Должна ли управляющая компания получать согласие субъектов на передачу ПД в случае если начисление ЖК услуг занимается другая
Автор
Сообщение
Александр
Добавлено: 7 октября 2009, 20:20
Должна ли управляющая компания получать согласие субъектов на передачу ПД в случае если начисление ЖК услуг занимается другая организация.
alex
Добавлено: 20 октября 2009, 02:15
закон не запрещает передачу ПД другим лицам без согласия и не всегда требует получения согласия.
Так, например, в п/п 2 п.2 ст.6 152-ФЗ указано, что Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Таким образом, УК не обязана получать согласие для обработки ПД.
В тоже время в п.4 ст.6 152-ФЗ указано, что если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Таким образом, закон допускает право оператора поручить обработку ПД третьему лицу, а следовательно и ознакомить третьее лицо в ПД.
Однако, в зависимости от наличия согласия и налчия передачи ПД третьим лицам, УК должна или не должна уведомлять уполномоченный орган об обработке персональных данных. И тут возможно 2 варианта:
1. УК получает письменное согласие субъектов ПД на обработку, включая передачу третьим лицам. В этом случае УК подпадает под действие п/п. 2 п.2 ст.22 152-ФЗ (поскольку УК БЕЗ СОГЛАСИЯ ПД не распространяет, а распространяет их с СОГЛАСИЯ) и соответственно УК не уведомляет уполномоченный орган о начале обработки персональных данных.
2. УК НУ получает письменное согласие субъектов ПД на обработку (такое право у УК есть в силу заключения договора управления с обладателями ПД), но в этом случае УК НЕ УК подпадает под действие п/п. 2 п.2 ст.22 152-ФЗ, а следовательно должна уведомлять уполномоченный орган о начале обработки персональных данных.
Евгений
Добавлено: 26 января 2010, 12:30
2 Александр
В Вашем случае согласно части 3 ст.18 152-ФЗ если персональные данные были получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Обратите внимание - не получить Согласие, а лишь уведомить, и этим вроде-бы можно было и ограничиться, а собственно уведомить можно через СМИ, в информационном листе и т.п.
Однако, требованиями других статей 152-ФЗ необходимыми условиями обработки ПДн является наличие согласий субъекта ПДн на обработку его персональных данных (за исключением случаев, указанных в ч.2 ст.6 152-ФЗ).
При этом согласно ч.3 ст.9 152-ФЗ обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
Т.е. если УК передала обработку ПДн по начислению ЖК услуг другому лицу (например, информационно-расчетному центру - ИРЦ), то необходимо:
1. При заключении договора с УК в договоре явно прописать, что УК гарантирует наличие у УК Согласий субъектов ПДн, сведения о которых передаются для обработки в ИРЦ, на передачу персональных данных, необходимых для начисления ЖК, услуг третьим лицам - ИРЦ;
2. В том же договоре УК должна обязать ИРЦ обеспечить конфиденциальность ПДн и обеспечить безопасность ПДн при их обработке в ИСПДн ИРЦ;
3. ИРЦ до начала обработки ПДн обязан уведомить жильцов, что с такой-то даты начислением ЖК услуг будет заниматься именно этот ИРЦ.
При таком условии ИРЦ полностью застрахован от необходимости лично собирать Согласия с жильцов, т.к. согласно п.2) ч.2 ст.6 152-ФЗ обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, а именно, договора жильцов с УК.
Более того,ИРЦ может согласно п.2) ч.2 ст.22 152-ФЗ не уведомлять уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) об обработке ПДн.
Alex
Добавлено: 29 января 2010, 15:11
2Евгений
Вы пишите "согласно части 3 ст.18 152-ФЗ ... оператор до начала обработки...", "... согласно ч.3 ст.9 152-ФЗ обязанность ... возлагается на оператора."
Видите, тут везде написано ОПЕРАТОР. Оператором является УК, т.к. именно УК определяет объем обрабатываемых данных, содержимое, цели. Расчетный центр ничего этого не определяет и поэтому в отношении этих ПДн оператором не является. Расчетный центр просто напросто вводит данные в компьютер, обрабатывает платежи, печатает счета, но делает все это не по своей воле, а по поручению УК (оператора). Расчетный центр не может сам приять решение о необходимости обрабаотки еще какие-то данных или наоборот об изменении состава обрабатываемых данных.
