Обобщение результатов проведенных контрольно-надзорных
мероприятий в сфере персональных данных за 3 квартал 2020 года (нарастающим
итогом)
1. Статистика количества проведенных
контрольно-надзорных мероприятий и наиболее часто встречающиеся нарушения
обязательных требований
В 3 квартале 2020 года были запланированы к проведению
4 контрольно-надзорных мероприятия в сфере персональных данных. В связи со сложившейся
неблагоприятной эпидемиологической ситуацией в Российской Федерации, вызванной
распространением вируса COVID-19,
во исполнение указа Президента РФ от 02.04.2020 №239 «О мерах по обеспечению
санитарно-эпидемиологического благополучия населения на территории Российской
Федерации в связи с распространением новой коронавирусной инфекции (COVID-19)»,
постановления Правительства Российской Федерации от 03.04.2020 №438 «Об
особенностях осуществления в 2020 году государственного контроля (надзора),
муниципального контроля и о внесении изменения в пункт
7 Правил подготовки органами государственного контроля (надзора) и органами
муниципального контроля ежегодных планов проведения плановых проверок
юридических лиц и индивидуальных предпринимателей», указа Губернатора
Красноярского края от 27.03.2020 №71-уг «О дополнительных мерах, направленных
на предупреждение распространения коронавирусной инфекции, вызванной 2019-nCoV,
на территории Красноярского края», указа Главы Республики Тыва от 30.03.2020
№70 «О введении режима полной самоизоляции граждан на территории
Республики Тыва», постановления Правительства Республики Хакасия от 13.03.2020
№102 «О введении на территории Республики Хакасия режима повышенной готовности
и реализации дополнительных мер по защите населения и
территорий от чрезвычайных ситуаций» (далее – Нормативные акты по
нераспространению COVID-19) Управлением 3 проверки были отменены.
Специалистами Управления была проведена плановая выездная проверка в
отношении Администрации сумона Сизимский
Каа-Хемского района Республики Тыва, по результатам которой
было выявлено 1 нарушение, заключающееся в непредставлении в уполномоченный
орган сведений об изменении информации, содержащейся в уведомлении об обработке
персональных данных.
Внеплановые проверки в целях осуществления государственного контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской Федерации в области
персональных данных в 3 квартале 2020 года не проводились.
За 9 месяцев 2020 года Управлением проведено 10 проверок. По результатам проведенных
проверок выявлено 22 нарушения, что на 31 % меньше, чем за соответствующий
период прошлого года. Основными
нарушениями, выявленными за 9 месяцев 2020 г. в ходе мероприятий по контролю (надзору) во взаимодействии с проверяемым лицом в
установленной сфере деятельности, являются следующие нарушения:
непринятие оператором
необходимых и достаточных мер для обеспечения выполнения обязанностей,
предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных» и принятыми в соответствии с ним нормативными правовыми актами;
несоблюдение оператором требований по определению места (мест) хранения
персональных данных (материальных носителей) и установления перечня лиц, осуществляющих
обработку персональных данных либо имеющих к ним доступ;
несоблюдение оператором требований по информированию лиц, осуществляющих
обработку персональных данных без использования средств автоматизации;
несоответствие содержания письменного согласия субъекта персональных
данных на обработку персональных данных требованиям законодательства Российской
Федерации.
представление в уполномоченный орган по защите прав субъектов
персональных данных уведомления об обработке персональных данных содержащего неполные
и недостоверные сведения
непредставление в уполномоченный орган сведений об изменении информации,
содержащейся в уведомлении об обработке персональных данных;
несоответствие типовых форм документов, характер информации в которых
предполагает или допускает включение в них персональных данных, требованиям
законодательства в области персональных данных.
Указанные нарушения
все также обусловлены несознательным отношением операторов к исполнению
публично-правовых обязанностей, так как, по их мнению, невыполнение требований
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» не несет
существенной угрозы охраняемым общественным отношениям и исключает наступление
каких-либо материальных последствий правонарушения.
Представители операторов получали исчерпывающие
консультации по вопросам связанным с осуществлением контроля и надзора в
области персональных данных, в том числе по вопросам ведения реестра
операторов, осуществляющих обработку персональных данных. В связи со
сложившейся неблагоприятной эпидемиологической ситуацией в Российской
Федерации, вызванной распространением вируса COVID-19, с марта месяца текущего года консультации
переведены в телефонный режим.
