Обобщение результатов проведенных контрольно-надзорных мероприятий в сфере персональных данных за 3 квартал 2020 года (нарастающим итогом)

1. Статистика количества проведенных контрольно-надзорных мероприятий и наиболее часто встречающиеся нарушения обязательных требований

 

В 3 квартале 2020 года были запланированы к проведению 4 контрольно-надзорных мероприятия в сфере персональных данных.  В связи со сложившейся неблагоприятной эпидемиологической ситуацией в Российской Федерации, вызванной распространением вируса COVID-19, во исполнение указа Президента РФ от 02.04.2020 №239 «О мерах по обеспечению санитарно-эпидемиологического благополучия населения на территории Российской Федерации в связи с распространением новой коронавирусной инфекции (COVID-19)», постановления Правительства Российской Федерации от 03.04.2020 №438 «Об особенностях осуществления в 2020 году государственного контроля (надзора), муниципального контроля и о внесении изменения в пункт 7 Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей», указа Губернатора Красноярского края от 27.03.2020 №71-уг «О дополнительных мерах, направленных на предупреждение распространения коронавирусной инфекции, вызванной 2019-nCoV, на территории Красноярского края», указа Главы Республики Тыва от 30.03.2020 №70 «О введении режима полной самоизоляции граждан на территории Республики Тыва», постановления Правительства Республики Хакасия от 13.03.2020 №102 «О введении на территории Республики Хакасия режима повышенной готовности и реализации дополнительных мер по защите населения и территорий от чрезвычайных ситуаций» (далее – Нормативные акты по нераспространению COVID-19) Управлением 3 проверки были отменены.

Специалистами Управления была  проведена плановая выездная проверка в отношении Администрации сумона Сизимский Каа-Хемского района Республики Тыва, по результатам которой было выявлено 1 нарушение, заключающееся в непредставлении в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных.

Внеплановые проверки в целях осуществления государственного  контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в 3 квартале 2020 года не проводились.

За 9 месяцев 2020 года Управлением проведено 10 проверок. По результатам проведенных проверок выявлено 22 нарушения, что на 31 % меньше, чем за соответствующий период прошлого года. Основными  нарушениями, выявленными за 9 месяцев 2020 г. в ходе мероприятий по контролю (надзору) во взаимодействии с проверяемым лицом в установленной сфере деятельности, являются следующие нарушения:

непринятие оператором необходимых и достаточных мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

несоблюдение оператором требований по определению места (мест) хранения персональных данных (материальных носителей) и установления перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;

несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации.

представление в уполномоченный орган по защите прав субъектов персональных данных уведомления об обработке персональных данных содержащего неполные и недостоверные сведения

непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных;

несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства в области персональных данных.

Указанные нарушения все также обусловлены несознательным отношением операторов к исполнению публично-правовых обязанностей, так как, по их мнению, невыполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» не несет существенной угрозы охраняемым общественным отношениям и исключает наступление каких-либо материальных последствий правонарушения.

Представители операторов получали исчерпывающие консультации по вопросам связанным с осуществлением контроля и надзора в области персональных данных, в том числе по вопросам ведения реестра операторов, осуществляющих обработку персональных данных. В связи со сложившейся неблагоприятной эпидемиологической ситуацией в Российской Федерации, вызванной распространением вируса COVID-19,  с марта месяца текущего года консультации переведены в телефонный режим.

Также Управление в целях выявления, анализа и прогнозирования нарушений операторами, осуществляющими обработку персональных данных, требований законодательства Российской Федерации в области персональных данных без взаимодействия с операторами осуществляет  мероприятия систематического наблюдения (мониторинг) в области персональных данных:

- в сети Интернет;

-в местах розничной торговли в целях выявления фактов незаконной реализации на физических носителях баз данных, содержащих персональные данные граждан;

-в части оценки соответствия информации, размещаемой в общественных местах, на средствах наружной рекламы и светодиодных экранах по выявлению признаков нарушений законодательства Российской Федерации в области персональных данных.

В 3 квартале 2020 года Управлением согласно утвержденному Плану мероприятий было проведено 14 мероприятий систематического наблюдения в области персональных данных, по результатам проведения которых нарушений выявлено не было. За 9 месяцев 2020 года Управлением проведено 42 мероприятия.

2. Привлечение к административной ответственности. Итоги судебно-претензионной работы.

 

По ст. 19.7 КоАП РФ в 3 квартале 2020 года составлено 10 протоколов. Материалы по всем протоколам были направлены мировым судьям. По результатам рассмотрения 6 дел об административных правонарушениях, виновные лица привлечены к ответственности, по 4 делам назначены наказания в виде предупреждения, по двум делам назначены наказания в виде штрафов, размер каждого из которых составляет 3000 рублей. Материалы по 4  протоколам в настоящее время находятся на рассмотрении у мировых судей.

За 9 месяцев 2020 года было составлено 20 протоколов об административных правонарушениях, что на 72 % меньше, чем за соответствующий период прошлого года.

