Обобщение
результатов проведенных контрольно-надзорных мероприятий в сфере персональных
данных за 1 квартал 2018 года
1 . Статистика количества
проведенных контрольно- надзорных мероприятий и наиболее часто встречающиеся
нарушения обязательных требований
Осуществление
контрольно-надзорной деятельности проводится на основании планов деятельности
Енисейского управления Роскомнадзора, планов проверок юридических лиц и
индивидуальных предпринимателей, а также органов местного самоуправления.
В отчетном периоде Енисейским управлением
Роскомнадзора (далее - Управление) по
направлению деятельности государственный контроль (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных проведено 6 проверок юридических лиц.
Планирование
контрольно-надзорной деятельности на 2018 год осуществлялось в соответствии с
указаниями центрального аппарата Роскомнадзора о применении
риск-ориентированного подхода.
Анализ
эффективности показывает, что планы проведения плановых проверок в 1 квартале
2018 год выполнены. Енисейским управлением Роскомнадзора при исполнении
полномочий в сфере персональных данных нарушений
не выявлено.
В
отчетном периоде внеплановые проверки по
направлению деятельности государственный контроль (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных не проводились.
Управлением
проведено 14 мероприятий систематического наблюдения в
области персональных данных. Выявлено 5 нарушений, все нарушения были выявлены при осуществлении мониторинга в области
персональных данных в сети Интернет. Большинство нарушений были допущены
операторами, являющимися образовательными
учреждениями и касались невыполнения требований ч.2 ст.18.1 Федерального закона
от 27.07.2006г. № 152-ФЗ «О персональных данных» - непринятие мер учреждением
осуществляющим сбор персональных данных с использованием
информационно-телекоммуникационных сетей, обязанности опубликовать в соответствующей
информационно-телекоммуникационной сети документа, определяющего его политику в
отношении обработки персональных данных, и сведениях о реализуемых требованиях
к защите персональных данных, а также обеспечить возможность доступа к
указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети.
По
всем выявленным случаям нарушений операторам направлены требования о
необходимости устранения допущенных
нарушений, которые впоследствии были устранены, и в ряде случаев направлены материалы в
органы прокуратуры для принятия мер прокурорского реагирования, по их
результатам были вынесены представления и предостережения.
Часто
встречающимся случаем нарушений (типовым нарушением) принято считать то
нарушение, доля которого относительно общего количества выявленных нарушений в
отчетном периоде составила 20% и выше в каждой сфере контроля.
Наибольшее
количество нарушений, выявленных в ходе
мероприятий по контролю
(надзору) во взаимодействии с проверяемым лицом в установленной сфере
деятельности, в отчётном периоде приходится на нарушения,
связанные с
несвоевременной подачей уведомления либо информационных писем о внесении
изменений в сведения в Реестре операторов, осуществляющих обработку персональных
данных.
При
анализе причин и условий, способствовавших совершению типовых (наиболее часто
встречающихся) нарушений следует принимать во внимание характер охраняемых
государством общественных отношений и степень общественной опасности выявленных
нарушений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Так как основная масса нарушений связана с невыполнением его требований, следует сделать вывод, что существенная
угроза охраняемым общественным отношениям заключается не в наступлении
каких-либо материальных последствий правонарушения, а в пренебрежительном
отношении операторов к исполнению публично-правовых обязанностей.
2. Привлечение к административной
ответственности
В
1 квартале 2018 года к административной
ответственности по результатам проверок юридические и должностные лица не привлекались.
3. Рекомендации в отношении мер, которые должны приниматься
объектами надзора в целях недопущения таких нарушений
В
целях недопущения нарушений обязательных требований
законодательства Российской Федерации
в области персональных данных Управление операторам, осуществляющим обработку
персональных данных ознакомиться с
подготовленными Рекомендациями.
3.1.
Рекомендации по вопросам представления в уполномоченный орган уведомления об
обработке персональных данных, содержащего неполные и (или) недостоверные
сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных»»).
