Перейти к содержанию
инструкция 21 ноября 2026 По состоянию на 21 ноября 2026

ТСЖ и УК ЖКХ как операторы ПДн

ТСЖ и управляющие компании ЖКХ — операторы персональных данных по ст. 3 ФЗ-152. Они собирают, хранят и передают ПДн собственников, нанимателей и сотрудников. Отсутствие ОРД — прямое основание для штрафа по ст. 13.11 КоАП.
С 30.05.2025 действует редакция ст. 13.11 КоАП в 18 частях (ФЗ-420 от 30.11.2024): за необработанное уведомление в реестре РКН — до 300 000 ₽, за отсутствие политики — до 60 000 ₽, за повторную утечку — оборотный штраф до 500 млн ₽. С 01.09.2025 согласия на обработку ПДн — только отдельным документом (ФЗ-156 от 24.06.2025).
Если вы юрист ТСЖ или УК — эта инструкция описывает полный комплект ОРД, порядок уведомления РКН и требования к согласиям после 01.09.2025. → Восемь шагов от аудита до готового пакета.

ТСЖ и управляющие компании обрабатывают ПДн ежедневно: выставляют квитанции, ведут реестры собственников, передают данные ресурсоснабжающим организациям, хранят сведения о должниках. При этом большинство из них не стоят в реестре операторов РКН, не имеют политики конфиденциальности и никогда не собирали согласия по правилам ст. 9 ФЗ-152. С 30.05.2025 это не процедурная небрежность — это конкретные составы ст. 13.11 КоАП с суммами от 100 000 до 300 000 ₽ за каждое нарушение. Инструкция ниже — для юриста, которому поручили привести ТСЖ или УК в соответствие с законом.

Шаг 1. Определите, какие ПДн обрабатывает ваша организация

Первый шаг — инвентаризация. Составьте список всех информационных систем и бумажных носителей, где хранятся ПДн. Для ТСЖ и УК это, как правило, несколько категорий субъектов.

Собственники и наниматели: ФИО, паспортные данные, адрес, контактные телефоны, сведения о составе семьи, долги по ЖКУ. Эти данные используются для выставления счетов, работы с задолженностью, взаимодействия с судебными приставами.

Работники: ФИО, СНИЛС, ИНН, банковские реквизиты, трудовая книжка, медицинские справки (предварительный медосмотр). Это обработка по ст. 86–88 ТК РФ в связке с ФЗ-152.

Контрагенты — физические лица: ИП-подрядчики, частные электрики и сантехники. Их ПДн обрабатываются в рамках договорных отношений по ст. 6 ч. 1 п. 5 ФЗ-152.

Зафиксируйте результат в матрице обработки: столбцы — субъект, категория ПДн, цель, правовое основание, место хранения, срок хранения, кому передаётся. Это основа для всех последующих документов.

«Ст. 3 ФЗ-152 — оператор персональных данных: лицо, самостоятельно или совместно с другими организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки. ТСЖ и УК подпадают под это определение безусловно.»

Шаг 2. Подайте уведомление в реестр РКН

По ст. 22 ФЗ-152 оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Большинство ТСЖ и УК этого не сделали — и сейчас обрабатывают ПДн незаконно с точки зрения формального требования уведомления.

Форма уведомления — Приказ РКН №180 от 28.10.2022. Подача через портал pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр — 30 дней после подачи.

В уведомлении указывают: наименование и адрес оператора, цели обработки, категории ПДн, категории субъектов, описание мер защиты, трансграничную передачу (если есть), сведения об ответственном лице по ст. 22.1.

Неуведомление или несвоевременное уведомление — состав по ч. 10 ст. 13.11 КоАП: штраф для юридического лица 100 000–300 000 ₽ в редакции с 30.05.2025.

«Ч. 10 ст. 13.11 КоАП (ред. с 30.05.2025) — неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн: для юрлица 100 000–300 000 ₽.»

Уведомление в реестр ещё не подано?

