Обобщение результатов проведенных
контрольно-надзорных мероприятий в сфере персональных данных за 2018 год
1 .
Статистика количества проведенных контрольно- надзорных мероприятий и наиболее
часто встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной деятельности в 2018
году проводилось на основании планов деятельности Енисейского управления
Роскомнадзора, планов проверок юридических лиц и индивидуальных
предпринимателей, а также органов местного самоуправления.
Предметом государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных являются:
- деятельность
по обработке персональных данных;
- информационные системы персональных данных;
- документы, характер информации в которых
предполагает или допускает включение в них персональных данных.
Енисейским управлением Роскомнадзора
(далее - Управление) по направлению
деятельности государственный контроль (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных в 2018 году было запланировано к проведению 33 проверки,
что на 8% меньше, чем в 2017. Случаи
непроведения проверок в 2018 году были обусловлены отсутствием
объекта надзора по месту фактического осуществления деятельности (месту
нахождения) и в связи с прекращением деятельности юридическим лицом.
Проведено в 2018 году 28 проверок,
что на 9% меньше, чем в 2017. По результатам проведенных проверок выявлено 23
нарушения, что на 11 % меньше, чем в 2017 году.
Основным нарушением, выявляемым в ходе мероприятий по контролю (надзору) во взаимодействии с проверяемым лицом в
установленной сфере деятельности, как и ранее, продолжает оставаться нарушение, связанное с
несвоевременной подачей информационного писем о внесении изменений в
сведения в Реестре операторов, осуществляющих обработку персональных данных,
что по-прежнему, обусловлено несознательным отношением операторов к исполнению
публично-правовых обязанностей, так как, по их мнению, невыполнение
требований Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных» не несет существенной угрозы
охраняемым общественным отношениям и исключает наступление каких-либо
материальных последствий правонарушения.
Специалистами
Управления в качестве профилактической меры и с целью повышения правовой
грамотности операторов в вопросах исполнения ими обязанностей, предусмотренных
законодательством в области персональных данных, в течение 2018 года проведено самостоятельно
(принято участие) 94 семинара
(совещания), что на 75% больше чем в 2017 году, на которых специалисты Управления выступили с
докладами по темам, связанным с
обеспечением защиты прав субъектов персональных данных. В общей сложности мероприятия посетило 1922 оператора, осуществляющего обработку персональных данных в различных
сферах, что на 96 % больше по сравнению с 2017 годом.
В целях информирования о необходимости подачи
уведомления или информационного письма организациями им подведомственными, а
также самими органами власти направлялись разъяснения в органы власти различных уровней. Также направлялись
ходатайства операторам персональных данных, различных сфер деятельности Красноярского
края, Республики Тыва и Республики
Хакасия о размещении информации о необходимости направления уведомлений либо
информационных писем в уполномоченный
орган на их сайтах.
В 2018 году Управлением введен новый вид профилактических
мероприятий, для операторов на
постоянной основе проводился День консультаций, 25 числа каждого месяца, в
течение которого все желающие получали консультации по соблюдению требований
законодательства в области персональных данных. Дни консультаций посещали и
операторы, в отношении которых были
запланированы надзорные мероприятия.
В телефонном режиме и на личном приеме представители операторов получают исчерпывающие
консультации по вопросам связанным с
осуществлением контроля и надзора в области персональных данных, в том числе по
вопросам ведения реестра операторов, осуществляющих обработку персональных
данных.
Внеплановые проверки по направлению
деятельности государственный контроль (надзор) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных в 2018 году не проводились. Проверки индивидуальных предпринимателей в указанном периоде не были запланированы.
Также Управление в целях выявления, анализа и
прогнозирования нарушений операторами, осуществляющими обработку персональных
данных требований законодательства Российской Федерации в области персональных
данных без взаимодействия с операторами осуществляются мероприятия
систематического наблюдения (мониторинга) в области персональных данных:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих персональные
данные граждан;
-в части оценки соответствия информации, размещаемой в
общественных местах, на средствах наружной рекламы и светодиодных экранах по
выявлению признаков нарушений законодательства Российской Федерации в области
персональных данных.
Количество проводимых Управлением мероприятий
систематического наблюдения в области персональных
данных, что согласно установленному
порядку составило 56 мероприятий в год.
По результатам проведенных мероприятий в 2018 году
выявлено 7 нарушений, что на 30 % меньше чем за
прошлый год. Все нарушения были выявлены при осуществлении мониторинга в области
персональных данных в сети Интернет. Нарушения были допущены как операторами, являющимися государственными и муниципальными органами власти (не опубликование оператором
документов, определяющих политику в отношении обработки персональных данных, и
сведений о реализуемых требованиях к защите персональных данных, а также
необеспечение возможности доступа к указанному документу с использованием
средств соответствующей информационно-телекоммуникационной сети), так и образовательными
учреждениями (факты наличия в свободном доступе (на интернет – ресурсе)
персональных данных граждан без правого основания) .
Продолжена
работа по пропаганде среди
несовершеннолетних образа жизни, направленного на бережное отношение к
персональным данным при обработке ими личной информации, в том числе, в интернет- пространстве, а именно проведено 65
открытых уроков по теме «Обеспечение информационной
безопасности детства», в том числе, уроки
в летних оздоровительных лагерях
отдыха детей, а также виртуальные уроки, проведенные специалистами Управления
совместно с органами власти в сфере образования на территориях Красноярского
края, Республика Тыва и Республика Хакасия. На уроках присутствовало более 11
тысяч учащихся в возрасте от 11 до 16
лет.
Енисейским управлением Роскомнадзора
при исполнении полномочий в сфере персональных данных нарушений не выявлено.
2.
Привлечение к административной ответственности. Итоги судебно-претензионной
работы
В 2018 году к административной ответственности по
результатам проверок юридические и
должностные лица не привлекались.
