ВЛАДИВОСТОК, 27 июля, PrimaMedia. В течение двух дней, 22 и 23 июля, на одном из информационных ресурсов Приморского края проходила онлайн-конференция с управляющими компаниями Владивостока. Участие в конференции принимали ведущие управляющие компании столицы Приморья.
Управляющим компаниям, в том числе был задан вопрос по исполнению требований законодательства "О персональных данных". Основной ответ: вся информация о клиентах, а именно базы данных клиентов хранятся на сервере муниципального автономного учреждения "Расчётно-кассовый центр жилищно-коммунального хозяйства Владивостока", выпуск квитанций на оплату жилищных услуг осуществляется указанным учреждением поэтому вопрос о защите персональных данных можно переадресовать МАУ "РКЦ".
Но по данным Администрации г. Владивостока всего 40 процентов управляющих компаний Владивостока сотрудничают с "Расчетно-кассовым центром". По свидетельству специалистов, у данной организации - много преимуществ. Прежде всего, расчеты через Муниципальное автономное учреждение "РКЦ" удобны для граждан. Горожане могут запрашивать и получать отчеты о поступлениях и расходовании денег, - информация доступна для всех и абсолютно достоверна и если жители меняют способ управления многоквартирным домом или обслуживающую организацию, вся информация по предыдущим платежам сохраняется в базе данных единого кассового центра.
Как же обстоят дела с выполнением обязательных требований по обеспечению безопасности персональных данных в базе данных единого кассового центра если "информация доступна для всех и абсолютно достоверна"?
Напомним в конце 2009 году муниципальное учреждение "Расчетно-кассовый центр" признано виновным в совершении административного правонарушения, предусмотренном статьей 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах).
Было установлено, что в нарушение законодательства "Расчетно-кассовый центр" производило обработку персональных данных граждан, полученных не от самих граждан непосредственно, а от одной из управляющих компаний города Владивостока.
В частности, управляющая компания организовывала доставку и печать расчетных документов по услугам по многоквартирному дому, но путем привлечения "Расчетно-кассовый центр".
В свою очередь, "Расчетно-кассовый центр" выполняло начисление платежей населению согласно адресному списку, а также выпуск, обработку и доставку квитанций для населения за все виды работ по содержанию и ремонту жилья.
А как же обстоят дела с выполнением требований законодательства "О персональных данных" в оставшихся 60% управляющих компаний Владивостока и ТСЖ?
Существует внутреннее положение о защите персональных данных клиентов, в котором указываются лица, имеющие допуск к такого рода информации. Компетентные сотрудники, подписавшие этот документ, осведомлены, что распространение персональных данных собственников подлежит материальной, а также уголовной ответственности – сообщили нам в одной из управляющих компаний.
Из этого ответа (отсутствие ссылок на требования законодательства в области защиты персональных данных в частности на Постановление Правительства РФ от 17 ноября 2007 г.№ 781, а также нормативные и методические документы ФСТЭК и ФСБ России) следует, что в управляющих компаниях не в полной мере выполняется закон "О персональных данных", в том числе обязательные требования по обеспечению безопасности персональных данных.
Одно из первых требований законодательства "О персональных данных" - уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) об осуществлении (намерении) обработки персональных данных.
Не все приморские операторы персональных данных, в том числе и управляющие компании подали уведомления в Роскомнадзор по Приморскому краю. Об этом корр. РИА PrimaMedia сообщил заместитель руководителя Управления Эдуард Шутов.
"Защита информационных систем, в которых обрабатываются персональные данные, должна быть приведена в соответствие с требованиями законодательства до 1 января 2011 года. В настоящее время формируется реестр операторов персональных данных и проводятся и будут проводится плановые проверки", - рассказал он.
Плановые проверки потенциальных операторов персональных данных будут проводиться и другими органами, в частности ФСТЭК России и ФСБ России. По словам нашего собеседника, сейчас Роскомнадзор рассылает уведомления о необходимости предоставить данные всем потенциальным операторам персональных данных. Даже непредставление информации является нарушением законодательства, если компания не отвечает, то ведомство составляет соответствующий протокол и направляет его в прокуратуру.
По мнению экспертов, "коммунальщики", управляющие компании (согласно Закону "О персональных данных" - оператор), при заключении договора с жильцами должны вносить пункт о возможности передачи их сведений третьим лицам во исполнение договора. В случае если оператор на основании договора поручает обработку персональных данных другому лицу (например, начисление платежей, печать и последующее распространение квитанций) существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. В соответствии с Постановлением Правительства РФ №781 безопасность персональных данных при их обработке обеспечивает оператор или лицо (компания, организация, учреждение), которому на основании договора оператор поручает обработку персональных данных.
Подавляющее большинство компаний полагают, что если обработка персональных данных ведется только в соответствии с ч. 2 ст. 22 152-ФЗ (трудовые отношения; заключение договора, стороной которого является субъект персональных данных и т.д.), то такие персональные данные защищать не надо. Это в корне неверно. Статья 19 Федерального закона "О персональных данных" определила, что оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных, а Правительство РФ своим Постановлением от 17 ноября 2007 г. № 781 определило конкретные требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Разделения по трудовым отношениям, либо по каким-то другим в данной статье не сделано. Это означает, что вне зависимости, чьи персональные данные и на каком основании компания их обрабатывает, она обязана эти данные защитить.
При этом нужно не забывать, что если "коммунальщики", управляющие компании передают сведения о своих клиентах (жильцах), значит, эти сведения хранятся и обрабатываются в информационных массивах указанных компаний, которые необходимо защищать в соответствии с требованиями, установленными Правительством РФ.
"Вообще, это довольно тяжелый закон с жесткими требованиями, и исполнить его не просто, но мы это делаем. На сегодняшний день сделано еще не все, но к моменту вступления закона в силу будем готовы полностью", - сообщил директор УК "Эгершельд" Вадим Глазунов.
