Обобщение результатов проведенных контрольно-надзорных мероприятий в сфере персональных данных за 3 квартал 2018 года

1 . Статистика количества проведенных контрольно - надзорных мероприятий и наиболее часто встречающиеся нарушения обязательных требований

Осуществление контрольно-надзорной деятельности проводится на основании планов деятельности Енисейского управления Роскомнадзора, планов проверок юридических лиц и индивидуальных предпринимателей, а также органов местного самоуправления.

Управлением в 3 квартале 2018 года проведено 14 мероприятий систематического наблюдения в области персональных данных. Нарушений в указанном периоде не выявлено.

  Выявленное ранее при осуществлении мониторинга в области персональных данных в сети Интернет  нарушение, допущенное  оператором, являющимся  государственным органом власти на территории Республики Хакасия, выразившееся в неисполнении обязанности по опубликованию в соответствующей информационно-телекоммуникационной сети документа, определяющего  политику госоргана  в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также обеспечении возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети,  устранено в полном объеме.

 В третьем квартале текущего года внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных не проводились.

В отчетном периоде Енисейским управлением Роскомнадзора (далее - Управление)  по направлению деятельности государственный контроль (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных было запланировано к проведению 8 проверок,  проведено 7 проверок (в том числе, 6 проверок  юридических лиц и 1 проверка оператора, являющегося муниципальным органом власти), одна проверка не проведена, в связи с отсутствием объекта надзора по месту фактического осуществления деятельности (месту нахождения).

Проверки  индивидуальных предпринимателей  в указанном периоде не были запланированы.

По результатам проверок выявлено 7 нарушений, выдано 4 предписания.

Основным  нарушением,  выявляемым в ходе мероприятий по контролю (надзору) во взаимодействии с проверяемым лицом в установленной сфере деятельности, как и ранее,  продолжает оставаться  нарушение, связанное  с  несвоевременной подачей информационного писем о внесении изменений в сведения в Реестре операторов, осуществляющих обработку персональных данных, что по-прежнему обусловлено несознательным отношением операторов к исполнению публично-правовых обязанностей, так как, по их мнению, невыполнение требований  Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» не несет существенной угрозы охраняемым общественным отношениям и исключает наступлении каких-либо материальных последствий правонарушения.

Специалистами Управления в качестве профилактической меры и с целью повышения правовой грамотности операторов в вопросах исполнения ими обязанностей, предусмотренных законодательством в области персональных данных, в третьем квартале текущего года проведено самостоятельно (принято участие)  8 семинаров, на которых специалисты Управления выступили с докладами  по теме обеспечение защиты прав субъектов персональных данных.  В общей сложности мероприятия посетили более 300 операторов, осуществляющих обработку персональных данных в различных сферах.

Продолжена работа  по пропаганде среди несовершеннолетних образа жизни, направленного на бережное отношение к персональным данным при обработке ими личной информации, в том числе,  в интернет пространстве, а именно проведено 10 открытых уроков по теме «Обеспечение информационной безопасности детства», в том числе, 6 уроков  в летних оздоровительных  лагерях отдыха детей. На уроках присутствовало более 500 ребят в возрасте от 11 до 16 лет.

Енисейским управлением Роскомнадзора при исполнении полномочий в сфере персональных данных  нарушений не выявлено.

2. Привлечение к административной ответственности

В 3 квартале 2018 года  к административной ответственности по результатам проверок юридические  и должностные лица не привлекались.

По ст. 19.7 КоАП РФ  Енисейским управлением Роскомнадзора в 3 квартале 2018 года составлено 6 протоколов об административных правонарушениях в отношении юридических и должностных лиц, все материалы  направлены на рассмотрение в мировые суды. Общая сумма наложенных судами штрафов в 3 квартале 2018 года, в том числе по протоколам об административных правонарушениях, составленным ранее,  составила 10 000 (десять тысяч) рублей.

 Все случаи возбуждения административного производства связаны с не предоставлением операторами необходимой информации Управлению по его запросу. Как правило, это запросы о предоставлении уведомления либо иной информации в рамках ч.2 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Анализ рассматриваемых случаев возбуждения административных производств, показал, что после получения вызова на составление протокола оператор, в большинстве случаев, подает в Управление Уведомление об обработке персональных данных.

3. Рекомендации  в отношении мер, которые должны приниматься объектами надзора в целях недопущения таких нарушений

В целях недопущения нарушений обязательных требований законодательства Российской  Федерации в области персональных данных Управление операторам, осуществляющим обработку персональных данных  ознакомиться с подготовленными Рекомендациями.

3.1. Рекомендации по вопросам представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное частью 1 указанной  статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

В случае изменения сведений, указанных в части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В целях разъяснения порядка направления операторами, осуществляющими обработку персональных данных, сведений об обработке (намерении осуществлять обработку) персональных данных, об изменении ранее представленных сведений, о прекращении обработки персональных данных  подготовлены Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены  на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность управления>Персональные данные > Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406

На  Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр операторов> Документы) размещены примеры  заполнения: информационного письма,  уведомления, а также заявления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных и  заявления о предоставлении выписки из реестра операторов.

Сами формы доступны для заполнения на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».

3.2. Рекомендации по вопросам не опубликования оператором документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также необеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (нарушение требований части 2 статьи 18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» размещены  на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные > Рекомендации по составлению политики обработки персональных данных>)

https://rkn.gov.ru/personal-data/p908/

3.3. Рекомендации по вопросам обработки персональных данных, осуществляемой с нарушением обязательных требований, предъявляемых  законодательством  Российской Федерации в области персональных данных к осуществлению деятельности операторов

В соответствии с   ч.1 ст.6 Федерального закона  обработка персональных данных субъектов персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда допускается обработка персональных данных.

Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований> Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных>)

https://rkn.gov.ru/p582/p585/p863/

4. Рекомендации при  проведении мероприятий контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных

При организации и проведении мероприятий следует руководствоваться перечнем нормативных правовых актов, непосредственно регулирующих проведение проверок. Перечень доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований> Перечень в сфере защиты прав субъектов персональных данных> Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок)

https://rkn.gov.ru/p582/p585/p862/

В целях повышения правовой грамотности  Роскомнадзор в рамках реализации Стратегии институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года открыл на Портале персональных данных продолжает работать сервис «Задай тему Роскомнадзору» https://pd.rkn.gov.ru/poll/.