инструкция 3 июля 2026 По состоянию на 3 июля 2026

Политика для ТСЖ и УК ЖКХ

ТСЖ и управляющие компании ЖКХ — операторы персональных данных по ст. 3 ФЗ-152. Они обрабатывают ФИО, паспортные данные, контакты и сведения о составе семьи собственников и жильцов, а значит обязаны иметь политику обработки ПДн, назначить ответственного и уведомить Роскомнадзор.

Отсутствие политики — штраф до 60 000 ₽ по ч. 3 ст. 13.11 КоАП. Работа без уведомления РКН — до 300 000 ₽ по ч. 10 той же статьи. Оба состава применяются без утечки: достаточно одной проверки.

→ Если вы юрист ТСЖ или УК и не уверены в полноте ОРД — ниже пошаговая инструкция по сборке пакета документов.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. ТСЖ и управляющие компании давно входят в реестр типовых операторов, которых РКН проверяет по жалобам жильцов. Формальные нарушения — отсутствие политики, несоответствие реквизитов согласия, неактуальное уведомление в реестре — выявляются за один день выездной проверки. Инструкция охватывает шесть шагов: от определения статуса оператора до назначения ответственного и актуализации согласий после 01.09.2025.

Шаг 1. Убедитесь, что ТСЖ или УК является оператором ПДн

Оператором признаётся любое лицо, которое самостоятельно или совместно с другими организует обработку персональных данных и определяет её цели — ст. 3 ФЗ-152. ТСЖ хранит реестр членов товарищества с паспортными данными, ведёт лицевые счета, получает согласия на рассылки и передаёт сведения в ресурсоснабжающие организации. Управляющая компания делает то же самое, дополнительно обрабатывая данные сотрудников, подрядчиков и нанимателей.

Ключевой вопрос — не сколько субъектов в базе, а есть ли обработка вообще. Даже десять лицевых счетов — уже основание для постановки на учёт в РКН по ст. 22 ФЗ-152.

Признаки того, что вы оператор ПДн

Ведёте реестр собственников или нанимателей с ФИО, паспортными данными, контактами
Выставляете квитанции или ведёте лицевые счета с персональными данными
Передаёте данные жильцов в ресурсоснабжающие организации, подрядчикам или в суд
Обрабатываете ПДн сотрудников (ФИО, СНИЛС, ИНН, зарплата, трудовой договор)
Собираете обращения жильцов с контактными данными в любой форме

Шаг 2. Встаньте на учёт в реестре операторов Роскомнадзора

До начала обработки ПДн оператор обязан направить уведомление в РКН — ч. 1 ст. 22 ФЗ-152. Форма утверждена Приказом РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП организации. Срок включения в реестр — до 30 дней с момента подачи.

Большинство ТСЖ и УК уже обязаны были уведомить РКН, однако многие либо не делали этого, либо не актуализировали сведения после смены адреса, целей или категорий обрабатываемых данных. Несвоевременное уведомление или работа без него — состав ч. 10 ст. 13.11 КоАП, штраф для юридического лица 100 000–300 000 ₽ в редакции с 30.05.2025.

«Ст. 22 ФЗ-152 — до начала обработки оператор уведомляет уполномоченный орган по защите прав субъектов ПДн. Приказ РКН №180 от 28.10.2022 определяет форму и порядок подачи.»

Если организация уже в реестре, но сведения устарели — подать уведомление об изменении в течение 10 рабочих дней с момента изменений (ч. 7 ст. 22 ФЗ-152).

Уведомление в реестре РКН есть, но сведения не обновлялись больше года?

Несоответствие реестровых данных реальной обработке — самостоятельный риск при плановой и внеплановой проверке РКН. Юристы DATUM проверят статус в реестре, сверят с фактическими целями и категориями обрабатываемых данных, подготовят уведомление об изменении по Приказу РКН №180. Актуальный реестр — первое, что проверяет инспектор.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Как составить политику обработки персональных данных для ТСЖ и УК?

Политика обработки ПДн — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. Оператор обязан опубликовать её в открытом доступе или обеспечить доступ иным способом. Для ТСЖ и УК это означает размещение на сайте организации или на информационном стенде в офисе управляющей компании. Отсутствие документа или его непубличность — состав ч. 3 ст. 13.11 КоАП: 30 000–60 000 ₽.

