персональные данные в жкх судебная практика
Правомерность обнародования списка должников ЖКУ
Нередки случаи в практике управляющих организаций, когда они в качестве меры воздействия на неплательщиков ЖКУ избирают способ обнародования списка должников на так называемой “доске позора” в подъезде или на придомовой территории. На самом деле, это является грубым нарушением ФЗ №152 “О персональных данных”. О правомерности обнародования списка должников ЖКУ сегодня и поговорим.
Персональные данные
Прежде чем разобраться в правомерности вывешивания на всеобщее обозрение списка должников жилищно-коммунальных услуг, необходимо разобраться в вопросе о персональных данных.
Под персональными данными понимается любая информация, относящаяся к физическому лицу, включая ФИО, год рождения, место проживания, имущественное положение. Поскольку данная информация позволяет определить личность субъекта персональных данных.
При заключении договора управления МКД управляющая организация получает от собственников их персональные данные. В работу управляющей организации входят функции по приёму первичных документов для регистрационного учёта граждан, а также ведению и хранению этих документов. То есть, управляющая организация получает право на обработку персональных данных собственников помещений в МКД.
Под обработкой персональных данных понимается их сбор, систематизация, накопление, хранение, обновление, изменение, использование, распространение, обезличивание, блокирование и уничтожение. Сбор, хранение и распространение персональных данных регулируются ФЗ №152 “О персональных данных”. Нарушение закона, в частности, распространение персональных данных о человеке влечёт за собой административную ответственность.
Вывешивание списков должников ЖКУ
К сожалению, данная ситуация не редкость. Управляющие организации, а иногда и РСО имеют склонность вывешивать на дверях подъездов или на информационных досках во дворах МКД списки неплательщиков за жилищно-коммунальные услуги. При этом, они не задумываются о нарушении закона “О персональных данных”. За такие противоправные действия привлечь к административной ответственности могут именно управляющие организации.
Некоторые управляющие организации хитро обходят закон, размещая информацию о должниках ЖКУ с обезличенными данными. Например, только номер квартиры и сумму долга. Они читают, что обобщённая информация без разглашения других персональных данных не даёт возможности установить личность человека. Поэтому информацию можно считать обезличенной и соблюдение конфиденциальности в данном случае не требуется.
Но не следует пользоваться этими советами, чтобы не попасть под административные штрафы за разглашение конфиденциальной информации. Лучше работать с должниками индивидуально по другой схеме. Например, проводить персональные беседы с неплательщиками, обсуждать проблемы должников на общих собраниях собственников или оглашать общую сумму задолженности МКД.
Ответ Роскомнадзора
В связи со сложившейся ситуацией управляющие организации направили запрос в Роскомнадзор, является ли номер квартиры персональными данными физического лица и будет ли считаться нарушением ФЗ №152 размещение на информационных стендах УК информации о его задолженности с указанием суммы задолженности?
В своём ответе Роскомнадзор сослался на ст.3 ФЗ №152, согласно которой под персональными данными подразумеваются любые сведения, прямо либо косвенно относящиеся к определяемому физическому лицу. По мнению ведомства, эта информация должна быть персонализирована, чтобы позволить идентифицировать субъекта персональных данных.
Поэтому номер квартиры, по словам Роскомнадзора, без указания дополнительных сведений не является информацией, которая позволяет однозначно идентифицировать определяемое физическое лицо. То есть, размещение информации о должнике с указанием номера его квартиры и суммы долга, но без ФИО не может подразумевать обработку его персональных данных. Это, соответственно, не является нарушением закона “О персональных данных”.
Судебная практика
Однако нельзя принимать на веру данное разъяснительное письмо Роскомнадзора, поскольку судебная практика свидетельствует о противном. Конечно, каждый случай индивидуален, поэтому суды в разных регионах принимают различные решения по данному вопросу. И не всегда в пользу управляющих организаций.
Более того, нарушением считается даже предоставление по запросу председателя совета МКД распечатанного списка должников с указанием их номеров квартир и суммы задолженности. Например, постановлением судьи г.Кирова управляющая организация признана виновной в совершении правонарушения по ст.13.11 КоАП РФ, но отделалась предупреждением.
