Обязанности оператора персональных данных при сдаче недвижимости в аренду и требования Роскомнадзора

Обработка персональных данных арендаторов индивидуальным предпринимателем

На основании предоставленной информации я подготовил юридический анализ вашей ситуации и ответы на вопросы.

Анализ вашей ситуации

Вы, как индивидуальный предприниматель (ИП), в рамках заключения и исполнения договоров аренды получаете от арендаторов копии документов, содержащих информацию о физических лицах (паспортные данные, ИНН и т.д.), и осуществляете их хранение и использование. Эта деятельность подпадает под регулирование Федерального закона "О персональных данных".

Правовой анализ и ответы на вопросы

1. Являетесь ли вы оператором персональных данных?

Да, являетесь. Согласно законодательству:

"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).

Вы самостоятельно организуете и осуществляете сбор, хранение и использование персональных данных арендаторов для конкретных целей (заключение и исполнение договора аренды), что полностью соответствует определению оператора.

2. Нужно ли уведомлять Роскомнадзор?

В вашем случае, вероятно, не нужно. Закон предусматривает исключения из обязанности уведомления. Одним из таких исключений является обработка данных для исполнения договора:

"обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 1, пункт 5).

Однако для применения этого исключения должны соблюдаться условия, указанные в части 2 статьи 22 закона. Согласно предоставленному контексту, оператор вправе осуществлять обработку без уведомления, если:

"оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 2, пункт 8).

Важный момент: Вы упомянули использование компьютерной программы (Word). Если обработка данных (хранение файлов на компьютере, их использование) осуществляется с использованием средств автоматизации (компьютера), то исключение по пункту 8 может не применяться. Для точного определения необходимо понимать, что подразумевается под "обработкой без использования средств автоматизации" в соответствии с текущей правоприменительной практикой. Рекомендую уточнить этот вопрос.

3. Какие документы необходимо разработать?

Как оператор вы обязаны обеспечить законность и безопасность обработки. Рекомендуется разработать следующие документы:

• Политика в отношении обработки персональных данных (Политика конфиденциальности): Это основной документ, в котором вы определяете цели, состав данных, принципы, права субъектов данных и меры безопасности.
• Локальные акты: Например, Положение об обработке персональных данных, инструкции для работников (если они появятся), регламент доступа к данным.
• Приказ о назначении лица, ответственного за организацию обработки персональных данных. Для юридических лиц это обязанность, для ИП — рекомендуемая мера для упорядочивания деятельности. Вы можете назначить ответственным сами себя.

"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1).

4. Нужно ли отдельное согласие арендатора на обработку данных?

В вашем случае получение отдельного письменного согласия, скорее всего, не требуется, но является крайне рекомендуемой мерой. Обработка допустима без согласия субъекта, если она необходима для исполнения договора (п. 5 ч. 1 ст. 6 закона, цитировано выше). Предоставление данных паспорта, ИНН для заключения договора аренды можно рассматривать как необходимое действие.

Однако, чтобы обезопасить себя от претензий, настоятельно рекомендую включить в договор аренды отдельный раздел (или составить приложение) о согласии на обработку персональных данных. В нем следует указать:

• Цель обработки (заключение и исполнение договора).
• Перечень обрабатываемых данных.
• Способы обработки.
• Срок обработки (как правило, на срок действия договора и срок хранения документов по законодательству).
• Подтверждение того, что субъект данных ознакомлен со своими правами.

Это будет являться выражением согласия в форме, позволяющей подтвердить факт его получения.

5. Отчетность и проверки со стороны Роскомнадзора

Отчетность: Если вы не направляли уведомление в Роскомнадзор (в силу применения исключения), то обязанности по регулярной отчетности у вас нет. Однако если вы всё же встанете на учёт как оператор, то при изменении сведений (например, целей обработки) необходимо будет направлять информационное письмо.

Проверки: Государственный контроль (надзор) за обработкой персональных данных осуществляется Роскомнадзором. Проверки могут быть:

• Плановыми. Проводятся не чаще одного раза в 3 года со дня госрегистрации ИП или окончания последней плановой проверки.

"Основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня: а) государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя" (Источник: Постановление Правительства РФ от 13.02.2019 N 146, пункт 6).

• Внеплановыми. Основания для внеплановой проверки включают поступление жалоб от граждан на нарушение их прав.

"Внеплановые проверки проводятся на основании приказа... по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав... действиями (бездействием) оператора при обработке их персональных данных" (Источник: Постановление Правительства РФ от 13.02.2019 N 146, пункт 8, подпункт "б").

В случае выявления нарушений в ходе проверки оператору выдается предписание об их устранении. Неисполнение предписания может повлечь административную ответственность.

Выводы и конкретные рекомендации

1. Вы являетесь оператором персональных данных.
2. Вероятно, вы не обязаны уведомлять Роскомнадзор, так как обработка осуществляется для исполнения договора аренды. Однако статус "обработки без использования средств автоматизации" при работе на компьютере требует уточнения. Для перестраховки можно проконсультироваться с адвокатом или написать запрос в территориальный орган Роскомнадзора.
3. Обязательно разработайте и утвердите внутренние документы:
   • Политику обработки персональных данных.
   • Приказ о назначении себя ответственным за обработку.
   • Включите в договоры аренды положение о согласии на обработку персональных данных или оформляйте его отдельным документом.
4. Примите меры безопасности: Обеспечьте сохранность бумажных носителей (сейф), защитите компьютер паролем и антивирусом, ограничьте доступ к данным.
5. Будьте готовы к возможным проверкам Роскомнадзора, которые могут быть инициированы жалобой арендатора. Наличие правильно оформленных документов значительно снизит риски.

Учитывая сложность и неоднозначность некоторых положений закона, особенно в части применения исключений, для составления полного пакета документов и минимизации рисков рекомендуется обратиться к адвокату, специализирующемуся на защите персональных данных.