Обобщение результатов проведенных
контрольно-надзорных мероприятий в сфере персональных данных за 2 квартал 2018
года
1 .
Статистика количества проведенных контрольно- надзорных мероприятий и наиболее
часто встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной
деятельности проводится на основании планов деятельности Енисейского управления
Роскомнадзора, планов проверок юридических лиц и индивидуальных
предпринимателей, а также органов местного самоуправления.
В отчетном
периоде Енисейским управлением Роскомнадзора (далее - Управление) по направлению деятельности государственный контроль (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных было
запланировано к проведению 10 проверок, проведено 8 проверок юридических лиц, одна
проверка отменена, в связи с ликвидацией юридического лица, одна проверка не
проведена, в связи с отсутствием объекта надзора по месту фактического
осуществления деятельности.
Проверки индивидуальных предпринимателей, а также
органов местного самоуправления в указанном периоде не были запланированы.
По результатам проверок выявлено 5
нарушений, выдано 3 предписания.
Наибольшее
количество нарушений, выявленных в ходе
мероприятий по контролю (надзору) во взаимодействии с
проверяемым лицом в установленной сфере деятельности, в отчётном периоде продолжают оставаться нарушения, связанные с
несвоевременной подачей уведомления либо информационных писем о внесении
изменений в сведения в Реестре операторов, осуществляющих обработку
персональных данных.
Так как основная масса
нарушений связана с невыполнением требований Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных» следует сделать вывод, что существенная угроза охраняемым
общественным отношениям заключается не в наступлении каких-либо материальных
последствий правонарушения, а в пренебрежительном отношении операторов к
исполнению публично-правовых обязанностей.
Во втором квартале текущего года внеплановые
проверки по направлению деятельности государственный
контроль (надзора) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в
области персональных данных не проводились.
Управлением во 2 квартале 2018 года проведено
14 мероприятий систематического наблюдения в области персональных данных. Выявлено 1 нарушение, при осуществлении
мониторинга в области персональных данных в сети Интернет. Нарушение допущено оператором, являющимися государственным органом власти на территории
Республика Хакасия, и касалось неисполнения обязанности опубликовать в соответствующей
информационно-телекоммуникационной сети документа, определяющего политику госоргана в отношении обработки персональных данных, и
сведениях о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
В качестве
профилактической меры Управлением направлено разъяснительное письмо
руководителям 45 муниципальных органов Красноярского края о
неукоснительном соблюдении Перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных данных» и
принятыми в соответствии с ним нормативными правовыми актами, операторами,
являющимися государственными или муниципальными органами, утвержденного постановлением
Правительства РФ от 21.03.2012 № 211.
Енисейским управлением Роскомнадзора
при исполнении полномочий в сфере персональных данных нарушений не выявлено.
2.
Привлечение к административной ответственности
Во 2 квартале 2018 года к административной ответственности по
результатам проверок юридические и
должностные лица не привлекались.
По ст. 19.7 КоАП РФ составлено 17
протоколов об административных правонарушениях, все материалы направлены на
рассмотрение мировым судьям. Все случаи возбуждения административного
производства связаны с не предоставлением операторами необходимой информации
Управлению по его запросу. Как правило, это запросы о предоставлении
уведомления либо иной информации в рамках ч.2 ст.22 Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных». Анализ рассматриваемых случаев
возбуждения административных производств, показал, что после получения вызова
на составление протокола оператор, в большинстве случаев, подает в Управление
Уведомление об обработке персональных данных.
3.
Рекомендации в отношении мер, которые
должны приниматься объектами надзора в целях недопущения таких нарушений
В целях недопущения
нарушений обязательных требований законодательства Российской Федерации в области персональных
данных Управление операторам, осуществляющим обработку персональных данных ознакомиться с подготовленными Рекомендациями.
3.1. Рекомендации по вопросам
представления в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушение
требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2 статьи .
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»».
Уведомление, предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
В случае изменения сведений,
указанных в части 3 статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных», а также в случае прекращения обработки персональных
данных оператор обязан уведомить об этом уполномоченный орган по защите прав
субъектов персональных данных в течение десяти рабочих дней с даты возникновения
таких изменений или с даты прекращения обработки персональных данных.
В целях разъяснения порядка
направления операторами, осуществляющими обработку персональных данных,
сведений об обработке (намерении осуществлять обработку) персональных данных,
об изменении ранее представленных сведений, о прекращении обработки
персональных данных подготовлены
Методические рекомендации по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные сведения
(утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены на официальном сайте Енисейского управления Роскомнадзора
по адресу (Главная страница> Деятельность
управления>Персональные данные > Рекомендации по составлению документа,
определяющего политику оператора в отношении обработки персональных данных в
порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ «О
персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».
3.2.Рекомендации по вопросам не
опубликования оператором документов, определяющих политику в отношении
обработки персональных данных, и сведений о реализуемых требованиях к защите
персональных данных, а также необеспечение возможности доступа к указанному
документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная
страница> Персональные данные > Рекомендации по составлению политики
обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3. Рекомендации по вопросам
обработки персональных данных, осуществляемой с нарушением обязательных
требований, предъявляемых
законодательством Российской
Федерации в области персональных данных к осуществлению деятельности операторов
В соответствии с ч.1 ст.6 Федерального закона обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального
закона определены случаи, когда допускается обработка персональных данных.
Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований>
Перечень нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных требованием законодательства
Российской Федерации в области персональных данных>)
https://rkn.gov.ru/p582/p585/p863/
4. Рекомендации при
проведении мероприятий контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской Федерации в области персональных данных
При организации и проведении
мероприятий следует руководствоваться перечнем нормативных правовых актов,
непосредственно регулирующих проведение проверок. Перечень доступен на
официальном сайте Роскомнадзора по
адресу (Главная страница>
Профилактика нарушений обязательных требований> Перечень в сфере защиты прав
субъектов персональных данных> Перечень нормативных правовых актов,
непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/
В целях
повышения правовой грамотности
Роскомнадзор в рамках реализации Стратегии институционального развития и
информационно-публичной деятельности в области защиты прав субъектов
персональных данных на период до 2020 года открыл на Портале
персональных данных продолжает работать сервис «Задай тему Роскомнадзору» https://pd.rkn.gov.ru/poll/.