Работа управляющей компании с персональными данными: юрист разбирает новые требования закона

25 июня 2023

С 1 марта 2023 года в выписках из ЕГРН не указываются персональные данные собственников жилья без их согласия. При этом управляющим организациям эта информация бывает необходима для работы. Ведущий юрист Doma.ai Мария Гориченко рассказала, как УК сейчас должны работать с персональными данными.

Данные жителей нужны УК для многих целей:

  • заключения, исполнения и расторжения договоров управления многоквартирным домом
  • ведения реестра собственников
  • организации проведения общего собрания собственников жилья
  • взаимодействия с поставщиками коммунальных ресурсов
  • работы с должниками
  • работы с обращениями граждан

Управляющая компания имеет право на работу с любыми данными. Но для этого УК должна правильно оформить внутренние документы (там должны быть прописаны все категории и виды обрабатываемых данных, цели их обработки и т. д.) и получить согласие человека на обработку персональных данных. В перечисленных документах не должно быть противоречий, то есть в согласии не должно быть данных или целей, которых нет в положении об обработке данных.

Согласие не требуется в случаях, которые прямо предусмотрены законом. Например, частью 3.1. ст. 45 Жилищного кодекса РФ установлено, что согласие жителей многоквартирного дома на передачу персональных данных, содержащихся в реестре собственников, не нужно для проведения общего собрания владельцев квартир. Также не требуется согласие собственников на размещение информации в ГИС ЖКХ в соответствии с Федеральным законом от 21 июля 2014 года № 209-ФЗ «О государственной информационной системе жилищно-коммунального хозяйства».

Список необходимых УК персональных данных жителей

Для работы управляющей компании нужны следующие данные:

  • фамилия, имя, отчество собственника жилья
  • дата и место рождения
  • паспортные данные
  • номер телефона
  • адрес регистрации по месту жительства, месту пребывания, адрес фактического места жительства
  • информация о недвижимом имуществе, в том числе сведения о праве собственности на помещения
  • финансовые данные (о начислениях и оплатах за жилищные, коммунальные и прочие услуги, сведения о задолженности)
  • банковские платежные реквизиты
  • сведения о родственниках и совместно проживающих лицах, а также о зарегистрированных по месту жительства или месту пребывания
  • ИНН, СНИЛС, водительское удостоверение (в качестве идентификатора при обращении в суд)
  • адрес электронной почты

Хранить эти данные централизованно просто и безопасно можно с помощью специальных систем, например, решения для ЖКХ от Сбера, которое позволяет сформировать единую базу данных об объектах управления, жителях, приборах учета и сотрудниках.

Запрет на включение персональных данных в выписки из ЕГРН

С 1 марта 2023 года вступили в силу изменения в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Запрещено включать персональные данные в выписки из ЕГРН. Это значительно усложнило работу управляющих компаний. Раньше УК в любой момент могли получить актуальные данные об объекте недвижимости, которые включали сведения о собственниках. Сейчас выписки из ЕГРН как источник данных о владельцах жилья утратили свою актуальность, за исключением случаев, когда собственник открыл сведения о своих фамилии, имени, отчестве и дате рождения по специальному заявлению.

«Никакого нового альтернативного способа в настоящий момент законодательно не введено. Таким образом, УК остается получать необходимые данные только от самих собственников. Однако закон не содержит обязанности жителей предоставлять какие-либо данные о себе, такая обязанность предусмотрена только для членов товарищества собственников жилья»,

— говорит Мария Гориченко.

Работа с задолженностями

До 18 марта 2023 года для управляющих компаний могло стать большой проблемой обращение в суд по факту задолженности жителей. В судебном заявлении нужно было указывать фамилию, имя и отчество должника, дату и место его рождения. Также недавно вступили в силу положения о необходимости указывать один из идентификаторов человека: номер СНИЛС, ИНН, серию и номер документа, удостоверяющего личность, основной государственный регистрационный номер индивидуального предпринимателя, серию и номер водительского удостоверения. Кроме того, в перечень прилагаемых к заявлению о взыскании задолженности документов входила выписка из ЕГРН.

