Обобщение
результатов проведенных контрольно-надзорных мероприятий в сфере персональных
данных за 1 квартал 2021 года
1 . Статистика
количества проведенных контрольно-надзорных мероприятий и наиболее часто
встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной деятельности в 1
кв. 2021 года проводилось на основании плана деятельности Енисейского
управления Роскомнадзора на 2021 год.
Предметом государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных являются:
– деятельность оператора по
обработке персональных данных, осуществляемой с использованием и (или) без
использования средств автоматизации, на предмет ее соответствия требованиям, в
том числе мер, принимаемых оператором во исполнение требований;
– документы и локальные акты
оператора, указанные в части 1 статьи 18.1 Федерального закона «О персональных
данных», и принятые оператором меры, указанные в части 1 статьи 18.1
Федерального закона «О персональных данных»;
- информационные системы
персональных данных в части, касающейся обработки персональных данных субъектов
персональных данных.
Енисейским управлением Роскомнадзора (далее -
Управление) по направлению деятельности государственный
контроль (надзор) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в
области персональных данных в 1 квартале 2021 года было запланировано к
проведению 8 проверок, что на 11 % меньше, чем в 1 квартале 2020 года. Все
проверки проведены. По результатам проведенных проверок выявлено 9
нарушений, что на 57% меньше, чем за соответствующий период 1 квартала 2020. Основными нарушениями, выявляемыми в ходе мероприятий
по контролю (надзору) во взаимодействии с проверяемым
лицом в установленной сфере деятельности, являются следующие нарушения:
- представление в
уполномоченный орган по защите прав субъектов персональных данных уведомления
об обработке персональных данных содержащего неполные и недостоверные сведения.
- несоблюдение оператором требований по определению места (мест)
хранения персональных данных (материальных носителей) и установления перечня
лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- непринятие оператором мер, необходимых и достаточных для обеспечения
выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными
правовыми актами.
Выявляемые нарушения
связаны с незнанием операторами возложенных
на них обязанностей Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
(далее Федеральный закон, Закон о персональных данных).
В 1 кв. 2021 г. Управление в качестве профилактической меры продолжило
проведение ежемесячных Дней консультаций.
В связи с неблагоприятной эпидемиологической обстановкой основная часть
консультаций проводится в телефонном режиме. Но особое внимание ко Дню консультаций проявляют операторы, в отношении которых запланированы
надзорные мероприятия, так как могут получить консультации по соблюдению
требований законодательства в области персональных данных. При посещении Управления
все желающие могут получить практическую помощь при заполнении
уведомлений либо информационных писем.
В телефонном режиме и на личном приеме представители операторов
получают исчерпывающие консультации по вопросам, связанным с осуществлением
контроля и надзора в области персональных данных, в том числе по вопросам по
ведения реестра операторов, осуществляющих обработку персональных данных.
Внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации
в области персональных данных в 1 квартале 2021 года не проводились. Проверки индивидуальных предпринимателей в указанном периоде
не были запланированы.
Также Управление в целях выявления, анализа и
прогнозирования нарушений операторами, осуществляющими обработку персональных
данных, требований законодательства Российской Федерации в области персональных
данных без взаимодействия с операторами осуществляются мероприятия
систематического наблюдения (мониторинга) в области персональных данных:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан;
В 1 квартале 2021 года Управлением было проведено
согласно утвержденному плану мероприятия систематического наблюдения в области персональных данных 14 мероприятий.
Цель указанных мероприятий выявление и анализ нарушений
операторами, осуществляющими обработку персональных данных требований
законодательства Российской Федерации в области персональных данных. По
результатам анализа в дальнейшем принимается решение о включении злостных
нарушителей в План проверок, осуществляемых во взаимодействии с операторами.
По результатам проведенных
мероприятий в 1 квартале 2021 года выявлены признаки нарушения п. 2 Перечня мер направленных на
обеспечение выполнения обязанностей, предусмотренных Федеральных законом «О
персональных данных» и принятыми в соответствии с ним нормативными правовыми
актами, Операторами, являющимися государственными или муниципальными органами,
утвержденного Постановлением Правительства Российской Федерации от 21.03.2012 №
211 (далее по тексту – Перечень мер).
На сайте Оператора, являющимся государственным
органом, отсутствуют документы,
определяющие политику в отношении обработки персональных данных. Указанные
документы подлежат опубликованию на официальном сайте государственного или
муниципального органа в течение 10 дней после их утверждения.
Оператору направлено соответствующее письмо о
представлении сведений по исполнению п.2 Перечня мер.
Также проводились на предмет выявления постов, публикаций,
содержащих файлы с персональными данными
лиц, заболевших коронавирусной инфекцией, либо находящихся на карантине. И мероприятия
мониторинга в сети «Интернет» интернет-ресурсов,
посредством которых осуществляется распространение персональных
данных владельцев оружия, частных охранников, а также записей об учете оружия и
сопутствующей информации.
По результатам проведения данных мероприятий нарушений
не установлено.
2.
Привлечение к административной ответственности. Итоги судебно-претензионной
работы
В 1 квартале 2021 году к административной
ответственности по результатам проверок юридические и должностные лица не
привлекались.
