Обобщение
результатов проведенных контрольно-надзорных мероприятий в сфере персональных
данных за 2 квартал 2021 года (нарастающим итогом)
1 .
Статистика количества проведенных контрольно-надзорных мероприятий и наиболее
часто встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной деятельности в
сфере персональных данных во 2 кв. 2021
года проводилось в соответствии с утвержденным планом деятельности Енисейского управления
Роскомнадзора на 2021 год.
Предметом государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных являются:
– деятельность оператора по
обработке персональных данных, осуществляемой с использованием и (или) без
использования средств автоматизации, на предмет ее соответствия требованиям, в
том числе мер, принимаемых оператором во исполнение требований;
– документы и локальные акты
оператора, указанные в части 1 статьи 18.1 Федерального закона «О персональных
данных», и принятые оператором меры, указанные в части 1 статьи 18.1
Федерального закона «О персональных данных»;
- информационные системы
персональных данных в части, касающейся обработки персональных данных субъектов
персональных данных.
Во 2 квартале 2021 года были
запланированы и проведены 11 проверок в сфере персональных данных. По истечению первого полугодия Управлением проведено 19 проверок. По результатам проведенных
проверок выявлено 19 нарушений, что на 9,5 % меньше, чем за соответствующий
период прошлого года.
Основными
нарушениями, выявляемыми в ходе мероприятий по контролю
(надзору) во взаимодействии с проверяемым лицом в установленной сфере
деятельности, являются нарушения, связанные с представление в уполномоченный орган по защите прав субъектов
персональных данных уведомления об обработке персональных данных содержащего
неполные и недостоверные сведения либо непредставление в уполномоченный орган
сведений об изменении информации, содержащейся в уведомлении об обработке
персональных данных, что является
нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных». Имеют место также нарушения, связанные с:
несоблюдением оператором требований по определению места (мест) хранения
персональных данных (материальных носителей) и по установлению перечня лиц,
осуществляющих обработку персональных данных либо имеющих к ним доступ;
несоблюдением оператором требований по информированию лиц,
осуществляющих обработку персональных данных без использования средств
автоматизации о факте такой обработки.
Подобные
нарушения обусловлены тем, что операторы, обладая знаниями
норм действующего законодательства в области персональных данных не всегда
надлежащим образом исполняют установленные обязательные требования.
В качестве профилактической меры
Управление продолжило проведение ежемесячных Дней консультаций, но в связи с неблагоприятной
эпидемиологической обстановкой основная часть указанных мероприятий проводилась
в телефонном режиме. Тем не менее операторы, обратившиеся
в Управление за получением консультаций и в дистанционном формате получали
исчерпывающую информацию, а также в большинстве случаев получили практическую
помощь при заполнении уведомлений либо информационных писем, путем обмена
сведениями с сотрудниками Управления посредством электронной почты после телефонной
консультации.
Внеплановые проверки в рамках государственного контроля (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации
в области персональных данных во 2 квартале 2021 года не проводились.
Проверки индивидуальных предпринимателей
в указанном периоде не были запланированы.
Также Управлением в целях выявления, анализа и
прогнозирования нарушений операторами, осуществляющими обработку персональных
данных, требований законодательства Российской Федерации в области персональных
данных без взаимодействия с операторами осуществляются мероприятия систематического
наблюдения (мониторинга) в области персональных данных:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан.
Во 2 квартале 2021 года Управлением были проведены
согласно утвержденному плану 14 мероприятий систематического наблюдения в
области персональных данных, по истечению первого полугодия текущего года Управлением
проведено 28 мероприятий. По результатам проведенных мероприятий во 2 квартале
2021 года нарушений не выявлено.
