Обобщение результатов проведенных контрольно-надзорных
мероприятий в сфере персональных данных за 2 квартал 2020 года (нарастающим
итогом)
1 . Статистика количества проведенных
контрольно-надзорных мероприятий и наиболее часто встречающиеся нарушения
обязательных требований
Во 2 квартале 2020 года были запланированы к
проведению 5 плановых проверок в сфере персональных данных. Но в связи со
сложившейся неблагоприятной эпидемиологической ситуацией в Российской
Федерации, вызванной распространением вируса COVID-19, во исполнение указа Президента
РФ от 02.04.2020 №239 «О мерах по обеспечению санитарно-эпидемиологического
благополучия населения на территории Российской Федерации в связи с
распространением новой коронавирусной инфекции (COVID-19)», постановления
Правительства Российской Федерации от 03.04.2020 №438 «Об особенностях
осуществления в 2020 году государственного контроля (надзора), муниципального
контроля и о внесении изменения в пункт 7 Правил подготовки органами
государственного контроля (надзора) и органами муниципального контроля
ежегодных планов проведения плановых проверок юридических лиц и индивидуальных
предпринимателей», указа Губернатора Красноярского края от 27.03.2020 №71-уг «О
дополнительных мерах, направленных на предупреждение распространения
коронавирусной инфекции, вызванной 2019-nCoV, на территории Красноярского
края», указа Главы Республики Тыва от 30.03.2020 №70 «О введении режима полной
самоизоляции граждан на территории Республики Тыва», постановления
Правительства Республики Хакасия от 13.03.2020 №102 «О введении на территории
Республики Хакасия режима повышенной готовности и реализации дополнительных мер
по защите населения и территорий от чрезвычайных ситуаций» (далее – Нормативные
акты по нераспространению COVID-19) Енисейским управлением
Роскомнадзора все проверки отменены.
Внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации
в области персональных данных во 2 квартале 2020 года не проводились.
Таким образом, по истечению первого полугодия
Управлением проведено 9 проверок. По
результатам проведенных проверок выявлено 21 нарушение, что на 5 % больше, чем
за соответствующий период прошлого года. Основными нарушениями, выявляемыми в ходе мероприятий
по контролю (надзору) во взаимодействии с проверяемым
лицом в установленной сфере деятельности, являются следующие нарушения:
непринятие оператором
необходимых и достаточных мер для обеспечения выполнения обязанностей,
предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных» и принятыми в соответствии с ним нормативными правовыми актами;
несоблюдение оператором требований по определению места (мест) хранения
персональных данных (материальных носителей) и установления перечня лиц,
осуществляющих обработку персональных данных либо имеющих к ним доступ;
несоблюдение оператором требований по информированию лиц, осуществляющих
обработку персональных данных без использования средств автоматизации;
несоответствие содержания письменного согласия субъекта персональных
данных на обработку персональных данных требованиям законодательства Российской
Федерации.
представление в уполномоченный орган по защите прав субъектов
персональных данных уведомления об обработке персональных данных содержащего
неполные и недостоверные сведения
непредставление в уполномоченный орган сведений об изменении информации,
содержащейся в уведомлении об обработке персональных данных;
несоответствие типовых форм документов, характер информации в которых
предполагает или допускает включение в них персональных данных, требованиям
законодательства в области персональных данных.
Подобные
нарушения все также обусловлены несознательным отношением операторов к
исполнению публично-правовых обязанностей, так как, по их мнению, невыполнение
требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
не несет существенной угрозы охраняемым общественным отношениям и исключает
наступление каких-либо материальных последствий правонарушения.
Представители операторов получали исчерпывающие
консультации по вопросам связанным с осуществлением контроля и надзора в
области персональных данных, в том числе по вопросам ведения реестра
операторов, осуществляющих обработку персональных данных, в связи со
сложившейся неблагоприятной эпидемиологической ситуацией в Российской
Федерации, вызванной распространением вируса COVID-19 с марта месяца консультации
переведены в телефонный режим.
