Обобщение результатов проведенных контрольно-надзорных мероприятий в сфере персональных данных за 2 квартал 2019 года

1. Статистика количества проведенных контрольно - надзорных мероприятий и наиболее часто встречающиеся нарушения обязательных требований

Осуществление контрольно-надзорной деятельности во 2 квартале 2019 проводилось на основании планов деятельности Енисейского управления Роскомнадзора, планов проверок юридических лиц и индивидуальных предпринимателей. Проверки  индивидуальных предпринимателей  в указанном периоде не были запланированы.

Предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных являются: 

-  деятельности по обработке персональных данных;

- информационные системы персональных данных;

- документы, характер информации в которых предполагает или допускает включение в них персональных данных.

Енисейским управлением Роскомнадзора (далее - Управление)  по направлению деятельности государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных во  2 квартале 2019 было запланировано и проведено 7  проверок, что примерно соответствует количеству проверок того же периода  2018 (проведено 8 проверок).  Все проверки проведены. По результатам проведенных проверок выявлено 7 нарушений.

  Основным  нарушением,  выявляемым в ходе мероприятий по контролю (надзору) во взаимодействии с проверяемым лицом в установленной сфере деятельности, как и ранее,  продолжает оставаться  нарушение, связанное  с  несвоевременной подачей информационных писем о внесении изменений в сведения в Реестре операторов, осуществляющих обработку персональных данных, что по-прежнему, обусловлено несознательным отношением операторов к исполнению публично-правовых обязанностей, так как, по их мнению, невыполнение требований  Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» не несет существенной угрозы охраняемым общественным отношениям и исключает наступление каких-либо материальных последствий правонарушения.

Специалистами Управления продолжается методическая профилактическая работа среди операторов, осуществляющих обработку персональных данных. На постоянной основе ежеквартально проводятся обучающие семинары, на которых операторы, в отношении которых запланированы надзорные мероприятия получают надлежащие консультации по соблюдению требований законодательства в области персональных данных. Операторы посещают Дни консультаций (25-го числа), на которых получают рекомендации как подготовиться к проверке. Следствием этого является то, что снижается количество выявляемых нарушений, а выявляемые носят малозначительный характер, и в основном связаны с несвоевременным предоставлением в уполномоченный орган необходимых сведений для внесения изменений в Реестр операторов, осуществляющих обработку персональных данных.

Как и прошлые периоды ведутся постоянные консультации в телефонном режиме и на личном приеме. Представители  операторов получают исчерпывающие консультации  по вопросам связанным с осуществлением контроля и надзора в области персональных данных, в том числе по вопросам по ведения реестра операторов, осуществляющих обработку персональных данных.

Анализ эффективности показывает, что планы проведения плановых проверок во 2 квартале 2019 года выполнены, при исполнении полномочий в сфере персональных данных  нарушений не выявлено.

Во 2 квартале 2019 года внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных Управлением не проводились.

В связи с вступлением в законную силу Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных постановлением Правительства Российской Федерации от 13.02.2019 № 146, при требовании заявителя провести проверку оператора по его доводам, специалистами оцениваются изложенные в обращении факты на предмет наличия оснований проведения внеплановой проверки, предусмотренных п. п. б, п. 8 Правил (наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14 - 17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке персональных данных). Указанных случаев во 2 квартале 2019 выявлено не было, внеплановых проверок по обращениям граждан также не проводилось.

В целях выявления, анализа и прогнозирования нарушений операторами, осуществляющими обработку персональных данных требований законодательства Российской Федерации в области персональных данных Управлением без взаимодействия с операторами на плановой основе осуществляются мероприятия систематического наблюдения (мониторинга) в области персональных данных:

- в сети Интернет;

- в местах розничной торговли в целях выявления фактов незаконной реализации на физических носителях баз данных, содержащих персональные данные граждан

- в части оценки соответствия информации, размещаемой в общественных местах, на средствах наружной рекламы и светодиодных экранах по выявлению признаков нарушений законодательства Российской Федерации в области персональных данных.

