В последнее время так совпало, что я много общался с ЖКХ не как юрист и ИБ-специалист, а как обычный собственник жилья. Споры с управляющей компанией, перерасчёты, общие собрания, домовые чаты, запросы в ГИС ЖКХ — в общем полный набор «бытового» взаимодействия. И почти в каждом эпизоде, где всплывали персональные данные, картина была одинаковая:

• где-то протоколы общих собраний отказываются выдавать «потому что нам Роскомнадзор запретил»;

• где-то наоборот, в подъезде висит список должников с фамилиями и суммами — уже без всякого стеснения;

• где-то паспортные данные и СНИЛС спокойно пересылают через личную почту на @gmail.com;

• а в домовых чатах обсуждают здоровье соседей и выкладывают сканы документов.

При этом все искренне уверены, что «152-ФЗ жёстко соблюдают». На практике — классическая смесь недопонимания и правовых мифов.

Роскомнадзор сам относит сферу ЖКХ к проблемным: по данным ведомства, заметная доля жалоб на нарушение законодательства о персональных данных связана именно с жилищно-коммунальными услугами. Это логично: через управляющую организацию, ТСЖ или ЖСК проходят данные практически каждого собственника и члена его семьи.

Хоть я и разбираю большинство вопросов в своем маленьком телеграмм-канале посвященном защите персональных данных, решил, что эта тема достойна отдельного подробного разбора. Чтобы не распыляться, намеренно ограничусь четырьмя участниками этого процесса: УК, ТСЖ, ЖСК и собственники жилья. Ресурсоснабжающие организации, органы власти и прочие участники в статье будут проскакивать постольку, поскольку с ними взаимодействуют УК/ТСЖ/ЖСК и собственники. Надеюсь эта статья будет полезна и тем и другим.

Минимальная «база» 152-ФЗ, без которой никак

Начнём с самого короткого и нужного. Тем, кто знаком уже с терминологической базой 152-ФЗ, эту часть можно не читать.

Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому человеку. Это не только паспорт, но и ФИО, адрес, номер квартиры, телефон, e-mail, записи камер, домофонные логи и т.п.

Оператор персональных данных — это организация или ИП, которые определяют цели и способы обработки данных. В нашем случае оператором практически всегда выступают УК, ТСЖ или ЖСК: именно они решают, какие данные жильцов собирать, как хранить, кому передавать.

Обработка персональных данных — почти любое действие с ними: сбор, запись в программу, хранение, передача РКЦ или подрядчику, размещение в ГИС ЖКХ, обезличивание, удаление.

Для оператора (УК/ТСЖ/ЖСК) закон устанавливает базовые принципы:

• обрабатывать данные на законной и справедливой основе;

• собирать их только под конкретные законные цели и не использовать потом «вообще для всего»;

• не собирать лишнего (минимизация);

• обеспечивать точность и актуальность;

• не хранить «вечность» — после достижения целей данные нужно удалять или обезличивать;

• защищать данные техническими и организационными мерами;

• соблюдать права граждан (право на доступ, уточнение, блокирование и т.д.).

• Подать уведомление в Роскомнадзор о намерении обрабатывать персональные данные.

Это минимум, который нужно исполнять если вы управляете домом.

Что делает УК, ТСЖ, ЖСК операторами персональных данных в доме?

Их делают операторами процессы, которые они ведут. Обычно они:

• ведут реестр собственников и лицевые счета;

• начисляют и взыскивают плату за ЖКУ;

• организуют общие собрания собственников (ОСС);

• передают информацию в ГИС ЖКХ и иные гос-системы;

• ведут переписку, работают с обращениями, жалобами, домкомами;

• устанавливают и обслуживают системы видеонаблюдения, домофоны, «умный дом».

Во всех этих сценариях УК/ТСЖ/ЖСК выступают операторами: они определяют цели и средства обработки, заключают договоры с подрядчиками, несут ответственность перед жильцами и Роскомнадзором. Список персональных данных обрабатываемых ими гораздо шире, чем «ФИО и телефон»:

• данные ЕГРН и договоров: ФИО собственников, размер доли/площади, адрес объекта;

• паспортные данные, СНИЛС, ИНН, реквизиты доверенностей;

• контактные данные: телефоны, e-mail, почтовый адрес фактического проживания;

• данные о зарегистрированных и проживающих (члены семьи, наниматели);

• сведения о льготах, инвалидности, субсидиях (что уже может затрагивать специальные категории, например, здоровье);

• данные о задолженности, пени, судебных спорах;

• показания счётчиков, история потребления ресурсов;

• записи с камер видеонаблюдения, домофонные логи, данные «умного дома»;

• переписка с жильцами (заявления, обращения, электронные письма, сообщения в чатах).

