Обобщение
результатов проведенных контрольно-надзорных мероприятий в сфере персональных
данных за 2 квартал 2019 года
1.
Статистика количества проведенных контрольно - надзорных мероприятий и наиболее
часто встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной
деятельности во 2 квартале 2019 проводилось на основании планов деятельности
Енисейского управления Роскомнадзора, планов проверок юридических лиц и
индивидуальных предпринимателей. Проверки
индивидуальных предпринимателей в
указанном периоде не были запланированы.
Предметом государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных являются:
- деятельности
по обработке персональных данных;
- информационные системы персональных данных;
- документы, характер информации в которых
предполагает или допускает включение в них персональных данных.
Енисейским управлением Роскомнадзора
(далее - Управление) по направлению
деятельности государственный контроль (надзор) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных во 2 квартале 2019 было
запланировано и проведено 7 проверок,
что примерно соответствует количеству проверок того же периода 2018 (проведено 8 проверок). Все проверки проведены. По результатам
проведенных проверок выявлено 7 нарушений.
Основным нарушением, выявляемым в ходе мероприятий по контролю (надзору) во взаимодействии с проверяемым лицом в
установленной сфере деятельности, как и ранее, продолжает оставаться нарушение, связанное с
несвоевременной подачей информационных писем о внесении изменений в
сведения в Реестре операторов, осуществляющих обработку персональных данных,
что по-прежнему, обусловлено несознательным отношением операторов к исполнению
публично-правовых обязанностей, так как, по их мнению, невыполнение
требований Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных» не несет существенной угрозы
охраняемым общественным отношениям и исключает наступление каких-либо
материальных последствий правонарушения.
Специалистами
Управления продолжается методическая профилактическая работа среди операторов,
осуществляющих обработку персональных данных. На постоянной основе
ежеквартально проводятся обучающие семинары, на которых операторы, в отношении
которых запланированы надзорные мероприятия получают надлежащие консультации по
соблюдению требований законодательства в области персональных данных. Операторы
посещают Дни консультаций (25-го числа), на которых получают рекомендации
как подготовиться к проверке. Следствием этого является то,
что снижается количество выявляемых нарушений, а выявляемые носят
малозначительный характер, и в основном связаны с несвоевременным
предоставлением в уполномоченный орган необходимых сведений для внесения
изменений в Реестр операторов, осуществляющих обработку персональных данных.
Как и прошлые периоды ведутся постоянные консультации
в телефонном режиме и на личном приеме. Представители операторов получают исчерпывающие
консультации по вопросам связанным с
осуществлением контроля и надзора в области персональных данных, в том числе по
вопросам по ведения реестра операторов, осуществляющих обработку персональных
данных.
Анализ эффективности показывает, что
планы проведения плановых проверок во 2 квартале 2019 года выполнены, при
исполнении полномочий в сфере персональных данных нарушений не выявлено.
Во 2 квартале 2019 года внеплановые
проверки по направлению деятельности государственный
контроль (надзора) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в
области персональных данных Управлением не проводились.
В связи с
вступлением в законную силу Правил организации и осуществления государственного
контроля и надзора за обработкой персональных данных, утвержденных
постановлением Правительства Российской Федерации от 13.02.2019 № 146, при
требовании заявителя провести проверку оператора по его доводам, специалистами
оцениваются изложенные в обращении факты на предмет наличия оснований
проведения внеплановой проверки, предусмотренных п. п. б, п. 8 Правил (наличия
в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14 - 17
Федерального закона «О персональных данных», действиями (бездействием)
оператора при обработке персональных данных). Указанных случаев во 2 квартале 2019
выявлено не было, внеплановых проверок по обращениям граждан также не
проводилось.
В целях выявления, анализа и прогнозирования нарушений
операторами, осуществляющими обработку персональных данных требований
законодательства Российской Федерации в области персональных данных Управлением
без взаимодействия с операторами на плановой основе осуществляются мероприятия
систематического наблюдения (мониторинга) в области персональных данных:
- в сети Интернет;
- в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан
- в части оценки соответствия информации, размещаемой
в общественных местах, на средствах наружной рекламы и светодиодных экранах по
выявлению признаков нарушений законодательства Российской Федерации в области
персональных данных.
Управлением проведено 14 мероприятий
систематического наблюдения в области персональных данных. Нарушений не выявлено
2.
Привлечение к административной ответственности. Итоги судебно-претензионной
работы
Во 2 квартале
2019 специалистами ТО в г. Кызыл составлен протокол в отношении учреждения
здравоохранения по ч.6 ст. 13.11 КоАП РФ за нарушение требований п.15 Положения
об особенностях обработки персональных данных, осуществляемой без использования
средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008г. №
687. Было выявлено несоблюдение условий, обеспечивающих сохранность
персональных данных и исключающих несанкционированный к ним доступ.