Для юриста ТСЖ или УК это типовая ситуация: организация обрабатывает ПДн годами, но в реестре РКН её нет. С 30.05.2025 это штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Чем дольше откладывать — тем выше риск внеплановой проверки по индикатору риска. Юристы DATUM подготовят уведомление по форме Приказа РКН №180, проверят полноту матрицы обработки и соберут сопутствующий пакет ОРД под ключ.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Назначьте ответственного за обработку ПДн по ст. 22.1

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Это не обязательно штатный юрист — функцию можно передать на аутсорсинг. Главное требование: лицо должно иметь доступ к документам оператора и быть указано в уведомлении РКН.

Оформление: приказ о назначении с должностной инструкцией. В инструкции — полномочия: контроль соответствия обработки ФЗ-152, взаимодействие с РКН, ответы на запросы субъектов, организация обучения сотрудников.

Ответственный принимает запросы субъектов по ст. 20 ФЗ-152 и обязан ответить в течение 10 рабочих дней с даты обращения (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Отсутствие ответа — состав по ч. 4 ст. 13.11 КоАП: штраф 40 000–80 000 ₽.

Шаг 4. Разработайте и опубликуйте политику обработки ПДн

По ст. 18.1 ФЗ-152 оператор обязан опубликовать документ, определяющий его политику в отношении обработки ПДн. Для ТСЖ и УК это означает размещение на сайте организации или на информационном стенде в офисе.

Обязательные разделы политики по ч. 2 ст. 18.1: наименование и контакты оператора, цели и правовые основания обработки, категории ПДн и субъектов, порядок хранения и уничтожения, права субъектов и порядок их реализации, меры защиты, сведения об ответственном лице.

Отсутствие опубликованной политики — ч. 3 ст. 13.11 КоАП: 30 000–60 000 ₽. Это самый распространённый штраф для ТСЖ и УК: нарушение легко выявляется без выездной проверки, достаточно запроса на сайт организации.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры, обеспечивающие выполнение обязанностей, предусмотренных законом, в том числе опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику обработки ПДн.»

Типичная ошибка: скачать шаблон политики из интернета и опубликовать без адаптации. РКН при проверке сличает декларируемые цели с фактической обработкой. Несоответствие — основание для возбуждения дела по ч. 1 ст. 13.11 (обработка, не совместимая с заявленными целями): штраф 150 000–300 000 ₽.

Шаг 5. Получите согласия субъектов по новым требованиям ст. 9 ФЗ-152

С 01.09.2025 согласие на обработку ПДн — только отдельный документ (ФЗ-156 от 24.06.2025, поправки в ч. 1 ст. 9 ФЗ-152). Его нельзя включать в договор управления, в квитанцию, в заявление о вступлении в ТСЖ или в трудовой договор с сотрудником.

Обязательные реквизиты согласия: ФИО субъекта и его контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, способ отзыва.

Согласие нужно не всегда. Обработка ПДн собственника в рамках договора управления МКД основана на ст. 6 ч. 1 п. 5 ФЗ-152 (исполнение договора). Согласие требуется там, где иного основания нет: например, публикация ФИО должника на стенде, передача данных третьим лицам для рекламной рассылки, использование видеозаписей со СКУД для целей, выходящих за рамки безопасности.

Нарушение требований к согласию — ч. 2 ст. 13.11 КоАП: 300 000–700 000 ₽. Повторное нарушение — ч. 2.1: 1 000 000–1 500 000 ₽.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025, ФЗ-156 от 24.06.2025) — согласие субъекта на обработку ПДн оформляется отдельным документом, не объединяется с договором, офертой, политикой или иным документом. Ранее полученные согласия переоформлять не требуется — обратной силы нет.»

Если юрист проверяет согласия ТСЖ или УК и они вшиты в договор управления — с 01.09.2025 это ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽. Срок для исправления не ограничен, но каждый новый договор с незаконным согласием — отдельный эпизод. DATUM составит комплект согласий под конкретные цели обработки ТСЖ или УК.