Часть этих данных — обычные персональные, часть может относиться к специальным или биометрическим.

На каком основании УК/ТСЖ/ЖСК имеют право обрабатывать данные

Собирать и использовать данные «просто потому что так удобнее» нельзя. Нужны правовые основания. Для УК, ТСЖ и ЖСК закон даёт довольно много таких оснований — и это, по сути, хорошая новость: в большинстве базовых процессов отдельного согласия жильцов не требуется.

Обязанность по закону

Ключевой блок оснований — это ситуации, когда закон прямо обязывает УК/ТСЖ/ЖСК собирать и использовать данные:

• ведение реестра собственников и передача его инициатору ОСС — ч. 3.1 ст. 45 ЖК РФ;

• ведение лицевых счетов и начисление платы за ЖКУ — ст. 155 ЖК РФ и подзаконные акты;

• размещение сведений в ГИС ЖКХ — Федеральный закон № 209-ФЗ и подзаконные акты;

• обращение в суд и ФССП за взысканием долгов — ГПК/АПК РФ и закон «Об исполнительном производстве».

В этих случаях правовое основание — выполнение обязанностей оператора, возложенных законом (п. 2 ч. 1 ст. 6 152-ФЗ). 

Исполнение договора управления

Договор управления МКД и решения ОСС создают вторую группу оснований:

• выставление платёжных документов;

• информирование о работах, отключениях, авариях;

• рассмотрение заявок и обращений жильцов;

• взаимодействие по вопросам текущего и капитального ремонта.

Здесь действует основание исполнения договора, стороной которого является субъект данных (п. 5 ч. 1 ст. 6 152-ФЗ).

Согласие и законный интерес

Отдельное согласие жильцов обычно требуется, когда:

• УК/ТСЖ/ЖСК хочет передать данные третьим лицам, не предусмотренным законом (например, маркетинговому агентству для рассылки рекламы);

• планируется использовать данные для нестандартных сервисов (мобильное приложение на зарубежном облаке, дополнительные аналитические сервисы, умный дом с трансграничной передачей и т.п.);

• обрабатываются специальные или биометрические данные не в целях, прямо предусмотренных законом.

Иногда можно опираться на «законный интерес оператора» (п. 7 ч. 1 ст. 6 152-ФЗ), например, при работе с задолженностью или обеспечении безопасности дома. Но здесь важно не увлечься: законный интерес не должен нарушать права и свободы жильцов.

Ключевые процессы ЖКХ, где «живут» персональные данные

Теперь — к практике. Ниже я пройдусь по основным блокам работы УК/ТСЖ/ЖСК и покажу, где там возникают риски.

Реестр собственников и лицевых счетов

Раньше УК могли более свободно получать сведения о собственниках из ЕГРН. Сейчас порядок изменился: с 1 марта 2023 года в большинстве случаев выписки ЕГРН, выдаваемые третьим лицам, не содержат ФИО собственников, если нет их согласия.

Это означает, что УК, ТСЖ и ЖСК должны получать и актуализировать данные напрямую у собственников: через договоры, заявления, анкеты при вселении, уведомления о смене собственника и т.п.

Типичные ошибки:

• ведение реестра в виде незащищённой Excel-таблицы на общем сетевом диске;

• отсутствие актуализации: в базе годами висят данные прежних собственников;

• свободная выдача реестра «по просьбе активистов» без проверки оснований.

Что положено делать:

• ограничить доступ к реестру кругом необходимых сотрудников;

• фиксировать, кто и на каком основании получил копию;

• устанавливать разумные сроки хранения данных бывших собственников (например, только в составе бухгалтерской отчётности по закрытым задолженностям).

Задолженность по оплате и её взыскание

Здесь всегда два полюса: с одной стороны — задача взыскать долг, с другой — стремление «позорить должников». Мотивация, так сказать.

Иск о взыскании задолженности должен содержать ФИО, адрес, дату рождения должника и один из идентификаторов (СНИЛС, ИНН или паспорт). Эти данные передаются в суд по закону, без согласия должника. Если каких-то данных нет, суд вправе запросить их самостоятельно из госорганов — это уже закреплено в процессуальном законодательстве.

