Как УО организовать обработку персональных данных при работе с подрядчиками

Если управляющая организация привлекает подрядчика для выполнения работ, то в некоторых случаях нужно не только заключить с ним договор, но и позаботиться о защите личных данных жителей МКД. Рассказываем, как это сделать, чтобы не получить штраф.

Можно ли передавать персональные данные жильцов подрядчикам 

Персональные данные (ПД) — любые сведения, которые позволяют идентифицировать конкретного человека. Например, ФИО, паспортные данные, ИНН, банковские реквизиты и адрес регистрации. 

Управляющие организации регулярно используют информацию о жителях МКД — например, чтобы выставлять квитанции на оплату жилищно-коммунальных услуг, проводить общие собрания и взыскивать долги с неплательщиков. Это значит, что у УО есть статус оператора персональных данных и на ее деятельность распространяются положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Согласно ст. 7 Закона № 152-ФЗ, управляющая организация не может передавать третьим лицам персональные данные собственников помещений без их согласия. Но разрешение жильцов не нужно, если организация обрабатывает ПД, чтобы выполнить свои функции и обязанности, которые предусмотрены законом.

Чтобы обслуживать МКД, управляющая организация может привлекать подрядчиков. Например, заключить договор с расчетным центром, который будет выставлять собственникам квитанции на оплату ЖКУ. Для этих и других целей требуются личные данные жильцов, поэтому при передаче информации управляющая организация должна соблюдать требования Закона № 152-ФЗ. 

Как организовать работу с персональными данными 

Управляющие организации могут передавать личные данные жильцов подрядчикам, только если у них есть правовые основания — например, согласие субъектов ПД, договоры и поручения с третьими лицами. Кроме того, УО должна выполнить следующие требования ↓ 

Проверить статус подрядчика. Организация, с которой УО заключает договор на оказание услуг, должна состоять в реестре операторов персональных данных. Иначе у подрядчика нет оснований для работы с личными сведениями жильцов МКД.

Найти организацию в реестре операторов ПД можно через базу Роскомнадзора. Для этого надо ввести в поиск наименование организации, ИНН или регистрационный номер. 

Разработать положение о работе с персональными данными. Это локальный нормативный акт управляющей организации. В такой политике важно указать основные требования к работе с личной информацией, например:

• правила обработки, хранения и использования ПД жителей дома;
• список документов, которые содержат персональные данные; 
• порядок передачи ПД внутри организации и третьим лицам, в том числе подрядным организациям;
• ответственность за нарушения правил, которые регулируют обработку ПД.

В УО должен быть сотрудник, который контролирует обработку персональных данных, например заместитель директора или руководитель кадрового отдела. Его задача — следить, чтобы все работники соблюдали требования по защите ПД, информировать их об изменениях в законах и организовывать работу с обращениями субъектов персональных данных.

Для сотрудника, ответственного за обработку персональных данных, нужно составить должностную инструкцию. В ней надо прописать его обязанности, права и ответственность. 

Составить список сотрудников, у которых есть доступ к ПД. Управляющая организация должна издать отдельный приказ, где указано, какую именно информацию конкретный человек может использовать в работе.

Предусмотреть ответственность сотрудников подрядной организации за передачу ПД. Для этого нужно, чтобы работники подписали обязательство о неразглашении персональных данных. Также следует включить в договор отдельный раздел по защите ПД и ответственность сторон за их распространение.

Если вы хотите организовать работу с персональными данными по закону, оставьте заявку на нашем сайте. Мы разработаем для вашей организации шаблоны документов и политику в области обработки и защиты персональных данных «под ключ».