Обобщение результатов проведенных
контрольно-надзорных мероприятий в сфере персональных данных за 3 квартал 2018
года
1 . Статистика количества
проведенных контрольно - надзорных мероприятий и наиболее часто встречающиеся
нарушения обязательных требований
Осуществление контрольно-надзорной деятельности
проводится на основании планов деятельности Енисейского управления
Роскомнадзора, планов проверок юридических лиц и индивидуальных
предпринимателей, а также органов местного самоуправления.
Управлением в 3 квартале 2018 года проведено 14
мероприятий систематического наблюдения в области персональных данных. Нарушений в указанном периоде не выявлено.
Выявленное ранее
при осуществлении мониторинга в области персональных данных в сети Интернет нарушение, допущенное оператором, являющимся государственным органом власти на территории
Республики Хакасия, выразившееся в неисполнении обязанности по опубликованию в
соответствующей информационно-телекоммуникационной сети документа,
определяющего политику госоргана в отношении обработки персональных данных, и
сведений о реализуемых требованиях к защите персональных данных, а также
обеспечении возможности доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети, устранено в полном объеме.
В третьем
квартале текущего года внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных не
проводились.
В отчетном периоде Енисейским управлением
Роскомнадзора (далее - Управление) по
направлению деятельности государственный контроль
(надзора) за соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных было запланировано к проведению 8 проверок, проведено 7 проверок (в том числе, 6
проверок юридических лиц и 1 проверка
оператора, являющегося муниципальным органом власти), одна проверка не
проведена, в связи с отсутствием объекта надзора по месту фактического
осуществления деятельности (месту нахождения).
Проверки
индивидуальных предпринимателей в
указанном периоде не были запланированы.
По результатам проверок выявлено 7 нарушений, выдано 4
предписания.
Основным нарушением,
выявляемым в ходе мероприятий по контролю
(надзору) во взаимодействии с проверяемым лицом в установленной сфере
деятельности, как и ранее, продолжает оставаться нарушение, связанное с
несвоевременной подачей информационного писем о внесении изменений в
сведения в Реестре операторов, осуществляющих обработку персональных данных,
что по-прежнему обусловлено несознательным отношением операторов к исполнению
публично-правовых обязанностей, так как, по их мнению, невыполнение
требований Федерального закона от
27.07.2006 №152-ФЗ «О персональных данных» не несет существенной угрозы
охраняемым общественным отношениям и исключает наступлении каких-либо
материальных последствий правонарушения.
Специалистами
Управления в качестве профилактической меры и с целью повышения правовой
грамотности операторов в вопросах исполнения ими обязанностей, предусмотренных
законодательством в области персональных данных, в третьем квартале текущего
года проведено самостоятельно (принято участие)
8 семинаров, на которых специалисты Управления выступили с
докладами по теме обеспечение защиты
прав субъектов персональных данных. В
общей сложности мероприятия посетили более 300 операторов, осуществляющих
обработку персональных данных в различных сферах.
Продолжена
работа по пропаганде среди
несовершеннолетних образа жизни, направленного на бережное отношение к
персональным данным при обработке ими личной информации, в том числе, в интернет пространстве, а именно проведено 10
открытых уроков по
теме «Обеспечение информационной безопасности детства», в том числе, 6
уроков в летних оздоровительных лагерях отдыха детей. На уроках
присутствовало более 500 ребят в возрасте от 11 до 16 лет.
Енисейским управлением Роскомнадзора при исполнении
полномочий в сфере персональных данных
нарушений не выявлено.
2. Привлечение к административной
ответственности
В 3 квартале
2018 года к административной
ответственности по результатам проверок юридические и должностные лица не привлекались.
По
ст. 19.7 КоАП РФ Енисейским управлением
Роскомнадзора в 3 квартале 2018 года составлено 6 протоколов об
административных правонарушениях в отношении юридических и должностных лиц, все
материалы направлены на рассмотрение в
мировые суды. Общая сумма наложенных судами штрафов в 3 квартале 2018 года, в
том числе по протоколам об административных правонарушениях, составленным
ранее, составила 10 000 (десять
тысяч) рублей.
Все случаи возбуждения административного
производства связаны с не предоставлением операторами необходимой информации
Управлению по его запросу. Как правило, это запросы о предоставлении
уведомления либо иной информации в рамках ч.2 ст.22 Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных». Анализ рассматриваемых случаев
возбуждения административных производств, показал, что после получения вызова
на составление протокола оператор, в большинстве случаев, подает в Управление
Уведомление об обработке персональных данных.
3. Рекомендации в отношении мер,
которые должны приниматься объектами надзора в целях недопущения таких
нарушений
В целях недопущения нарушений
обязательных требований законодательства Российской Федерации в области персональных данных
Управление операторам, осуществляющим обработку персональных данных ознакомиться с подготовленными Рекомендациями.
3.1.
Рекомендации по вопросам представления в уполномоченный орган уведомления об
обработке персональных данных, содержащего неполные и (или) недостоверные
сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22
Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление,
предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
В случае изменения сведений,
указанных в части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных», а также в случае прекращения обработки персональных
данных оператор обязан уведомить об этом уполномоченный орган по защите прав
субъектов персональных данных в течение десяти рабочих дней с даты
возникновения таких изменений или с даты прекращения обработки персональных
данных.
В целях разъяснения порядка
направления операторами, осуществляющими обработку персональных данных,
сведений об обработке (намерении осуществлять обработку) персональных данных,
об изменении ранее представленных сведений, о прекращении обработки
персональных данных подготовлены
Методические рекомендации по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность
управления>Персональные данные > Рекомендации по составлению документа,
определяющего политику оператора в отношении обработки персональных данных в
порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ «О
персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».
3.2. Рекомендации
по вопросам не опубликования оператором документов, определяющих политику в
отношении обработки персональных данных, и сведений о реализуемых требованиях к
защите персональных данных, а также необеспечение возможности доступа к
указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная
страница> Персональные данные > Рекомендации по составлению политики
обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3.
Рекомендации по вопросам обработки персональных данных, осуществляемой с
нарушением обязательных требований, предъявляемых законодательством Российской Федерации в области персональных
данных к осуществлению деятельности операторов
В соответствии с ч.1 ст.6 Федерального закона обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального
закона определены случаи, когда допускается обработка персональных данных.
Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований>
Перечень нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных требованием законодательства Российской
Федерации в области персональных данных>)
https://rkn.gov.ru/p582/p585/p863/
4. Рекомендации при проведении мероприятий контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных
При
организации и проведении мероприятий следует руководствоваться перечнем
нормативных правовых актов, непосредственно регулирующих проведение проверок.
Перечень доступен на официальном сайте
Роскомнадзора по адресу (Главная
страница> Профилактика нарушений обязательных требований> Перечень в
сфере защиты прав субъектов персональных данных> Перечень нормативных
правовых актов, непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/
В целях
повышения правовой грамотности
Роскомнадзор в рамках реализации Стратегии институционального развития и
информационно-публичной деятельности в области защиты прав субъектов
персональных данных на период до 2020 года открыл на Портале персональных
данных продолжает работать сервис «Задай тему Роскомнадзору» https://pd.rkn.gov.ru/poll/.