Размещение в подъезде списка квартир с ФИО, суммами и размерами долга — классический пример нарушения. Роскомнадзор в своих разъяснениях и судебной практике подчёркивал, что даже указание номера квартиры и адреса дома без ФИО зачастую позволяет идентифицировать жильца, а значит, это тоже персональные данные.

Суды, как правило, встают на сторону граждан: списки должников признаются незаконными, с УК взыскивают компенсацию морального вреда и штрафы по ст. 13.11 КоАП РФ.

Правильный подход:

• должников информируем адресно — квитанциями, письмами, личными звонками;

• для общего информирования дома можно использовать обезличенные данные: «в доме N есть задолженность в размере X руб., должники — Y% квартир»;

• передача данных коллекторским агентствам и юристам должна тщательно анализироваться с точки зрения оснований (согласие, законный интерес, процессуальная роль).

Общие собрания собственников (ОСС)

ОСС — один из самых «плотных» по персональным данным процессов.

• бюллетени для заочного голосования: ФИО, адрес, доля/площадь, данные документа, подпись;

• списки регистрации на очном собрании;

• протоколы, которые фиксируют, кто как проголосовал, и содержат подписи.

Сбор этих данных обязан осуществляться по ЖК РФ — без них собрание будет недействительным. Следовательно, обработка ПДн здесь законна и основана на жилищном законодательстве.

Риски начинаются потом:

• бюллетени хранятся где попало, доступны всем сотрудникам;

• протоколы сканируют и отправляют по открытой почте без минимальной защиты;

• УК под предлогом 152-ФЗ отказывается выдавать копии протоколов собственникам.

Важно помнить: ЖК РФ прямо закрепляет право собственников знакомиться с протоколами ОСС и получать их копии, а оригиналы протоколов подлежат хранению в ГЖИ и размещению в ГИС ЖКХ.

Отказать собственнику в выдаче копии протокола под предлогом «там персональные данные» — это как минимум неверное понимание закона, а иногда и прямое нарушение его права на информацию.

ГИС ЖКХ

ГИС ЖКХ — отдельный крупный блок, но в контексте персональных данных важно следующее:

• система создана и регулируется ФЗ № 209-ФЗ;

• в открытой части ГИС доступна только обобщённая информация: характеристики дома, сведения об УК/ТСЖ/ЖСК, тарифы, отчёты;

• персональные данные жильцов находятся во «внутреннем контуре»: там работают авторизованные пользователи, доступ ограничен правами, действует режим служебной информации.

То есть размещение данных в ГИС — это не «публикация» ПДн, а исполнение прямых обязанностей по закону в специально созданной защищённой системе.

Задача УК/ТСЖ/ЖСК — вовремя и корректно вносить данные, не дублируя их лишний раз в открытых источниках (на сайте без авторизации, в публичных чатах и т.п.).

Коммуникация с жильцами: квитанции, e-mail, мессенджеры

Классика: ФИО и адрес на конверте, внутри — подробная информация о начислениях и долгах. Это персональные данные, но их обработка обоснована законом и договором.

Важно:

• не оставлять пачки квитанций в подъезде «на столике»;

• не выбрасывать списки с ПДн в обычный мусор без уничтожения.

Рассылка по e-mail и СМС удобна, но:

• нужно избегать групповых рассылок с видимыми адресами всех получателей;

• каналы (почтовые сервисы, СМС-шлюзы) должны быть понятны с точки зрения защиты данны�� и, по возможности, находиться в российской юрисдикции.

Отдельная боль — чаты в WhatsApp, Telegram, Viber и т.п. Там:

• фигурируют ФИО (часто в никнеймах);

• обсуждают долги, конфликты, жалобы;

• выкладывают сканы квитанций, актов, протоколов.

По сути, это тоже обработка и распространение персональных данных. Если чат ведётся как официальный канал УК/ТСЖ, добавление туда жильцов и использование для уведомлений лучше оформить хотя бы минимальным согласием (условие в договоре, фраза в анкете, отдельная галочка в личном кабинете).

Особый риск — когда в чат добавляют внешних лиц: участкового, депутата, журналиста, стороннего подрядчика. Тогда всё, что обсуждается, автоматически становится доступно третьему лицу, а это уже другая история с точки зрения 152-ФЗ.

