Граждане, вступающие в отношения с различными организациями ЖКХ, передают им информацию, имеющую характер персональных данных. Они должны быть уверены в том, что защита сведений осуществляется таким способом, который предусмотрен законом, и их утечка невозможна. В свою очередь, управляющие компании должны знать, что несоблюдение норм закона может стать и поводом для расторжения договора с ними.

Виды организаций ЖКХ, получающих персональные данные

Сфера ЖКХ регулируется несколькими нормативными актами, среди них Жилищный кодекс, Федеральный закон «Об энергосбережении» и другие. Жители многоквартирных домов и частных коттеджей вступают в отношения с организациями ЖКХ как на основании договора, так и путем устного соглашения. К таким организациям относятся:

• управляющие компании многоквартирных домов;
• товарищества собственников жилья (ТСЖ), которые имеют статус юридического лица;
• ГУПы и ДЕЗы (не все из них еще акционированы);
• жилищные кооперативы (ЖСК);
• ресурсоснабжающие организации, в случае заключения прямого договора;
• компании, обеспечивающие проведение текущего и капитального ремонта;
• иные компании, оказывающие услуги ЖКХ, в частности, с 2019 года к ним будут относиться компании, осуществляющие вывоз ТБО – твердых бытовых отходов.

На практике граждане, проживающие в городских квартирах, чаще всего вступают во взаимоотношения с управляющими организациями. Они выбираются собранием собственников, нередко на основании тендеров, и договор с ними может быть расторгнут, если компания нарушает закон или некачественно оказывает услуги. Прямые договоры с поставщиками ресурсов заключают владельцы частных домов. Все эти типы организаций, согласно нормам закона «О персональных данных», являются операторами ПД. Этот статус приводит к необходимости:

• направить в Роскомнадзор уведомление о начале деятельности, связанной с обработкой персональных данных;
• разработать пакет внутренней документации, регламентирующей обработку;
• запрашивать у субъектов персональных данных согласие на их обработку, содержащее все требуемые законом пункты, в частности, цель обработки;
• обеспечить техническую защиту переданных сведений.

В дальнейшем информация передается другим компаниям, иногда не относящимся к сфере ЖКХ, для их обработки. Это ремонтные организации, расчетные центры, которые формируют квитанции, курьерские и почтовые службы, осуществляющие рассылку квитанций. Для того чтобы сведения не попали к третьим лицам, расчетные листки должны быть помещены в конверт. 

Состав ПД, передаваемых сотрудникам ЖКХ

Федеральный закон «О персональных данных» строго не определяет перечень информации, который передается сотрудникам ЖКХ. Он формируется на практике, но существует обязательный минимум. Иные сведения могут быть запрошены в частных случаях, и гражданин вправе не предоставлять их, если ему непонятна цель их обработки. К минимальному набору данных относятся:

• паспортные данные;
• сведения об объекте недвижимости и правах на пользование им;
• сведения о составе семьи;
• данные о числе проживающих;
• данные о личном автотранспорте при решении вопросов об аренде стоянки.

Иные сведения могут передаваться, например, для получения от управляющей компании документов, подтверждающих право на получение субсидии на оплату коммунальных услуг, и в других случаях. Фотография гражданина относится к группе биометрических персональных данных, имеющих повышенный статус охраны, поэтому ее запрос, например, для оформления пропуска, обязательно потребует подписания согласия на обработку персональных данных.

Обязанности организаций ЖКХ при обработке персональных данных

Получая статус оператора, УК вместе с ним приобретает и комплекс задач. Обязанности организаций ЖКХ по работе с персональными данными собственников недвижимости и квартиросъемщиков делятся на три группы:

• по запросу согласия;
• по обработке и хранению данных;
• по обеспечению безопасности при их передаче третьим лицам, в частности, компаниям, формирующим расчетные квитанции, и ресурсоснабжающим организациям.

В последнее время управляющие компании вправе не запрашивать согласия на обработку персональных данных, так как они запрашиваются в случаях, прямо регламентированных законом. При этом, поскольку не все передаваемые сведения относятся к тем, чье предоставление не требует оформления, необходимо разработать формат согласия и подписывать его не только у собственника или нанимателя, но и у других лиц, проживающих в квартире, в случае получения их данных. Согласие оформляется или на бумажном носителе, при условии обеспечения его хранения таким образом, чтобы к нему был исключен доступ иных, неуполномоченных, лиц, или в электронном формате, на сайте компании. В этом случае оно подписывается электронной подписью. Согласие может быть отозвано гражданином. После этого управляющие компании обязаны в течение 30 дней уничтожить все сведения, кроме тех, обработка которых требуется по закону.

Далее компания должна обеспечить реализацию комплекса технических и организационных мер, которые полностью исключат неправомерный доступ к данным третьих лиц, утечку или обработку в целях, не заявленных предварительно. Придется разработать собственное положение о защите персональных данных и разместить его на сайте УК.

К техническим мерам защиты информационных систем, реализуемым управляющими компаниями, содержащим персональные данные, относятся межсетевые экраны, разграничение прав пользователей, установка сертифицированного программного обеспечения, разработка алгоритмов аутентификации и идентификации пользователей, средств антивирусной и криптографической защиты. Требования ко всем программным продуктам устанавливаются ФСТЭК РФ.

После расторжения договора на управление конкретным многоквартирным домом полученные ранее сведения потребуется уничтожить. Нарушение этой обязанности будет сопровождаться наложением административного штрафа.

Ошибки сотрудников ЖКХ, связанные с обработкой ПД

Некоторое время назад сотрудники ЖКХ не были информированы о требованиях, связанных с защитой персональных данных собственников помещений. Это приводило к таким недопустимым ситуациям, как:

• вывешивание в подъездах списков неплательщиков;
• направление расчетных квитанций в незапечатанном виде;
• хранение важных данных в информационных системах, не обеспечивающих их безопасность;
• неправомерная передача сведений третьим лицам;
• отказ от направления в Роскомнадзор уведомления о том, что организация ЖКХ является оператором персональных данных;
• отказ от разработки положения о порядке обработки ПД и от ознакомления с ним собственников и нанимателей;
• отказ от уничтожения персональных данных в случае продажи квартиры. Это требование крайне часто игнорируется сотрудниками управляющих компаний;
• отказ от внесения изменения в неточные данные.

Это создавало множество конфликтов между гражданами и управляющими компаниями, приводящих к административным делам и судебным процессам. Сейчас практика отказа от соблюдения требований законодательства, действующего в сфере защиты персональных данных, практически прекращена. Тем не менее сохраняющиеся риски их утери и неправомерного использования, которые приводят к вторжению в частную жизнь граждан и причинению им морального вреда, сохраняются.

Несмотря на то, что ситуация с охраной персональных данных в сфере ЖКХ улучшилась, граждане должны проявлять осторожность и самостоятельно проверять соблюдение требований законодательства, в необходимых случаях направляя уведомления о нарушениях в Роскомнадзор.