Политика не должна дублировать закон — она описывает реальную практику конкретной организации. Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152 включают: наименование и контакты оператора, цели обработки, правовые основания по каждой цели, перечень категорий субъектов и ПДн, порядок и условия обработки, права субъектов и способ их реализации, меры по обеспечению безопасности.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать политику обработки ПДн или иным образом обеспечить неограниченный доступ к ней. Содержание политики должно охватывать все категории субъектов и цели обработки.»

Типичные цели для ТСЖ и УК: управление общим имуществом, заключение и исполнение договоров с собственниками, начисление и сбор платежей, передача данных в ресурсоснабжающие организации, обеспечение пропускного режима, работа с обращениями жильцов, кадровый учёт. Каждой цели нужно сопоставить правовое основание из ст. 6 ФЗ-152 — согласие субъекта (п. 1), исполнение договора (п. 5), исполнение обязанности оператора по закону (п. 2) и т. д.

Шаг 4. Какие согласия на обработку ПДн нужны после 01.09.2025?

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152, внесённые ФЗ-156 от 24.06.2025. Согласие на обработку персональных данных теперь оформляется отдельным документом и не может объединяться с иными документами — договором управления, квитанцией, заявлением на участие в собрании или публичной офертой. Согласие, встроенное в договор управления или в текст заявления, с 01.09.2025 не соответствует требованиям закона.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и реквизиты оператора, цель обработки, перечень обрабатываемых ПДн, перечень действий с данными, срок действия согласия, способ отзыва. Если ТСЖ или УК передаёт данные третьим лицам — подрядчикам, охранной организации, ресурсоснабжающим компаниям — это необходимо отразить в тексте согласия.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом, не включённым в состав договора или иного документа.»

Ранее полученные согласия переоформлять не требуется — ФЗ-156 не имеет обратной силы. Новые согласия, получаемые после 01.09.2025, должны соответствовать актуальным требованиям. Обработка без надлежащего согласия, когда оно обязательно, — состав ч. 2 ст. 13.11 КоАП: 300 000–700 000 ₽ для юридического лица.

Если вы юрист ТСЖ или УК и согласия жильцов встроены в договор управления — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Юристы DATUM подготовят отдельные согласия и обновят ОРД под новые требования ФЗ-156.

Собрать ОРД под ключ

Шаг 5. Назначьте ответственного за организацию обработки ПДн по ст. 22.1

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, — ст. 22.1 ФЗ-152. Требования к квалификации установлены ч. 4 той же статьи: ответственный должен иметь профессиональную подготовку в области защиты ПДн или опыт работы в этой сфере. На практике это юрист, кадровик или сотрудник ИБ, прошедший обучение.

Назначение оформляется приказом руководителя. Ответственный выполняет функции: организация внутреннего контроля за соблюдением законодательства, разработка и актуализация политики и локальных актов, взаимодействие с субъектами ПДн по их запросам, уведомление РКН об инцидентах. При отсутствии назначенного ответственного — нарушение ст. 18.1 ФЗ-152, которое фиксируется при любой проверке РКН.

Если штат ТСЖ или УК невелик и выделить сотрудника под эту функцию невозможно — допускается DPO-аутсорсинг: передача функции ответственного по поручению внешнему специалисту на основании договора. Это законное решение, предусмотренное ч. 3 ст. 18.1 ФЗ-152.

Шаг 6. Соберите полный пакет ОРД и проверьте его актуальность

Политика обработки ПДн — один документ из пакета ОРД. Полный комплект включает локальные акты, регламенты и формы, которые РКН проверяет в совокупности. Отсутствие любого из обязательных документов — основание для протокола по соответствующей части ст. 13.11 КоАП.

Минимальный пакет ОРД для ТСЖ и УК

Политика обработки ПДн — публичная, с актуальными разделами по ч. 2 ст. 18.1 ФЗ-152
Уведомление в реестре РКН — актуальное, по Приказу РКН №180
Приказ о назначении ответственного за организацию обработки по ст. 22.1 ФЗ-152
Отдельные формы согласий субъектов — под каждую цель обработки, с реквизитами по ст. 9 ФЗ-152
Регламент реагирования на инциденты — 24/72 часа по Приказу РКН №187

Актуализация ОРД — это не разовое мероприятие. После изменений в структуре обработки (новые подрядчики, новые цели, изменение категорий субъектов), а также после законодательных изменений (ФЗ-156, ФЗ-420) документы необходимо пересматривать. Типичная ошибка: политика написана три года назад и не отражает ни новых требований к согласию, ни актуальных контрагентов, которым передаются данные.

