Обобщение результатов проведенных контрольно-надзорных мероприятий в сфере персональных данных за 4 квартал 2019 года

(с нарастающим итогом)

1 . Статистика количества проведенных контрольно-надзорных мероприятий и наиболее часто встречающиеся нарушения обязательных требований

Осуществление контрольно-надзорной деятельности в 2019 году проводилось на основании планов деятельности Енисейского управления Роскомнадзора, планов проверок юридических лиц и индивидуальных предпринимателей, а также органов местного самоуправления.  

Предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных являются: 

- деятельность оператора по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям, в том числе мер, принимаемых оператором во исполнение требований;

- документы и локальные акты оператора, указанные в части 1 статьи 18.1 Федерального закона "О персональных данных", и принятые оператором меры, указанные в части 1 статьи 18.1 Федерального закона "О персональных данных";

- информационные системы персональных данных в части, касающейся обработки персональных данных субъектов персональных данных.

Енисейским управлением Роскомнадзора (далее - Управление)  по направлению деятельности государственный контроль (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных в 2019 году было запланировано к проведению 35 проверок, что на 6 %  больше, чем в 2018. В 2019 году был один случай не проведения плановой проверки на территории Республики Тыва, и был обусловлен отсутствием руководителя, иного уполномоченного представителя оператора на момент проведения проверки.

Проведено за 12 месяцев (4 квартал) 2019 года 34 (9) проверки, что на 21 % больше, чем в 2018. По результатам проведенных проверок выявлено 46 (14) нарушений, в 2018 году было выявлено 23 (6) нарушения. Основными  нарушениями,  выявляемыми в ходе государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных продолжают оставаться  нарушения, связанные  с  неподачей уведомления либо несвоевременной подачей информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных.

В качестве профилактических мер, целью которых являлось  повышение правовой грамотности операторов в вопросах исполнения ими обязанностей, предусмотренных законодательством в области персональных данных, специалисты  Управления в течение 2019 года провели 65  мероприятий для определенного круга лиц, которые посетили 948 операторов. В частности, проведено 53 семинара, 11 выездных встреч, 1 рабочая встреча-совещание. В ходе указанных мероприятий специалисты Управления выступали с докладами  по теме обеспечение защиты прав субъектов персональных данных, участникам был роздан информационно-методический  материал.

В 2019 году Управлением продолжена успешная практика проведения для  операторов Дня консультаций  25 числа каждого месяца. В течение всего дня операторам, посетившим Управление,  оказывается практическая помощь в заполнении уведомления либо информационного письма для внесения информации в Реестр операторов, осуществляющих обработку персональных данных. Особое внимание ко Дню консультаций проявляют   операторы,  в отношении которых запланированы надзорные мероприятия, желающие получить консультации по соблюдению требований законодательства в области персональных данных.

Внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных в 2019 году не проводились. Проверки  индивидуальных предпринимателей  в указанном периоде не были запланированы.

За 12 месяцев (4 квартал) 2019 года Управлением проводились согласно утвержденному плану  мероприятия систематического наблюдения в области персональных данных, проведено 56 (14) мероприятий. 

Цель указанных мероприятий - выявление и анализ нарушений операторами, осуществляющими обработку персональных данных требований законодательства Российской Федерации в области персональных данных. По результатам анализа в дальнейшем принимается решение о включении злостных нарушителей в План проверок, осуществляемых во взаимодействии с операторами.

Мероприятия систематического наблюдения в области персональных данных проводились в 2019 году:

- в сети Интернет;

-в местах розничной торговли в целях выявления фактов незаконной реализации на физических носителях баз данных, содержащих персональные данные граждан;

-в части оценки соответствия информации, размещаемой в общественных местах, на средствах наружной рекламы и светодиодных экранах по выявлению признаков нарушений законодательства Российской Федерации в области персональных данных.

По результатам проведенных мероприятий за 12 месяцев (4 квартал) 2019 года выявлено 8 (3) нарушений, такое же количество нарушений было выявлено и за  прошлый  год.  Все  нарушения были выявлены  при осуществлении мониторинга в области персональных данных в сети Интернет. Нарушения были допущены в основном операторами, являющимися  государственными и муниципальными  органами власти (не опубликование оператором документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также необеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети). Также были зафиксированы случаи нарушения законодательства в области персональных данных действиями образовательных учреждений и организаций, оказывающих жилищно-коммунальные услуги (факты наличия в свободном доступе (на Интернет – ресурсе) персональных данных граждан без правого основания).

Особое внимание было уделено пропаганде среди несовершеннолетних образа жизни, направленного на бережное отношение к персональным данным при обработке ими личной информации, в том числе,  в интернет - пространстве. Спектр мероприятий, проведенных специалистами Управления в 2019 году разнообразен, что позволяет охватить значительное количество несовершеннолетних, проведено 57 мероприятий для 49270 учащихся. В частности, проводились внеклассные часы для учащихся 6-11 классов в общеобразовательных учреждениях Красноярского края, Республики Тыва и Республики Хакасия на тему: "Информационная безопасность в сети Интернет. Персональные данные. Дети", проводились выездные летние уроки по теме «Обеспечение информационной безопасности детства» в летних оздоровительных  лагерях отдыха детей, проведено несколько виртуальных уроков.

Енисейским управлением Роскомнадзора при исполнении полномочий в сфере персональных данных  нарушений не выявлено.

2. Привлечение к административной ответственности. Итоги судебно-претензионной работы

В 2019 году к административной ответственности по результатам проверок юридические и должностные лица не привлекались.

