Обобщение
результатов проведенных контрольно-надзорных мероприятий в сфере персональных
данных за 4 квартал 2021 года (нарастающим итогом)
1.
Статистика количества проведенных контрольно-надзорных мероприятий и наиболее
часто встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной деятельности в
сфере персональных данных в 4 квартале
2021 года проводилось в соответствии с утвержденным планом деятельности
Енисейского управления Роскомнадзора (далее – Управление) на 2021 год. В 4 квартале 2021 года Управлением было
запланировано 12 выездных проверок, проведение которых было отменено, в связи с
внесенными изменениями в законодательство Российской Федерации.
Всего на 2021 год было запланировано проведение 31
выездной проверки, из них - 12 выездных проверок отменено, проведено 19
плановых проверок, что на 90 % больше, чем в 2020 году.
Предметом государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных являются:
– деятельность оператора по обработке персональных
данных, осуществляемой с использованием и (или) без использования средств
автоматизации, на предмет ее соответствия требованиям, в том числе мер,
принимаемых оператором во исполнение требований;
– документы и локальные акты оператора, указанные в
части 1 статьи 18.1 Федерального закона «О персональных данных», и принятые
оператором меры, указанные в части 1 статьи 18.1 Федерального закона «О
персональных данных»;
- информационные системы персональных данных в части,
касающейся обработки персональных данных субъектов персональных данных.
По результатам проведенных в 2021 году проверок
выявлено 19 нарушений, что на 13 % меньше, чем в 2020 году.
Основными
нарушениями, выявляемыми в ходе мероприятий по контролю
(надзору) во взаимодействии с проверяемым лицом в установленной сфере
деятельности, являются нарушения, связанные с представление
в уполномоченный орган по защите прав субъектов персональных данных уведомления
об обработке персональных данных содержащего неполные и недостоверные сведения
либо непредставление в уполномоченный орган сведений об изменении информации,
содержащейся в уведомлении об обработке персональных данных, что является
нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных». Имели место также нарушения, связанные с:
несоблюдением оператором требований по
определению места (мест) хранения персональных данных (материальных носителей)
и по установлению перечня лиц, осуществляющих обработку персональных данных
либо имеющих к ним доступ;
несоблюдением оператором требований по
информированию лиц, осуществляющих обработку персональных данных без
использования средств автоматизации о факте такой обработки;
непринятием оператором необходимых и
достаточных мер для обеспечения выполнения обязанностей, предусмотренных
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми
в соответствии с ним нормативными правовыми актами;
несоответствием типовых форм документов, характер информации в которых
предполагает или допускает включение в них персональных данных, требованиям
законодательства в области персональных данных.
Подобные нарушения обусловлены несознательным
отношением операторов к исполнению публично-правовых обязанностей, самонадеянностью,
что невыполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных» не несет существенной угрозы охраняемым общественным
отношениям и исключает наступление каких-либо материальных последствий
правонарушения.
В качестве профилактических мер, целью которых являлось
повышение правовой грамотности
операторов в вопросах исполнения ими обязанностей, предусмотренных
законодательством в области персональных данных, специалисты Управления в
течение 4 квартала 2021 года провели 3 вебинара, на которых выступили с докладами по темам:
«Основные требования, предъявляемые действующим
законодательством к обработке персональных данных».
«Обзор
законодательства в области персональных данных. Административная
практика применения мер ответственности, предусмотренной ст. 13.11 КоАП РФ».
Всего за 2021 год специалистами Управления в качестве профилактических мер было проведено 10 вебинаров.
В приоритете были консультации в телефонном режиме в
виду неблагоприятной эпидемиологической
обстановки. Но и в дистанционном формате операторы получают исчерпывающие консультации
по вопросам связанным с осуществлением контроля и надзора в области
персональных данных, в том числе по вопросам ведения реестра операторов,
осуществляющих обработку персональных данных.
Внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации
в области персональных данных в 2021 году не проводились.
В 2021 году Управлением проводились, согласно
утвержденному плану, мероприятия систематического наблюдения в области персональных данных, проведено 104 мероприятия,
из них 26 в 4 квартале 2021 года. Цель указанных мероприятий выявление и анализ
нарушений операторами, осуществляющими обработку персональных данных требований
законодательства Российской Федерации в области персональных данных. Деятельность,
осуществляемая с нарушением требований законодательства в области персональных
данных, учитывается при отнесении деятельности лица к определенной категории
риска.
В 2021 году из общего количества мероприятий
систематического наблюдения в области
персональных данных проведено:
- 48 мероприятий в сети Интернет (12 мероприятий в 4
квартале 2021 года);
-8 мероприятий в местах розничной торговли в целях
выявления фактов незаконной реализации на физических носителях баз данных,
содержащих персональные данные граждан (2 мероприятия в 4 квартале 2021 года);
-48 мероприятий по мониторингу мобильных приложений (12
в 4 квартале 2021 года).
По результатам
проведенных мероприятий в 2021 году нарушений не выявлено.
2.
