Обязанности оператора персональных данных при сдаче недвижимости в аренду и требования Роскомнадзора

<h2 id="_1">Обработка персональных данных арендаторов индивидуальным предпринимателем</h2> <p>На основании предоставленной информации я подготовил юридический анализ вашей ситуации и ответы на вопросы.</p> <h3 id="_2">Анализ вашей ситуации</h3> <p>Вы, как индивидуальный предприниматель (ИП), в рамках заключения и исполнения договоров аренды получаете от арендаторов копии документов, содержащих информацию о физических лицах (паспортные данные, ИНН и т.д.), и осуществляете их хранение и использование. Эта деятельность подпадает под регулирование Федерального закона "О персональных данных".</p> <h3 id="_3">Правовой анализ и ответы на вопросы</h3> <h4 id="1">1. Являетесь ли вы оператором персональных данных?</h4> <p><strong>Да, являетесь.</strong> Согласно законодательству:</p> <blockquote> <p>"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).</p> </blockquote> <p>Вы самостоятельно организуете и осуществляете сбор, хранение и использование персональных данных арендаторов для конкретных целей (заключение и исполнение договора аренды), что полностью соответствует определению оператора.</p> <h4 id="2">2. Нужно ли уведомлять Роскомнадзор?</h4> <p><strong>В вашем случае, вероятно, не нужно.</strong> Закон предусматривает исключения из обязанности уведомления. Одним из таких исключений является обработка данных для исполнения договора:</p> <blockquote> <p>"обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 1, пункт 5).</p> </blockquote> <p>Однако для применения этого исключения должны соблюдаться условия, указанные в части 2 статьи 22 закона. Согласно предоставленному контексту, оператор вправе осуществлять обработку без уведомления, если:</p> <blockquote> <p>"оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 2, пункт 8).</p> </blockquote> <p><strong>Важный момент:</strong> Вы упомянули использование компьютерной программы (Word). Если обработка данных (хранение файлов на компьютере, их использование) осуществляется с использованием средств автоматизации (компьютера), то исключение по пункту 8 может не применяться. Для точного определения необходимо понимать, что подразумевается под "обработкой без использования средств автоматизации" в соответствии с текущей правоприменительной практикой. Рекомендую уточнить этот вопрос.</p> <h4 id="3">3. Какие документы необходимо разработать?</h4> <p>Как оператор вы обязаны обеспечить законность и безопасность обработки. Рекомендуется разработать следующие документы:<br /> * <strong>Политика в отношении обработки персональных данных (Политика конфиденциальности):</strong> Это основной документ, в котором вы определяете цели, состав данных, принципы, права субъектов данных и меры безопасности.<br /> * <strong>Локальные акты:</strong> Например, Положение об обработке персональных данных, инструкции для работников (если они появятся), регламент доступа к данным.<br /> * <strong>Приказ о назначении лица, ответственного за организацию обработки персональных данных.</strong> Для юридических лиц это обязанность, для ИП — рекомендуемая мера для упорядочивания деятельности. Вы можете назначить ответственным сами себя.</p> <blockquote> <p>"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1).</p> </blockquote> <h4 id="4">4. Нужно ли отдельное согласие арендатора на обработку данных?</h4> <p><strong>В вашем случае получение отдельного письменного согласия, скорее всего, не требуется, но является крайне рекомендуемой мерой.</strong> Обработка допустима без согласия субъекта, если она необходима для исполнения договора (п. 5 ч. 1 ст. 6 закона, цитировано выше). Предоставление данных паспорта, ИНН для заключения договора аренды можно рассматривать как необходимое действие.</p> <p>Однако, чтобы обезопасить себя от претензий, <strong>настоятельно рекомендую включить в договор аренды отдельный раздел (или составить приложение) о согласии на обработку персональных данных</strong>. В нем следует указать:<br /> * Цель обработки (заключение и исполнение договора).<br /> * Перечень обрабатываемых данных.<br /> * Способы обработки.<br /> * Срок обработки (как правило, на срок действия договора и срок хранения документов по законодательству).<br /> * Подтверждение того, что субъект данных ознакомлен со своими правами.</p> <p>Это будет являться выражением согласия в форме, позволяющей подтвердить факт его получения.</p> <h4 id="5">5. Отчетность и проверки со стороны Роскомнадзора</h4> <p><strong>Отчетность:</strong> Если вы не направляли уведомление в Роскомнадзор (в силу применения исключения), то обязанности по регулярной отчетности у вас нет. Однако если вы всё же встанете на учёт как оператор, то при изменении сведений (например, целей обработки) необходимо будет направлять информационное письмо.</p> <p><strong>Проверки:</strong> Государственный контроль (надзор) за обработкой персональных данных осуществляется Роскомнадзором. Проверки могут быть:<br /> * <strong>Плановыми.</strong> Проводятся не чаще одного раза в 3 года со дня госрегистрации ИП или окончания последней плановой проверки.</p> <blockquote> <p>"Основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня: а) государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя" (Источник: Постановление Правительства РФ от 13.02.2019 N 146, пункт 6).<br /> * <strong>Внеплановыми.</strong> Основания для внеплановой проверки включают поступление жалоб от граждан на нарушение их прав.<br /> "Внеплановые проверки проводятся на основании приказа... по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав... действиями (бездействием) оператора при обработке их персональных данных" (Источник: Постановление Правительства РФ от 13.02.2019 N 146, пункт 8, подпункт "б").</p> </blockquote> <p>В случае выявления нарушений в ходе проверки оператору выдается предписание об их устранении. Неисполнение предписания может повлечь административную ответственность.</p> <h3 id="_4">Выводы и конкретные рекомендации</h3> <ol> <li><strong>Вы являетесь оператором персональных данных.</strong></li> <li><strong>Вероятно, вы не обязаны уведомлять Роскомнадзор</strong>, так как обработка осуществляется для исполнения договора аренды. Однако статус "обработки без использования средств автоматизации" при работе на компьютере требует уточнения. Для перестраховки можно проконсультироваться с <strong>адвокатом</strong> или написать запрос в территориальный орган Роскомнадзора.</li> <li><strong>Обязательно разработайте и утвердите внутренние документы:</strong><ul> <li>Политику обработки персональных данных.</li> <li>Приказ о назначении себя ответственным за обработку.</li> <li>Включите в договоры аренды положение о согласии на обработку персональных данных или оформляйте его отдельным документом.</li> </ul> </li> <li><strong>Примите меры безопасности:</strong> Обеспечьте сохранность бумажных носителей (сейф), защитите компьютер паролем и антивирусом, ограничьте доступ к данным.</li> <li><strong>Будьте готовы к возможным проверкам</strong> Роскомнадзора, которые могут быть инициированы жалобой арендатора. Наличие правильно оформленных документов значительно снизит риски.</li> </ol> <p>Учитывая сложность и неоднозначность некоторых положений закона, особенно в части применения исключений, для составления полного пакета документов и минимизации рисков рекомендуется обратиться к <strong>адвокату</strong>, специализирующемуся на защите персональных данных.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>