Обобщение результатов проведенных контрольно-надзорных мероприятий в сфере персональных данных за 4 квартал 2021 года (нарастающим итогом)

1. Статистика количества проведенных контрольно-надзорных мероприятий и наиболее часто встречающиеся нарушения обязательных требований

Осуществление контрольно-надзорной деятельности в сфере персональных данных в 4  квартале 2021 года проводилось в соответствии с утвержденным планом деятельности Енисейского управления Роскомнадзора (далее – Управление) на 2021 год.  В 4 квартале 2021 года Управлением было запланировано 12 выездных проверок, проведение которых было отменено, в связи с внесенными изменениями в законодательство Российской Федерации.

Всего на 2021 год было запланировано проведение 31 выездной проверки, из них - 12 выездных проверок отменено, проведено 19 плановых проверок, что на 90 % больше, чем в 2020 году.

Предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных являются: 

– деятельность оператора по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям, в том числе мер, принимаемых оператором во исполнение требований;

– документы и локальные акты оператора, указанные в части 1 статьи 18.1 Федерального закона «О персональных данных», и принятые оператором меры, указанные в части 1 статьи 18.1 Федерального закона «О персональных данных»;

- информационные системы персональных данных в части, касающейся обработки персональных данных субъектов персональных данных.

По результатам проведенных в 2021 году проверок выявлено 19 нарушений, что на 13 % меньше, чем в 2020 году.

Основными  нарушениями, выявляемыми в ходе мероприятий по контролю (надзору) во взаимодействии с проверяемым лицом в установленной сфере деятельности, являются нарушения, связанные с представление в уполномоченный орган по защите прав субъектов персональных данных уведомления об обработке персональных данных содержащего неполные и недостоверные сведения либо непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных, что является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Имели место также нарушения, связанные с:

несоблюдением оператором требований по определению места (мест) хранения персональных данных (материальных носителей) и по установлению перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

несоблюдением оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации о факте такой обработки;

непринятием оператором необходимых и достаточных мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

несоответствием типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства в области персональных данных.

Подобные нарушения обусловлены несознательным отношением операторов к исполнению публично-правовых обязанностей, самонадеянностью, что невыполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» не несет существенной угрозы охраняемым общественным отношениям и исключает наступление каких-либо материальных последствий правонарушения.

В качестве профилактических мер, целью которых являлось  повышение правовой грамотности операторов в вопросах исполнения ими обязанностей, предусмотренных законодательством в области персональных данных, специалисты Управления в течение 4 квартала 2021 года провели 3 вебинара, на которых выступили с докладами по темам:

«Основные требования, предъявляемые действующим законодательством к обработке персональных данных».

«Обзор  законодательства в области персональных данных. Административная практика применения мер ответственности, предусмотренной ст. 13.11 КоАП РФ».

Всего за 2021 год специалистами Управления в качестве профилактических мер было проведено 10 вебинаров.

В приоритете были консультации в телефонном режиме в виду неблагоприятной  эпидемиологической обстановки. Но и в дистанционном формате  операторы получают исчерпывающие консультации по вопросам связанным с осуществлением контроля и надзора в области персональных данных, в том числе по вопросам ведения реестра операторов, осуществляющих обработку персональных данных.

Внеплановые проверки по направлению деятельности государственный контроль (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в 2021 году не проводились.

В 2021 году Управлением проводились, согласно утвержденному плану, мероприятия систематического наблюдения в области персональных данных, проведено 104 мероприятия, из них 26 в 4 квартале 2021 года. Цель указанных мероприятий выявление и анализ нарушений операторами, осуществляющими обработку персональных данных требований законодательства Российской Федерации в области персональных данных. Деятельность, осуществляемая с нарушением требований законодательства в области персональных данных, учитывается при отнесении деятельности лица к определенной категории риска.

В 2021 году из общего количества мероприятий систематического наблюдения в области персональных данных проведено:

- 48 мероприятий в сети Интернет (12 мероприятий в 4 квартале 2021 года);

-8 мероприятий в местах розничной торговли в целях выявления фактов незаконной реализации на физических носителях баз данных, содержащих персональные данные граждан (2 мероприятия в 4 квартале 2021 года);

-48 мероприятий по мониторингу мобильных приложений (12 в 4 квартале 2021 года).

 По результатам проведенных мероприятий в 2021 году нарушений не выявлено.

