Инициатор общего собрания собственников в МКД обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные.
Роскомнадзор полагает, что инициатор ОСС в МКД, – поскольку при организации и проведении собрания он неизбежно обрабатывает персональные данные своих соседей по дому, – должен исполнить обязанности оператора персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее также – ПДн):
во-первых, следует уведомить Роскомнадзор о начале обработки персональных данных. В качестве цели обработки ПДн можно указать «проведение ОСС». А в графе «категории субъектов персональных данных» можно указать, например, «физические лица (субъекты, состоящие в договорных или иных гражданско-правовых отношениях с Оператором)»;
в графе уведомления «перечень действий с персональными данными» можно указать, например, «неавтоматизированная обработка ПДн», «исключительно автоматизированная обработка ПДн с передачей полученной информации по сети или без таковой», «смешанная обработка ПДн». Кроме того, ведомство порекомендовало при автоматизированной обработке персональных данных либо смешанной обработке указать, передается ли полученная в ходе обработки ПДн информация по внутренней сети Оператора (информация доступна лишь для строго определенных лиц) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации;
также в уведомлении следует отразить описание мер, предусмотренных ст. 18.1 и ст. 19 Закона о персональных данных. Такое описание мер предполагает указание организационных и технических мер, применяемых для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств. Если инициатор ОСС использует такие шифровальные средства, то информацию о них рекомендуется представлять на основании приказа ФСБ России от 10 июля 2014 г. № 378;
во-вторых, следует разработать и опубликовать политику в отношении обработки ПДн, поскольку согласно ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн. Оператор, осуществляющий сбор ПДн с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в сети «Интернет», с использованием которых осуществляется сбор персданных, документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. Следовательно, при осуществлении обработки ПДн посредством сети «Интернет» инициатор ОСС, как оператор, обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных.
Отметим, что нарушение законодательства о ПДн при проведении ОСС в МКД само по себе не влияет на законность и действительность итогов ОСС (см., например, Апелляционное определение СК по гражданским делам Мосгорсуда от 24 мая 2021 г. по делу № 33-19710/2021), однако может повлечь административную ответственность для инициатора, который проигнорировал соответствующие требования закона.
В заключение напомним, что на прошлой неделе в Минюсте России был зарегистрирован приказ Роскомнадзора, которым утверждены формы уведомлений в сфере обработки ПДн, в том числе форма уведомления о намерении осуществлять обработку персональных данных. Приказ вступит в силу 26 декабря 2022 года (Письмо Роскомнадзора 27 октября 2022 г. № 08-95490).
Источник: www.garant.ru