Большинство протоколов по ст. 19.7 КоАП РФ составлено за непредставление операторами информации, необходимой Управлению по запросам о предоставлении уведомления или иной информации, предусмотренной  ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

По частям, предусмотренным ст. 13.11 КоАП РФ в 3 квартале 2020 г. протоколы не составлялись. Вынесено 31 определение об отказе в возбуждении дела об административном правонарушении  по частям ст. 13.11 КоАП РФ в связи с отсутствием события (состава) административного правонарушения.

За 9 месяцев  2020 г. было вынесено 87 определений об отказе в возбуждении дела по частям ст. 13.11 КоАП РФ в связи с отсутствием события (состава) административного правонарушения, а также в связи с истечением сроков давности привлечения к административной ответственности.

В течение 9 месяцев  2020 г. необходимости в составлении протоколов об административных правонарушениях по ч. 1 ст. 19.5 КоАП РФ не возникало.

По результатам рассмотрения обращений граждан, в случае подтверждения фактов нарушения их  прав, как  субъектов персональных данных,  в адрес операторов, допустивших такие нарушения,  Управлением  направляется письмо, содержащее  требование об устранении допущенных нарушений.

В ходе рассмотрения Управлением  обращений граждан с жалобами на их действия, возникают ситуации, при которых операторы устраняют допущенные нарушения (например, после получения запроса Управления о предоставлении необходимой информации по обращению). Но, оценив обстоятельства, изложенные в обращении, суть нарушения, возможные последствия в случае возможного продолжения его совершения, а также круг лиц, чьи права могли бы быть нарушены оператором в этом случае, Управление, как уполномоченный орган по защите прав субъектов персональных данных,   по итогу рассмотрения обращения, безусловно, принимая во внимание самостоятельное устранение оператором нарушения, тем не менее, принимает в отношении него меры реагирования, в соответствии с установленной компетенцией. А именно, в качестве предупредительной меры Управление направляет оператору письма-разъяснения  с требованиями о принятии мер по недопущению выявленных, но устраненных оператором самостоятельно, нарушений.

За 3 квартал 2020 г. направлено 19 писем с требованиями, 18 из них удовлетворены, 1 находится на исполнении.  За 9 месяцев 2020 года  было вынесено 28 требований.

В 3 квартале 2020 г. по результатам рассмотрения обращения гражданина   Управлением был установлен факт нарушения федерального законодательства в сфере обработки персональных данных, выразившийся в размещении  персональных данных граждан РФ на интернет – ресурсе, регистратором которого является оператор, зарегистрированный за пределами Российской Федерации. Управлением принимаются меры согласно п. 5 ст. 23 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных». В отношении регистратора данного ресурса подготовлено и направлено исковое заявление в защиту прав неопределенного круга лиц в Октябрьский районный суд г. Красноярска о признании информации, распространяемой интернет-ресурсом, информацией, обрабатываемой с нарушением законодательства в области персональных данных. Судебное заседание по исковому заявлению Управления назначено на октябрь 2020 года.

Аналогичное исковое заявление в защиту прав субъекта персональных данных о признании информации, распространяемой интернет-ресурсом  с нарушением законодательства в области персональных данных, направлено в  Кызылский городской суд Республики Тыва в сентябре 2020 года. Факт нарушения законодательства в области персональных данных  администратором сайта,  который  является оператором, зарегистрированным за пределами Российской Федерации, был установлен сотрудниками Управления.

3. Рекомендации  в отношении мер, которые должны приниматься объектами надзора в целях недопущения таких нарушений

В целях недопущения нарушений обязательных требований законодательства Российской  Федерации в области персональных данных Управление операторам, осуществляющим обработку персональных данных  ознакомиться с подготовленными Рекомендациями.

3.1. Рекомендации по вопросам представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное частью 1 указанной  статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

В случае изменения сведений, указанных в части 3 статьи  22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В целях разъяснения порядка направления операторами, осуществляющими обработку персональных данных, сведений об обработке (намерении осуществлять обработку) персональных данных, об изменении ранее представленных сведений, о прекращении обработки персональных данных  подготовлены Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены  на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность управления>Персональные данные > Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/

На  Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр операторов> Документы) размещены примеры  заполнения: информационного письма,  уведомления, а также заявления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных и  заявления о предоставлении выписки из реестра операторов.

Сами формы доступны для заполнения на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».

3.2.Рекомендации по вопросам не опубликования оператором документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также необеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (нарушение требований части 2 статьи 18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» размещены  на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные > Рекомендации по составлению политики обработки персональных данных>)

https://rkn.gov.ru/personal-data/p908/

3.3. Рекомендации по вопросам обработки персональных данных, осуществляемой с нарушением обязательных требований, предъявляемых  законодательством  Российской Федерации в области персональных данных к осуществлению деятельности операторов

В соответствии с   ч.1 ст.6 Федерального закона  обработка персональных данных субъектов персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда допускается обработка персональных данных.

Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница>Профилактика нарушений обязательных требований>Перечень в сфере защиты прав субъектов персональных данных>Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных>)

https://rkn.gov.ru/p582/p585/p863/