Обобщение правоприменительной практики контрольно-надзорной деятельности за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных за 2017 год

 

1.         Статистика количества проведенных контрольно-надзорных мероприятий.

 

Предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных являются: 

-  деятельности по обработке персональных данных;

- информационные системы персональных данных;

- документы, характер информации в которых предполагает или допускает включение в них персональных данных.

Также Управление в целях выявления, анализа и прогнозирования нарушений операторами, осуществляющими обработку персональных данных требований законодательства Российской Федерации в области персональных данных без взаимодействия с операторами осуществляются мероприятия систематического наблюдения (мониторинга) в области персональных данных:

- в сети Интернет;

-в местах розничной торговли в целях выявления фактов незаконной реализации на физических носителях баз данных, содержащих персональные данные граждан

-в части оценки соответствия информации, размещаемой в общественных местах, на средствах наружной рекламы и светодиодных экранах по выявлению признаков нарушений законодательства Российской Федерации в области персональных данных.

Общее количество проведенных проверок юридических лиц за 2017 год составило 31 плановое мероприятие (внеплановые проверки не проводились), что на 36% меньше чем за  прошлый  год). Но в тоже время выявлено 26 нарушений, что только на 13% меньше чем за  прошлый  год).

В 2017 году проведено 56 мероприятий  систематического наблюдения (мониторинга) в области персональных данных, что соответствует количеству 2016 года, при этом выявлено нарушений норм законодательства в  10 случаях, что на 65% меньше чем за  прошлый  год.  Все  нарушения были выявлены  при осуществлении мониторинга в области персональных данных в сети Интернет. Нарушения были допущены операторами, являющимися  государственными и муниципальными  органами власти, а именно, были выявлены в подавляющем большинстве,   факты наличия в свободном доступе (на интернет – ресурсе) персональных данных граждан без правого основания и нарушения п. 2 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утв. Постановлением  Правительства РФ от 21 марта 2012 года № 211 - не опубликование оператором документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также необеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

По всем выявленным случаям нарушений операторам направлены требования о необходимости устранения допущенных  нарушений, которые впоследствии были устранены,  и в ряде случаев направлены материалы в органы прокуратуры для принятия мер прокурорского реагирования, по их результатам были вынесены представления и предостережения.

 

2. Сведения о наиболее часто встречающихся случаях (типовых нарушениях) нарушений обязательных требований в установленной сфере.

По результатам постоянно проводимого  анализа контрольно-надзорной деятельности в области персональных данных, осуществляемой Управлением в течение 2017 года как и в 2016 году, в качестве наиболее часто встречающихся нарушений обязательных требований стоит отметить  несвоевременную подачу уведомления либо информационных писем о внесении изменений в сведения в Реестре операторов, осуществляющих обработку персональных данных.

В целях недопущения таких нарушений Управлением в течение 2017 года, направлялись разъяснения  в органы власти, различных уровней о необходимости подачи уведомления или информационного письма организациями им подведомственными, а также самими органами власти. Также направлялись обращения о размещении информации о необходимости направления уведомлений либо информационных писем  в уполномоченный орган на сайтах различных операторов Красноярского края,  Республики Тыва и Республики Хакасия.

На постоянной основе проводились обучающие ежеквартальные семинары на базе Управления. В телефонном режиме и на личном приеме   представители  операторов получают исчерпывающие консультации  по вопросам связанным с осуществлением контроля и надзора в области персональных данных, в том числе по вопросам по ведения реестра операторов, осуществляющих обработку персональных данных.

Анализ причин и условий, способствовавших совершению типовых (наиболее часто встречающихся) нарушений, свидетельствует о том, что основная их часть вызвана несоблюдением действующего законодательства в установленной сфере физическими лицами, индивидуальными предпринимателями, а также ненадлежащим исполнением служебных обязанностей должностными лицами юридических лиц.

С 01.07.2017 в соответствии с  Федеральным законом от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ).

До этого периода взаимодействие с органами прокуратуры осуществлялось при исполнении полномочий  при проведении мероприятий  систематического наблюдения (мониторинга) в области персональных данных.

Количество и результаты рассмотрения материалов, направленных в органы прокуратур за 2017 по результатам  проверок (плановых, внеплановых), /по результатам СН ПД:

Количество направленных материалов – 2/8;

Количество возбужденных дел об АП по ст. 13.11 КоАП РФ: 1/3

Отказано в возбуждении дел об административных правонарушениях  в связи с отсутствием оснований для принятия мер в связи с устранением нарушения: 0/5;

Количество материалов находящихся на рассмотрении в органах прокуратуры: 1/3.

В 2017 году к административной ответственности по результатам проверок юридические  и должностные лица не привлекались.

 

3. Рекомендации в отношении мер, которые должны приниматься юридическими лицами, индивидуальными предпринимателями и физическими в целях недопущения таких нарушений.

3.1. Рекомендации по вопросам представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное частью 1 указанной  статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

В случае изменения сведений, указанных в части 3 статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В целях разъяснения порядка направления операторами, осуществляющими обработку персональных данных, сведений об обработке (намерении осуществлять обработку) персональных данных, об изменении ранее представленных сведений, о прекращении обработки персональных данных  подготовлены Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены  на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность управления>Персональные данные > Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406

На  Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр операторов> Документы) размещены примеры  заполнения: информационного письма,  уведомления, а также заявления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных и  заявления о предоставлении выписки из реестра операторов.

Сами формы доступны для заполнения на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».

3.2.Рекомендации по вопросам не опубликования оператором документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также необеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (нарушение требований части 2 статьи 18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» размещены  на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные > Рекомендации по составлению политики обработки персональных данных>)

https://rkn.gov.ru/personal-data/p908/

3.3. Рекомендации по вопросам обработки персональных данных, осуществляемой с нарушением обязательных требований, предъявляемых  законодательством  Российской Федерации в области персональных данных к осуществлению деятельности операторов

В соответствии с   ч.1 ст.6 Федерального закона  обработка персональных данных субъектов персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда допускается обработка персональных данных.

Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований> Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных>)

https://rkn.gov.ru/p582/p585/p863/

3.4. Рекомендации при  проведении мероприятий контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных

При организации и проведении мероприятий следует руководствоваться перечнем нормативных правовых актов, непосредственно регулирующих проведение проверок. Перечень доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований> Перечень в сфере защиты прав субъектов персональных данных> Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок)

https://rkn.gov.ru/p582/p585/p862/

В целях повышения правовой грамотности  Роскомнадзор в рамках реализации Стратегии институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года открыл на Портале персональных данных сервис «Задай тему Роскомнадзору» https://pd.rkn.gov.ru/poll/.