Государство пытается предложить более безопасные решения вроде «домовых чатов» на базе Госуслуг, где участники проходят верификацию, а доступ ограничен рамками дома. Но пока такие сервисы не стали массовыми, ответственность за порядок в чатах несут инициаторы — чаще всего совет дома и/или управляющая организация.

Видеонаблюдение, домофоны и «умный дом»

Изображение человека — это персональные, а во многих случаях и биометрические данные.Установка камеры и запись видео = сбор и хранение ПДн всех, кто проходит под объективом.

Видео в МКД не запрещено, но действуют ключевые условия:

• нельзя снимать в частных местах (квартиры, туалеты и т.п.);

• нужно предупреждать людей о видеонаблюдении — табличками у входа;

• нельзя использовать записи в целях, не связанных с обеспечением безопасности.

Лучше, если на табличке указано, кто именно ведёт наблюдение (УК/ТСЖ/ЖСК, контакт).

Современные домофоны ловко собирают данные: номера квартир, ключей, телефоны, иногда даже фамилии на экране. Эти сведения тоже относятся к ПДн. В идеале договор с домофонной компанией должен содержать условия об обработке данных по поручению, конфиденциальности и уведомлении об инцидентах.

Датчики протечек, онлайн-счётчики, распознавание лиц и другие IoT-системы часто завязаны на облачные сервисы, сервера которых находятся за рубежом. Тогда помимо обычных требований 152-ФЗ включается ещё и режим трансграничной передачи: оператор должен заранее уведомить Роскомнадзор и соблюсти дополнительные условия, зависящие от страны, куда идут данные.

Здесь золотое правило простое: если вы хотите «умный дом» — сначала разбираемся с юридической частью (где сервера, кто имеет доступ, как долго хранятся данные), а уже потом вешаем красивые датчики и камеры.

Подрядчики и аутсорсинг: кто за что отвечает

УК, ТСЖ и ЖСК редко делают всё сами. В цепочке почти всегда есть:

• ЕИРЦ/ЕРЦ и расчётные центры;

• ИТ-подрядчики (биллинг, личные кабинеты, СМС-рассылки);

• типографии для печати квитанций;

• охранные компании, домофонные и «умнодомные» сервисы.

С точки зрения 152-ФЗ возможны два сценария:

1. Подрядчик — самостоятельный оператор.
   Например, банк, принимающий платежи, или РСО. У него свой объём обязанностей, свои уведомления в Роскомнадзор и свои меры защиты.

2. Подрядчик — обработчик по поручению оператора.
   Тогда УК/ТСЖ/ЖСК должны заключить с ним договор поручения, где прописать:

   • цели и объём обработки;

   • меры по защите данных;

   • запрет на их использование в своих целях;

   • порядок уведомления об утечках;

   • ответственность за нарушения.

Отсутствие такого договора — одна из типичных претензий Роскомнадзора при проверках.

Типовые нарушения и за что реально штрафуют

Если посмотреть практику Роскомнадзора и судов, «топ-нарушений» в ЖКХ выглядит довольно однообразно:

• Списки должников в подъездах, на сайтах или в открытых чатах (с адресами, ФИО, суммой долга).

• Неправомерный отказ выдать собственнику копию протокола ОСС или иных документов под предлогом «там персональные данные».

• Утечки баз жильцов: Excel-файл «Жильцы_дом_№5.xls» ушёл в мир вместе с номером телефона, льготами и историей платежей.

• Отсутствие уведомления в Роскомнадзор, при этом активно ведётся обработка данных (собственники, сотрудники, подрядчики).

• Хранение ПДн «вечность» без цели: данные бывших собственников, старые договоры, копии паспортов людей, давно продавших квартиру.

• Отсутствие элементарных организационных мер: нет ответственного за ПДн, нет локальной документации, сотрудники не обучены.

С 2024–2025 годов штрафы по ст. 13.11 КоАП РФ за нарушения в области ПДн заметно выросли: за разные нарушения (необеспечение безопасности, незаконное распространение, утечка крупных объёмов, отсутствие уведомления) могут штрафовать на суммы от десятков тысяч до миллионов рублей для юрлица.