Заказать аудит 152-ФЗ

Шаг 6. Оформите поручения на обработку ПДн подрядчикам

ТСЖ и УК регулярно передают ПДн жильцов третьим лицам: расчётным центрам, паспортным столам, бухгалтерским аутсорсерам, юридическим компаниям, взыскателям задолженности. По ст. 6 ч. 3 ФЗ-152 такая передача требует договора поручения обработки ПДн.

В договоре поручения — обязательные условия: перечень действий, которые вправе совершать обработчик; цель обработки; обязанность соблюдать конфиденциальность; меры защиты, которые обработчик обязан принять; запрет передавать ПДн третьим лицам без разрешения оператора.

Оператор несёт ответственность за действия обработчика перед субъектами ПДн. Если расчётный центр допустил утечку данных жильцов — протокол по ст. 13.11 предъявят ТСЖ или УК как оператору. Это подтверждается практикой судов по принципу ответственности оператора за нарушения подрядчика.

Шаг 7. Обеспечьте технические и организационные меры защиты

Ст. 19 ФЗ-152 обязывает оператора принять меры, обеспечивающие защиту ПДн от несанкционированного доступа. Для ТСЖ и УК это, как правило, уровень защищённости УЗ-3 или УЗ-4 по ПП РФ №1119 от 01.11.2012 — в зависимости от категорий ПДн и числа субъектов.

Минимальный организационный контур: ограничение доступа к ИСПДн по ролям, журнал обращений к персональным данным, порядок уничтожения бумажных носителей (шредирование), запрет передачи ПДн по открытым каналам без шифрования.

Отдельный вопрос — видеонаблюдение. СКУД и камеры в МКД фиксируют биометрические данные (изображение лица). По ст. 11 ФЗ-152 их обработка возможна только с письменного согласия субъекта — либо в рамках законного исключения (безопасность). Отсутствие уведомления жильцов о видеонаблюдении — распространённое нарушение.

Также необходимо ознакомить всех сотрудников, работающих с ПДн, с требованиями законодательства и внутренними регламентами под подпись. Это требование ч. 1 ст. 18.1 ФЗ-152.

Шаг 8. Выстройте процедуру реагирования на инциденты

По ч. 3.1 ст. 21 ФЗ-152 при выявлении утечки ПДн оператор обязан уведомить РКН в течение 24 часов. Через 72 часа — направить отчёт о результатах внутреннего расследования (Приказ РКН №187 от 14.11.2022, действует с 01.03.2023).

Для ТСЖ и УК типичные инциденты: несанкционированный доступ к базе жильцов, утечка реестра собственников через взломанный e-mail бухгалтера, публикация списка должников с паспортными данными. Каждый из них — потенциальный состав по ч. 12–14 ст. 13.11 КоАП в зависимости от числа затронутых субъектов.

Неуведомление РКН об утечке в 24 часа — отдельный состав по ч. 11 ст. 13.11 КоАП: штраф 1 000 000–3 000 000 ₽. Срок не восстанавливается.

«Ч. 11 ст. 13.11 КоАП (ред. с 30.05.2025) — неуведомление или несвоевременное уведомление РКН об инциденте с ПДн: для юридического лица 1 000 000–3 000 000 ₽.»

Разработайте внутренний регламент реагирования на инциденты: кто фиксирует факт, кто принимает решение об уведомлении РКН, кто формирует отчёт. Регламент должен входить в пакет ОРД.