Также Управление в целях выявления, анализа и
прогнозирования нарушений операторами, осуществляющими обработку персональных
данных, требований законодательства Российской Федерации в области персональных
данных без взаимодействия с операторами осуществляются мероприятия
систематического наблюдения (мониторинга) в области персональных данных:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан;
-в части оценки соответствия информации, размещаемой в
общественных местах, на средствах наружной рекламы и светодиодных экранах по
выявлению признаков нарушений законодательства Российской Федерации в области
персональных данных.
Во 2 квартале 2020 года Управлением было проведено
согласно утвержденному плану мероприятия систематического наблюдения в области персональных данных 14 мероприятий. Таким
образом, по истечении первого полугодия Управлением проведено 28 мероприятий.
Цель указанных мероприятий выявление и анализ
нарушений операторами, осуществляющими обработку персональных данных требований
законодательства Российской Федерации в области персональных данных.
По результатам проведенных мероприятий во 2 квартале
2020 года нарушений не выявлено.
2. Привлечение к административной ответственности. Итоги
судебно-претензионной работы
По ст. 19.7 КоАП РФ во 2 квартале 2020 года составлено
4 протокола. Материалы по всем протоколам были направлены мировым судьям. По
результатам рассмотрения двух дел об административных правонарушениях, лица
привлечены к ответственности, назначены наказания в виде предупреждения. По
одному из дел прекращено производство по причине внесения в единый
государственный реестр юридических лиц записи о ликвидации юридического лица, в
отношении которого ведется производство по делу об административном
правонарушении. Материалы по одному протоколу в настоящее время находятся на
рассмотрении у мирового судьи.
Таким образом, за первое полугодие было составлено 10
протоколов об административных правонарушениях, что на 77 % меньше, чем за
соответствующий период прошлого года. Материалы по трем протоколам находятся на
рассмотрении у мировых судей.
Как правило, составление протоколов по ст. 19.7
связано с непредставлением или несвоевременным предоставлением информации по
запросам о предоставлении уведомления или иной информации по ч. 2 ст. 22
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
По ст. 13.11 КоАП РФ во 2 квартале 2020 протоколы не
составлялись Вынесено 35 определений об отказе в возбуждении дела об
административном правонарушении по частям ст. 13.11 КоАП РФ в связи с
отсутствием события (состава) административного правонарушения.
Таким образом, за первое полугодие было вынесено 58
определений об отказе в возбуждении
дела об административном правонарушении по частям ст. 13.11 КоАП РФ в связи с
отсутствием события (состава) административного правонарушения, а также истечением
сроков давности привлечения к административной ответственности.
В случае
подтверждения фактов нарушений прав субъектов персональных данных в адрес
операторов, допустивших такие нарушения Управлением направляется письмо, содержащее требование об устранении допущенных нарушений.
Подобные письма также направляются в адрес операторов и в тех случаях, когда
они самостоятельно в ходе рассмотрения Управлением обращений граждан с жалобами на их действия,
устраняют допущенные нарушения (например, после получения запроса Управления о предоставлении
необходимой информации по обращению). Но, оценив обстоятельства, изложенные в
обращении, суть нарушения, возможные последствия в случае возможного
продолжения его совершения, а также круг лиц, чьи права могли быть нарушены
оператором в этом случае, Управление, как уполномоченный орган по защите прав
субъектов персональных данных, по итогу рассмотрения обращения, принимая во
внимание самостоятельное устранение оператором нарушения, тем не менее принимает
в отношении него меры реагирования, в соответствии с установленной
компетенцией.
За 2 кв. 2020 г.
направлено 7 указанных писем, 5 требований из которых удовлетворены, 2
находятся на исполнении. Таким образом, за первое полугодие было вынесено 15
требований, 13 из которых удовлетворены.
Во 2 квартале 2020 года исковые заявления в защиту
прав субъекта персональных данных не направлялись, в первом полугодии 2020 года
по результатам рассмотрения одного искового заявление в защиту прав субъекта персональных данных,
поданного в Октябрьский районный суд г. Красноярска, о признании информации,
распространяемой интернет-ресурсом, информацией, обрабатываемой с нарушением
законодательства в области персональных данных, требование удовлетворено судом.