Нарушение выявлено по результатам
рассмотрения обращения гражданина и
заключалось в перемещении документации с персональными данными пациентов
в коридор подвального помещения на время ремонта архивного помещения. В
подвальном помещении учреждения здравоохранения находился кабинет для приема
пациентов, гардеробная, щитовая, таким образом, при хранении документации с
персональными данными пациентов не соблюдалось требование по исключению
несанкционированного к ним доступа посторонних лиц и обеспечении сохранности.
По результатам рассмотрения ответа
учреждения здравоохранения на запрос Енисейского управления Роскомнадзора в
рамках рассмотрения обращения гражданина, установлено нарушение п. 13 Положения
об особенностях обработки персональных данных, осуществляемых без использования
средств автоматизации, выразившихся в непринятии необходимых и достаточных мер
для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и
принятыми в соответствии с ним нормативными правовыми актами, в части
касающихся определения места хранения персональных данных (материальных
носителей).
По ст. 19.7 КоАП РФ во 2 квартале
2019 составлено 27 протоколов об
административных правонарушениях, все материалы направлены на рассмотрение
мировым судьям. Все случаи возбуждения административного производства связаны с
не предоставлением операторами необходимой информации Управлению по его
запросу. Как правило, это запросы о предоставлении уведомления либо иной
информации в рамках ч.2 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных». Возбуждение административного производства, по-прежнему
является неким стимулятором для операторов для подачи в большинстве случаев в
Управление Уведомления об обработке персональных данных.
Во 2 квартале
2019 в Управление поступило два положительных решения, не вступивших в законную силу по
ранее направленным Управлением искам, подготовленным по результатам
рассмотрения обращений граждан при установлении фактов нарушения федерального
законодательства в сфере обработки персональных данных, выразившихся в
размещении персональных данных граждан на интернет – ресурсах (или на отдельных
страницах сайтов), администратором которых являются операторы,
зарегистрированные за пределами Российской Федерации.
Всего по искам Управления вынесено 5
положительных решений в отношении следующих доменов: 7numbers.me, botsman.org, interesnoe.me,
numinfo.net, vseprofili.com.
3. Рекомендации в отношении мер, которые должны приниматься
объектами надзора в целях недопущения таких нарушений
В целях недопущения нарушений
обязательных требований законодательства Российской Федерации в области персональных данных
Управление операторам, осуществляющим обработку персональных данных ознакомиться с подготовленными Рекомендациями.
3.1. Рекомендации по вопросам
представления в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушение
требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2 статьи .
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»».
Уведомление, предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме электронного
документа и подписывается уполномоченным лицом.
В случае
изменения сведений, указанных в части 3 статьи
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а
также в случае прекращения обработки персональных данных оператор обязан
уведомить об этом уполномоченный орган по защите прав субъектов персональных
данных в течение десяти рабочих дней с даты возникновения таких изменений или с
даты прекращения обработки персональных данных.
В целях разъяснения порядка
направления операторами, осуществляющими обработку персональных данных,
сведений об обработке (намерении осуществлять обработку) персональных данных,
об изменении ранее представленных сведений, о прекращении обработки
персональных данных подготовлены
Методические рекомендации по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения (утв. Приказом Роскомнадзора от 30.05.2018 N 94). Размещены на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность
управления>Персональные данные > Рекомендации по составлению документа,
определяющего политику оператора в отношении обработки персональных данных в
порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ «О
персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе
«Электронные формы заявлений».
3.2.Рекомендации
по вопросам не опубликования оператором документов, определяющих политику в отношении
обработки персональных данных, и сведений о реализуемых требованиях к защите
персональных данных, а также необеспечение возможности доступа к указанному
документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная
страница> Персональные данные > Рекомендации по составлению политики
обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3. Рекомендации по вопросам
обработки персональных данных, осуществляемой с нарушением обязательных
требований, предъявляемых
законодательством Российской
Федерации в области персональных данных к осуществлению деятельности операторов
В соответствии с ч.1 ст.6 Федерального закона обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального
закона определены случаи, когда допускается обработка персональных данных.
Перечень
нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных требованием законодательства
Российской Федерации в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений
обязательных требований> Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности юридических
лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской
Федерации в области персональных данных>)
https://rkn.gov.ru/p582/p585/p863/
4. Рекомендации при
проведении мероприятий контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской Федерации в области персональных данных
При
организации и проведении мероприятий следует руководствоваться перечнем
нормативных правовых актов, непосредственно регулирующих проведение проверок.
Перечень доступен на официальном сайте
Роскомнадзора по адресу (Главная
страница> Профилактика нарушений обязательных требований> Перечень в
сфере защиты прав субъектов персональных данных> Перечень нормативных
правовых актов, непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/