По ст. 19.7 КоАП РФ в 2018 году составлено 68 протоколов об административных
правонарушениях, что на 62 % меньше чем в 2017 году все материалы направлены на
рассмотрение мировым судьям (26 протокола находится рассмотрении). По
результатам рассмотренных протоколов наложено: штрафов в 9 случаях, что на 80 %
меньше чем в 2017 году, предупреждений в
32 случаях, что на 71 % меньше чем в 2017 году. Все случаи
возбуждения административного производства связаны с не предоставлением
операторами необходимой информации Управлению по его запросу. Как правило, это
запросы о предоставлении уведомления либо иной информации в рамках ч.2 ст.22
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» либо
запросов информации в рамках рассмотрения обращений граждан. Анализ
рассматриваемых случаев возбуждения административных производств, показал, что
после получения вызова на составление протокола оператор, в большинстве
случаев, подает в Управление Уведомление об обработке персональных данных.
По ст. 13.11 КоАП РФ в 2018 году
составлен один протокол и направлен в суд по ч.6 ст. 13.11 КоАП РФ, по
результатам юридическому лицу назначено наказание в виде штрафа в размере 10
000 руб. Вынесено 59 определений об
отказе в возбуждении дела по частям ст. 13.11 КоАП РФ
В случае подтверждения фактов
нарушений прав субъектов персональных данных в адрес операторов, допустивших
нарушение прав субъектов персональных данных направляется требование об
устранении допущенных нарушений. За 2018 г. направлено 20 требований, все
удовлетворены.
В 2018 году по результатам
рассмотрения обращений граждан Управлением были установлены факты нарушения
федерального законодательства в сфере обработки персональных данных,
выразившиеся в размещении персональных данных граждан на интернет – ресурсах
(или на отдельных страницах сайтов), администратором которых являются операторы,
зарегистрированные за пределами Российской Федерации Управлением принимались меры согласно пунктам 3, 5 ст.23 Федерального
закона от 27.06.2006 № 152-ФЗ «О персональных данных». В отношении подобных
ресурсов подготовлено и направлено 4 исковых заявления в Октябрьский районный
суд г. Красноярска о признании информации, распространяемой интернет-ресурсами,
информацией, обрабатываемой с нарушением законодательства в области
персональных данных. По результатам рассмотрения двух исков в отношении http://7numbers.me/79131974221/ (администратором является оператор,
зарегистрированный на территории Панамы),
и в отношении интернет – ресурса http://79131974221.numinfo.net/, (администратором
является
оператор, зарегистрированный на территории США) приняты судом
положительные решения, вступившие в
законную силу, доступ к указанным ресурсам заблокирован в установленном
порядке, а информация об итогах принятых мер
размещена на официальном сайте Роскомнадзора.
Два иска находятся на рассмотрении в
суде.
3. Рекомендации в отношении мер, которые должны приниматься
объектами надзора в целях недопущения таких нарушений
В целях недопущения
нарушений обязательных требований законодательства Российской Федерации в области персональных
данных Управление предлагает операторам, осуществляющим обработку персональных
данных ознакомиться с подготовленными Рекомендациями.
3.1. Рекомендации по вопросам
представления в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушение
требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2
статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных»». Уведомление, предусмотренное частью 1
указанной статьи, направляется в виде
документа на бумажном носителе или в форме электронного документа и
подписывается уполномоченным лицом.
В случае изменения сведений,
указанных в части 3 статьи 22 Федерального
закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае
прекращения обработки персональных данных оператор обязан уведомить об этом
уполномоченный орган по защите прав субъектов персональных данных в течение
десяти рабочих дней с даты возникновения таких изменений или с даты прекращения
обработки персональных данных.
В целях разъяснения порядка
направления операторами, осуществляющими обработку персональных данных,
сведений об обработке (намерении осуществлять обработку) персональных данных,
об изменении ранее представленных сведений, о прекращении обработки
персональных данных подготовлены
Методические рекомендации по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94). Указанные рекомендации размещены на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность
управления>Персональные данные > Рекомендации по составлению документа,
определяющего политику оператора в отношении обработки персональных данных в
порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ «О
персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».
3.2.Рекомендации по вопросам не
опубликования оператором документов, определяющих политику в отношении
обработки персональных данных, и сведений о реализуемых требованиях к защите
персональных данных, а также необеспечение возможности доступа к указанному
документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная
страница> Персональные данные > Рекомендации по составлению политики
обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3. Рекомендации по вопросам
обработки персональных данных, осуществляемой с нарушением обязательных
требований, предъявляемых
законодательством Российской
Федерации в области персональных данных к осуществлению деятельности операторов
В соответствии с ч.1 ст.6 Федерального закона обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального
закона определены случаи, когда допускается обработка персональных данных.
Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных, доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований>
Перечень нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных требованием законодательства
Российской Федерации в области персональных данных>)
https://rkn.gov.ru/p582/p585/p863/
4. Рекомендации при
проведении мероприятий контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской Федерации в области персональных данных
При организации и проведении
мероприятий следует руководствоваться перечнем нормативных правовых актов,
непосредственно регулирующих проведение проверок. Перечень доступен на
официальном сайте Роскомнадзора по
адресу (Главная страница>
Профилактика нарушений обязательных требований> Перечень в сфере защиты прав
субъектов персональных данных> Перечень нормативных правовых актов,
непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/
В целях
повышения правовой грамотности в рамках
реализации Стратегии институционального развития и информационно-публичной
деятельности в области защиты прав субъектов персональных данных на период до
2020 года на Портале персональных данных продолжает работать сервис «Задай тему
Роскомнадзору» https://pd.rkn.gov.ru/poll/.