По Вашим пунктам:
1. Пункт о том, что УК что-то там гарантирует в договор включить можно, но он никаких правовых последствий не повлечет. Нет законоадтельного требования включать такие пункты в договор, а ответственность ВСЕГДА лежит на операторе, т.е. на УК. И даже если такого пункта не будет, то в случае, если расчетный центр будет обрабатывать ПДн в строгом соответствии с заключенным договором (без такого пункта) и указаниями УК (оператора), то тогда он ничего не нарушает и все у него будет в порядке. Если оператор там не получит согласия или что-то еще не выполнит, то это будут проблемы оператора, а не расчетного центра. Единственное, что тут может грозить расчетному центру - требование со стороны соответствующих органов о приостановке обработки данных на основании претензий к оператору. Расчетный центр такое требование должен удовлетворить, обработку приостановить, но деньги за свои услуги с оператора все равно вправе взять как убытки или упущенную выгоду.
2. Да, пункт об обеспечении конфиденциальности надо включить в договор, иначе договор будет считаться не заключенным (т.к. для заключения договора должна быть достигнута договоренность по всем существенным условиям, а 152-ФЗ соблюдение конфиденциальности относит к существенным условиям).
3. Расчетный центр никого уведомлять не должен. Это обязанность оператора (УК). Единственный случай, когда оператор (УК) это поручит расчетному центру.
А уж уведомлять уполномоченный орган расчетный центр тем более не должен, т.к. это обязанность оператора, коим расчетный центр не является (в отношении ПДн собственников и проживающих).
Ольга
Добавлено: 31 января 2010, 09:21
1) В соответствии с ч. 2 ст. 3 ФЗ № 152-ФЗ оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обработка персональных данных – это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ч. 3 ст. 3).
Расчетный центр (РЦ) и УК являются операторами, так как в силу ч. 2 ст. 3 осуществляет обработку ПДн, а также определяет цели обработки ПДН (в силу своей деятельности) и содержание ПДн (между УК и РЦ определяется перечень категорий ПДн, у каждой организации он свой). Также они производят сбор информации (УК у субъектов ПДн, муниципальных органов, паспортных столов и т.д.; РЦ у УК), систематизацию, накопление, хранение, уточнение (обновление, изменение), уничтожение и т.д.
2) Обе компании (УК и РЦ) обязаны уведомить уполномоченный орган об обработке ими ПДн субъектов ПДн в случае, если:
- у УК нет договора с субъектом ПДн (собственником жилья), т.е. ПДн были получены не от самого субъекта ПДн, а например, от администрации города или из другого источника (паспортный стол и т.д.), но при этом ПДн данного собственника все равно обрабатываются.
При этом УК в соответствии с ч. 3 ст. 18 до начала обработки таких персональных данных обязана предоставить субъекту персональных данных (собственнику и нанимателю жилья) следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
- РЦ получил ПДн собственников (нанимателей) жилья не у самого субъекта ПДн, а от УК, т.е. договора между РЦ и собственником нет, с нанимателем он не нужен (собственник – администрация города). Поэтому РЦ также необходимо в соответствии с ч. 3 ст. 18 до начала обработки таких персональных данных предоставить субъекту персональных данных (собственнику, нанимателю) следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
3) УК может не уведомлять уполномоченный орган об обработке ею ПДн в случае:
- если эти ПДн получены УК в связи с заключением договора, стороной которого является субъект персональных данных (собственник), если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
4) Если у УК есть договор с собственником жилья, то на передачу ПДн в РЦ его письменного согласия не требуется в силу п. 2 ч. 2 ст. 6:
- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (УК и собственник жилья).
В данном случае УК производит действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) (ч. 4 ст. 3).
Alex
Добавлено: 2 февраля 2010, 19:29
2 Ольга
Поясните, как расчетный центр определяет цели и содержание обработки?
Как расчетный центр может влиять на цели? А на содержание?