По ст. 19.7 КоАП РФ в 2019 году составлено 85 протоколов об административных правонарушениях, что на 25 % больше, чем в 2018 году. Все материалы направлены на рассмотрение мировым судьям.

Всего по ст. 19.7 КоАП РФ в 2019 году судами рассмотрено 87 дел, из них 13 дел по протоколам направленным в 2018 году. По 83 делам виновные лица привлечены к административной ответственности, по 4 делам производство прекращено. 11 дел находится на рассмотрении суда.

По результатам рассмотренных протоколов судами наложен 21 штраф, что на 144% больше, чем в 2018 году; вынесено 62 предупреждения, что на 93 % превышает результат предыдущего года.

Все случаи возбуждения административного производства связаны с непредставлением необходимой Управлению информации по его запросу. Как правило, это относится к запросам о предоставлении уведомления или иной информации по ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Анализ рассматриваемых случаев возбуждения административных производств продемонстрировал, что вызов на составление на протокол способствует подаче Уведомлений данными Операторами.

По ст. 13.11 КоАП РФ в 2019 году был составлен 1 протокол и направлен в суд по ч. 6 ст. 13.11 КоАП РФ, по результатам по решению мирового судьи юридическому лицу был назначен штраф в размере 25000 рублей, Кызылским городским судом решение мирового судьи было отменено, производство по делу прекращено. Вынесено 69 определений об отказе в возбуждении дела по частям ст. 13.11 КоАП РФ.

По ст. 19.5 КоАП РФ в 2019 году составлено 2 протокола об административных правонарушениях. Один протокол направлен в суд по ч. 1 ст. 19.5 КоАП РФ, по результатам рассмотрения юридическому лицу назначено наказание в виде штрафа в размере 10 000 руб. Второй протокол по ч. 1 ст. 19.5 КоАП РФ направлен в суд, находится на рассмотрении.

В 2019 году по результатам рассмотрения обращений граждан, Управление были установлены факты нарушения федерального законодательства в сфере обработки персональных данных, выразившиеся в размещении персональных данных граждан на интернет – ресурсах (или на отдельных страницах сайтов), администратором которых являются операторы, зарегистрированные за пределами Российской Федерации Управлением принимаются меры согласно пунктам 3, 5 ст.23 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных». В отношении подобных ресурсов подготовлено и направлено 2 исковых заявления в Октябрьский районный суд г. Красноярска о признании информации, распространяемой интернет-ресурсами, информацией, обрабатываемой с нарушением законодательства в области персональных данных. По результатам рассмотрения одного обращения подан иск в отношении vseprofili.com администратором является оператор, зарегистрированный на территории Кипра), по результатам судебного заседания вынесено решение в пользу Управления и оно вступило в законную силу. Доступ к указанному ресурсу заблокирован в установленном порядке, а информация об итогах принятых мер размещена на официальном сайте Роскомнадзора.  По второму обращению в отношении интернет – ресурса https://доскажалоб.рф/ljudi/alfonsi/20684-vnimanie-alfons.html/ (администратором является оператор, зарегистрированный на территории Латвии) также подано исковое заявление, рассмотрение которого назначено на январь будущего года 

3. Рекомендации  в отношении мер, которые должны приниматься объектами надзора в целях недопущения таких нарушений

В целях недопущения нарушений обязательных требований законодательства Российской  Федерации в области персональных данных Управление операторам, осуществляющим обработку персональных данных  ознакомиться с подготовленными Рекомендациями.

3.1. Рекомендации по вопросам представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное частью 1 указанной  статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

В случае изменения сведений, указанных в части 3 статьи  22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В целях разъяснения порядка направления операторами, осуществляющими обработку персональных данных, сведений об обработке (намерении осуществлять обработку) персональных данных, об изменении ранее представленных сведений, о прекращении обработки персональных данных  подготовлены Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены  на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность управления>Персональные данные > Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/

На  Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр операторов> Документы) размещены примеры  заполнения: информационного письма,  уведомления, а также заявления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных и  заявления о предоставлении выписки из реестра операторов.

Сами формы доступны для заполнения на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».

3.2.Рекомендации по вопросам не опубликования оператором документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также необеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (нарушение требований части 2 статьи 18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» размещены  на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные > Рекомендации по составлению политики обработки персональных данных>)

https://rkn.gov.ru/personal-data/p908/

3.3. Рекомендации по вопросам обработки персональных данных, осуществляемой с нарушением обязательных требований, предъявляемых  законодательством  Российской Федерации в области персональных данных к осуществлению деятельности операторов

В соответствии с   ч.1 ст.6 Федерального закона  обработка персональных данных субъектов персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда допускается обработка персональных данных.

Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница>Профилактика нарушений обязательных требований>Перечень в сфере защиты прав субъектов персональных данных>Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных>)

https://rkn.gov.ru/p582/p585/p863/

4. Рекомендации при  проведении мероприятий контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных

При организации и проведении мероприятий следует руководствоваться перечнем нормативных правовых актов, непосредственно регулирующих проведение проверок. Перечень доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований> Перечень в сфере защиты прав субъектов персональных данных> Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок)

https://rkn.gov.ru/p582/p585/p862/

В целях повышения правовой грамотности  Роскомнадзор в рамках реализации Стратегии институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года открыл на Портале персональных данных продолжает работать сервис «Задай тему Роскомнадзору» https://pd.rkn.gov.ru/poll/.