Заместитель руководителя УК выдал по запросу председателю совета МКД письмо с приложением запрашиваемого списка должников с указанием их номеров квартир и суммы образовавшейся задолженности по оплате ЖКУ.
Суд посчитал это нарушением, поскольку адрес физического лица является его персональными данными. Поэтому указание адреса позволяет идентифицировать физическое лицо, что является несанкционированным распространением персональных данных собственников помещений в МКД.
Другим решением суда г.Ульяновска товарищество собственников жилья признано виновным по ст.13.11 КоАП РФ в распространении персональных данных без согласия их субъектов. Указанные действия нарушают права граждан и требования действующего законодательства. В результате ТСЖ назначен административный штраф.
И ещё одним решением суда г.Чебоксары вынесено обвинительное постановление в отношении управляющей организации, которая развесила списки должников с указанием их номеров квартир и суммы долга на дверях подъездов МКД. Суд посчитал это нарушением обработки и распространения персональных данных, что квалифицируется штрафом в размере 5 000 рублей по ст.13.11 КоАП РФ.
Согласие субъекта персональных данных
Согласно п.1 ст. 6 ФЗ №152 оператор в нашем случае в лице управляющей организации может обрабатывать персональные данные с согласия их субъекта в целях исполнения договора управления МКД.
В соответствии с п.2 ст.162 ЖК РФ по договору управления УК по заданию собственников за плату выполняет работы и оказывает услуги, а также осуществляет иную деятельность в целях управления МКД. Поэтому обработка персональных данных собственников необходима для организации выполнения работ по договору, начисления платы за ЖКУ, печати и доставки квитанций.
Но работа по взысканию задолженности осуществляется не для исполнения УК договора управления, а для контроля исполнения обязательств собственниками. Поэтому для осуществления претензионно-исковой деятельности управляющей организации необходимо получить письменное согласие собственников на обработку их персональных данных. Нельзя в каком бы то ни было виде размещать и публично разглашать персональные данные о неплательщиках ЖКУ. Это грубое нарушение, за которое УК может получить штраф.
Кроме того, независимо от того, нужно или нет получать согласие собственников на обработку их персональных данных, управляющая организация обязана обеспечить их конфиденциальность. То есть, не допускать распространения персональных данных без согласия собственников (п.1 ст.7 Закона “О персональных данных”).
Под распространением персональных данных понимается их передача определённому кругу лиц или ознакомление с ними неограниченного круга лиц, включая обнародование в СМИ, размещение в Интернете или предоставление доступа иным способом. Поэтому управляющая организация не имеет права без согласия собственников передавать или обнародовать их персональные данные.
Ответственность
Если у вас остались вопросы, вы всегда можете обратиться к нам за консультацией. Также мы помогаем управляющим компаниям соответствовать 731 ПП РФ о Стандарте раскрытия информации (заполнение портала Реформа ЖКХ, сайта УК, информационных стендов) и ФЗ №209 (заполнение ГИС ЖКХ). Мы всегда рады вам помочь!
Роскомнадзор об обработке персональных данных
С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?
Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.
Об обработке персональных данных
Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?
Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.
К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.
При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.
Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.
Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.
Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.
Об операторе по обработке персональных данных
Кто является оператором персональных данных?
В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.
Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.
Кого должна уведомить УО о том, что она является оператором персональных данных?
Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.
В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.
Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.
Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.
Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.
Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.
Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.
Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.
О согласии на обработку персональных данных
Когда нужно заручиться согласием на обработку персональных данных?
Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.
Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.
В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).
Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?
Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?
Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.
Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.
Об ответственности за нарушение законодательства о персональных данных
Какие штрафы существуют и кто их выписывает?
До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.
Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.
С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.
Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.
Защита ПДн при внесении их в платёжные документы и в ГИС ЖКХ
Мы продолжаем рассказывать о деятельности управляющих организаций и ТСЖ как операторов персональных данных жителей многоквартирных домов. Читайте о том, почему незапечатанные платёжные документы нарушают № 152-ФЗ и кто отвечает за защиту персональных данных, размещённых в ГИС ЖКХ.
