152 федеральный закон и садоводства

152 ФЗ и что требуется от садоводств осенью 2022 года

Российский законодатель в своей заботе о россиянах традиционно не дает отдыхать рядовым гражданам. Интенсивность изменения законодательства в нашей стране можно сопоставить разве что с ее периодической непоследовательностью.  В 2022 году по традиции законодатель поменял 217 ФЗ, введя и новые требования к проведению собраний и новые пожелания по обновлению уставов и много мелких неожиданных правок, вновь разворошив сельские склоки на земле. Обзор этих изменений мы уже приводили ранее. В этой статье пойдет речь об изменениях, которые были внесены в 152 ФЗ о защите персональных данных. И это изменение закона по коварному умыслу или по безответственному рассуждению теперь касается практически 100% юридических лиц в России, а значит и садоводств тоже.

Не будем тратить время и килобайты на рассуждения о рациональности вводимых изменений, отметим только то, что нужно сделать руководителям СНТ, ТСН, ДНТ и других форм организаций, выполняющих требования 217 ФЗ или аналогичных законов (например, законов о потребительской кооперации для Партнерств и Кооперативов).

1. Садоводство = оператор персональных данных в силу закона.

Садоводство - потому что оно обязано вести реестр членов и собственников в силу требования закона. Любое другое Товарищество или Партнерство - потому что оно обязано в силу ГК вести реестр своих членов и учредителей.

Что в этом реестре содержится, описано в 217 ФЗ: ФИО, адрес, телефон, email, данные объекта недвижимости. На прочие данные надо запрашивать согласие на обработку персональных данных и это согласие должно быть на бумаге за собственноручной подписью. Ссылаться на то, что персональные данные получены из публичных источников (например, из выписки из ЕГРН), и поэтому обрабатываются, теперь формально нельзя.

В ГК и Законе о потребительской кооперации не указано, что должно быть в реестре "товарищей" по кооперативу или партнерству, поэтому лучше предусмотреть или автоматическое согласие в уставе или отдельное согласие на обработку персональных данных. Последнее предпочтительнее.

2. Документарное сопровождение обработки персональных данных.

Любое юрлицо вправе обрабатывать персональные, служебные и иные данные любым способом. Можно на бумажке, можно на компьютере, можно в облаке с помощью любых программных инструментов (включая облачные 1С, Е-поселок или что угодно еще). При этом юрлицо должно предпринимать разумные и достаточные действия для обеспечения безопасности: т.е. убирать документы в сейф, установить на компьютер антивирус, ознакомиться с режимом безопасности у поставщиков облачных сервисов, своевременно менять пароли от своих учетных записей. Субъект персональных данных не может запретить обрабатывать свои данные удобным для оператора способом, а те данные, которые предоставлены в силу требования закона, оператор может продолжать свободно обрабатывать даже если субъект потребует их удалить. Это прописано в 152 ФЗ.

Ограничение и требование по получению дополнительного согласия субъекта персональных данных наступают только тогда, когда одно юрлицо передает другому юрлицу персональные данные для обработки в виде именно персональных данных (например, в виде структурированной таблицы Excel или иного списка или базы данных). Иными словами наступает ситуация, когда СНТ нанимает стороннее юрлицо для обработки именно персональных данных: нельзя передать списки жителей в какой-нибудь Газпром или Мособлэнерго, в Союз Садоводов, даже если это требование для получения субсидий. Нельзя просто так поручить сторонней организации обзвон жителей или поручить сторонней организации провести общее собрание по телефону. Есть важная деталь: если исполнитель именно работает с данными, то это обработка. Если исполнитель выполняет технические действия, это другое. Поясним примером: нельзя дать список жителей и поручить кому-то разослать по этому списку всем уведомления. Можно самостоятельно сформировать сообщения и поручить оператору их доставку. В е-поселок вы (поселок) формируете правила формирования уведомлений в программе или сами сообщения в разделе Коммуникация - Рассылки. Поставщик услуг выполняет непосредственно техническую рассылку, не вскрывая отправляемый пакет, не разбирая содержимое послания, не выясняя, где имя, где адрес, а где написан цвет глаз. На вход подается номер или адрес и целиковое тело письма.

Обходится этот запрет следующим образом: например, если СНТ необходимо передать ПД для обработки, форматирования или иных задач куда-либо, СНТ может заключить нефинансовый договор волонтерства с физическим лицом, которое выполнит данные работы. Таким образом, формальной передачи ПД за пределы организации не произойдет и дополнительных разрешений от субъектов не потребуется. Узким моментом является факт того, что вопрос оформления должен регистрироваться в ПФР и подаваться в отчетах в ФСС. Но в отношении волонтеров такой строгой обязанности нет.

Увы, какие времена - такие и решения.

Однако проблема подготовки документов по обработке ПД по-прежнему существует. Это значит, что как минимум на сайте юрлица должно быть опубликовано уведомление об использовании cookies и политика обработки персональных данных. В недрах организации должны быть изданы приказы об обработке персональных данных:

• • - политика обработки персональных данных
• • - положение об обработке ПД, об обеспечении безопасности и т.п.
• • - приказ по должностным лицам, допущенным к обработке персональных данных
• • - инструкции для должностных лиц и регламенты
• • - регламенты и составы комиссий по удалению и проверке режимов хранения и обработки ПД
• • - приказ о назначении ответственного за организацию обработки ПД у оператора
• • - шаблон-согласие субъекта ПД на обработку его ПД
• • - документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.
• • - документы по организации приема и обработке обращений и запросов субъектов персональных данных.
• Всего около 30 документов....  