Подозреваю напугал, кого надо :)

Как навести порядок: практическая модель для УК, ТСЖ и ЖСК

Что делать? Главное не пускать все на самотек. Для небольших УК/ТСЖ/ЖСК не нужен «космический» комплаенс по 152-ФЗ. Достаточно простого, но системного подхода.

Шаг 1. Карта данных

• Выписать, какие данные собираются (собственники, наниматели, сотрудники, подрядчики).

• Где они хранятся: бумага, 1С/учётные системы, ГИС ЖКХ, Excel-файлы, e-mail, мессенджеры.

• Кто имеет доступ: бухгалтера, паспортисты, диспетчеры, подрядчики, домком.

Шаг 2. Юридическая база

По каждому процессу ответить себе:

• на каком основании мы обрабатываем данные — закон, договор, согласие, законный интерес;

• не собираем ли мы лишнего;

• не передаём ли мы данные тем, кому их по закону знать не обязательно.

Здесь полезно иметь краткую памятку/таблицу по типовым сценариям.

Шаг 3. Документы

Минимальный набор:

• Политика / Положение об обработке ПДн;

• приказ о назначении ответственного за обработку ПДн;

• перечень ИСПДн и процессов;

• формы согласий, уведомлений, ответов субъектам ПДн;

• порядок действий при утечке или инциденте.

Многие шаблоны прямо рекомендуются в методических материалах Роскомнадзора и профильных ресурсов.

Шаг 4. Договоры с подрядчиками

• Пройтись по всем договорам, где фигурируют персональные данные жильцов.

• Добавить/уточнить разделы об обработке ПДн по поручению, конфиденциальности, ответственности и уведомлении о нарушениях.

Шаг 5. Техника и доступ

• Пароли на информационные системы и рабочие станции.

• Разграничение прав доступа (бухгалтер не должен видеть лишнего, IT-подрядчик — данные, не относящиеся к его задачам).

• Защищённая передача данных (VPN, шифрование, хотя бы разумное использование почты).

Шаг 6. Обучение сотрудников

• Краткий инструктаж: что такое ПДн, чего делать нельзя (фото списков, «доски позора», пересылка паспортов в личный Telegram и т.п.).

• Регулярные напоминания — хотя бы раз в год.

Краткий чек-лист для самопроверки директора или председателя

Ответьте честно «да/нет»:

1. Подано ли уведомление в Роскомнадзор и найдёте ли вы свою УК/ТСЖ/ЖСК в реестре операторов?

2. Есть ли утверждённая политика/положение об обработке ПДн?

3. Назначен ли ответственный за ПДн приказом, знает ли он о своей роли?

4. Понимаете ли вы, где именно хранятся данные жильцов (системы, файлы, бумага)?

5. Заключены ли с ключевыми подрядчиками договоры, где прописана работа с ПДн и конфиденциальность?

6. Ведутся ли у вас «доски позора», открытые списки должников или публикации долгов в чатах?

7. Есть ли порядок удаления/архивации старых данных (бывших собственников, старых документов)?

8. Обучены ли сотрудники базовым правилам: что можно говорить по телефону, что нельзя фотографировать и выкладывать?

9. Используются ли зарубежные облака или мессенджеры для ПДн (и если да, понимаете ли вы риски трансграничной передачи)?

10. Готовы ли вы за 1–2 дня собрать пакет документов и доказать Роскомнадзору, что у вас всё под контролем?

Если честных «нет» больше трёх — это уже повод заняться темой всерьёз.

Вместо заключения: «гигиена ПДн», а не паранойя

Персональные данные в ЖКХ — это не абстрактная юридическая категория. Это наши паспорта, телефоны, информация о долгах, льготах, привычках, маршрутах. Через УК, ТСЖ и ЖСК проходят данные практически каждого собственника и его семьи. Ошибка здесь — это не только штраф, но и испорченные отношения с домом и соседями.

Моя цель в этой статье — не напугать, а дать разъяснение для сферы ЖКХ: базовую гигиену персональных данных. Если УК, ТСЖ и ЖСК аккуратно относятся к реестрам, протоколам, чатам и камерам, проверяют подрядчиков и не прячут за 152-ФЗ то, что жильцам положено по закону, то и поводов для жалоб и штрафов будет заметно меньше.

А собственникам эта тема полезна хотя бы для одного: понимать, что требовать от своей УК/ТСЖ/ЖСК, где операторы действительно защищают ваши данные, а где просто путаются в терминах и прикрываются законом, не читая его до конца.