Обобщение результатов проведенных
контрольно-надзорных мероприятий в сфере персональных данных за 1 кв. 2019 года
1.
Статистика количества проведенных контрольно-
надзорных мероприятий и наиболее часто встречающиеся нарушения обязательных
требований
Осуществление контрольно-надзорной
деятельности в 1 кв. 2019 г. году проводилось на основании планов деятельности
Енисейского управления Роскомнадзора, планов проверок юридических лиц и
индивидуальных предпринимателей.
Предметом государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных являются:
- деятельности
по обработке персональных данных;
- информационные системы персональных данных;
- документы, характер информации в которых
предполагает или допускает включение в них персональных данных.
Енисейским управлением Роскомнадзора
(далее - Управление) по направлению
деятельности государственный контроль (надзор) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных в 1 кв. 2019 г. было запланировано к проведению 11 проверок,
что на 52 % больше, чем в том же периоде
2018 г. Все проверки проведены. По результатам проведенных проверок
выявлено 13 нарушений, что на 66.6 % больше, чем в 2018 году. Основным
нарушением, выявляемым в ходе
мероприятий по контролю (надзору) во взаимодействии с
проверяемым лицом в установленной сфере деятельности, как и ранее, продолжает оставаться нарушение, связанное с
несвоевременной подачей информационных писем о внесении изменений в
сведения в Реестре операторов, осуществляющих обработку персональных данных,
что по-прежнему, обусловлено несознательным отношением операторов к исполнению
публично-правовых обязанностей, так как, по их мнению
невыполнение требований Федерального
закона от 27.07.2006 № 152-ФЗ «О персональных данных» не несет существенной
угрозы охраняемым общественным отношениям и исключает наступление каких-либо
материальных последствий правонарушения.
Как и прошлые периоды продолжают направляться разъяснения в органы власти, различных уровней о необходимости
подачи уведомления или информационного письма организациями им
подведомственными, а также самими органами власти.
В 1 кв. 2019 г. Управлением успешно продолжает
реализовываться такой вид профилактических мероприятий, для операторов как День
консультаций, 25 числа каждого месяца. В течение этого Дня все желающие
получают консультации по соблюдению требований законодательства в области
персональных данных и практическую помощь при заполнении уведомлений Дни консультаций посещали и операторы, в отношении которых были запланированы
надзорные мероприятия.
В телефонном режиме и на личном приеме представители операторов получают исчерпывающие
консультации по вопросам связанным с
осуществлением контроля и надзора в области персональных данных, в том числе по
вопросам по ведения реестра операторов, осуществляющих обработку персональных
данных.
Внеплановые проверки по направлению
деятельности государственный контроль (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных в 1 кв. 2019 г. не проводились. Проверки индивидуальных предпринимателей в указанном периоде не были запланированы. Анализ
эффективности показывает, что планы проведения плановых проверок в 1 квартале
2019 года выполнены, при исполнении полномочий в сфере персональных данных нарушений не выявлено.
Также Управление в целях выявления, анализа и
прогнозирования нарушений операторами, осуществляющими
обработку персональных данных требований законодательства Российской Федерации
в области персональных данных без взаимодействия с операторами осуществляются
мероприятия систематического наблюдения (мониторинга) в области персональных
данных:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан
-в части оценки соответствия информации, размещаемой в
общественных местах, на средствах наружной рекламы и светодиодных экранах по
выявлению признаков нарушений законодательства Российской Федерации в области
персональных данных.
Управлением проведено 14 мероприятий
систематического наблюдения в области персональных данных. Выявлено 2 нарушения,
что на 40% меньше чем в том же периоде прошлого периода. Все нарушения были выявлены при осуществлении мониторинга в области
персональных данных в сети Интернет на территории Республики Хакасия. Нарушений были допущены операторами, являющимися организациями в
сфере ЖКХ и касались невыполнения требований ч.1ст 6 и ч.2 ст.18.1 Федерального закона от
27.07.2006г. № 152-ФЗ «О персональных данных» -
факты наличия в свободном доступе (на интернет – ресурсе) персональных
данных граждан без правого основания и непринятие
мер учреждением осуществляющим сбор персональных данных с использованием
информационно-телекоммуникационных сетей, обязанности опубликовать в соответствующей
информационно-телекоммуникационной сети документа, определяющего его политику в
отношении обработки персональных данных, и сведениях о реализуемых требованиях
к защите персональных данных.
2.
Привлечение к административной ответственности. Итоги судебно-претензионной
работы
В 1 кв. 2019 г. к административной ответственности по
результатам проверок юридические и
должностные лица не привлекались.
По ст. 19.7 КоАП РФ в 1 кв. 2019 г. составлено 17 протоколов об административных
правонарушениях, все материалы направлены на рассмотрение мировым судьям. Все
случаи возбуждения административного производства связаны с не предоставлением
операторами необходимой информации Управлению по его запросу. Как правило, это
запросы о предоставлении уведомления либо иной информации в рамках ч.2 ст.22 Федерального
закона от 27.07.2006 № 152-ФЗ «О персональных данных». Возбуждение
административного производства, по-прежнему является неким стимулятором для
операторов для подачи в большинстве случаев в Управление Уведомления об
обработке персональных данных.