Также Управление в целях выявления, анализа и
прогнозирования нарушений операторами, осуществляющими обработку персональных
данных, требований законодательства Российской Федерации в области персональных
данных без взаимодействия с операторами осуществляет мероприятия систематического наблюдения
(мониторинг) в области персональных данных:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан;
-в части оценки соответствия информации, размещаемой в
общественных местах, на средствах наружной рекламы и светодиодных экранах по
выявлению признаков нарушений законодательства Российской Федерации в области
персональных данных.
В 3 квартале 2020 года Управлением согласно
утвержденному Плану мероприятий было проведено 14 мероприятий систематического
наблюдения в области персональных данных, по результатам
проведения которых нарушений выявлено не было. За 9 месяцев 2020 года Управлением
проведено 42 мероприятия.
2. Привлечение к административной ответственности. Итоги
судебно-претензионной работы.
По ст. 19.7 КоАП РФ в 3 квартале 2020 года составлено 10
протоколов. Материалы по всем протоколам были направлены мировым судьям. По
результатам рассмотрения 6 дел об административных правонарушениях, виновные лица
привлечены к ответственности, по 4 делам назначены наказания в виде
предупреждения, по двум делам назначены наказания в виде штрафов, размер
каждого из которых составляет 3000 рублей. Материалы по 4 протоколам в настоящее время находятся на
рассмотрении у мировых судей.
За 9 месяцев 2020 года было составлено 20 протоколов
об административных правонарушениях, что на 72 % меньше, чем за соответствующий
период прошлого года.
Большинство протоколов по ст. 19.7 КоАП РФ составлено
за непредставление операторами информации, необходимой Управлению по запросам о
предоставлении уведомления или иной информации, предусмотренной ч. 2 ст. 22 Федерального закона от 27.07.2006
№ 152-ФЗ «О персональных данных».
По частям, предусмотренным ст. 13.11 КоАП РФ в 3 квартале
2020 г. протоколы не составлялись. Вынесено 31 определение об отказе в
возбуждении дела об административном правонарушении по частям ст. 13.11 КоАП РФ в связи с
отсутствием события (состава) административного правонарушения.
За 9 месяцев 2020 г. было вынесено 87 определений об отказе
в возбуждении дела по частям ст. 13.11 КоАП РФ в связи с отсутствием события
(состава) административного правонарушения, а также в связи с истечением сроков
давности привлечения к административной ответственности.
В течение 9 месяцев 2020 г. необходимости в составлении протоколов
об административных правонарушениях по ч. 1 ст. 19.5 КоАП РФ не возникало.
По результатам
рассмотрения обращений граждан, в случае подтверждения фактов нарушения их прав, как субъектов персональных данных, в адрес операторов, допустивших такие нарушения,
Управлением направляется письмо, содержащее требование об устранении допущенных
нарушений.
В ходе рассмотрения
Управлением обращений граждан с жалобами
на их действия, возникают ситуации, при которых операторы устраняют допущенные
нарушения (например, после получения запроса Управления о предоставлении
необходимой информации по обращению). Но, оценив
обстоятельства, изложенные в обращении, суть нарушения, возможные последствия в
случае возможного продолжения его совершения, а также круг лиц, чьи права могли
бы быть нарушены оператором в этом случае, Управление, как уполномоченный орган
по защите прав субъектов персональных данных,
по итогу рассмотрения обращения, безусловно, принимая во внимание самостоятельное
устранение оператором нарушения, тем не менее, принимает в отношении него меры
реагирования, в соответствии с установленной компетенцией. А именно, в качестве
предупредительной меры Управление направляет оператору письма-разъяснения с требованиями о принятии мер по недопущению выявленных,
но устраненных оператором самостоятельно, нарушений.
За 3
квартал 2020 г. направлено 19 писем с требованиями, 18 из них удовлетворены, 1
находится на исполнении. За 9 месяцев 2020 года было вынесено 28 требований.
В 3 квартале 2020 г. по результатам рассмотрения
обращения гражданина Управлением был
установлен факт нарушения федерального законодательства в сфере обработки
персональных данных, выразившийся в размещении персональных данных граждан РФ на интернет –
ресурсе, регистратором которого является оператор, зарегистрированный за
пределами Российской Федерации. Управлением принимаются меры согласно п. 5 ст.
23 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных». В
отношении регистратора данного ресурса подготовлено и направлено исковое
заявление в защиту прав неопределенного круга лиц в Октябрьский районный суд г.
