Обобщение
результатов проведенных контрольно-надзорных мероприятий в сфере персональных
данных за 3 квартал 2021 года (нарастающим итогом)
1 .
Статистика количества проведенных контрольно-надзорных мероприятий и наиболее
часто встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной деятельности в
сфере персональных данных в 3 квартале 2021 года проводилось в соответствии с
утвержденным планом деятельности Енисейского управления Роскомнадзора (далее –
Управление) на 2021 год.
В 3 квартале 2021 года проверки в сфере персональных
данных запланированы не были.
По истечению 9 месяцев 2021 года Управлением проведено 19 проверок. По результатам проведенных
проверок выявлено 19 нарушений, что на 15 % меньше, чем за соответствующий
период прошлого года.
Основными
нарушениями, выявляемыми в ходе мероприятий по контролю
(надзору) во взаимодействии с проверяемым лицом в установленной сфере
деятельности, являются нарушения, связанные с представление в уполномоченный орган по защите прав субъектов
персональных данных уведомления об обработке персональных данных содержащего
неполные и недостоверные сведения либо непредставление в уполномоченный орган
сведений об изменении информации, содержащейся в уведомлении об обработке
персональных данных, что является
нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных». Имеют место также нарушения, связанные с:
несоблюдением оператором требований по определению места (мест) хранения
персональных данных (материальных носителей) и по установлению перечня лиц,
осуществляющих обработку персональных данных либо имеющих к ним доступ;
несоблюдением оператором требований по информированию лиц,
осуществляющих обработку персональных данных без использования средств
автоматизации о факте такой обработки.
Подобные
нарушения обусловлены тем, что операторы, обладая знаниями
норм действующего законодательства в области персональных данных не всегда
надлежащим образом исполняют установленные обязательные требования.
В качестве профилактической меры
Управление продолжило проведение ежемесячных Дней консультаций, но в связи с неблагоприятной
эпидемиологической обстановкой основная часть указанных мероприятий проводилась
в телефонном режиме. Тем не менее операторы, обратившиеся
в Управление за получением консультаций и в дистанционном формате получали
исчерпывающую информацию, а также в большинстве случаев получили практическую
помощь при заполнении уведомлений либо информационных писем, путем обмена
сведениями с сотрудниками Управления посредством электронной почты после телефонной
консультации.
Внеплановые проверки в рамках государственного контроля (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации
в области персональных данных в 3 квартале 2021 года не проводились.
Также Управлением в целях выявления, анализа и
прогнозирования нарушений операторами, осуществляющими обработку персональных
данных, требований законодательства Российской Федерации в области персональных
данных без взаимодействия с операторами осуществляются мероприятия
систематического наблюдения (мониторинга) в области персональных данных:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан;
- в мобильных приложениях.
В 3 квартале 2021 года Управлением были проведены
согласно утвержденному плану 50 мероприятий систематического наблюдения в области
персональных данных, по истечению 9 месяцев 2021 года Управлением проведено 78
мероприятий. По результатам проведенных мероприятий в 3 квартале 2021 года
нарушений не выявлено.
Также проводились мероприятия систематического
наблюдения в области
персональных данных в сети Интернет на предмет выявления:
- постов, публикаций, содержащих
файлы с персональными данными лиц,
заболевших коронавирусной инфекцией, либо
находящихся на карантине;
- интернет-ресурсов,
посредством которых осуществляется распространение персональных данных владельцев оружия, частных охранников, а также записей
об учете оружия и сопутствующей информации;
- (в преддверии «Единого дня голосования 19
сентября 2021 года на территории Российской Федерации») тематических
интернет-сайтов, осуществляющих сбор и дальнейшее использование персональных
данных волонтеров в рамках формирования кандидатами на выборные должности
волонтерского корпуса.
По результатам проведения данных
мероприятий нарушений не установлено.
2. Привлечение к административной ответственности. Итоги
судебно-претензионной работы
В случае непредставления или
несвоевременного предоставления информации по запросам о подаче уведомления или
иной информации по ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных», а также в случае непредставления или несвоевременного
предоставления ответов по запросам Управления в рамках рассмотрения обращений
Управлением в отношении виновных лиц составляются протоколы по ст. 19.7 КоАП РФ. За 9
месяцев 2021 г. было составлено 45 протоколов по ст. 19.7 КоАП РФ, что на 58 %
больше по сравнению с аналогичным периодом прошлого года.
По ст. 19.7 КоАП РФ в 3 квартале 2021 года составлено 18
протоколов об административных правонарушениях, что на 44 % больше по сравнению
с аналогичным периодом прошлого года. Материалы по всем протоколам были
направлены на рассмотрение мировым судьям. По результатам рассмотрения 2 дел об
административных правонарушениях виновные лица привлечены к ответственности, назначены
наказания в виде предупреждения. 16 протоколов, составленных в третьем квартале
2021 года, находятся на рассмотрении у мировых судей.
