Обобщение
правоприменительной практики контрольно-надзорной деятельности за соответствием обработки персональных данных
требованиям законодательства Российской
Федерации в области персональных данных за 2017 год
1. Статистика количества проведенных контрольно-надзорных
мероприятий.
Предметом государственного контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской Федерации в области персональных данных
являются:
- деятельности по обработке персональных данных;
- информационные системы персональных данных;
- документы, характер
информации в которых предполагает или допускает включение в них персональных
данных.
Также
Управление в целях выявления, анализа и прогнозирования нарушений операторами,
осуществляющими обработку персональных данных требований законодательства
Российской Федерации в области персональных данных без взаимодействия с
операторами осуществляются мероприятия систематического наблюдения
(мониторинга) в области персональных данных:
-
в сети Интернет;
-в
местах розничной торговли в целях выявления фактов незаконной реализации на
физических носителях баз данных, содержащих персональные данные граждан
-в
части оценки соответствия
информации, размещаемой в общественных местах, на средствах наружной рекламы и
светодиодных экранах по выявлению признаков нарушений законодательства
Российской Федерации в области персональных данных.
Общее количество
проведенных проверок юридических лиц за 2017 год составило 31 плановое
мероприятие (внеплановые проверки не проводились), что на 36% меньше чем
за прошлый год). Но в тоже время выявлено 26 нарушений, что
только на 13% меньше чем за прошлый год).
В 2017 году
проведено 56 мероприятий
систематического наблюдения (мониторинга) в области персональных данных,
что соответствует количеству 2016 года, при этом выявлено нарушений норм
законодательства в 10 случаях, что на
65% меньше чем за прошлый год. Все
нарушения были выявлены при
осуществлении мониторинга в области персональных данных в сети Интернет.
Нарушения были допущены операторами, являющимися государственными и муниципальными органами власти, а именно, были выявлены в
подавляющем большинстве, факты наличия в свободном доступе (на интернет
– ресурсе) персональных данных граждан без правого основания и нарушения п. 2
Перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом «О персональных данных» и принятыми в
соответствии с ним нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами, утв. Постановлением Правительства РФ от 21 марта 2012 года № 211
- не опубликование оператором документов, определяющих политику в отношении
обработки персональных данных, и сведений о реализуемых требованиях к защите
персональных данных, а также необеспечение возможности доступа к указанному
документу с использованием средств соответствующей
информационно-телекоммуникационной сети.
По всем
выявленным случаям нарушений операторам направлены требования о необходимости
устранения допущенных нарушений, которые
впоследствии были устранены, и в ряде
случаев направлены материалы в органы прокуратуры для принятия мер
прокурорского реагирования, по их результатам были вынесены представления и
предостережения.
2. Сведения о
наиболее часто встречающихся случаях (типовых нарушениях) нарушений
обязательных требований в установленной сфере.
По результатам постоянно
проводимого анализа контрольно-надзорной
деятельности в области персональных данных, осуществляемой Управлением в
течение 2017 года как и в 2016 году, в качестве наиболее часто встречающихся
нарушений обязательных требований стоит отметить несвоевременную подачу уведомления либо
информационных писем о внесении изменений в сведения в Реестре операторов,
осуществляющих обработку персональных данных.
В целях
недопущения таких нарушений Управлением в течение 2017 года, направлялись
разъяснения в органы власти, различных
уровней о необходимости подачи уведомления или информационного письма
организациями им подведомственными, а также самими органами власти. Также
направлялись обращения о размещении информации о необходимости направления
уведомлений либо информационных писем в
уполномоченный орган на сайтах различных операторов Красноярского края, Республики Тыва и Республики Хакасия.
На
постоянной основе проводились обучающие ежеквартальные семинары на базе
Управления. В телефонном режиме и на личном приеме представители операторов получают исчерпывающие консультации
по вопросам связанным с осуществлением
контроля и надзора в области персональных данных, в том числе по вопросам по
ведения реестра операторов, осуществляющих обработку персональных данных.
Анализ причин и условий, способствовавших
совершению типовых (наиболее часто встречающихся) нарушений, свидетельствует о
том, что основная их часть вызвана несоблюдением действующего законодательства в
установленной сфере физическими лицами, индивидуальными предпринимателями, а
также ненадлежащим исполнением служебных обязанностей должностными лицами
юридических лиц.
С 01.07.2017
в соответствии с Федеральным законом от
07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об
административных правонарушениях" полномочия по возбуждению дел об
административных правонарушениях по ст. 13.11 КоАП РФ
переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ).
До этого периода
взаимодействие с органами прокуратуры осуществлялось при исполнении
полномочий при проведении
мероприятий систематического наблюдения
(мониторинга) в области персональных данных.