Оператор
до начала обработки персональных данных обязан уведомить уполномоченный орган
по защите прав субъектов персональных данных о своем намерении осуществлять
обработку персональных данных, за исключением случаев, предусмотренных частью 2
статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление,
предусмотренное частью 1 указанной статьи, направляется в виде документа на
бумажном носителе или в форме электронного документа и подписывается
уполномоченным лицом.
В
случае изменения сведений, указанных в части 3 статьи . 22 Федерального закона
27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения
обработки персональных данных оператор обязан уведомить об этом уполномоченный
орган по защите прав субъектов персональных данных в течение десяти рабочих
дней с даты возникновения таких изменений или с даты прекращения обработки
персональных данных.
В
целях разъяснения порядка направления операторами, осуществляющими обработку
персональных данных, сведений об обработке (намерении осуществлять обработку)
персональных данных, об изменении ранее представленных сведений, о прекращении
обработки персональных данных подготовлены Методические рекомендации по
уведомлению уполномоченного органа о начале обработки персональных данных и о
внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность управления>Персональные
данные > Рекомендации по составлению документа, определяющего политику
оператора в отношении обработки персональных данных в порядке, установленном
Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных»>)
https://24.rkn.gov.ru/directions/p5987/p22406
На Портале персональных данных,
(www.pd.rkn.gov.ru) (Главная страница > Реестр операторов> Документы)
размещены примеры заполнения: информационного
письма, уведомления, а также заявления о
внесении в реестр операторов сведений о прекращении оператором обработки
персональных данных и заявления о
предоставлении выписки из реестра операторов.
Сами
формы доступны для заполнения на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru)
в разделе «Электронные формы заявлений».
3.2.Рекомендации по вопросам не
опубликования оператором документов, определяющих политику в отношении
обработки персональных данных, и сведений о реализуемых требованиях к защите
персональных данных, а также необеспечение возможности доступа к указанному
документу с использованием средств соответствующей информационно-телекоммуникационной
сети (нарушение требований части 2 статьи 18.1 Федерального закона 27.07.2006 №
152-ФЗ «О персональных данных»»).
Оператор
обязан опубликовать или иным образом обеспечить неограниченный доступ к
документу, определяющему его политику в отношении обработки персональных
данных, к сведениям о реализуемых требованиях к защите персональных данных.
Оператор, осуществляющий сбор персональных данных с использованием
информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей
информационно-телекоммуникационной сети документ, определяющий его политику в
отношении обработки персональных данных, и сведения о реализуемых требованиях к
защите персональных данных, а также обеспечить возможность доступа к указанному
документу с использованием средств соответствующей
информационно-телекоммуникационной сети.
Рекомендации
по составлению документа, определяющего политику оператора в отношении
обработки персональных данных, в порядке, установленном Федеральным законом от
27 июля 2006 года № 152-ФЗ «О персональных данных» размещены на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные
> Рекомендации по составлению политики обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3.
Рекомендации по вопросам обработки персональных данных, осуществляемой с
нарушением обязательных требований, предъявляемых законодательством Российской Федерации в области персональных
данных к осуществлению деятельности операторов
В
соответствии с ч.1 ст.6 Федерального
закона обработка персональных данных
субъектов персональных данных должна осуществляться с соблюдением принципов и
правил, предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6
Федерального закона определены случаи, когда допускается обработка персональных
данных.
Перечень
нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных требованием законодательства
Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора
по адресу (Главная страница> Профилактика
нарушений обязательных требований> Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных
данных требованием законодательства Российской Федерации в области персональных
данных>)
https://rkn.gov.ru/p582/p585/p863/
4.
Рекомендации при проведении мероприятий
контроля (надзора) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в
области персональных данных
При
организации и проведении мероприятий следует руководствоваться перечнем
нормативных правовых актов, непосредственно регулирующих проведение проверок.
Перечень доступен на официальном сайте
Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований>
Перечень в сфере защиты прав субъектов персональных данных> Перечень
нормативных правовых актов, непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/
В целях повышения правовой
грамотности Роскомнадзор
в рамках реализации Стратегии институционального развития и
информационно-публичной деятельности в области защиты прав субъектов
персональных данных на период до 2020 года открыл на Портале персональных
данных сервис «Задай тему Роскомнадзору» https://pd.rkn.gov.ru/poll/.