Профилактические визиты Роскомнадзора в 2024 г.

В начале 2024 г. со стороны Роскомнадзора Санкт-Петербурга в адрес отдельных ТСЖ/ЖСК стали поступать Уведомления о проведении профилактического визита с предложением предоставить документы по обработке Персональных данных (ПДн) внутри организации. Образец Уведомления и перечень требуемых документов прилагается ниже.

1. Требования к порядку проведения профилактического визита установлены ст. 52 Федерального закона от 31.07.2020 N 248- «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

«В ходе профилактического визита контролируемое лицо информируется об обязательных требованиях, предъявляемых к его деятельности либо к принадлежащим ему объектам контроля, их соответствии критериям риска, основаниях и о рекомендуемых способах снижения категории риска, а также о видах, содержании и об интенсивности контрольных (надзорных) мероприятий, проводимых в отношении объекта контроля исходя из его отнесения к соответствующей категории риска.»

«При проведении профилактического визита гражданам, организациям не могут выдаваться предписания об устранении нарушений обязательных требований. Разъяснения, полученные контролируемым лицом в ходе профилактического визита, носят рекомендательный характер.»

Следует принять во внимание, что «Контролируемое лицо вправе отказаться от проведения обязательного профилактического визита, уведомив об этом контрольный (надзорный) орган или его территориальный орган не позднее чем за 3 рабочих дня до даты его проведения.» согласно ч. 6 ст. 52 Федерального закона от 31.07.2020. Об этом же есть упоминание в тексте самого Уведомления.

2. При анализе перечня истребуемых Роскомнадзором документов и информации можно увидеть, что в ТСЖ/ЖСК должны быть утверждены Положения об обработки персональных данных (политика в отношении обработки персональных данных). Мы рекомендуем заранее утвердить два схожих Положения (в отношении работников ТСЖ/ЖСК и собственников дома) на заседании правления.

Остальные позиции из запрашиваемого перечня – это меры, необходимые и достаточные для обеспечения выполнения обязанностей по защите ПДн. (ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»). «Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей…».

«Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.», ч. 4 ст. 18.1 ФЗ «О персональных данных».

Запрашиваемая информация может быть представлена в Роскомнадзор в виде справки или служебного письма. Ниже предлагаем свои рекомендации по исполнению запроса Роскомнадзора.

2.1. назначение ответственного лица за организацию обработки персональных данных с приложением копии должностной инструкции лица, ответственного за организацию обработки ПДн;

Рекомендация — Обычно таким лицом выступает Председатель правления ТСЖ/ЖСК (или бухгалтер). Если с ним заключены трудовые отношения, то должна быть должностная инструкция, в которой лучше прописать обязанность по обработке ПДн. Если такой обязанности в инструкции нет, то можно сослаться, что руководитель организации в силу закона отвечает за соблюдение всего действующего законодательства (даже без упоминания на это в инструкции), в том числе и по защите ПДн.

2.2. информацию, подтверждающую издание документа, определяющие политику Оператора в отношении обработки ПДн;

Рекомендация — Решение правления об утверждении Положения об обработки персональных данных.

2.3. сведения об изданиях локальных актов оператора, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в сфере персональных данных, устранение последствий таких нарушений;

Рекомендация — При наличии таких актов в ТСЖ/ЖСК.

2.4. информацию о применении правовых, организационных и технических мер по обеспечению безопасности ПДн

Рекомендация — Перечень подобных мер указан в ч. 2 ст. 19 ФЗ «О персональных данных». Среди них:

1) определением угроз безопасности ПДн при их обработке в информационных системах;

2) применением организационных и технических мер по обеспечению безопасности при обработке в информационных системах;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер до ввода в эксплуатацию информационной системы;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к ПДн;

7) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к ПДн;

9) контролем за принимаемыми мерами по обеспечению безопасности.

Если какие-то из этих мер применяются – указать в справе.

2.5. информацию по организации внутреннего контроля соответствия обработки ПДн требованиям Закона о персональных данных;

Рекомендация — При наличии таких актов (Правила внутреннего контроля) в ТСЖ/ЖСК.

2.6. информацию по оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных;

Рекомендация — Оценка вреда (высокая, средняя или низкая) осуществляется ответственным за организацию обработки ПДн либо комиссией из нескольких членов, оформляется актом. (Приказ Роскомнадзора от 27.10.2022 N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (Зарегистрировано в Минюсте России 28.11.2022 N 71166).

2.7. информацию о факте ознакомления работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с документами, определяющими политику оператора в отношении персональных данных, локальными актами оператора по вопросам персональных данных, и обучении данных сотрудников;

Рекомендация — Акт ознакомления работников с Положением об обработке ПДн и иными документами (при наличии).

2.8. информацию, подтверждающую факт опубликования или иным образом обеспечения неограниченного доступа к документу, определяющему его политику в отношении персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

Рекомендация — Разместить Положение об обработке ПДн на своем сайте (при наличии), в ГИС ЖКХ, на информационных стендах правления или иных доступных местах.

2.9. сведения об опубликовании или иного способа обеспечения неограниченного доступа к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (с предоставлением адреса URL на сайте);

Рекомендация — Справка об способе раскрытия Положения об обработке ПДн (иных документов), при наличии – ссылка на сайт.