По ст. 13.11 КоАП РФ в 1 кв. 2019 г.
протоколы не составлялись, по результатам рассмотрения обращений граждан вынесено
17 определений об отказе в возбуждении дела по частям ст. 13.11 КоАП РФ
В случае подтверждения
фактов нарушений прав субъектов персональных данных в адрес операторов,
допустивших нарушение прав субъектов персональных данных направляется
требование об устранении допущенных нарушений. За 1 кв. 2019 г. направлено 6
требований, все удовлетворены.
В 1 кв. 2019 г. по результатам
рассмотрения обращений граждан, Управление были установлены факты нарушения
федерального законодательства в сфере обработки персональных данных,
выразившиеся в размещении персональных данных граждан на интернет – ресурсах
(или на отдельных страницах сайтов), администратором которых являются операторы,
зарегистрированные за пределами Российской Федерации Управлением принимаются
меры согласно пунктам 3, 5 ст.23 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных». В отношении подобных
ресурсов подготовлено и направлено исковое
заявление в Октябрьский районный суд г. Красноярска о признании информации,
распространяемой интернет-ресурсами, информацией,
обрабатываемой с нарушением законодательства в области персональных данных. По
результатам рассмотрения двух исков в отношении http://interesnoe.me/user-4374027, (администратором является оператор,
зарегистрированный на территории Центр
Океан, Берег Монтегю, Ист Бэй Стрит, Насау,
остров Нью Провиденс, Содружество Багамских Островов),
и в отношении интернет – ресурса http://botsman.org/, (администратором
является оператор, зарегистрированный
на территории Индии) приняты судом положительные решения, не вступившие в законную силу.
Один иск находится на рассмотрении в
суде.
3. Рекомендации в отношении мер, которые должны приниматься
объектами надзора в целях недопущения таких нарушений
В целях недопущения
нарушений обязательных требований законодательства Российской Федерации в области персональных
данных Управление операторам, осуществляющим обработку персональных данных ознакомиться с подготовленными Рекомендациями.
3.1. Рекомендации по вопросам
представления в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушение
требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2 статьи .
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»».
Уведомление, предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
В случае изменения сведений,
указанных в части 3 статьи 22 Федерального
закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в случае
прекращения обработки персональных данных оператор обязан уведомить об этом
уполномоченный орган по защите прав субъектов персональных данных в течение
десяти рабочих дней с даты возникновения таких изменений или с даты прекращения
обработки персональных данных.
В целях разъяснения порядка
направления операторами, осуществляющими обработку персональных данных,
сведений об обработке (намерении осуществлять обработку) персональных данных,
об изменении ранее представленных сведений, о прекращении обработки
персональных данных подготовлены
Методические рекомендации по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения (утв. Приказом Роскомнадзора от 30.05.2018 N 94) . Размещены на официальном сайте Енисейского управления Роскомнадзора
по адресу (Главная страница> Деятельность
управления>Персональные данные > Рекомендации по составлению документа,
определяющего политику оператора в отношении обработки персональных данных в
порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ «О
персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе «Электронные формы заявлений».
3.2.Рекомендации
по вопросам не опубликования оператором документов, определяющих политику в
отношении обработки персональных данных, и сведений о реализуемых требованиях к
защите персональных данных, а также необеспечение возможности доступа к
указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная
страница> Персональные данные > Рекомендации по составлению политики
обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3. Рекомендации по вопросам
обработки персональных данных, осуществляемой с нарушением обязательных
требований, предъявляемых
законодательством Российской
Федерации в области персональных данных к осуществлению деятельности операторов
В соответствии с ч.1 ст.6 Федерального закона обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального
закона определены случаи, когда допускается обработка персональных данных.
Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований>
Перечень нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных
требованием законодательства Российской Федерации в области персональных
данных>)
https://rkn.gov.ru/p582/p585/p863/
4. Рекомендации при
проведении мероприятий контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской Федерации в области персональных данных
При организации и проведении
мероприятий следует руководствоваться перечнем нормативных правовых актов,
непосредственно регулирующих проведение проверок. Перечень доступен на
официальном сайте Роскомнадзора по
адресу (Главная страница>
Профилактика нарушений обязательных требований> Перечень в сфере защиты прав
субъектов персональных данных> Перечень нормативных правовых актов,
непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/
В целях
повышения правовой грамотности
Роскомнадзор в рамках реализации Стратегии институционального развития и
информационно-публичной деятельности в области защиты прав субъектов
персональных данных на период до 2020 года открыл на Портале
персональных данных продолжает работать сервис «Задай тему Роскомнадзору» https://pd.rkn.gov.ru/poll/.