В платёжных документах в силу закона указываются ПДн плательщиков
Обязанность УО выставлять платёжные документы в адрес собственников и нанимателей жилых помещений для внесения платы за жилищно-коммунальные услуги прописана в ч. 2 ст. 155 ЖК РФ, п. 67 ПП РФ № 354.
Примерная форма такой квитанции, а также перечень обязательной для внесения в счёт информации прописаны в п. 69 ПП РФ № 354 и приказе Минстроя РФ от 26.01.2018 № 43/пр.
В соответствии с указанными нормативно-правовыми актами, в платёжном документе обязательно указываются следующие сведения: адрес помещения, фамилия, имя и отчество собственника, наименование юрлица или данные об индивидуальном предпринимателе, сведения о задолженности, льготах и субсидиях, о количестве прописанных в помещении граждан и площади в собственности.
В соответствии с ч. 1 ст. 3 № 152-ФЗ, такая информация, напрямую или косвенно позволяющая идентифицировать человека, является его персональными данными. Управляющая организация, выполняющая условия договора управления многоквартирным домом, получает и обрабатывает такие данные в силу п. 5 ч. 1 ст. 6 № 152-ФЗ. На это ей не требуется согласие субъектов ПДн.
Такую позицию подтверждают и суды, в которые обращаются жители многоквартирных домов, считающие, что УО неправомерно используют их личные данные для выставления счетов за жилищно-коммунальные услуги. Например, в деле № 33-8182 Нижегородский областной суд отказал собственнику помещений в МКД в удовлетворении иска к управляющей организации.
Истец утверждал, что не давал согласия УО на обработку своих данных и указание их в ежемесячных квитанциях. Суд первой инстанции встал на сторону жителя дома и потребовал, чтобы организация убрала из платёжных документов ПДн истца. Но областной суд с такой позицией не согласился. Судья отметил, что обработка персональных данных необходима УО в силу закона – для выполнения условий договора управления. Согласия истца на это не требуется.
УО обязаны обеспечить защиту ПДн в квитанциях от случайного доступа к ним третьих лиц
УО не нужно получать согласие жителей многоквартирных домов на обработку их персональных данных при формировании платёжных документов для внесения платы за ЖКУ. Однако как оператор ПДн управляющая организация обязана не раскрывать третьим лицам эти данные, не распространять их и принимать меры для защиты ПДн от случайного доступа к ним (ст. 7, ч. 1 ст. 19 № 152-ФЗ).
Это напрямую касается защиты Пдн, указанных в квитанциях за ЖКУ. В соответствии с ч. 2 ст. 155 ЖК РФ, УО выставляет жителям многоквартирных домов платёжные документы на бумаге или в электронном виде, размещая их в ГИС ЖКХ или иных информационных системах. Также счёт по письменному соглашению с собственником/нанимателем помещения может направляться ему по адресу электронной почты.
Ещё один способ получения жителем МКД платёжного документа – в информационном терминале. Это должно быть прописано в договоре управления или допсоглашении с конкретным собственником.
Электронная форма счёта – это новшество последних лет, которое обеспечивает максимальную защиту личных данных от доступа к ним третьих лиц. Но подобный способ доставки квитанций пока ещё не получил массового распространения.
Контрольные органы требуют конвертировать квитанции для защиты ПДн
Исторически сложилось, что УО и ТСЖ направляют жителям домов платёжные документы на бумаге по почте или разносят по почтовым ящикам самостоятельно. При этом чаще всего счёт представляет собой лист формата А4 (половину А4) в раскрытом виде.
Такой формат и способ доставки счетов не защищает персональные данные, указанные в квитанциях, от случайного доступа к ним сторонних лиц, особенно если часть почтовых ящиков в доме сломана. Это прямое нарушение требований конфиденциальности и безопасности личных данных жителей многоквартирного дома.
Платёжные документы должны быть запечатанными в конверт либо свёрнуты таким образом, чтобы указанные в них ПДн были скрыты. Именно такой позиции придерживаются контрольно-надзорные органы – Роскомнадзор и прокуратура. Например, к административной ответственности по ст. 13.11 КоАП РФ за доставку счетов в незапечатанном виде была привлечена одна из УО Костромской области.
