Обобщение результатов проведенных контрольно-надзорных мероприятий в сфере персональных данных за 4 квартал 2020 года (нарастающим итогом)

1 . Статистика количества проведенных контрольно-надзорных мероприятий и наиболее часто встречающиеся нарушения обязательных требований

Осуществление контрольно-надзорной деятельности в 2020 году в связи со сложившейся неблагоприятной эпидемиологической ситуацией в Российской Федерации, вызванной распространением вируса COVID-19, проводилось с учетом требований указа Президента РФ от 02.04.2020 №239 «О мерах по обеспечению санитарно-эпидемиологического благополучия населения на территории Российской Федерации в связи с распространением новой коронавирусной инфекции (COVID-19)», постановления Правительства Российской Федерации от 03.04.2020 №438 «Об особенностях осуществления в 2020 году государственного контроля (надзора), муниципального контроля и о внесении изменения в пункт 7 Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей», указа Губернатора Красноярского края от 27.03.2020 №71-уг «О дополнительных мерах, направленных на предупреждение распространения коронавирусной инфекции, вызванной 2019-nCoV, на территории Красноярского края», указа Главы Республики Тыва от 30.03.2020 №70 «О введении режима полной самоизоляции граждан на территории Республики Тыва», постановления Правительства Республики Хакасия от 13.03.2020 №102 «О введении на территории Республики Хакасия режима повышенной готовности и реализации дополнительных мер по защите населения и территорий от чрезвычайных ситуаций» (далее – Нормативные акты по нераспространению COVID-19). В 4 квартале 2020 года Управлением было запланировано 13 выездных проверок, проведение которых было отменено. Всего на 2020 год было запланировано проведение 31 выездной проверки, 21 выездная проверка была отменена.

За 2020 год Управлением было проведено 10 плановых проверок, что на 71 % меньше, чем в 2019 году.

Предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных являются: 

– деятельность оператора по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям, в том числе мер, принимаемых оператором во исполнение требований;

– документы и локальные акты оператора, указанные в части 1 статьи 18.1 Федерального закона «О персональных данных», и принятые оператором меры, указанные в части 1 статьи 18.1 Федерального закона «О персональных данных»;

- информационные системы персональных данных в части, касающейся обработки персональных данных субъектов персональных данных.

По результатам проведенных в 2020 году проверок выявлено 22 нарушения, что на 52 % меньше, чем в 2019 году.

Основными  нарушениями, выявляемыми в ходе мероприятий по контролю (надзору) во взаимодействии с проверяемым лицом в установленной сфере деятельности, являются следующие нарушения:

непринятие оператором необходимых и достаточных мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

несоблюдение оператором требований по определению места (мест) хранения персональных данных (материальных носителей) и установления перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;

несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации.

представление в уполномоченный орган по защите прав субъектов персональных данных уведомления об обработке персональных данных содержащего неполные и недостоверные сведения

непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных;

несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства в области персональных данных.

Подобные нарушения обусловлены несознательным отношением операторов к исполнению публично-правовых обязанностей, так как, по их мнению, невыполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» не несет существенной угрозы охраняемым общественным отношениям и исключает наступление каких-либо материальных последствий правонарушения.

В качестве профилактических мер, целью которых являлось  повышение правовой грамотности операторов в вопросах исполнения ими обязанностей, предусмотренных законодательством в области персональных данных, специалисты Управления в течение 4 квартала 2020 года провели 4 вебинара с участием 103 операторов. В ходе указанных мероприятий специалисты Управления выступали с докладами по следующим темам:

«Проведение государственного контроля за соблюдением работодателями законодательства в области персональных данных»;

«Условия обработки персональных данных. Согласия субъекта персональных данных на обработку его персональных данных»;

«Соблюдение требований законодательства  в области ПД при обработке персональных данных при оказании услуг связи»;

«Особенности осуществления государственного контроля в области персональных данных».

Всего за 2020 год специалистами Управления в качестве профилактических мер было проведено 21 мероприятие, участие в которых приняли 150 операторов. В частности,  были проведены семинары, рабочие встречи и вебинары.

В телефонном режиме представители операторов получают исчерпывающие консультации по вопросам связанным с осуществлением контроля и надзора в области персональных данных, в том числе по вопросам по ведения реестра операторов, осуществляющих обработку персональных данных.

Внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в 2020 году не проводились.

В 2020 году Управлением проводились, согласно утвержденному плану, мероприятия систематического наблюдения в области персональных данных, проведено 56 мероприятий, из них 14 в 4 квартале 2020 года.

Цель указанных мероприятий выявление и анализ нарушений операторами, осуществляющими обработку персональных данных требований законодательства Российской Федерации в области персональных данных. По результатам анализа в дальнейшем принимается решение о включении  нарушителей в План проверок, осуществляемых во взаимодействии с операторами.

Мероприятия систематического наблюдения в области персональных данных проводились в 2020 году:

- в сети Интернет (10 мероприятий в 4 квартале 2020 года);

-в местах розничной торговли в целях выявления фактов незаконной реализации на физических носителях баз данных, содержащих персональные данные граждан (2 мероприятия в 4 квартале 2020 года);

-в части оценки соответствия информации, размещаемой в общественных местах, на средствах наружной рекламы и светодиодных экранах по выявлению признаков нарушений законодательства Российской Федерации в области персональных данных(2 мероприятия в 4 квартале 2020 года).