 

2. Привлечение к административной ответственности. Итоги судебно-претензионной работы

По ст. 19.7 КоАП РФ в 2021 году составлено 63 протокола об административных правонарушениях, в том числе, 18 протоколов в 4 квартале 2021 года. Это в 2,17 раза больше, чем в 2020 году и соответственно в 2 раза больше, чем в 4 квартале 2020 года. Все материалы были направлены на рассмотрение мировым судьям. По 9 делам, материалы по которым были направлены на рассмотрение мировым судьям в 4 квартале 2021 года, виновные лица привлечены к административной ответственности, 9 дел находятся на рассмотрении.

Всего по ст. 19.7 КоАП РФ в 2021 году судами рассмотрено 56 дел, в том числе 4 по протоколам, составленным в 2020 году. По результатам рассмотренных протоколов судами наложено 9 штрафов, что соответствует количеству штрафов, наложенных в 2020 году; вынесено 45 предупреждений, что в 2,1 раза больше, чем в 2020 году. По 2 делам было прекращено производство.

Большинство протоколов по ст. 19.7 КоАП РФ составлено за непредставление операторами информации, необходимой Управлению по запросам о предоставлении уведомления или иной информации, предусмотренной ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также за непредставление информации, запрашиваемой Управлением у операторов при рассмотрении обращений граждан.

По ст. 13.11 КоАП РФ в 4 квартале 2021 года вынесено 52 определения об отказе в возбуждении дела об административном правонарушении по разным частям ст. 13.11 КоАП РФ в связи с отсутствием события (состава) административного правонарушения. Таким образом, за 2021 года было вынесено 424 определения об отказе в возбуждении дела по частям ст. 13.11 КоАП РФ в связи с отсутствием события (состава) административного правонарушения, а также в связи с истечением сроков давности привлечения к административной ответственности.

В 2021 году необходимости в составлении протоколов об административных правонарушениях по ч. 1 ст. 19.5 КоАП РФ не возникало.

При рассмотрении обращений граждан, в соответствии с установленной компетенцией, при подтверждении фактов нарушения прав субъектов персональных данных в адрес операторов, допустивших такие нарушения, Управлением  направляется письмо, содержащее  требование об устранении допущенных нарушений. За 4 кв. 2021 г. направлено 12 указанных писем.

Также в адрес социальной сети ВКонтакте было направлено 2 письма об оказании содействия в удалении персональных данных, которые были удовлетворены.

За 12 месяцев 2021 года исковые заявления в защиту прав субъекта персональных данных не направлялись.

3. Рекомендации  в отношении мер, которые должны приниматься объектами надзора в целях недопущения таких нарушений

В целях недопущения нарушений обязательных требований законодательства Российской  Федерации в области персональных данных Управление операторам, осуществляющим обработку персональных данных  ознакомиться с подготовленными Рекомендациями.

3.1. Рекомендации по вопросам представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (нарушение требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи . 22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»». Уведомление, предусмотренное частью 1 указанной  статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

В случае изменения сведений, указанных в части 3 статьи  22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В целях разъяснения порядка направления операторами, осуществляющими обработку персональных данных, сведений об обработке (намерении осуществлять обработку) персональных данных, об изменении ранее представленных сведений, о прекращении обработки персональных данных  подготовлены Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) . Размещены  на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность управления>Персональные данные > Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/

На  Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница > Реестр операторов> Документы) размещены примеры  заполнения: информационного письма,  уведомления, а также заявления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных и  заявления о предоставлении выписки из реестра операторов.

Сами формы доступны для заполнения на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».

3.2.Рекомендации по вопросам необходимости опубликования оператором документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также необеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (нарушение требований части 2 статьи 18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» размещены  на официальном сайте Роскомнадзора по адресу (Главная страница> Персональные данные > Рекомендации по составлению политики обработки персональных данных>)

https://rkn.gov.ru/personal-data/p908/

3.3. Рекомендации по соблюдению обязательных требований, предъявляемых  законодательством  Российской Федерации в области персональных данных к осуществлению деятельности операторов при обработке персональных данных

В соответствии с   ч.1 ст.6 Федерального закона  обработка персональных данных субъектов персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального закона определены случаи, когда допускается обработка персональных данных.

Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница>Профилактика нарушений обязательных требований>Перечень в сфере защиты прав субъектов персональных данных>Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных>)

https://rkn.gov.ru/p582/p585/p863/

4. Рекомендации при  проведении мероприятий контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской  Федерации в области персональных данных

При организации и проведении мероприятий следует руководствоваться перечнем нормативных правовых актов, непосредственно регулирующих проведение проверок. Перечень доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований> Перечень в сфере защиты прав субъектов персональных данных> Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок)

https://rkn.gov.ru/p582/p585/p862/