Обобщение
результатов проведенных контрольно-надзорных мероприятий в сфере персональных
данных за 1 квартал 2020 года
1 . Статистика
количества проведенных контрольно-надзорных мероприятий и наиболее часто
встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной деятельности в 1
кв. 2020 года проводилось на основании плана деятельности Енисейского
управления Роскомнадзора на 2020 год.
Предметом государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных являются:
– деятельность оператора по
обработке персональных данных, осуществляемой с использованием и (или) без
использования средств автоматизации, на предмет ее соответствия требованиям, в
том числе мер, принимаемых оператором во исполнение требований;
– документы и локальные акты
оператора, указанные в части 1 статьи 18.1 Федерального закона «О персональных
данных», и принятые оператором меры, указанные в части 1 статьи 18.1
Федерального закона «О персональных данных»;
информационные системы персональных
данных в части, касающейся обработки персональных данных субъектов персональных
данных.
Енисейским управлением Роскомнадзора (далее -
Управление) по направлению деятельности государственный контроль (надзор) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в 2020
году было запланировано к проведению 9 проверок, что на 8 % меньше, чем в 2019.
Все проверки проведены. По результатам проведенных проверок выявлено 21
нарушение. Основными нарушениями, выявляемыми
в ходе мероприятий по контролю (надзору) во
взаимодействии с проверяемым лицом в установленной сфере деятельности, являются
следующие нарушения:
непринятие оператором
необходимых и достаточных мер для обеспечения выполнения обязанностей,
предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных» и принятыми в соответствии с ним нормативными правовыми актами;
несоблюдение оператором требований по определению места (мест) хранения
персональных данных (материальных носителей) и установления перечня лиц,
осуществляющих обработку персональных данных либо имеющих к ним доступ;
несоблюдение оператором требований по информированию лиц, осуществляющих
обработку персональных данных без использования средств автоматизации;
несоответствие содержания письменного согласия субъекта персональных
данных на обработку персональных данных требованиям законодательства Российской
Федерации.
представление в уполномоченный орган по защите прав субъектов
персональных данных уведомления об обработке персональных данных содержащего
неполные и недостоверные сведения
непредставление в уполномоченный орган сведений об изменении информации,
содержащейся в уведомлении об обработке персональных данных;
несоответствие типовых форм документов, характер информации в которых
предполагает или допускает включение в них персональных данных, требованиям
законодательства в области персональных данных.
Подобные
нарушения все также обусловлены несознательным отношением операторов к
исполнению публично-правовых обязанностей, так как, по их мнению, невыполнение
требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
не несет существенной угрозы охраняемым общественным отношениям и исключает
наступление каких-либо материальных последствий правонарушения.
В 1 кв. 2020 г. Управлением успешно продолжил реализацию
такой вид профилактических мероприятий для операторов, как ежемесячный День
консультаций. В течение этого Дня все желающие получают консультации по
соблюдению требований законодательства в области персональных данных и
практическую помощь при заполнении уведомлений. Особое внимание ко Дню консультаций
проявляют операторы, в отношении
которых запланированы надзорные мероприятия, и желающие получить консультации
по соблюдению требований законодательства в области персональных данных.
В телефонном режиме и на личном приеме представители операторов
получают исчерпывающие консультации по
вопросам связанным с осуществлением контроля и надзора в области персональных
данных, в том числе по вопросам по ведения реестра операторов, осуществляющих
обработку персональных данных.
Внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации
в области персональных данных в 1 квартале 2020 года не проводились. Проверки индивидуальных предпринимателей в указанном
периоде не были запланированы.
Также Управление в целях выявления, анализа и
прогнозирования нарушений операторами, осуществляющими обработку персональных
данных, требований законодательства Российской Федерации в области персональных
данных без взаимодействия с операторами осуществляются мероприятия
систематического наблюдения (мониторинга) в области персональных данных:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан;
-в части оценки соответствия информации, размещаемой в
общественных местах, на средствах наружной рекламы и светодиодных экранах по
выявлению признаков нарушений законодательства Российской Федерации в области
персональных данных.