Вы думаете, что расчетный центр может скажем не обрабатывать какие-то данные по собственному усмотрению?
На самом деле расчетный центр ничего не может определить. Данные о собственниках и проживающих - это данные УК, которая заключает с этими лицами договоры управления. Расчетному же центру поручаются вполне конкретные функции и он выполняет их по договору с УК. И не расчетный центр решает какие ПДн печатать в квитанции, а какие нет, какие обрабатывать, а какие нет. Он сделает ровно так, как ему скажет заказчик - УК. Иными словами, расчетный центр не определяет цели и содержание обработки, а поэтому оператором не является со всеми вытекающими последствиями.
Если Вы не согласны с этой позицией, то аргументируйте обратное. Надеюсь Вы представляете себе бизнес-процессы УК и расчетного центра.
Волшебница
Добавлено: 3 февраля 2010, 12:47
Alex, вы так любите поумничать.. )))
Ольга прекрасно Вам ответила.
Расчетные центры занимаются не только квиточками, но и приватизацией, социальными льготами и прочим.
И все это - цели и содержания.
Alex
Добавлено: 3 февраля 2010, 23:56
2Волшебница
Я не умничаю, я говорю ровно то, что знаю.
Приватизацией расчетный центр может заниматься в одном единственном случае - если ему это поручено администрацией муниципального образования, являющейся собственником жилых помещений. И в этом случае опять же оператором будет администрация, т.к. именно она определила цель обработки - исполнение права граждан на приватизацию жилья, которое по закону обязана обеспечивать администрация, а также содержание обработки - какие данные, в каком виде расчетный центр должен обрабатывать, кому передавать и т.п.
Но в любом случае деятельность администрации и расчетного центра по приватизации НИКАКОГО отношения к обработке ПДн с целью исполнения УК договоров управления НЕ ИМЕЕТ.
Аналогично со льготами. Предоставление льгот в неденежном виде (т.е. в виде уменьшения стоимости жилищно-коммунальных услуг) лежит не на расчетном центре, а на УК. Именно она заключает с управлениями по социальной защите договоры на возмещение льгот и получает от них деньги, поэтому именно УК на основании требований органов соц.защиты определяет какие ПДн нужно обрабатывать и как, а дальше УК поручает эту работу расчетному центру и он уже ничего не может изменить. Поэтому в части предоставления льгот оператором тоже является УК.
Вы бы лучше назвали хотя-бы одну цель, которую определяет расчетный центр, т.е. цель, на которую расчетный центр имеет прямое влияние. Можете? Если можете - назовите, а если нет, то к чему безосновательные и пустые замечания. Каждый должен обосновывать свою позицию и доказывать те обстоятельства на которые ссылается (ст.56 ГПК РФ). Если Вы не можете аргументировано обосновать свою позицию здесь, то как Вы это будете в случае необходимости делать в суде?
Ольга
Добавлено: 4 февраля 2010, 15:37
Вот именно следуя Вашим советам и Вашим рассуждениям операторы только и будут заниматься доказыванием в суде законность ими обработки ПДн. Сразу и цель найдется и содержание обработки ПДн. Не надо зацикливаться на цели. Любая организация осуществляет обработку персональных данных, т.е.производит с ними действия (операции), включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ч. 3 ст. 3). Читайте внимательно ответы, когда спрашиваете. И уж поверьте, с деятельностью РЦ я тоже знакома не по наслышке.
Alex
Добавлено: 5 февраля 2010, 16:12
2 Ольга
Нет, нет, нет. Стоп. В определении оператора четко и недвусмысленно написано, что оператор - это то лицо, которое обрабатывает данные и определяет цели и содержание обработки. И это логично, т.к. если Вы не определяете цели, а действуете в рамках данных Вам поручений, то систему защиты ПДн Вы построить не можете по определению, т.к. не имеете рычагов влияния на процессы обработки.
Поэтому, вместо того чтобы пропускать неугодные Вам фразы закона будьте так любены прочитать все-таки их и сформулируйте четкую аргументированную позицию. Я с удовольствием ее выслушаю и мы с Вами подискутируем. Может быть даже Ваши аргументы перевесят мои и я поменяю свою точку зрения.