По ст. 13.11 КоАП РФ в 3 квартале 2021 года вынесено 58
определений об отказе в возбуждении дела об административном правонарушении по
ст. 13.11 КоАП РФ в связи с отсутствием события (состава) административного
правонарушения, что на 47 % больше по сравнению с аналогичным периодом прошлого
года. Таким образом, за 9 месяцев 2021 года было вынесено 373
определения об отказе в возбуждении дела по ст. 13.11 КоАП РФ в связи с
отсутствием события (состава) административного правонарушения, а также в связи
с истечением сроков давности привлечения к административной ответственности,
что на 77 % больше, чем за аналогичный период прошлого года.
В течение 9 месяцев 2021 года необходимости в
составлении протоколов об административных правонарушениях по ч. 1 ст. 19.5
КоАП РФ не возникало.
При рассмотрении
обращений граждан, в соответствии с установленной компетенцией, при подтверждении
фактов нарушения прав субъектов персональных данных в адрес операторов,
допустивших такие нарушения Управлением
направляется письмо, содержащее
требование об устранении допущенных нарушений.
За 3 кв. 2021 г.
направлено 5 писем, содержащих требования об устранении допущенных нарушений. Одним
оператором приняты соответствующие меры и устранены допущенные нарушения, остальные
письма находятся на исполнении. При
рассмотрении двух обращений в адрес социальной сети ВКонтакте
было направлено 2 письма об оказании содействия в удалении персональных данных,
администрацией социальной сети содействие Управлению было оказано, персональные данные субъектов,
обрабатываемые без правовых оснований удалены.
За 9 месяцев 2021 года исковые
заявления в защиту прав субъекта персональных данных не направлялись в виду
отсутствия оснований.
3.
Рекомендации в отношении мер, которые
должны приниматься объектами надзора в целях недопущения таких нарушений
В целях недопущения
нарушений обязательных требований законодательства Российской Федерации в области персональных
данных операторам, осуществляющим обработку персональных данных Управление
рекомендует ознакомиться с
подготовленными Рекомендациями.
3.1.
Рекомендации по вопросам представления в уполномоченный орган уведомления об
обработке персональных данных, содержащего неполные и (или) недостоверные
сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006
№ 152-ФЗ «О персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2 статьи .
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»».
Уведомление, предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
В случае
изменения сведений, указанных в части 3 статьи
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а
также в случае прекращения обработки персональных данных оператор обязан
уведомить об этом уполномоченный орган по защите прав субъектов персональных
данных в течение десяти рабочих дней с даты возникновения таких изменений или с
даты прекращения обработки персональных данных.
В целях
разъяснения порядка направления операторами, осуществляющими обработку
персональных данных, сведений об обработке (намерении осуществлять обработку)
персональных данных, об изменении ранее представленных сведений, о прекращении
обработки персональных данных
подготовлены Методические рекомендации по уведомлению уполномоченного
органа о начале обработки персональных данных и о внесении изменений в ранее
представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) .
Размещены на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная
страница> Деятельность управления>Персональные данные > Методические
рекомендации по уведомлению уполномоченного органа о начале обработки
персональных данных и о внесении изменений в ранее представленные сведения
(утв. Приказом Роскомнадзора от 30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе
«Электронные формы заявлений».
3.2.Рекомендации
по вопросам не опубликования оператором документов, определяющих политику в
отношении обработки персональных данных, и сведений о реализуемых требованиях к
защите персональных данных, а также необеспечение возможности доступа к
указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
А Оператор, являющийся государственным
или муниципальным органом, документы, определяющие политику в
отношении обработки персональных данных обязан их опубликовать на
официальном сайте государственного или муниципального органа в течение 10 дней
после их утверждения.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная страница>
Персональные данные > Рекомендации по составлению политики обработки
персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3.
Рекомендации по вопросам обработки персональных данных, осуществляемой с
нарушением обязательных требований, предъявляемых законодательством Российской Федерации в области персональных
данных к осуществлению деятельности операторов
В соответствии с ч.1 ст.6 Федерального закона от 27 июля 2006
года № 152-ФЗ «О персональных данных» обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил предусмотренных указаным Федеральным
законом. Случаи, когда допускается обработка персональных данных
определены пунктами 1-11 ч. 1 ст. 6 указанного выше Федерального закона.
Перечень
нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных требованием законодательства
Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная
страница>Профилактика нарушений обязательных требований>Перечень в сфере
защиты прав субъектов персональных данных>Перечень нормативных правовых
актов, устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных
предпринимателей за соответствием обработки персональных данных требованием
законодательства Российской Федерации в области персональных данных>)