Красноярска о признании информации, распространяемой интернет-ресурсом,
информацией, обрабатываемой с нарушением законодательства в области
персональных данных. Судебное заседание по исковому заявлению Управления
назначено на октябрь 2020 года.
Аналогичное исковое заявление в защиту прав субъекта
персональных данных о признании информации, распространяемой интернет-ресурсом с
нарушением законодательства в области персональных данных, направлено в Кызылский городской
суд Республики Тыва в сентябре 2020 года. Факт нарушения законодательства в
области персональных данных администратором
сайта, который является оператором, зарегистрированным за
пределами Российской Федерации, был установлен сотрудниками Управления.
3. Рекомендации в отношении мер,
которые должны приниматься объектами надзора в целях недопущения таких
нарушений
В целях недопущения
нарушений обязательных требований законодательства Российской Федерации в области персональных
данных Управление операторам, осуществляющим обработку персональных данных ознакомиться с подготовленными Рекомендациями.
3.1.
Рекомендации по вопросам представления в уполномоченный орган уведомления об
обработке персональных данных, содержащего неполные и (или) недостоверные
сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных»»).
Оператор до начала обработки персональных данных
обязан уведомить уполномоченный орган по защите прав субъектов персональных
данных о своем намерении осуществлять обработку персональных данных, за
исключением случаев, предусмотренных частью 2 статьи . 22 Федерального закона
27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное
частью 1 указанной статьи, направляется
в виде документа на бумажном носителе или в форме электронного документа и
подписывается уполномоченным лицом.
В случае изменения сведений,
указанных в части 3 статьи 22
Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в
случае прекращения обработки персональных данных оператор обязан уведомить об
этом уполномоченный орган по защите прав субъектов персональных данных в
течение десяти рабочих дней с даты возникновения таких изменений или с даты
прекращения обработки персональных данных.
В целях разъяснения порядка
направления операторами, осуществляющими обработку персональных данных,
сведений об обработке (намерении осуществлять обработку) персональных данных,
об изменении ранее представленных сведений, о прекращении обработки
персональных данных подготовлены
Методические рекомендации по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены на официальном сайте Енисейского управления Роскомнадзора
по адресу (Главная страница> Деятельность
управления>Персональные данные > Методические рекомендации по уведомлению
уполномоченного органа о начале обработки персональных данных и о внесении
изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от
30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/
На Портале
персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр
операторов> Документы) размещены примеры
заполнения: информационного письма,
уведомления, а также заявления о внесении в реестр операторов сведений о
прекращении оператором обработки персональных данных и заявления о предоставлении выписки из реестра
операторов.
Сами формы доступны для заполнения на сайте
Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы
заявлений».
3.2.Рекомендации по вопросам не опубликования оператором документов,
определяющих политику в отношении обработки персональных данных, и сведений о
реализуемых требованиях к защите персональных данных, а также необеспечение
возможности доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети (нарушение требований
части 2 статьи 18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных
данных»»).
Оператор обязан опубликовать или иным образом
обеспечить неограниченный доступ к документу, определяющему его политику в
отношении обработки персональных данных, к сведениям о реализуемых требованиях
к защите персональных данных. Оператор, осуществляющий сбор персональных данных
с использованием информационно-телекоммуникационных сетей, обязан опубликовать
в соответствующей информационно-телекоммуникационной сети документ,
определяющий его политику в отношении обработки персональных данных, и сведения
о реализуемых требованиях к защите персональных данных, а также обеспечить
возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению документа, определяющего
политику оператора в отношении обработки персональных данных, в порядке,
установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных
данных» размещены на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные
> Рекомендации по составлению политики обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3.
Рекомендации по вопросам обработки персональных данных, осуществляемой с
нарушением обязательных требований, предъявляемых законодательством Российской Федерации в области персональных
данных к осуществлению деятельности операторов
В соответствии с
ч.1 ст.6 Федерального закона
обработка персональных данных субъектов персональных данных должна
осуществляться с соблюдением принципов и правил, предусмотренных Федеральным
законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда
допускается обработка персональных данных.
Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница>Профилактика нарушений обязательных
требований>Перечень в сфере защиты прав субъектов персональных
данных>Перечень нормативных правовых актов, устанавливающих обязательные
требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных>)
https://rkn.gov.ru/p582/p585/p863/