По ст. 19.7 КоАП РФ в 1 квартале 2021 года составлено 4
протокола об административных правонарушениях, что на 33 % меньше, чем в 1
квартале 2020 года. Материалы по трём протоколам в настоящее время находятся на
рассмотрении у мировых судей, по одному протоколу мировым судьей юридическое
лицо признано виновным в совершении административного правонарушения,
предусмотренного ст. 19.7 КоАП РФ, назначено наказание в виде предупреждения.
Все случаи возбуждения административного производства
связаны с непредставлением необходимой Управлению информации по его запросу. Два
случая связаны с запросами о
предоставлении уведомления или иной информации по ч. 2 ст. 22 Федерального
закона от 27.07.2006 № 152-ФЗ «О персональных данных», два случая касаются непредставления
необходимой Управлению информации по его
запросу в рамках рассмотрения обращений граждан.
При рассмотрении обращения гражданина вынесено 1 определение об отказе в возбуждении дела по ст.
19.7 КоАП РФ, в связи с отсутствием события административного правонарушения.
По ст. 13.11 КоАП РФ в 1 квартале 2021 года протоколы
не составлялись Вынесено 50 определений об отказе в возбуждении дела по частям 1-9
ст. 13.11 КоАП РФ.
По ст. 19.5 КоАП РФ в 1 квартале 2021 года протоколов
об административных правонарушениях составлено не было.
В случае подтверждения фактов
нарушения прав субъектов персональных данных, в адрес операторов,
допустивших нарушение прав субъектов персональных данных, направляется
требование об устранении допущенных нарушений. За 1 кв. 2021 г. направлено 3
требования, что на 25% меньше, чем в 1 квартале 2020, все требования удовлетворены.
Исковые заявления в защиту прав субъектов персональных
данных в 1 квартале 2021 года не подавались.
3.
Рекомендации в отношении мер, которые
должны приниматься объектами надзора в целях недопущения таких нарушений
В целях недопущения нарушений
обязательных требований законодательства Российской Федерации в области персональных
данных Управление операторам, осуществляющим обработку персональных данных ознакомиться с подготовленными Рекомендациями.
3.1. Рекомендации по вопросам
представления в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушение
требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных»»).
Оператор до начала обработки персональных данных
обязан уведомить уполномоченный орган по защите прав субъектов персональных
данных о своем намерении осуществлять обработку персональных данных, за
исключением случаев, предусмотренных частью 2 статьи . 22 Федерального закона
27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное
частью 1 указанной статьи, направляется
в виде документа на бумажном носителе или в форме электронного документа и
подписывается уполномоченным лицом.
В случае изменения сведений,
указанных в части 3 статьи 22
Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в
случае прекращения обработки персональных данных оператор обязан уведомить об
этом уполномоченный орган по защите прав субъектов персональных данных в
течение десяти рабочих дней с даты возникновения таких изменений или с даты
прекращения обработки персональных данных.
В целях разъяснения порядка
направления операторами, осуществляющими обработку персональных данных,
сведений об обработке (намерении осуществлять обработку) персональных данных,
об изменении ранее представленных сведений, о прекращении обработки
персональных данных подготовлены
Методические рекомендации по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены на официальном сайте Енисейского управления Роскомнадзора
по адресу (Главная страница> Деятельность
управления>Персональные данные > Методические рекомендации по уведомлению
уполномоченного органа о начале обработки персональных данных и о внесении
изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от
30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/
На Портале
персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр
операторов> Документы) размещены примеры
заполнения: информационного письма,
уведомления, а также заявления о внесении в реестр операторов сведений о
прекращении оператором обработки персональных данных и заявления о предоставлении выписки из реестра
операторов.
Сами формы доступны для заполнения на сайте
Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы
заявлений».
3.2.Рекомендации
по вопросам не опубликования оператором документов, определяющих политику в
отношении обработки персональных данных, и сведений о реализуемых требованиях к
защите персональных данных, а также необеспечение возможности доступа к
указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или иным образом
обеспечить неограниченный доступ к документу, определяющему его политику в
отношении обработки персональных данных, к сведениям о реализуемых требованиях
к защите персональных данных. Оператор, осуществляющий сбор персональных данных
с использованием информационно-телекоммуникационных сетей, обязан опубликовать
в соответствующей информационно-телекоммуникационной сети документ,
определяющий его политику в отношении обработки персональных данных, и сведения
о реализуемых требованиях к защите персональных данных, а также обеспечить
возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
А Оператор, являющийся государственным или
муниципальным органом, документы,
определяющие политику в отношении обработки персональных данных обязан их опубликовать
на официальном сайте государственного или муниципального органа в течение 10
дней после их утверждения.
Рекомендации по составлению документа, определяющего
политику оператора в отношении обработки персональных данных, в порядке,
установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных
данных» размещены на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные
> Рекомендации по составлению политики обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3. Рекомендации по вопросам
обработки персональных данных, осуществляемой с нарушением обязательных
требований, предъявляемых
законодательством Российской
Федерации в области персональных данных к осуществлению деятельности операторов
В соответствии с
ч.1 ст.6 Федерального закона
обработка персональных данных субъектов персональных данных должна
осуществляться с соблюдением принципов и правил, предусмотренных Федеральным
законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда
допускается обработка персональных данных.
Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница>Профилактика нарушений обязательных требований>Перечень
в сфере защиты прав субъектов персональных данных>Перечень нормативных
правовых актов, устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных
предпринимателей за соответствием обработки персональных данных требованием
законодательства Российской Федерации в области персональных данных>)
https://rkn.gov.ru/p582/p585/p863/