Что подготовить: базовый пакет ОРД для ТСЖ и УК

  • Уведомление в реестр РКН (форма Приказа РКН №180) — до начала обработки или немедленно при выявлении пробела
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с должностной инструкцией
  • Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 — опубликованная на сайте или размещённая на стенде
  • Комплект согласий субъектов по новым требованиям ст. 9 ФЗ-152 (отдельный документ с 01.09.2025) — для каждой цели, где нет иного основания
  • Договоры поручения обработки ПДн с расчётными центрами, бухгалтерами и иными обработчиками

Как это применяется на практике: типовые сценарии для юриста ТСЖ или УК

Сценарий 1. Реестр РКН и устаревшие сведения. Управляющая компания стоит в реестре с 2018 года. С тех пор изменились цели обработки (добавили видеонаблюдение), изменился состав обработчиков (передали расчёты в новый РКЦ). РКН при плановой проверке выявил расхождение между уведомлением и фактической обработкой. Доказательства: акт проверки, протокол с анализом политики и уведомления. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП (обработка, не совместимая с заявленными целями), штраф 150 000–300 000 ₽. Стратегия: до проверки актуализировать уведомление в РКН (форма — изменение сведений), привести политику в соответствие с фактической обработкой.

Сценарий 2. Публикация списка должников. ТСЖ разместило на информационном стенде в подъезде список должников с указанием ФИО, номера квартиры и суммы долга. Один из жильцов подал жалобу в РКН. Доказательства: фотография стенда, жалоба субъекта. Вероятный исход: протокол по ч. 1 ст. 13.11 (обработка без законного основания — публикация долгов не входит в договорные цели и требует согласия по ст. 10.1 ФЗ-152). Штраф 150 000–300 000 ₽. Стратегия: немедленно снять список, получить согласие на распространение по ст. 10.1 или использовать закрытый канал уведомления (e-mail, личный кабинет).

Сценарий 3. Утечка базы жильцов через взлом почты. Бухгалтер УК получил фишинговое письмо. Злоумышленник получил доступ к базе жильцов: ФИО, телефоны, адреса, сведения о долгах — около 3 000 субъектов. Организация узнала об инциденте через 36 часов после его обнаружения. Уведомление в РКН отправлено не было. Вероятный исход: протокол по ч. 11 ст. 13.11 (неуведомление об утечке) — 1 000 000–3 000 000 ₽ и по ч. 12 (утечка от 1 000 до 10 000 субъектов) — 3 000 000–5 000 000 ₽. Стратегия: немедленно подать уведомление, зафиксировать дату и час обнаружения, привлечь юриста для формирования отчёта по Приказу РКН №187 и представления в арбитраже.

Практический кейс (Центральный ФО, лето 2025). УК на 4 500 квартир прошла плановую проверку РКН. Выявлено: нет уведомления в реестре, нет политики на сайте, согласия работников вшиты в трудовые договоры. Юрист организации до начала проверки не предпринял мер. По итогам три протокола: по ч. 10 (150 000 ₽), по ч. 3 (45 000 ₽) и по ч. 2 (400 000 ₽ — за согласия в трудовых договорах). Итого в сотни тысяч рублей штрафа. После проверки компания обратилась за помощью в формировании ОРД и подачей возражений на постановления.

Практический кейс (Северо-Западный ФО, осень 2025). ТСЖ из 800 квартир. Жилец подал жалобу в РКН: его данные (телефон и e-mail) переданы сторонней компании для рекламной рассылки без его согласия. РКН возбудил дело по ч. 1 ст. 13.11. ТСЖ применило ст. 4.1.1 КоАП (первичное нарушение, микропредприятие) — суд заменил штраф на предупреждение. Стратегия: немедленно прекратить передачу данных, подтвердить статус микропредприятия, подготовить возражения с упором на отсутствие ущерба субъекту.

Услуги DATUM по теме

  • Комплект ОРД под ключ — полный пакет документов для оператора ПДн, включая политику, согласия, приказы и регламенты
  • Аудит соответствия 152-ФЗ — проверка фактической обработки ПДн по чек-листу из 38 пунктов с приоритизированным планом устранения
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов

Частые вопросы

1. Какие документы должны быть у оператора ПДн — ТСЖ или УК?