Федеральный закон от 18 марта 2023 года № 80-ФЗ «О внесении изменений в статью 60 Арбитражного процессуального кодекса РФ и Гражданский процессуальный кодекс РФ» разрешил при подаче заявления в суд о взыскании долга по ЖКХ не указывать сведения о фамилии, имени и отчестве должника.

Согласно действующей редакции п. 3 ч. 2 ст. 124 Гражданского процессуального кодекса РФ, если управляющей компании неизвестны дата и место рождения должника, один из его идентификаторов, об этом нужно просто указать в заявлении в суд. Если УК также неизвестны фамилия, имя, отчество, это также указывается в заявлении. Суд, в свою очередь, направляет запрос в Фонд пенсионного и социального страхования, ФНС, МВД.

Таким образом, у УК есть два варианта при взыскании задолженности: получать персональные данные от собственников напрямую либо через суд, подав заявление и указав на отсутствие необходимых данных.

Новые правила работы управляющих компаний

Запрет включать персональные данные в выписки из ЕГРН — не единственное изменение, которое закон внес в работу УК с персональными данными. Теперь управляющим компаниям необходимо:

.

Уведомить Роскомнадзор о начале и об окончании обработки персональных данных

УК должна сформировать и отправить уведомление в территориальный орган Роскомнадзора в бумажном виде, онлайн с использованием усиленной квалифицированной электронной подписи или в электронном виде с использованием средств аутентификации ЕСИА.

В уведомлении нужно указать:

  • наименование и адрес УК
  • цель и дату начала обработки персональных данных
  • срок или условие прекращения их обработки. Основанием для этого может являться ликвидация юрлица, аннулирование лицензии на работу, а также вступившее в законную силу решение суда о прекращении обработки персональных данных управляющей компанией
  • сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки (то есть подтверждение, что данные не будут передаваться иностранцам — органам власти, физическим или юридическим лицам)

При прекращении обработки персональных данных УК должна уведомить об этом Роскомнадзор в течение десяти рабочих дней.

.

Назначить ответственного за обработку персональных данных

УК должна утвердить приказом руководителя положение о защите персональных данных. В нем устанавливаются порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения документов и способы защиты электронных документов.

Затем необходимо назначить ответственного за обработку персональных данных. Он должен контролировать соблюдение управляющей компанией и ее сотрудниками российского законодательства о персональных данных, принимать и обрабатывать обращения и запросы субъектов персональных данных.

.

Привести форму согласия на обработку персональных данных в соответствие с № 152-ФЗ

Обработка персональных данных осуществляется только с согласия человека. Это может быть подпись на бумаге или электронная подпись онлайн-документа.

Согласие должно включать:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе
  • наименование и адрес УК, получающей согласие человека на обработку персональных данных
  • цель обработки персональных данных и их перечень
  • фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению УК
  • список действий с персональными данными, общее описание используемых способов их обработки
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва
  • подпись субъекта персональных данных

.

При утечке персональных данных сообщить об этом в Роскомнадзор

В течение суток нужно направить уведомление в Роскомнадзор об утечке (сделать это можно на сайте ведомства), в течение 72 часов — предоставить в РКН результаты внутреннего расследования инцидента с указанием причины и виновных лиц.

Ответственность за нарушение правил обработки персональных данных

Ответственность зависит от конкретных обстоятельств, а также личности нарушителя: является ли он юрлицом, индивидуальным предпринимателем, должностным или физическим лицом. Нарушителей требований законодательства ждут штрафы.

Административная ответственность является основным видом ответственности за данный тип нарушений. Она наступает за:

  • нарушение правил обработки персональных данных
  • неисполнение обязанностей при взаимодействии с субъектом персональных данных
  • невыполнение требований по защите персональных данных
  • неисполнение обязанностей при взаимодействии с Роскомнадзором

Соблюдение всех описанных выше требований позволит не нарушать законодательство и избежать штрафных санкций для УК.