При проведении плановых мероприятий систематического
наблюдения в области персональных данных в обязательном порядке проверяется
устранение операторами ранее выявленных нарушений. Во 2 квартале 2021 года было
проверено устранение нарушения, ранее
выявленного на территории Республики Тыва в деятельности оператора, являющегося
государственным органом. Нарушение выразилось в
несоблюдении требований п. 2 Перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом "О персональных
данных" и принятыми в соответствии с ним нормативными правовыми актами,
операторами, являющимися государственными или муниципальными органами,
утвержденного постановлением Правительства Российской Федерации от 21 марта
2012 г. № 211 по опубликованию на
официальном сайте оператора документа,
определяющего политику в отношении
обработки персональных данных.
По результатам приятых Управлением мер документ,
определяющий политику в отношении обработки персональных данных, был
утвержден и опубликован на официальном
сайте оператора, являющегося государственным органом, требование Управления
выполнено.
Также проводились мероприятия
систематического наблюдения в области персональных данных в сети Интернет на
предмет выявления:
- постов, публикаций, содержащих
файлы с персональными данными лиц,
заболевших коронавирусной инфекцией, либо находящихся на карантине;
- интернет-ресурсов,
посредством которых осуществляется распространение персональных данных
владельцев оружия, частных охранников, а также записей об учете оружия и
сопутствующей информации;
- (в преддверии
«Единого дня голосования 19 сентября 2021 года на территории Российской
Федерации») тематических интернет-сайтов, осуществляющих сбор и дальнейшее
использование персональных данных волонтеров в рамках формирования кандидатами
на выборные должности волонтерского корпуса.
По результатам проведения данных
мероприятий нарушений не установлено.
2. Привлечение к административной ответственности. Итоги
судебно-претензионной работы
В случае непредставления или
несвоевременного предоставления информации по запросам о подаче уведомления или
иной информации по ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных», а также в случае непредставления или несвоевременного
предоставления ответов по запросам Управления в рамках рассмотрения обращений
Управлением в отношении виновных лиц составляются протоколы по ст. 19.7 КоАП РФ. За первое
полугодие 2021 г. было составлено 27 протоколов по ст. 19.7 КоАП РФ, что на 67
% больше по сравнению с аналогичным периодом прошлого года.
По ст. 19.7 КоАП РФ за второй квартал 2021 года
составлено 23 протокола об
административных правонарушениях, что на 83 % больше по сравнению с аналогичным
периодом прошлого года.
Материалы по всем протоколам были направлены на
рассмотрение мировым судьям. По результатам рассмотрения 14 дел об
административных правонарушениях, лица привлечены к ответственности, назначены
наказания в виде предупреждения. По
результатам рассмотрения одного дела об административном правонарушении мировым
судом было назначено 1 наказание в виде административного штрафа. 8 протоколов составленных во втором квартале
2021 года находятся на рассмотрении у мировых судей. Во втором квартале 2021 г.
по ст. 19.7 КоАП РФ производства по
делам об административных правонарушениях мировыми судами не прекращались.
Во втором квартале 2021 года в
Управлении составлен 1 протокол по ч.1 ст.13.11 КоАП РФ в отношении
юридического лица, допустившего обработку персональных данных субъекта с
нарушением ч.1 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных
данных», направлен на рассмотрении в мировой суд.
По ст. 13.11 КоАП РФ В указанном периоде вынесено
315 определений об отказе в возбуждении дела об административном правонарушении
по частям ст. 13.11 КоАП РФ в связи с отсутствием события (состава)
административного правонарушения, что на 82 % больше по сравнению с аналогичным
периодом прошлого года. В том числе, во втором квартале 2021 года вынесено 265
определений, что на 88 % больше по
сравнению со вторым кварталом 2020 года.
При рассмотрении
обращений граждан, в соответствии с установленной компетенцией, при подтверждении
фактов нарушения прав субъектов персональных данных в адрес операторов,
допустивших такие нарушения Управлением
направляется письмо, содержащее
требование об устранении допущенных нарушений.