В 1 квартале 2020 года Управлением было проведено
согласно утвержденному плану мероприятия систематического наблюдения в области персональных данных 14 мероприятий.
Цель указанных мероприятий выявление и анализ
нарушений операторами, осуществляющими обработку персональных данных требований
законодательства Российской Федерации в области персональных данных.
По результатам проведенных мероприятий в 1 квартале
2020 года нарушений не выявлено.
В ходе повторного мероприятия по проверке
исполнения направленного в адрес Министерства
труда и социальной политики Республики Тыва письма, направленного ранее в связи
с выявленным нарушением в ходе проведения мероприятия систематического
наблюдения в 4 квартале 2019 года в адрес
Управления поступил ответ, в котором сообщалось об удалении персональных данных
субъектов персональных данных из общего
доступа на сайте http://mintrudtuva.ru/?p=9707
и о размещении документа, определяющего политику в отношении обработки персональных
данных.
2.
Привлечение к административной ответственности. Итоги судебно-претензионной
работы
В 1 квартале 2020 года к административной
ответственности по результатам проверок юридические и должностные лица не
привлекались.
По ст. 19.7 КоАП РФ в 1 квартале 2020 года составлено 6
протоколов об административных правонарушениях, что на 65 % меньше, чем в том
же периоде 2019 года. Материалы по трем протоколам в настоящее время находятся
на рассмотрении у мировых судей, по результатам рассмотрения трех дел об
административных правонарушениях, лица привлечены к ответственности, назначены
наказания в виде предупреждения.
Все случаи возбуждения административного производства
связаны с непредставлением необходимой Управлению информации по его запросу.
Как правило, это относится к запросам о предоставлении уведомления или иной
информации по ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных». Анализ рассматриваемых случаев возбуждения
административных производств продемонстрировал, что вызов на составление протокола
способствует подаче Уведомлений данными Операторами.
По ст. 13.11 КоАП РФ в 1 квартале 2020 года протоколы
не составлялись Вынесено 22 определения об отказе в возбуждении дела по частям
ст. 13.11 КоАП РФ в связи с отсутствием события (состава) административного
правонарушения.
По ст. 19.5 КоАП РФ в 1 квартале 2020 года протоколов
об административных правонарушениях составлено не было.
В случае подтверждения фактов нарушений прав субъектов
персональных данных в адрес операторов, допустивших нарушение прав субъектов
персональных данных, направляется письмо, содержащее требование об устранении допущенных нарушений.
За 1 кв. 2020 г. направлено 4 указанных письма, что в 1,5 раза меньше, чем в 1
квартале 2019, все требования удовлетворены.
В 1 квартале 2019 году по результатам рассмотрения
обращений граждан, Управлением был установлен факт нарушения федерального
законодательства в сфере обработки персональных данных, выразившийся в
размещении персональных данных гражданина на интернет – ресурсе (на отдельной странице
сайта), администратором которого является оператор, зарегистрированный за
пределами Российской Федерации Управлением принимаются меры согласно пунктам 3,
5 ст.23 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных». В отношении
данного ресурса подготовлено и направлено исковое заявление в защиту прав
субъекта персональных данных в Октябрьский районный суд г. Красноярска о
признании информации, распространяемой интернет-ресурсом, информацией,
обрабатываемой с нарушением законодательства в области персональных данных.
Судебное заседание по исковому заявлению Управления было назначено на январь
2020 года, по результатам рассмотрения требование Управления удовлетворено.
Информация о вступлении данного решения в законную силу Управлением на данный
момент не получено.
3.
Рекомендации в отношении мер, которые
должны приниматься объектами надзора в целях недопущения таких нарушений
В целях недопущения нарушений обязательных требований
законодательства Российской Федерации в
области персональных данных Управление операторам, осуществляющим обработку
персональных данных ознакомиться с
подготовленными Рекомендациями.