В судебной практике также можно найти примеры, когда суд признавал управляющую организацию виновной в распространении ПДн жителей многоквартирных домов, доставляя бумажные счета за ЖКУ в неконвертируемом виде.
В деле № 2-549 прокуратура подала иск с требованием обязать управляющую организацию обеспечить защиту личных данных, запечатав доставляемые платёжные документы в конверты. Прокурор отметил, что для доставки квитанций в открытом виде субъекты ПДн должны дать на это письменное согласие. В ином случае подобные действия являются нарушением норм № 152-ФЗ.
Суд согласился с доводами прокуратуры и обязал УО принять меры по защите ПДн жителей многоквартирного дома, а также получить их письменное согласие на обработку их личных данных. Подобные выводы приведены и в других судебных решениях, например, по делам № 2-2061/2013, № 2-1913/2013.
Персональные данные в ГИС ЖКХ должны размещаться в закрытой части
Персональные данные жителей многоквартирных домов управляющие организации также размещают в ГИС ЖКХ в составе информации, которую они обязаны раскрывать согласно приказу № 74/114/пр. Делают они это в силу закона, поэтому не обязаны получать на такую обработку ПДн согласие их субъектов.
Персональные данные содержатся в сведениях о собственниках и нанимателях помещений, в размещённых в системе протоколах общих собраний собственников, в платёжных документах.
В ГИС ЖКХ заносятся фамилия, имя и отчество собственника, адрес помещения в его собственности, место жительства, СНИЛС, пол, сведения о льготах и субсидиях, о задолженности и иные личные данные, которые относятся к ПДн. ТСЖ размещает в системе информацию, которая позволяет идентифицировать председателя, членов правления, членов товарищества.
При этом персональные данные, которые УО и ТСЖ размещают в ГИС ЖКХ в силу закона, должны заноситься в закрытую часть системы (пп. 12 п. 2 № 74/114/пр). При этом УО и ТСЖ, являясь операторами таких ПДн, несут ответственность за защиту личных сведений граждан, даже если какую-то информацию по агентскому договору вносит в ГИС ЖКХ подрядчик или расчётный центр.
Особенно внимательными УО необходимо быть при внесении в ГИС ЖКХ протокола ОСС и обязательных приложений к нему, ведь в этих документах содержится большой объём личных данных собственников помещений в доме: ФИО каждого собственника, сведения о собственности и адресе помещения, реквизиты правоустанавливающих документов. Протокол с приложениями вносится в закрытую часть системы.
За нарушение требований № 74/114/пр и № 152-ФЗ штрафуют по разным статьям КоАП РФ
Перед жителями многоквартирных домов за нарушения требований № 152-ФЗ при обработке персональных данных отвечает управляющая организация (ч. 5 ст. 6 № 152-ФЗ). Если у организации заключён договор с подрядчиком, по которому он размещает информацию в ГИС ЖКХ,то он несёт ответственность за свои действия с ПДн не перед субъектами данных, а перед управляющей организацией.
Нарушения в области работы с персональными данными в ГИС ЖКХ можно разделить на две группы: недочёты в работе с ГИС ЖКХ и ошибки в работе с персональными данными в системе.
При неполном размещении данных в системе или внесении недостоверных сведений УО могут оштрафовать по ч. 2 ст. 13.19.2 КоАП РФ. Если УО нарушила правила работы с ПДн в системе, например, без согласия собственников передала их третьим лицам по агентскому договору, то её привлекают к ответственности по ст. 13.11 КоАП РФ.
При этом по первой статье протокол составляет орган ГЖН, а по второй – Роскомнадзор или прокуратура. Орган ГЖН не имеет права привлекать УО к ответственности по ст. 13.11 КоАП РФ. За одно нарушение организацию могут наказать только один раз по одной статье.
На заметку
Несмотря на то, что УО не обязана получать согласие жителей дома на обработку ПДн в силу договора управления она несёт ответственность за защиту их личных данных.