Трудности управляющих компаний при обработке данных жильцов

«Засекречивание» данных собственников квартир повлияло на работу управляющих компаний

До 1 марта 2023 г. Ф.И.О. и дата рождения собственников недвижимости были общедоступны. Управляющая компания (далее – УК) могла получить эти данные, заказав выписку из ЕГРН. Они используются для выполнения УК своих обязанностей: ведение реестра собственников квартир в обслуживаемых домах, отслеживание изменений данных жильцов и передача их ресурсоснабжающим организациям, предоставление сведений инициаторам общественных собраний, претензионно-исковая работа с должниками. 

С 1 марта 2023 г. Росреестр не указывает Ф.И.О. и дату рождения собственника недвижимости в выписке из ЕГРН, если ее заказывают третьи лица (Федеральный закон от 14 июля 2022 г. № 266-ФЗ).

Получить эти данные могут, в частности, органы власти, суды, совладельцы недвижимости и те, кому сведения обоснованно необходимы, например для защиты своих прав. В большинстве иных случаев данные будут скрыты, пока собственник не предоставит доступ к ним, подав в Росреестр заявление о возможности их передачи (ст. 36.3 Федерального закона от 13 июля 2015 г. № 218-ФЗ).

Это нововведение затруднило работу УК, так как сделало сбор и обработку персональных данных собственников квартир почти невозможными. Но поскольку обязанности никуда не делись, УК ищут другие решения.

Во-первых, можно получить персональные данные через нотариуса (ч. 14.1 ст. 62 Федерального закона от 13 июля 2015 г. № 218-ФЗ). Для этого требуется подать заявление и доказать, что данные необходимы для защиты прав. Придется представить письменные доказательства – например, подтверждающие наличие у собственника долгов по коммунальным платежам.

Во-вторых, можно получить полные сведения из ЕГРН через подачу в суд иска к собственнику. В исковом заявлении УК должна указать, что не обладает персональными данными должника и просит суд их запросить (ч. 3 п. 1 ст. 131 Гражданского процессуального кодекса РФ).

Однако в обоих случаях на получение доступа к данным собственника уйдет много сил и времени. При этом УК не имеет права отказать ему в предоставлении услуг. Поэтому логичнее выстраивать доверительные отношения с жильцами, чтобы они без сомнений передавали свои данные и соглашались на их обработку согласно Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Обязанности управляющих компаний в области обработки персональных данных

1. Если персональные данные УК передал не собственник недвижимости (субъект данных), то она должна сообщить ему, как эти сведения получила и с какой целью будет их использовать (ст. 18 Закона № 152-ФЗ).

2. УК обязана прекратить обработку персональных данных в течение 10 рабочих дней после получения соответствующего обращения от собственника. Этот срок УК может продлить не более чем на 5 рабочих дней, уведомив жильца (ст. 14 Закона № 152-ФЗ).

3. Должны быть утверждены документы, определяющие правила обработки персональных данных, и назначен ответственный сотрудник, который станет контролировать соблюдение УК законов и рассматривать обращения собственников (ст. 18.1, 22.1 Закона № 152-ФЗ). В документах следует прописать: перечень обрабатываемых данных; категории граждан, данные которых обрабатываются; способы, сроки обработки и хранения данных, а также порядок их уничтожения.

4. УК должна уведомлять Роскомнадзор о начале, изменении и прекращении обработки персональных данных (ст. 22 Закон № 152-ФЗ). Формы уведомлений утверждены Приказом Роскомнадзора от 28 октября 2022 г. № 180. Уведомление можно отправить на бумаге или в электронном виде с использованием усиленной квалифицированной электронной подписи или средств аутентификации ЕСИА.

5. В случае утечки персональных данных УК обязана сообщить об этом через ГосСОПКА или сайт Роскомнадзора (ст. 19 Закона № 152-ФЗ, Приказ ФСБ России от 13 февраля 2023 г. № 77, Приказ Роскомнадзора от 14 ноября 2022 г. № 187).

И это лишь малая часть обязанностей, которые предусмотрены Законом № 152-ФЗ для компаний – операторов персональных данных, в том числе для УК.

Ужесточение ответственности за нарушения при обработке персональных данных

В конце прошлого года ужесточили ответственность за обработку персональных данных без согласия их субъекта (Федеральный закон от 12 декабря 2023 г. № 589-ФЗ, ч. 2 и 2.1 ст. 13.11 КоАП РФ). Компанию могут оштрафовать на сумму от 300 тыс. до 700 тыс. руб., должностное лицо – на сумму от 100 тыс. до 300 тыс. руб. При повторном нарушении штраф для компании составит от 1 млн до 1,5 млн руб., для должностного лица – от 300 тыс. до 500 тыс. руб.

Установили ответственность за нарушение требований к размещению и обновлению биометрических персональных данных (Федеральный закон от 12 декабря 2023 г. № 589-ФЗ, ст. 13.11.3 КоАП РФ). Штраф для компаний составит от 500 тыс. до 1 млн руб., для должностных лиц – от 100 тыс. до 300 тыс. руб.

23 января 2024 г. в первом чтении приняли поправки, направленные на усиление административной ответственности за утечку персональных данных (законопроект № 502104-8). Размеры штрафов будут зависеть от масштаба утечек. Например, если посторонние лица получат доступ к данным более 100 000 субъектов, компанию оштрафуют на сумму от 10 млн до 15 млн руб.

К защите персональных данных от утечек лучше готовиться уже сейчас. Не стоит ждать, когда поправки с многомиллионными штрафами примут и начнут применять.

Для компаний, где немного специалистов по охране данных и ИТ-сотрудников, оптимальным решением станет привлечение профильных организаций, оказывающих услуги по защите информации.