Количество и
результаты рассмотрения материалов, направленных в органы прокуратур за 2017 по
результатам проверок (плановых,
внеплановых), /по результатам СН ПД:
Количество
направленных материалов – 2/8;
Количество
возбужденных дел об АП по ст. 13.11 КоАП РФ: 1/3
Отказано в
возбуждении дел об административных правонарушениях в связи с отсутствием оснований для принятия
мер в связи с устранением нарушения: 0/5;
Количество
материалов находящихся на рассмотрении в органах прокуратуры: 1/3.
В 2017 году
к административной ответственности по результатам проверок юридические и должностные лица не привлекались.
3. Рекомендации в отношении мер, которые
должны приниматься юридическими лицами, индивидуальными предпринимателями и
физическими в целях недопущения таких нарушений.
3.1.
Рекомендации по вопросам представления в уполномоченный орган уведомления об
обработке персональных данных, содержащего неполные и (или) недостоверные
сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных»»).
Оператор
до начала обработки персональных данных обязан уведомить уполномоченный орган
по защите прав субъектов персональных данных о своем намерении осуществлять
обработку персональных данных, за исключением случаев, предусмотренных частью 2
статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»».
Уведомление, предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
В
случае изменения сведений, указанных в части 3 статьи . 22 Федерального закона
27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения
обработки персональных данных оператор обязан уведомить об этом уполномоченный
орган по защите прав субъектов персональных данных в течение десяти рабочих
дней с даты возникновения таких изменений или с даты прекращения обработки
персональных данных.
В
целях разъяснения порядка направления операторами, осуществляющими обработку
персональных данных, сведений об обработке (намерении осуществлять обработку)
персональных данных, об изменении ранее представленных сведений, о прекращении
обработки персональных данных
подготовлены Методические рекомендации по уведомлению уполномоченного
органа о начале обработки персональных данных и о внесении изменений в ранее
представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) .
Размещены на официальном сайте Енисейского управления Роскомнадзора
по адресу (Главная страница>
Деятельность управления>Персональные данные > Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных в порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406
На Портале персональных данных,
(www.pd.rkn.gov.ru) (Главная страница > Реестр операторов> Документы)
размещены примеры заполнения:
информационного письма, уведомления, а
также заявления о внесении в реестр операторов сведений о прекращении
оператором обработки персональных данных и
заявления о предоставлении выписки из реестра операторов.
Сами
формы доступны для заполнения на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru)
в разделе «Электронные формы заявлений».
3.2.Рекомендации
по вопросам не опубликования оператором документов, определяющих политику в
отношении обработки персональных данных, и сведений о реализуемых требованиях к
защите персональных данных, а также необеспечение возможности доступа к
указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор
обязан опубликовать или иным образом обеспечить неограниченный доступ к
документу, определяющему его политику в отношении обработки персональных
данных, к сведениям о реализуемых требованиях к защите персональных данных.
Оператор, осуществляющий сбор персональных данных с использованием
информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей
информационно-телекоммуникационной сети документ, определяющий его политику в
отношении обработки персональных данных, и сведения о реализуемых требованиях к
защите персональных данных, а также обеспечить возможность доступа к указанному
документу с использованием средств соответствующей
информационно-телекоммуникационной сети.
Рекомендации
по составлению документа, определяющего политику оператора в отношении
обработки персональных данных, в порядке, установленном Федеральным законом от
27 июля 2006 года № 152-ФЗ «О персональных данных» размещены на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные > Рекомендации по
составлению политики обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3.
Рекомендации по вопросам обработки персональных данных, осуществляемой с
нарушением обязательных требований, предъявляемых законодательством Российской Федерации в области персональных
данных к осуществлению деятельности операторов
В
соответствии с ч.1 ст.6 Федерального закона обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального
закона определены случаи, когда допускается обработка персональных данных.
Перечень
нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных требованием законодательства
Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений
обязательных требований> Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных>)
https://rkn.gov.ru/p582/p585/p863/
3.4.
Рекомендации при проведении мероприятий
контроля (надзора) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в
области персональных данных
При
организации и проведении мероприятий следует руководствоваться перечнем
нормативных правовых актов, непосредственно регулирующих проведение проверок.
Перечень доступен на официальном сайте
Роскомнадзора по адресу (Главная
страница> Профилактика нарушений обязательных требований> Перечень в
сфере защиты прав субъектов персональных данных> Перечень нормативных
правовых актов, непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/
В целях повышения правовой
грамотности Роскомнадзор в рамках
реализации Стратегии институционального развития и информационно-публичной
деятельности в области защиты прав субъектов персональных данных на период до
2020 года открыл на Портале персональных данных сервис «Задай тему
Роскомнадзору» https://pd.rkn.gov.ru/poll/.