Юлия Копытова: «Собрание собственников в многоквартирном доме и персональные данные – как не нарушить закон»
В сентябре 2022 года опубликовано письмо Федеральной службы по надзору в сфере связи, в котором объясняется, что у организаторов общего собрания собственников, работающих с персональными данными, есть новые обязанности. Если коротко – то нужно уведомлять, что проводится работа с такими данными. NSP попросила объяснить нюансы нововведения и дать рекомендации организаторам общих собраний собственников руководителя отдела по работе с клиентами компании «Адвокат ФРЕММ» Юлию Копытову.
Копытова Юлия
Адвокат ФРЕММ
С 1 сентября 2022 года вступили в силу изменения в закон 152-ФЗ «О защите персональных данных». Одно из изменений касается сокращения перечня оснований, допускающих проведение обработки оператором персональных данных без уведомления Роскомнадзора (ч. 2 ст. 22). Сейчас практически все за редким исключением обязаны подавать уведомление в Роскомнадзор и почти все являются операторами по обработке персональных данных – и юридические, и физические лица.
Какие обязательства появились у организаторов общего собрания собственников (операторов персональных данных)?
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи (исключение: если оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации (то есть с помощью средств вычислительной техники / ПК), что бывает крайне редко и в случае организации ОСС технически почти невозможно.
Подать уведомление впервые можно в любое время пока без последствий. Законом срок подачи не определен.
Введены также изменения относительно обязанности оператора персональных данных, коим является в данном случае инициатор общего собрания собственников (ОСС), незамедлительно уведомлять об утечке этих персональных данных. То есть речь идет об обязанности сообщать «органу, уполномоченному в области обеспечения безопасности (читать ФСБ) об инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.
Какие еще нюансы надо учитывать организаторам общего собрания собственников?
Учитывая, что с 1 марта 2023 года персональные данные (Ф.И.О., дата рождения собственников, арендаторов, субъектов иных прав на недвижимость) в ЕГРН (реестре недвижимости. – NSP) для третьих лиц станут доступны только с письменного согласия субъекта персональных данных, это существенно усложняет организацию проведения ОСС. Управляющие организации также не смогут без согласия собственника помещения получить из ЕГРН его персональные данные.
Роскомнадзор в своем ответе пишет, что «оператору необходимо направить в территориальный орган Роскомнадзора по месту регистрации в качестве индивидуального предпринимателя уведомление».
Цитата: «Для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных, оператору необходимо направить в территориальный орган Роскомнадзора по месту регистрации в качестве индивидуального предпринимателя Уведомление по форме, установленной в соответствии с приложением № 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале деятельности по обработке персональных данных и внесении изменений в ранее представленные сведения, утвержденных приказом Роскомнадзора от 30.05.2017 № 94, в виде документа на бумажном носителе или в форме электронного документа. После вступления в силу приказа Роскомнадзора, устанавливающего форму уведомления, предусмотренную ч. 7 ст. 22 Закона, оператор вправе направить уведомление о внесении изменений в ранее представленные сведения об операторе в реестр операторов, осуществляющих обработку персональных данных, в территориальный орган Роскомнадзора по месту регистрации в качестве индивидуального предпринимателя».
Не совсем понятно, почему Роскомнадзор рекомендует подавать уведомление в Роскомнадзор по месту регистрации ИП. На мой взгляд, это опечатка. Инициатор не обязан быть зарегистрированным в качестве ИП для того, чтобы быть инициатором ОСС. Проведение ОСС не относится к предпринимательской деятельности.
Но если инициатор ОСС как физическое лицо обрабатывает персональные данные собственников автоматизированно (то есть с помощью средств вычислительной техники / ПК), то он уже подпадает под обязанность уведомлять об этом Роскомнадзор как оператор персональных данных, и сведения об этом операторе будут внесены в реестр операторов, осуществляющих обработку персональных данных.
Письмо Федеральной службы по надзору в сфере связи доступно онлайн.