Практические сценарии: что происходит при проверке РКН

Понимание типовых сценариев помогает оценить реальный риск для конкретной организации.

Сценарий 1. Внеплановая проверка по жалобе жильца. Жилец обратился в РКН с жалобой на передачу его данных коллекторам без согласия. РКН инициировал внеплановую проверку УК. Инспектор запросил политику обработки ПДн, уведомление в реестре и формы согласий. Политика на сайте УК оказалась датирована 2019 годом — без разделов о передаче данных третьим лицам. Согласие было встроено в договор управления. По итогам проверки составлены протоколы по ч. 3 ст. 13.11 (нарушение требований к политике) и ч. 2 ст. 13.11 (ненадлежащее согласие). Суммарный штраф — в диапазоне сотен тысяч рублей.

Сценарий 2. ТСЖ не стоит на учёте в реестре РКН. Небольшое ТСЖ в Сибирском федеральном округе (начало 2026 года) не подавало уведомление о намерении обрабатывать ПДн с момента регистрации. РКН выявил это при плановой проверке. ТСЖ получило протокол по ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 ₽. Политики обработки ПДн не было, что добавило состав по ч. 3. ТСЖ подало уведомление, разработало политику и направило ходатайство о смягчении. Итоговый штраф назначен в минимальном размере, однако сам факт протокола был закреплён в реестре нарушений. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Сценарий 3. Согласия не обновлены после 01.09.2025. УК получила запрос субъекта на ознакомление с основаниями обработки его данных (ст. 20 ФЗ-152). Юрист УК предоставил копию договора управления со встроенным согласием — документ, подписанный после 01.09.2025. РКН при последующей проверке квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП, поскольку согласие не было оформлено отдельным документом по требованиям ФЗ-156 от 24.06.2025.

Услуги DATUM по теме

Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования
Аудит соответствия 152-ФЗ — проверка всех документов по чек-листу из 38 пунктов
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Обязательный минимум: политика обработки ПДн (ч. 2 ст. 18.1 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), формы согласий субъектов под каждую цель (ст. 9 ФЗ-152), регламент реагирования на инциденты. Для ТСЖ и УК, передающих данные третьим лицам, дополнительно нужны соглашения о поручении обработки по п. 3 ст. 6 ФЗ-152.

2. Как составить политику обработки ПДн для ТСЖ или управляющей компании?

Политика описывает реальную практику конкретной организации. Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: наименование и контакты оператора, цели обработки с правовыми основаниями по каждой, категории субъектов и их данных, порядок передачи третьим лицам, меры безопасности, права субъектов и порядок их реализации. Шаблон из интернета без адаптации к реальным процессам организации не защитит от штрафа — РКН проверяет соответствие документа фактической обработке.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным может быть штатный сотрудник с профессиональной подготовкой в области защиты ПДн — юрист, кадровик, сотрудник ИБ, прошедший обучение. Если выделить штатного сотрудника невозможно, допустим DPO-аутсорсинг: передача функции внешнему специалисту по договору на основании ч. 3 ст. 18.1 ФЗ-152. Назначение оформляется приказом руководителя.

4. Можно ли использовать шаблон политики из интернета?

Шаблон — отправная точка, но не готовый документ. Политика должна отражать реальные цели, категории субъектов и правовые основания конкретной организации. Универсальный шаблон, как правило, не содержит актуальных разделов о передаче данных в ресурсоснабжающие организации, о биометрии СКУД (если есть), о новых требованиях к согласию после ФЗ-156 от 24.06.2025. При проверке РКН такой документ фиксируется как ненадлежащий, что образует состав ч. 3 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — оно не может быть частью договора, заявления или публичной оферты (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Реквизиты: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Для ТСЖ и УК это касается согласий жильцов, нанимателей и сотрудников, получаемых после 01.09.2025. Согласия, собранные до этой даты, переоформлять не требуется.

Итог

ТСЖ и управляющие компании ЖКХ работают с персональными данными ежедневно — реестры собственников, лицевые счета, трудовые договоры, обращения жильцов. Отсутствие политики обработки ПДн, устаревшее уведомление в реестре РКН или согласия в составе договора управления — каждый из этих пунктов самостоятельно образует состав административного правонарушения по ст. 13.11 КоАП в редакции с 30.05.2025.

Юристы DATUM сопровождают операторов ПДн в сфере ЖКХ: от разработки политики и сборки пакета ОРД до представления интересов при проверке РКН.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, политики конфиденциальности, программы лояльности, трансграничные сервисы аналитики.

3 июля 2026 года