3. Рекомендации в отношении мер,
которые должны приниматься объектами надзора в целях недопущения таких
нарушений
В целях недопущения нарушений
обязательных требований законодательства Российской Федерации в области персональных данных
Управление операторам, осуществляющим обработку персональных данных ознакомиться с подготовленными Рекомендациями.
3.1.
Рекомендации по вопросам представления в уполномоченный орган уведомления об
обработке персональных данных, содержащего неполные и (или) недостоверные
сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных»»).
Оператор до начала обработки персональных данных
обязан уведомить уполномоченный орган по защите прав субъектов персональных
данных о своем намерении осуществлять обработку персональных данных, за
исключением случаев, предусмотренных частью 2 статьи . 22 Федерального закона
27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное
частью 1 указанной статьи, направляется
в виде документа на бумажном носителе или в форме электронного документа и
подписывается уполномоченным лицом.
В случае изменения сведений, указанных в части 3
статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных», а также в случае прекращения обработки
персональных данных оператор обязан уведомить об этом уполномоченный орган по
защите прав субъектов персональных данных в течение десяти рабочих дней с даты
возникновения таких изменений или с даты прекращения обработки персональных
данных.
В целях разъяснения порядка направления операторами,
осуществляющими обработку персональных данных, сведений об обработке (намерении
осуществлять обработку) персональных данных, об изменении ранее представленных
сведений, о прекращении обработки персональных данных подготовлены Методические рекомендации по
уведомлению уполномоченного органа о начале обработки персональных данных и о
внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора
от 30.05.2017 N 94) . Размещены на
официальном сайте Енисейского
управления Роскомнадзора по адресу (Главная
страница> Деятельность управления>Персональные данные > Методические
рекомендации по уведомлению уполномоченного органа о начале обработки
персональных данных и о внесении изменений в ранее представленные сведения
(утв. Приказом Роскомнадзора от 30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/
На Портале
персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр
операторов> Документы) размещены примеры
заполнения: информационного письма,
уведомления, а также заявления о внесении в реестр операторов сведений о
прекращении оператором обработки персональных данных и заявления о предоставлении выписки из реестра
операторов.
Сами формы доступны для заполнения на сайте
Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы
заявлений».
3.2.Рекомендации
по вопросам не опубликования оператором документов, определяющих политику в
отношении обработки персональных данных, и сведений о реализуемых требованиях к
защите персональных данных, а также необеспечение возможности доступа к
указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или иным образом
обеспечить неограниченный доступ к документу, определяющему его политику в
отношении обработки персональных данных, к сведениям о реализуемых требованиях
к защите персональных данных. Оператор, осуществляющий сбор персональных данных
с использованием информационно-телекоммуникационных сетей, обязан опубликовать
в соответствующей информационно-телекоммуникационной сети документ,
определяющий его политику в отношении обработки персональных данных, и сведения
о реализуемых требованиях к защите персональных данных, а также обеспечить возможность
доступа к указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети.
Рекомендации по составлению документа, определяющего
политику оператора в отношении обработки персональных данных, в порядке, установленном
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
размещены на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные
> Рекомендации по составлению политики обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3.
Рекомендации по вопросам обработки персональных данных, осуществляемой с
нарушением обязательных требований, предъявляемых законодательством Российской Федерации в области персональных
данных к осуществлению деятельности операторов
В соответствии с
ч.1 ст.6 Федерального закона
обработка персональных данных субъектов персональных данных должна
осуществляться с соблюдением принципов и правил, предусмотренных Федеральным
законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда
допускается обработка персональных данных.
Перечень нормативных правовых актов, устанавливающих
обязательные требования к осуществлению деятельности юридических лиц и
индивидуальных предпринимателей за соответствием обработки персональных данных
требованием законодательства Российской Федерации в области персональных данных
доступен на официальном сайте
Роскомнадзора по адресу (Главная
страница>Профилактика нарушений обязательных требований>Перечень в сфере
защиты прав субъектов персональных данных>Перечень нормативных правовых
актов, устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных>)
https://rkn.gov.ru/p582/p585/p863/