По результатам проведенных мероприятий в 2020 году нарушений не выявлено.

 

2. Привлечение к административной ответственности. Итоги судебно-претензионной работы

По ст. 19.7 КоАП РФ в 2020 году  составлено 29 протоколов об административных правонарушениях, в том числе, 9 протоколов в 4 квартале 2020 года. Это на 66 % меньше, чем в 2019 году и, соответственно на 53% меньше в 4 квартале 2020 года, чем за этот же период 2019 года. Все материалы были направлены на рассмотрение мировым судьям. По 20 делам виновные лица привлечены к административной ответственности, 8 дел находятся на рассмотрении, по 1 делу прекращено производство.

Всего по ст. 19.7 КоАП РФ в 2020 году судами рассмотрено 30 дел, из них 9 дел по протоколам направленным в 2019 году.

По результатам рассмотренных протоколов судами наложено 8 штрафов, что на 52% меньше, чем в 2019 году; вынесено 21 предупреждение, что на 66 % меньше вынесенных предупреждений в 2019 году.

Большинство протоколов по ст. 19.7 КоАП РФ составлено за непредставление операторами информации, необходимой Управлению по запросам о предоставлении уведомления или иной информации, предусмотренной ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В 2020 году за неисполнение предписания об устранении выявленного нарушения, выданного по результатам проведения плановой выездной проверки, составлен протокол по ст. 19.7 КоАП, мировым судьей вынесено постановление по делу об административном правонарушении, назначено наказание в виде предупреждения.

В 2020 году необходимости в составлении протоколов об административных правонарушениях по ч. 1 ст. 19.5 КоАП РФ не возникало.

В ходе рассмотрения Управлением обращений граждан, Управлением принимаются меры реагирования в соответствии с установленной компетенцией. В 2020 г. направлено 43 письма, в том числе, в 4 квартале 2020 года - 14 писем  с требованиями об устранении выявленных нарушений.

В 2020 году по результатам рассмотрения обращения гражданина Управлением был установлен факт нарушения федерального законодательства в сфере обработки персональных данных, выразившийся в размещении  персональных данных граждан РФ на интернет – ресурсе, регистратором которого является оператор, зарегистрированный за пределами Российской Федерации. Управлением были приняты меры согласно п. 5 ст. 23 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных». В 4 квартале 2020 г. Октябрьским районным судом г. Красноярска вынесено решение от 07.10.2020 о признании деятельности интернет-ресурса rupoisk.pro незаконной и нарушающей права гражданина на неприкосновенность частной жизни, о признании информации, распространяемой посредством сети Интернет на указанном интернет-ресурсе информацией, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

3. Рекомендации  в отношении мер, которые должны приниматься объектами надзора в целях недопущения таких нарушений

В целях недопущения нарушений обязательных требований законодательства Российской  Федерации в области персональных данных Управление операторам, осуществляющим обработку персональных данных  ознакомиться с подготовленными Рекомендациями.

3.1. Рекомендации по вопросам представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное частью 1 указанной  статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

В случае изменения сведений, указанных в части 3 статьи  22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В целях разъяснения порядка направления операторами, осуществляющими обработку персональных данных, сведений об обработке (намерении осуществлять обработку) персональных данных, об изменении ранее представленных сведений, о прекращении обработки персональных данных  подготовлены Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены  на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность управления>Персональные данные > Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/

На  Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр операторов> Документы) размещены примеры  заполнения: информационного письма,  уведомления, а также заявления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных и  заявления о предоставлении выписки из реестра операторов.

Сами формы доступны для заполнения на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».

3.2.Рекомендации по вопросам не опубликования оператором документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также необеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (нарушение требований части 2 статьи 18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» размещены  на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные > Рекомендации по составлению политики обработки персональных данных>)

https://rkn.gov.ru/personal-data/p908/

3.3. Рекомендации по вопросам обработки персональных данных, осуществляемой с нарушением обязательных требований, предъявляемых  законодательством  Российской Федерации в области персональных данных к осуществлению деятельности операторов

В соответствии с   ч.1 ст.6 Федерального закона  обработка персональных данных субъектов персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда допускается обработка персональных данных.

Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница>Профилактика нарушений обязательных требований>Перечень в сфере защиты прав субъектов персональных данных>Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных>)

https://rkn.gov.ru/p582/p585/p863/

4. Рекомендации при  проведении мероприятий контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных

При организации и проведении мероприятий следует руководствоваться перечнем нормативных правовых актов, непосредственно регулирующих проведение проверок. Перечень доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований> Перечень в сфере защиты прав субъектов персональных данных> Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок)

https://rkn.gov.ru/p582/p585/p862/

В целях повышения правовой грамотности  Роскомнадзор в рамках реализации Стратегии институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года открыл на Портале персональных данных продолжает работать сервис «Задай тему Роскомнадзору» https://pd.rkn.gov.ru/poll/.