Alex
Добавлено: 5 февраля 2010, 16:14
2Ольга
А пока что Ваши слова выглядят как "был бы человек, а дело найдется", т.е. был бы оператор, а цели мы придумаем. Но по закону как раз все по другому. Сначала цели, а потом как следствием статус оператора.
Хотя в нашей стране законы соблюдать не обязательно и Вы это лишний раз показываете.
Ольга
Добавлено: 14 февраля 2010, 06:03
Alex. «Нет, нет, нет. Стоп. В определении оператора четко и недвусмысленно написано, что оператор - это то лицо, которое обрабатывает данные и определяет цели и содержание обработки. И это логично, т.к. если Вы не определяете цели, а действуете в рамках данных Вам поручений, то систему защиты ПДн Вы построить не можете по определению, т.к. не имеете рычагов влияния на процессы обработки»
Законы я соблюдаю и советую всем соблюдать их, а Вы трактуете статьи закона так, как вы их понимаете, а надо трактовать их дословно, а не философствовать.
Ч. 2 ст. 3 гласит: оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Третье лицо является оператором, так как он организует и осуществляет обработку ПДн пользователей коммунальных услуг с целью взимания оплаты за используемые ими коммунальные услуги, а также определяет вместе с УК необходимый для этой цели перечень ПДн пользователей ком. услуг. Если бы перед третьим лицом не стояли эти цели, то он и не обрабатывал бы ПДн пользователей коммунальных услуг. И почему Вы на первом месте всегда ставите цель, а потом уже определяете, является ли юр. лицо оператором?
Третье лицо обязано уведомить уполномоченный орган об обработке им ПДн, т.к. непосредственно это третье лицо договор с субъектом ПДн не заключает, а всего лишь предоставляет (уведомляет) субъекту ПДн (пользователю ком. услуг) до начала обработки его ПДн следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Информировать его можно даже на обратной стороне квитанции, но чтобы эта квитанция в последствии была оплачена пользователем ком. услуг. Это и будет являться доказательством третьего лица (оператора) об информировании субъекта ПДн.
Alex
Добавлено: 16 февраля 2010, 02:38
2 Ольга
Цель обработки - это первый вопрос, который потенциальный оператор должен задать себе. Если Вы внимательно изучите ФСТЭКовские методические материалы по вопросу защиты ПДн, то встретите там такой пункт, как рассмотрение вопроса о необходимости обработки ПДн. Т.е. сначала надо понять, с какой целью я, оператор, обрабатываю ПДн и надо ли их вообще обрабатывать. И этот вопрос оператору может задать любое лицо, как проверяющий, так и любой субъект. Если нужно, то и через судебные органы задать его. И оператор должен иметь четкий ответ на него с обоснованием.
Далее, надо определиться с содержанием обрабатываемых данных, т.е. определить какую именно информацию собирать и обрабатывать с тем, чтбы достигнуть поставленной цели. Например, для учета автомобилей в ГИБДД нужно знать марку и цвет машины, а для выставления счетов за жилищно-коммунальные услуги этого вовсе не требуется.
На эти два вопроса ответить может только оператор. Кроме того, оператор ВСЕГДА имеет возможность влиять на любые решения, связанные с объемом, содержанием, целями и способами обработки ПДн. Если оператор на это повлиять не может, то никакой он не оператор. Ответственность (а статус оператора накладывает именно ответственность за защиту ПДн) ВСЕГДА неразрывна связана с соответствующими полномочиями.
Применительно к вопросу о выставлении счетов за жилищно-коммунальные услуги третьим лицом - расчетным центром ситуация следующая: расчетный центр ни целей, ни содержания обработки не определяет. Ему это все "говорит" УК. Единственное, как расчетный центр может на это повлиять - отказаться от обработки, т.е. расторгуть договор. Но это вовсе не означает, что ПДн обрабатываться не будут, УК просто найдет другого исполнителя (другой расчетный центр, создаст собственный расчетный отдел и т.п.). Таким образом, расчетный центр юридически не имеет ни одного рычага влияния на цели и содержание обработки ПДн. УК конечно в большинстве случаев будет прислушиваться к мнению расчетного центра, а часто ей и вовсе все равно как и какие данные обрабатывает расчетный центр, однако с юридической точки зрения (а мы именно это обсуждаем) расчетный центр никакого влияния не имеет. Если УК скажет "печатать дату рождения на кватанции", то расчетный центр будет ее печатать, не этот, так другой.