В практике Управления имеют место случаи,
когда операторы получив запрос Управления о предоставленни ему
информации необходимой для рассмотрения доводов гражданина, изложенного
в обращении, самостоятельно устраняют нарушение требований законодательства в
области персональных данных, и извещают об этом Управление при предоставлении
ему запрошенной информации. Управление, как уполномоченный орган по защите
прав субъектов персональных данных оценивает обстоятельства, изложенные в
обращении, суть нарушения самостоятельно устраненного оператором, оценивает возможные
риски последствий, которые могли
наступить в случае продолжения его совершения, а также примает
во внимание круг лиц, чьи права могли быть нарушены оператором в рассматриваемом
случае, и, как правило, по итогу
рассмотрения обращения, тем не менее принимает в отношении оператора меры реагирования, в соответствии с
установленной компетенцией.
За
2 кв. 2021 г. направлено 7 указанных писем все удовлетворены
оператором. За первое полугодие было вынесено 9 требований, все также
удовлетворены.
В первом полугодии 2021 года исковые
заявления в защиту прав субъекта персональных данных не направлялись.
3.
Рекомендации в отношении мер, которые
должны приниматься объектами надзора в целях недопущения таких нарушений
В целях недопущения
нарушений обязательных требований законодательства Российской Федерации в области персональных
данных операторам, осуществляющим обработку персональных данных Управление
рекомендует ознакомиться с
подготовленными Рекомендациями.
3.1.
Рекомендации по вопросам представления в уполномоченный орган уведомления об
обработке персональных данных, содержащего неполные и (или) недостоверные
сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2 статьи .
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»».
Уведомление, предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
В случае
изменения сведений, указанных в части 3 статьи
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а
также в случае прекращения обработки персональных данных оператор обязан
уведомить об этом уполномоченный орган по защите прав субъектов персональных
данных в течение десяти рабочих дней с даты возникновения таких изменений или с
даты прекращения обработки персональных данных.
В целях
разъяснения порядка направления операторами, осуществляющими обработку
персональных данных, сведений об обработке (намерении осуществлять обработку)
персональных данных, об изменении ранее представленных сведений, о прекращении
обработки персональных данных
подготовлены Методические рекомендации по уведомлению уполномоченного органа
о начале обработки персональных данных и о внесении изменений в ранее
представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) .
Размещены на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная
страница> Деятельность управления>Персональные данные > Методические
рекомендации по уведомлению уполномоченного органа о начале обработки
персональных данных и о внесении изменений в ранее представленные сведения
(утв. Приказом Роскомнадзора от 30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе
«Электронные формы заявлений».
3.2.Рекомендации
по вопросам не опубликования оператором документов, определяющих политику в
отношении обработки персональных данных, и сведений о реализуемых требованиях к
защите персональных данных, а также необеспечение возможности доступа к
указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
А Оператор, являющийся государственным
или муниципальным органом, документы, определяющие политику в
отношении обработки персональных данных обязан их опубликовать на
официальном сайте государственного или муниципального органа в течение 10 дней
после их утверждения.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная
страница> Персональные данные > Рекомендации по составлению политики
обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3.
Рекомендации по вопросам обработки персональных данных, осуществляемой с
нарушением обязательных требований, предъявляемых законодательством Российской Федерации в области персональных
данных к осуществлению деятельности операторов
В соответствии с ч.1 ст.6 Федерального закона от 27 июля 2006
года № 152-ФЗ «О персональных данных» обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил предусмотренных указаным Федеральным
законом. Случаи, когда допускается обработка персональных данных
определены пунктами 1-11 ч. 1 ст. 6 указанного выше Федерального закона.
Перечень
нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных требованием законодательства
Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная
страница>Профилактика нарушений обязательных требований>Перечень в сфере
защиты прав субъектов персональных данных>Перечень нормативных правовых
актов, устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных
предпринимателей за соответствием обработки персональных данных требованием
законодательства Российской Федерации в области персональных данных>)