вариант заполнения без авторизации через ЕСИА, но с направлением бумаги почтой, то продублировать уведомление почтой.
Отправка уведомлений о прекращении обработки персональных данных
Когда собрание проведено, а протокол передан в управляющую организацию (ГЖИ), то инициатор должен уведомить РКН о прекращении обработки персональных данных.
На это дается десять рабочих дней с даты прекращения обработки персональных данных.
Форма такого уведомления проще, но нужно приложить документы, подтверждающие прекращение обработки.
И еще из минусов: на сайте нашлась только та форма, которую нужно заполнить электронно и продублировать бумагой.
Вот сама форма.
Начало заполняется аналогично – куда направляется и от кого.
Дальше нужно найти и указать номер записи в реестре уведомлений.
Номер записи ищется в неудобном реестре уведомлений. В поле «организация» можно указать свою фамилию (фамилия и имя – уже не находит).
Номер копируется в специальное поле. Осталось поставить отметку – «основание прекращения» и прикрепить подтверждающие документы:
Приложениями будут документы о передаче протокола, например, акт о передаче протокола в УК или сопроводительное письмо в ГЖИ, а также акт об уничтожении информационной системы персональных данных на компьютере.
Сопроводительное письмо к протоколу в ГЖИ - скачать
Акт передачи протокола в управляющую организацию - скачать
Акт об уничтожении персональных данных собственников - скачать
В акте об уничтожении данных в комиссию, помимо инициатора собрания, можно включить членов счетной комиссии, председателя или секретаря собрания.
После отправки уведомления в электронном виде надо продублировать то же самое на бумаге.
РКН рассматривает уведомления (и об обработке, и о прекращении) в течение 30 дней с даты поступления уведомления (обычно быстрее) и включает / исключает соответствующие сведения из реестра уведомлений.
Стоит ли инициатору собрания направлять уведомления в Роскомнадзор
Инициатор собрания (или другое лицо, которое участвует в обработке персональных данных) сам решает, соблюдать ли ему требования закона о персональных данных.
По мнению автора материала, уведомить РКН стоит, особенно если в доме есть оппозиция или соседи, чрезмерно озабоченные защитой своих персональных данных.
А вообще, ответственность за неуведомление РКН достаточно смешная.
Она предусмотрена статьей 19.7 КоАП РФ – «Непредставление сведений (информации)». Наказание для граждан – предупреждение или административный штраф от 100 до 300 рублей.
Чтобы максимально упростить эту бюрократическую процедуру для тех, кто на нее решится, и был подготовлен этот материал.
Автор материала благодарит подписчика Андрея за помощь в подготовке этой статьи.