Кроме того, для самого расчетного центра обрабатывать ПДн не требуется, т.е. если ему это не поручили, то у него нет ни оснований, ни потребностей обрабатывать ПДн. Расчетный центр обрабатыват ПДн на основании договора с УК, которым УК ПОРУЧАЕТ расчетному центру обрабатывать эти ПДн, а вовсе не по собственной инициативе он их обрабатывает. Нету у расчетного центра такой цели. ВОт оказать услуги УК и заработать денег цель есть, а ПДн пообрабатывать - нет.
По поводу формулировки термина "оператор" - прочитайте ее внимательно. Союз "а также" означает, что чтобы быть оператором надо помимо всего того, что указано в первой части предложения должны быть выполнены условия, указанные во второй части предложения (после "а также"). А там как раз и написано, что надо определять цели и содержание обработки. Поэтому это юридическое лицо их не определяет, то вторая часть предложения не выполнена и вцелом критерий оператора не выполняется.
У меня к Вам, Ольга, встречный вопрос - почему Вы буквально ВСЕХ считаете операторами, а что там дальше для Вас неважно - может это лицо повлиять на обработку или нет - все равно оператор? Если бы законодатель хотел ВСЕХ назвать операторами, то незачем было бы городить такой огород в 152-ФЗ с терминологией, допущениями, уведомлениями, исключениями и т.п.
Ольга
Добавлено: 17 февраля 2010, 14:09
Alex. Где Вы в законе нашли исключение о том, что юридическое лицо не является оператором, осуществляющим обработку ПДн? Оно может не уведомлять об обработке ПДн уполномоченный орган (ч. 2 ст. 22), оно может обрабатывать ПДн без согласия субъекта ПДн (ч. 2 ст. 6) и т. д. в силу исключения. Но что-то я не увидела в законе исключение о том, что юридическое лицо не является оператором, осуществляющим обработку ПДн. Сразу видно, что Вы или москвич или живете в большом городе, где "море" расчетных центров, но ведь есть и небольшие городки, поселки, села, где есть всего лишь один расчетный центр, да и тот муниципальное унитарное предприятие. И УК не приходится выбирать. А расчетный центр как раз и определяет цели обработки ПДн, т.е. для осуществления своей деятельности и получения прибыли. Если не будет обработки ПДн, то не будет никакой прибыли, работы не будет, сотрудников придется распустить по домам и т.д.
С уважением, Ольга.
zem
Добавлено: 17 февраля 2010, 16:40
Ольга, скажите, исходя из Вашего толкования 152-ФЗ, есть какие-либо случаи (или способы обработки ПД, например, неавтоматизированные) которые не подпадают под действие данного Закона? (если - да, приведите пример)
Неужели все тотально должны получать согласие, направлять уведомление, обеспечивать безопасность и т.д.? Даже предприниматель с ларьком и двумя провдавцами на рынке?
Alex
Добавлено: 18 февраля 2010, 05:58
2Ольга
Ткните меня в мое утверждение о том, что юридическое лицо не является оператором. Я такого не говорил. Ровно как и не говорил обратного. В определении оператора четко написано какие лица ими являются. Там есть ряд требований, среди которых и требование определения цели и содержания обработки. Но вот если юридическое лицо само целей не определяет, то оператором оно не является. Эта позиция изложена в разъяснении одного из территориальных управлений роскомнадзора применительно к Пенсионному фонду. Я тут ссылку на форуме на него давал, думаю Вы видели (если не видели, но найду ссылку еще раз). Пенсионный фонд - это не одно юридическое лицо, а в каждом федеральном округе или субъекте - свое. Ну и есть конечно еще центральное юридическое лицо, собственно Пенсионный фонд России. Так вот, центральный пенсионный фонд оператором является, а его территориальные управления (несмотря на то, что они самостоятельные юридические лица) - нет. И обоснование этому именно в том, что территориальные управления не определяют цели и содержание обработки.