3.1. Рекомендации по вопросам
представления в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушение
требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных»»).
Оператор до начала обработки персональных данных обязан
уведомить уполномоченный орган по защите прав субъектов персональных данных о
своем намерении осуществлять обработку персональных данных, за исключением
случаев, предусмотренных частью 2 статьи . 22 Федерального закона 27.07.2006 №
152-ФЗ «О персональных данных»». Уведомление, предусмотренное частью 1
указанной статьи, направляется в виде
документа на бумажном носителе или в форме электронного документа и
подписывается уполномоченным лицом.
В случае изменения сведений, указанных в части 3
статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных», а также в случае прекращения обработки
персональных данных оператор обязан уведомить об этом уполномоченный орган по
защите прав субъектов персональных данных в течение десяти рабочих дней с даты
возникновения таких изменений или с даты прекращения обработки персональных
данных.
В целях разъяснения порядка направления операторами,
осуществляющими обработку персональных данных, сведений об обработке (намерении
осуществлять обработку) персональных данных, об изменении ранее представленных
сведений, о прекращении обработки персональных данных подготовлены Методические рекомендации по
уведомлению уполномоченного органа о начале обработки персональных данных и о
внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора
от 30.05.2017 N 94) . Размещены на
официальном сайте Енисейского
управления Роскомнадзора по адресу (Главная
страница> Деятельность управления>Персональные данные > Методические
рекомендации по уведомлению уполномоченного органа о начале обработки
персональных данных и о внесении изменений в ранее представленные сведения
(утв. Приказом Роскомнадзора от 30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/
На Портале
персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр
операторов> Документы) размещены примеры
заполнения: информационного письма,
уведомления, а также заявления о внесении в реестр операторов сведений о
прекращении оператором обработки персональных данных и заявления о предоставлении выписки из реестра
операторов.
Сами формы доступны для заполнения на сайте
Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы
заявлений».
3.2.Рекомендации по вопросам не
опубликования оператором документов, определяющих политику в отношении
обработки персональных данных, и сведений о реализуемых требованиях к защите
персональных данных, а также необеспечение возможности доступа к указанному
документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или иным образом
обеспечить неограниченный доступ к документу, определяющему его политику в
отношении обработки персональных данных, к сведениям о реализуемых требованиях
к защите персональных данных. Оператор, осуществляющий сбор персональных данных
с использованием информационно-телекоммуникационных сетей, обязан опубликовать
в соответствующей информационно-телекоммуникационной сети документ,
определяющий его политику в отношении обработки персональных данных, и сведения
о реализуемых требованиях к защите персональных данных, а также обеспечить
возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению документа, определяющего политику
оператора в отношении обработки персональных данных, в порядке, установленном
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
размещены на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные >
Рекомендации по составлению политики обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3. Рекомендации по вопросам
обработки персональных данных, осуществляемой с нарушением обязательных
требований, предъявляемых
законодательством Российской
Федерации в области персональных данных к осуществлению деятельности операторов
В соответствии с
ч.1 ст.6 Федерального закона
обработка персональных данных субъектов персональных данных должна
осуществляться с соблюдением принципов и правил, предусмотренных Федеральным
законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда
допускается обработка персональных данных.
Перечень нормативных правовых актов, устанавливающих
обязательные требования к осуществлению деятельности юридических лиц и
индивидуальных предпринимателей за соответствием обработки персональных данных
требованием законодательства Российской Федерации в области персональных данных
доступен на официальном сайте
Роскомнадзора по адресу (Главная
страница>Профилактика нарушений обязательных требований>Перечень в сфере
защиты прав субъектов персональных данных>Перечень нормативных правовых
актов, устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных>)
https://rkn.gov.ru/p582/p585/p863/