Управлением проведено 14 мероприятий систематического наблюдения в области персональных данных. Нарушений не выявлено

2. Привлечение к административной ответственности. Итоги судебно-претензионной работы

Во 2 квартале 2019 специалистами ТО в г. Кызыл составлен протокол в отношении учреждения здравоохранения по ч.6 ст. 13.11 КоАП РФ за нарушение требований п.15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008г. № 687. Было выявлено несоблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

Нарушение выявлено по результатам рассмотрения обращения гражданина и  заключалось в перемещении документации с персональными данными пациентов в коридор подвального помещения на время ремонта архивного помещения. В подвальном помещении учреждения здравоохранения находился кабинет для приема пациентов, гардеробная, щитовая, таким образом, при хранении документации с персональными данными пациентов не соблюдалось требование по исключению несанкционированного к ним доступа посторонних лиц и обеспечении сохранности.

По результатам рассмотрения ответа учреждения здравоохранения на запрос Енисейского управления Роскомнадзора в рамках рассмотрения обращения гражданина, установлено нарушение п. 13 Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации, выразившихся в непринятии необходимых и достаточных мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, в части касающихся определения места хранения персональных данных (материальных носителей).

По ст. 19.7 КоАП РФ во 2 квартале 2019 составлено  27 протоколов об административных правонарушениях, все материалы направлены на рассмотрение мировым судьям. Все случаи возбуждения административного производства связаны с не предоставлением операторами необходимой информации Управлению по его запросу. Как правило, это запросы о предоставлении уведомления либо иной информации в рамках ч.2 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Возбуждение административного производства, по-прежнему является неким стимулятором для операторов для подачи в большинстве случаев в Управление Уведомления об обработке персональных данных.

Во 2 квартале 2019 в Управление поступило два положительных  решения, не вступивших в законную силу по ранее направленным Управлением искам, подготовленным по результатам рассмотрения обращений граждан при установлении фактов нарушения федерального законодательства в сфере обработки персональных данных, выразившихся в размещении персональных данных граждан на интернет – ресурсах (или на отдельных страницах сайтов), администратором которых являются операторы, зарегистрированные за пределами Российской Федерации.

Всего по искам Управления вынесено 5 положительных решений в отношении следующих доменов: 7numbers.me, botsman.org, interesnoe.me, numinfo.net, vseprofili.com.

 3. Рекомендации  в отношении мер, которые должны приниматься объектами надзора в целях недопущения таких нарушений

В целях недопущения нарушений обязательных требований законодательства Российской  Федерации в области персональных данных Управление операторам, осуществляющим обработку персональных данных  ознакомиться с подготовленными Рекомендациями.

3.1. Рекомендации по вопросам представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное частью 1 указанной  статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

В случае изменения сведений, указанных в части 3 статьи  22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В целях разъяснения порядка направления операторами, осуществляющими обработку персональных данных, сведений об обработке (намерении осуществлять обработку) персональных данных, об изменении ранее представленных сведений, о прекращении обработки персональных данных  подготовлены Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2018 N 94). Размещены  на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность управления>Персональные данные > Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406

На  Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр операторов> Документы) размещены примеры  заполнения: информационного письма,  уведомления, а также заявления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных и  заявления о предоставлении выписки из реестра операторов.

Сами формы доступны для заполнения на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».

3.2.Рекомендации по вопросам не опубликования оператором документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также необеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (нарушение требований части 2 статьи 18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» размещены  на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные > Рекомендации по составлению политики обработки персональных данных>)

https://rkn.gov.ru/personal-data/p908/

3.3. Рекомендации по вопросам обработки персональных данных, осуществляемой с нарушением обязательных требований, предъявляемых  законодательством  Российской Федерации в области персональных данных к осуществлению деятельности операторов

В соответствии с   ч.1 ст.6 Федерального закона  обработка персональных данных субъектов персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда допускается обработка персональных данных.

Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований> Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных>)

https://rkn.gov.ru/p582/p585/p863/

4. Рекомендации при  проведении мероприятий контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных

При организации и проведении мероприятий следует руководствоваться перечнем нормативных правовых актов, непосредственно регулирующих проведение проверок. Перечень доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований> Перечень в сфере защиты прав субъектов персональных данных> Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок)

https://rkn.gov.ru/p582/p585/p862/