По поводу целей обработки ПДн расчетным центром. Не может быть такой цели ОБРАБОТКИ ПДн у расчетного центра как получение прибыли. Обрабатывает расчетный центр ПДн не ради получения прибыли, а во исполнение договора. А вот договор он наверное ради получения прибыли и заключает. Но это вовсе не означает, что цель обработки ПДн - получение прибыли. Цель обработки следует из отношений с субъектом, а не из целей деятельности компании. И конечно же можно привести пример, когда обработки ПДн не будет, но деньги расчетный центр будет зарабатывать. Ведь расчетный центр не обязан оказывать только услуги по расчетам за жилищно-коммунальные услуги.
Николас
Добавлено: 27 февраля 2010, 14:25
алекс, а если РКЦ - комерческая организация (ООО) у которой в уставе основным видом деятельности является "начиление за жилищно-комунальные услуги гражданам" и код по ОКВЭД 72.40 "деятельность по созданию и использованию баз данных и информационных ресурсов, то в этом случае ООО и было создано для обработки перс.дан., интересно услышать твою позицию в данном случае
Alex
Добавлено: 28 февраля 2010, 00:05
2Николас
Да причем тут ОКВЭДы. РКЦ создан для оказания услуг управляющим компаниям, а не для обработки ПДн. Обработка ПДн - это часть работы (причем реально не самая большая часть), которую приходится делать в процессе оказания услуг управляющим компаниям. Более того, в принципе управляющая компания может и не поручать обработку ПДн расчетному центру, но поручить скажем осуществлять расчеты (для расчетов по приборам учета ПДн не нужны).
Цель обработки, о которой говорится в законе - это не получение прибыли и не обработка данных, а то, ради чего собственно ПДн НУЖНО обрабатывать. И цель эту устанавливает оператор, коим является управляющая компания. И именно УК определяет какие ПДн собирать и обрабатывать и как. Одна УК, например, может собирать номера телефонов, а другая нет. Решает это УК. Без поручения УК расчетный центр вообще никаких оснований обрабатывать ПДн не имеет.
И потом, собственнику/потребителю не нужны никакие расчеты за жилищно-коммунальные услуги и он имеет полное право не давать согласия на обработку для данной цели. И договор управления тоже заключается не для этой цели. Договор управления заключается для обеспечения собственников коммунальными услугами и создания комфортных условий проживания в многоквартирном доме. Это основная цель договора управления, ради которой собственник его подписывает. А целью обработки ПДн является ИСПОЛНЕНИЕ этого договора управления. Процесс исполнения договора включает в себя выставление счетов собственнику и их оплату, поэтому ПДн и могут обрабатываться.
Цель обработки
Николас
Добавлено: 2 марта 2010, 10:03
Понятно, думаю пока не появится судебная практика мнений будет много, а у тебя нет ссылки на какие нибудь разъяснения из официальных источников подтверждающих твою позицию? Само министерство дает пояснения по данному вопросу?
Рустам
Добавлено: 2 марта 2010, 10:47
Alex!
На мой взгляд, Вы слишком вольно трактуете нормы закона. Давайте еще раз посмотрим: "оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;".
В законе явно прописано "организующие и (ИЛИ) осуществляющие обработку". То есть, оператор и тот, кто организует, и тот, кто осуществляет обработку ПДн. (В частности и УК и РЦ.)
Во фразе "а также определяющие цели и содержание обработки", конечно, не однозначна, но в подавляющем большинстве случаев "а также" не будет иметь решающего значения, так, как есть более четкое определение "организующие и (ИЛИ) осуществляющие обработку".