Привлечение к административной ответственности. Итоги судебно-претензионной
работы
По ст. 19.7 КоАП РФ в 2021 году составлено
63 протокола об административных правонарушениях, в том числе, 18 протоколов в
4 квартале 2021 года. Это в 2,17 раза больше, чем в 2020 году и соответственно
в 2 раза больше, чем в 4 квартале 2020 года. Все материалы были направлены на
рассмотрение мировым судьям. По 9 делам, материалы по которым были направлены
на рассмотрение мировым судьям в 4 квартале 2021 года, виновные лица привлечены
к административной ответственности, 9 дел находятся на рассмотрении.
Всего по ст. 19.7 КоАП РФ в 2021
году судами рассмотрено 56 дел, в том числе 4 по протоколам, составленным в
2020 году. По результатам рассмотренных протоколов судами наложено 9 штрафов,
что соответствует количеству штрафов, наложенных в 2020 году; вынесено 45
предупреждений, что в 2,1 раза больше, чем в 2020 году. По 2 делам было
прекращено производство.
Большинство протоколов по ст. 19.7
КоАП РФ составлено за непредставление операторами информации, необходимой
Управлению по запросам о предоставлении уведомления или иной информации,
предусмотренной ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных», а также за непредставление информации, запрашиваемой
Управлением у операторов при рассмотрении обращений граждан.
По ст. 13.11 КоАП РФ в 4 квартале 2021 года вынесено 52
определения об отказе в возбуждении дела об административном правонарушении по
разным частям ст. 13.11 КоАП РФ в связи с отсутствием события (состава)
административного правонарушения. Таким образом, за 2021 года было вынесено 424
определения об отказе в возбуждении дела по частям ст. 13.11 КоАП РФ в связи с
отсутствием события (состава) административного правонарушения, а также в связи
с истечением сроков давности привлечения к административной ответственности.
В 2021 году необходимости в
составлении протоколов об административных правонарушениях по ч. 1 ст. 19.5
КоАП РФ не возникало.
При рассмотрении
обращений граждан, в соответствии с установленной компетенцией, при
подтверждении фактов нарушения прав субъектов персональных данных в адрес
операторов, допустивших такие нарушения, Управлением направляется письмо, содержащее требование об устранении допущенных
нарушений. За 4 кв. 2021 г. направлено 12 указанных писем.
Также
в адрес социальной сети ВКонтакте было направлено 2
письма об оказании содействия в удалении персональных данных, которые были
удовлетворены.
За 12 месяцев 2021 года исковые
заявления в защиту прав субъекта персональных данных не направлялись.
3.
Рекомендации в отношении мер, которые должны
приниматься объектами надзора в целях недопущения таких нарушений
В целях недопущения
нарушений обязательных требований законодательства Российской Федерации в области персональных
данных Управление операторам, осуществляющим обработку персональных данных ознакомиться с подготовленными Рекомендациями.
3.1. Рекомендации по вопросам
представления в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушение
требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2 статьи .
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»».
Уведомление, предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
В случае изменения сведений,
указанных в части 3 статьи 22
Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в
случае прекращения обработки персональных данных оператор обязан уведомить об
этом уполномоченный орган по защите прав субъектов персональных данных в
течение десяти рабочих дней с даты возникновения таких изменений или с даты
прекращения обработки персональных данных.
В целях разъяснения порядка
направления операторами, осуществляющими обработку персональных данных,
сведений об обработке (намерении осуществлять обработку) персональных данных,
об изменении ранее представленных сведений, о прекращении обработки
персональных данных подготовлены
Методические рекомендации по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены на официальном сайте Енисейского управления Роскомнадзора
по адресу (Главная страница> Деятельность
управления>Персональные данные > Методические рекомендации по уведомлению
уполномоченного органа о начале обработки персональных данных и о внесении
изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от
30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».
3.2.Рекомендации
по вопросам необходимости опубликования оператором документов, определяющих
политику в отношении обработки персональных данных, и сведений о реализуемых
требованиях к защите персональных данных, а также необеспечение возможности
доступа к указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная
страница> Персональные данные > Рекомендации по составлению политики
обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3. Рекомендации по соблюдению
обязательных требований, предъявляемых
законодательством Российской
Федерации в области персональных данных к осуществлению деятельности операторов
при обработке персональных данных
В соответствии с ч.1 ст.6 Федерального закона обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона
определены случаи, когда допускается обработка персональных данных.
Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница>Профилактика нарушений обязательных требований>Перечень
в сфере защиты прав субъектов персональных данных>Перечень нормативных
правовых актов, устанавливающих обязательные требования к осуществлению
деятельности юридических лиц и индивидуальных
предпринимателей за соответствием обработки персональных данных требованием
законодательства Российской Федерации в области персональных данных>)
https://rkn.gov.ru/p582/p585/p863/
4. Рекомендации при
проведении мероприятий контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской Федерации в области персональных данных
При организации и проведении
мероприятий следует руководствоваться перечнем нормативных правовых актов,
непосредственно регулирующих проведение проверок. Перечень доступен на
официальном сайте Роскомнадзора по
адресу (Главная страница>
Профилактика нарушений обязательных требований> Перечень в сфере защиты прав
субъектов персональных данных> Перечень нормативных правовых актов,
непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/