Список довольно большой, нудный, бессмысленный и едва ли у какой-либо организации в России он имеется в идеальном виде.  В е-поселок смотрите документы для делопроизводства в разделе Методические рекомендации.

3.  Теперь "друг" садоводства - РосКомнадзор. Неожиданно.

Действительно, с 1 сентября 2022 года все юрлица должны в уведомительном порядке подать заявление в Роскомнадзор о намерении обрабатывать персональные данные в автоматизированном виде. До указанной даты законодатель выводил из списка организаций те, что обрабатывали данные в т.ч. своих сотрудников. Поэтому  "угадать" должно ли юрлицо подавать заявление в Роскомнадзор или нет было не просто. Но теперь же, любое юрлицо автоматически "виновно", ведь никто больше не ходит "ножками" в ПФР и не подает вручную ежемесячный отчет, например, СЗВ-М или -ТД в ПФР или отчет НДФЛ в ФНС. Эти отчеты отправляются через бухгалтерские программы с помощью ЭЦП через средства автоматизации, а значит предприятие их использует и обрабатывает ПД. Поэтому с 1 сентября все работодатели, включая СНТ, вынуждены подавать форму и регистрироваться.

Что необходимо сделать прямо сейчас (вернее надо было сделать до 1 сентября): 

• - зайти на сайт https://pd.rkn.gov.ru/operators-registry/notification/form/
• - заполнить форму. Подписать можно ЭЦП или распечатать и послать по почте.

Задача вроде бы не сложная, но заполнение формы может превратиться в ужас для человека, который не сталкивался с местной бюрократической кухней. Поэтому приложим к настоящей статье краткую информацию - пример, как отвечать на пункты анкеты РКН.

И да оградит нас режим повышенной готовности от напастей проверок голодных государственных чиновников!

Пример заполнения
Уведомление об обработке (намерении осуществлять обработку) персональных данных
для садоводства

Правовое основание обработки персональных данных: ст. 86-90 Трудового Кодекса РФ, Гражданский Кодекс РФ, 217 ФЗ, Устав

Цель обработки персональных данных с целью: Предоставление услуг; выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с заявлениями граждан; обеспечение кадрового резерва, учет собственников и членов организации, ведение реестра.

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:

Организационные меры: разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных.

Технические меры: обеспечение охраны помещений с базами персональных данных; информация передается на магнитных и бумажных носителях, а также через сеть интернет с использованием протоколов шифрования SSL.

Средства обеспечения безопасности: Сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения;

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: Лица, осуществляющие обработку персональных данных, обучены и проинструктированы под роспись. Хранение носителей баз данных, содержащих персональные данные, обеспечено. Несанкционированный доступ к базам персональных данных, исключён. Не контролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Контроль учета лиц, допущенных к работе с персональными данными, ведётся.

Модель угроз безопасности персональных данных при их обработке определена, система защиты разработана.

Срок или условие прекращения обработки персональных данных: Ликвидация (реорганизация) учреждения.

Сведения о способе обработки персональных данных или об информационной системе : Категории персональных данных осуществляет обработку следующих категорий персональных данных: фамилия, имя, отчество;  дата рождения; место рождения; адрес; семейное положение; данные объекта собственности, подлежащего учету;

Специальные категории персональных данных: нет;

а также: Данные документов: паспорта РФ или документа его заменяющего, ИНН; СНИЛС; номер контактного телефона, адрес электронной почты

Категории субъектов, персональные данные которых обрабатываются принадлежащих: Сотрудники, с которыми заключены трудовые договоры; близкие родственники сотрудников; граждане, обратившиеся с заявлениями, их законные представители; граждане, направившие резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей; физические лица, состоящие в договорных или иных гражданско-правовых отношениях.  Члены товарищества (организации), их родственники и доверенные лица, собственники участков и домовладений и иных объектов недвижимости на территории организации.

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка вышеуказанных персональных данных будет осуществляться путем: неавтоматизированная и автоматизированная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;

Осуществление трансграничной передачи персональных данных: не осуществляется

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ:

cтрана: Россия

адрес ЦОДа: ЦОДы ООО Яндекс Облако 141004, г. Мытищи ул Силикатная 19; 391434, Рязанская область, г. Сасово, ул Пушкина 21; 600902, Владимирская обл, г. Владимир, ул Энергетиков 37 по договору с ООО Би-Ти-Лайт (ИНН 7839342128).

cобственный ЦОД: нет

наименование организации: ООО Яндекс Облако.

тип организации: юридическое лицо

организационно-правовая форма: Общество с ограниченной ответственностью

адрес организации: 119021, г. Москва , ул. Льва Толстого, д 16

ИНН: 7704458262

ОГРН: 1187746678580

использование шифровальных (криптографических) средств: не используются