В конечном счете, читать можно так: оператор - лицо осуществляющее обработку. Допустим, по Вашему, нужно еще определять цели и содержание. Цель - осуществление деятельности согласно договора (субъекты которого не собственники ПДн). Попробуйте докажите, что РЦ не оператор и не может нанести вред мне, как собственнику ПДн, в случае утечки информации, подмены или ее уничтожения? Отвечать будет УК? Согласен. Но! РЦ будет отвечать в том числе перед законом. На основании чего он обрабатывал мои данные согласие на обработку, которых, я не давал РЦ? Можно оспорить или допустить, что давал согласие в договоре с УК. Хорошо! Но на основании чего РЦ все-таки обязан сохранять конфиденциальность моих ПДн? Не только и не столько на основани пункта договора о конфиденциальности с УК, но и на основании того, что РЦ осуществляет обработку ПДн и согласно закона является оператором! Стало быть, он должен соблюсти все нормы закона, как оператор.
Alex
Добавлено: 3 марта 2010, 18:40
2Николас
У меня как раз ссылка такая есть. На разъяснения Роскомнадзора. Я ее приводил на форуме. Вот она: http://11.rsoc.ru/social/answer/q3.htm
Тут ситуация к ЖКХ отношения не имеет, но смысл в том же, а именно ПФР является оператором, поскольку определяет цели обработки, а его территориальные подразделения (в частности - Управление ПФР по Коми), которые являются не филиалами, а самостоятельными юр.лицами опратором как раз не являются, поскольку целей обработки не определяют, а действуют по поручению ПФР России. Написано там правда несколько скомкано, не в стиле разъяснений.
Если ПФРу можно использовать норму закона "а также определяют цели обработки...", то спрашивается почему другим нет?
Alex
Добавлено: 4 марта 2010, 09:55
2Рустам
Вольно трактуете закон как раз Вы, Рустам. Вам вот не нравится фраза про цели и содержание обработки и Вы ее стараетсь не замечать. И у Вас нет обоснования как эту фразу надо трактовать.
А между тем, законы следует понимать так, как они написаны. В данном случае применительно к определению оператора надо ответить на вопрос, должна ли первая часть предложения - "организующие и (или) осуществляющие обработку персональных данных" выполнятся одновременно со второй - "определяющие цели и содержание обработки персональных данных" для того чтобы лицо было оператором или же достаточно чтобы выполнялось хотя-бы одна из них. Я обратился с этим вопросом к филологам (там человек то-ли кандидат, то-ли доктор), причем к двум и оба сказали одно и то же - однозначно по правилам русского языка в данном контексте "а также" соединяет обе части предложения и обе части должны быть выполнены ОДНОВРЕМЕННО, чтобы лицо являлось оператором. Письменное заключение я не попросил, но договорился, что в случае чего мне его напишут. Если бы вместо "а также" стояла запятая, то это было бы перечисление и достаточно выполнения одно из. Но тут не так. Более того, чуть выше я привел разъяснение Роскомнадзора, который ссылаясь на "а также ..." признал, что если лицо цели не определяет, то оператором оно не является.
Если Вы подумаете логически, то это сделано не случайно и правильно, ведь лицо, которое не знает и не определяет целей обработки данных не может отвечать за их безопасность. При этом не значит что такое лицо не должно защищать ПДн, но ОРГАНИЗОВЫВАТЬ защиту и соответственно нести за это ответственность оно не может, а именно это отличает оператора от просто лица, обрабатывающего ПДн.
Если РЦ заявляется как оператор, то он сразу подставляет себя, поскольку у него нет договорных отношений с субъектами, а следовательно он должен обрабатывать ПДн с согласия субъекта. Под исключения, указанные в п.2 ст.6 152-ФЗ РЦ не подпадает. А вот УК подпадает. И применительно к УК нет нужды оспаривать, давали Вы согласие на обработку или нет - согласие в этом случае не требуется на основании п/п.2 п.2 ст.6 152-ФЗ.
РЦ обязан сохранять конфиденциальность на основании закона (все лица, обрабатывающие ПДн обязаны сохранять конфиденциальность) и самое главное - ДОГОВОРА с УК. В договоре между РЦ и УК должен быть такой пункт, а если его нет, то такой договор ничтожен, поскольку сторонами не достигнуто договоренности по существенному условию договора. ГК к существенными условиям договора такого типа относит предмет и цену, а п.4 ст.6 152-ФЗ добавляет еще и условие соблюдения конфиденциальности.