Минимальный пакет ОРД включает: уведомление в реестр РКН (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного лица (ст. 22.1 ФЗ-152), согласия субъектов там, где нет иного основания (ст. 9 ФЗ-152 в ред. с 01.09.2025), договоры поручения обработки с обработчиками (ст. 6 ч. 3 ФЗ-152), регламент реагирования на инциденты (ст. 21 ФЗ-152), журнал учёта обращений субъектов. На практике полный пакет составляет от 12 до 38 документов в зависимости от масштаба обработки.

2. Как составить политику обработки ПДн для ТСЖ или УК?

Политика составляется под конкретную организацию на основе матрицы обработки. Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, категории ПДн и субъектов, порядок хранения и уничтожения, права субъектов и порядок их реализации, меры защиты, сведения об ответственном лице. Политика публикуется на сайте организации или размещается на информационном стенде. Использование шаблона из интернета без адаптации опасно: РКН при проверке сравнивает задекларированные цели с фактической обработкой, и несоответствие — отдельный состав ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽).

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ответственным назначается любое лицо — штатный юрист, главный бухгалтер или внешний аутсорсер. Требований к специальной квалификации закон не предъявляет, но ч. 4 ст. 22.1 ФЗ-152 указывает, что ответственный должен получить от оператора необходимые полномочия. На практике оптимально назначить юриста или передать функцию на DPO-аутсорсинг: ответственный принимает запросы субъектов по ст. 20 ФЗ-152, обязан ответить в 10 рабочих дней, и при нарушении срока — штраф 40 000–80 000 ₽ по ч. 4 ст. 13.11 КоАП.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон можно использовать как основу структуры, но не как готовый документ. РКН при плановой или внеплановой проверке анализирует соответствие политики фактической обработке: какие категории ПДн реально обрабатываются, каким обработчикам передаются, на каких основаниях. Если политика декларирует одно, а в реальности другое — это ч. 1 ст. 13.11 КоАП. Кроме того, шаблоны часто не учитывают специфику ЖКХ: видеонаблюдение, передачу данных в РКЦ, работу с должниками через судебных приставов.

5. Какие согласия нужны после 01.09.2025 по требованиям ФЗ-156?

С 01.09.2025 (ФЗ-156 от 24.06.2025, поправки в ч. 1 ст. 9 ФЗ-152) согласие на обработку ПДн оформляется отдельным документом — не включается в договор управления МКД, в квитанцию, в заявление о членстве в ТСЖ или в трудовой договор. Это касается тех случаев, где согласие требуется: публикация данных, рекламные рассылки, передача сторонним лицам без договорного основания. Обработка в рамках исполнения договора управления по ст. 6 ч. 1 п. 5 ФЗ-152 согласия не требует. Ранее полученные согласия переоформлять не нужно — обратной силы ФЗ-156 не имеет.

6. Что делать, если проверка РКН уже началась?

Немедленно привлечь юриста с опытом сопровождения проверок РКН. До первого взаимодействия с инспектором: зафиксировать основание проверки (плановая по индикаторам риска или внеплановая по жалобе), собрать имеющиеся документы ОРД, не предоставлять документы, которых нет, — отсутствие лучше незаполненного шаблона. После проверки: если выдано предписание — исполнить в срок и направить уведомление об исполнении; если составлен протокол — подготовить возражения с учётом ст. 4.1 и ст. 4.1.1 КоАП (смягчающие обстоятельства, возможность замены штрафа предупреждением для микропредприятий).

Итог

ТСЖ и УК — операторы ПДн без исключений. Восемь шагов этой инструкции закрывают основные точки риска: уведомление РКН, назначение ответственного, политика, согласия в новом формате с 01.09.2025, поручения обработчикам, технические меры и процедура реагирования на инциденты. Стоимость игнорирования после 30.05.2025 — три-четыре протокола по ст. 13.11 КоАП на суммарную сумму от 300 000 до 600 000 ₽ за первичную проверку.

DATUM сопровождает ТСЖ, УК и организации ЖКХ в части соответствия ФЗ-152: разработка ОРД под ключ, уведомление РКН, защита от штрафов по ст. 13.11 КоАП в арбитраже.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

21 ноября 2026 года