Конечно, РЦ может сказать что он оператор, но этим он только подставляет себя и крупно. Проверено уже на практике. Как говорится "назвался груздем - полезай в кузов".
Ольга
Добавлено: 4 марта 2010, 15:03
2Alex. Объясните, пожалуйста, если по Вашему РЦ не является оператором, то почему Роскомнадзор не первый год проводит проверки расчетных центров?
Alex
Добавлено: 4 марта 2010, 21:54
2Ольга
Во-первых, я не Роскомнадзор и не могу отвечать за них. А во вторых, Роскомнадзор может проводить проверки любых организаций, а не только опреторов. Разве где-то написано, что Роскомнадзор может пррверять только операторов? По-моему они проверяют любые организации, которые обрабатывают ПДн, особенно когда есть заявление о нарушении прав субъекта. В конце концов защищать ПДн должны все - и операторы и нет. Но оператор отвечает за организацию защиты, а "не оператор" отвечает только за защиту в пределах данных ему поручений и указаний, что собственно и указано в п.4 ст.6 152-ФЗ.
Андрей
Добавлено: 10 марта 2010, 14:54
По Вашему мнению, если для государственной организации цель обработки ПДн устанавливает Федеральный закон, то она не является оператором?
Alex
Добавлено: 10 марта 2010, 20:29
2Андрей
Является конечно. Однако федеральный закон расчетные центры (даже государственные и муниципальные) не обязывает заниматься какой-то деятельностью. На самом деле расчетные центры чаще всего оказывают две основные услуги:
1. ведение регистрационного учета граждан
2. ведение расчетов за жилищно-коммунальные услуги
Ведение регистрационного учета граждан осуществляется как раз на основании федерального закона 5242-1 "О праве граждан на свободу пердвижения, выбор места пребывания и жительства в пределах РФ". НО! Если Вы посмотрите внимательно Правила регистрации граждан, утвержденные во исполнение этого закона, то увидите в приложении, что должностыми лицами, ответственными за регистрацию граждан являются:
1. Должностные лица, осуществляющие в соответствии с жилищным законодательством Российской Федерации контроль за использованием и сохранностью жилищного фонда Российской Федерации, жилищного фонда субъектов Российской Федерации, муниципального жилищного фонда, ответственные за регистрацию в жилых помещениях государственного и муниципального жилищного фонда
2. Собственники, самостоятельно осуществляющие управление своими помещениями, или уполномоченные лица товарищества собственников жилья либо управляющей организации, ответственные за регистрацию в жилых помещениях частного жилищного фонда
3. Уполномоченные лица органов управления жилищными и жилищно-строительными кооперативами, ответственные за регистрацию в жилых помещениях, находящихся в домах жилищных и жилищно-строительных кооперативов
4. Уполномоченные должностные лица, ответственные за регистрацию в гостиницах, кемпингах, туристских базах, санаториях, домах отдыха, пансионатах, больницах, домах-интернатах для инвалидов, ветеранов, одиноких и престарелых, гостиницах-приютах и других учреждениях социального назначения.
Расчетных центров тут нет. Поэтому все расчетные центры, которые ведут регистрационный учет, ведут его по поручению либо управляющей компании (ТСЖ, ЖСК), либо по поручению администрации муниципального образования (которая в соответствии с п/п.9 п.1 ст.14 ЖК РФ ответственна за контроль сохранности жилого фонда). Таким образом, если администрация муниципального образования своим решением назначила расчетный центр ответственным за ведение регистрационного учета граждан, то расчетный центр будет являться оператором. Если же администрация (либо УК, ТСЖ, ЖСК) просто поручила эту работу по договору, то оператором будет именно администрация (УК, ТСЖ, ЖСК), а расчетный центр будет просто третьим лицом, который обрабатывает ПДн по поручению, что допустимо 152-ФЗ (см.п.4 ст.6 152-ФЗ).
Ведение расчетов за жилищно-коммунальные услуги всегда осуществляется на основании договора поручения, поэтому в отношении этой деятельности оператором всегда является то лицо, которое поручает эту работу.
Но повторяю еще раз - все это не означает, что расчетный центр не должен осущнствлять защиту ПДн. Я такого НИКОГДА не говорил!
