Обобщение
результатов проведенных контрольно-надзорных мероприятий в сфере персональных
данных за 3 кв. 2019 года
1.
Статистика количества проведенных контрольно-надзорных мероприятий и наиболее
часто встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной
деятельности в 3 кв. 2019 г. проводилось на основании Плана деятельности
Енисейского управления Роскомнадзора, планов проверок юридических лиц и
индивидуальных предпринимателей. Проверки
индивидуальных предпринимателей в
указанном периоде не были запланированы.
Предметом государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных являются:
- деятельности
по обработке персональных данных;
- информационные системы персональных данных;
- документы, характер информации в которых
предполагает или допускает включение в них персональных данных.
Енисейским
управлением Роскомнадзора (далее - Управление) по направлению деятельности государственный контроль (надзор) за соответствием
обработки персональных данных требованиям законодательства Российской Федерации
в области персональных данных в 3 кв. 2019 г. было запланировано и проведено 7 проверок,
в том числе, 3 проверки в отношении органов
местного самоуправления, которые предварительно в установленные сроки были
согласованы с органами прокуратуры.
По
результатам проведенных проверок органов местного
самоуправления выявлено 3 нарушения. Два нарушения выразились в несвоевременной подаче
информационных писем о внесении изменений в сведения в Реестре операторов,
осуществляющих обработку персональных данных операторами. Одно нарушение
п.п. д) п. 1
Перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом "О персональных данных" и
принятыми в соответствии с ним нормативными правовыми актами, операторами,
являющимися государственными или муниципальными органами, утвержденного
постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211.
Специалистами Управления на постоянной основе проводится
профилактическая работа с операторами, осуществляющими обработку персональных
данных:
- ежеквартально проводятся обучающие семинары, на
которые в приоритетном порядке приглашаются операторы, в отношении которых
запланированы надзорные мероприятия. В ходе семинаров слушатели получают
надлежащие консультации по соблюдению требований законодательства в области персональных
данных, получают раздаточный материал по теме;
- проводятся Дни консультаций (25-го числа каждого
месяца), на которых представители операторов получают рекомендации как
подготовиться к проверке. Результатом является то, что снижается количество
выявляемых нарушений, а выявляемые носят малозначительный характер, и в
основном связаны с несвоевременным предоставлением в уполномоченный орган
необходимых сведений для внесения изменений в Реестр операторов, осуществляющих
обработку персональных данных;
- ведутся постоянные консультации в телефонном режиме
и на личном приеме. Представители
операторов получают исчерпывающую информацию по вопросам связанным с
осуществлением контроля и надзора в области персональных данных, в том числе по
вопросам внесения в Реестр операторов, осуществляющих обработку персональных
данных необходимых сведений.
Анализ эффективности показывает, что
планы проведения плановых проверок в 3 квартале 2019 года выполнены, при
исполнении полномочий в сфере персональных данных нарушений не выявлено.
В 3 кв. 2019 г. внеплановые проверки
по направлению деятельности государственный контроль
(надзора) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в
области персональных данных Управлением не
проводились.
В связи с вступлением в законную
силу Правил организации и осуществления государственного контроля и надзора за
обработкой персональных данных, утвержденных постановлением Правительства
Российской Федерации от 13.02.2019 № 146, при требовании заявителя провести
проверку оператора по его доводам, специалистами оцениваются изложенные в
обращении факты на предмет наличия оснований проведения внеплановой проверки,
предусмотренных п. п. б, п. 8 Правил (наличия в обращении материалов,
подтверждающих факт нарушения их прав, определенных статьями 14 - 17
Федерального закона «О персональных данных», действиями (бездействием)
оператора при обработке персональных данных). Указанных случаев в 3 кв.2019 г.
выявлено не было, внеплановых проверок по обращениям граждан также не
проводилось.
В целях выявления, анализа и прогнозирования нарушений
операторами, осуществляющими обработку персональных данных требований
законодательства Российской Федерации в области персональных данных Управлением
без взаимодействия с операторами на плановой основе осуществляются мероприятия
систематического наблюдения (мониторинга) в области персональных данных:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан;
-в части оценки соответствия информации, размещаемой в
общественных местах, на средствах наружной рекламы и светодиодных экранах по
выявлению признаков нарушений законодательства Российской Федерации в области
персональных данных.
Управлением проведено 16 мероприятий
систематического наблюдения в области персональных данных. Выявлено 3 нарушения в
деятельности государственных и муниципальных органов власти. Выявлены признаки
нарушения по п.2 Постановления Правительства Российской Федерации от 21.03.2012
г. № 211. По результатам выявленных нарушений направлены письма об устранении
выявленных нарушений.
2.
Привлечение к административной ответственности. Итоги судебно-претензионной
работы
В 3 квартале 2019 года специалистами Управления составлено
28 протоколов об административных правонарушениях по ст.19.7 КоАП РФ в
отношении операторов персональных данных. Протоколы составлялись при выявлении
случаев не предоставления операторами необходимой информации Управлению по его
запросу. Как правило, это запросы о предоставлении уведомления либо иной
информации в рамках ч.2 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О
персональных данных». Все материалы направлены на рассмотрение мировым судьям.
По результатам рассмотренных протоколов, в том числе направленных ранее, судами
вынесены следующие решения:
- по 9 протоколам - о наложении административного
взыскания в виде штрафа. Общая сумма 27 тысяч рублей;
- по 27 протоколам - о наложении административного
взыскания в виде предупреждения;
- по 1 протоколу прекращено производство по делу в
связи с малозначительностью.
К административной ответственности за нарушения
требований законодательства в области персональных данных по результатам
плановых выездных проверок юридические и должностные лица не привлекались.
Составлен один протокол по ч.1 ст. 19.5 КоАП РФ за невыполнение предписания,
выданного по результатам проверки, решение, о результатах рассмотрения которого
на конец отчетного периода еще не поступило.
В 3 кв. 2019 г. специалистами Управления
протоколы в отношении операторов по ст. 13.11 КоАП РФ не составлялись.
В 3 кв. 2019 г. в Управление
поступило два положительных решения, вступивших
в законную силу по ранее направленным Управлением искам, подготовленным по
результатам рассмотрения обращений граждан при установлении фактов нарушения
федерального законодательства в сфере обработки персональных данных, выразившихся
в размещении персональных данных граждан на интернет – ресурсах (или на
отдельных страницах сайтов), администратором которых являются операторы,
зарегистрированные за пределами Российской Федерации.
Всего по искам Управления вынесено 5
положительных решений в отношении следующих доменов: 7numbers.me, botsman.org, interesnoe.me,
numinfo.net, vseprofili.com.
3. Рекомендации в отношении мер, которые должны приниматься
объектами надзора в целях недопущения таких нарушений
В целях недопущения нарушений обязательных
требований законодательства Российской Федерации в области персональных данных
Управление операторам, осуществляющим обработку персональных данных ознакомиться
с подготовленными Рекомендациями.
3.1. Рекомендации по вопросам
представления в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушение
требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2 статьи .
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»».
Уведомление, предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
В случае изменения сведений,
указанных в части 3 статьи 22
Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а также в
случае прекращения обработки персональных данных оператор обязан уведомить об
этом уполномоченный орган по защите прав субъектов персональных данных в
течение десяти рабочих дней с даты возникновения таких изменений или с даты
прекращения обработки персональных данных.
В целях разъяснения порядка
направления операторами, осуществляющими обработку персональных данных,
сведений об обработке (намерении осуществлять обработку) персональных данных,
об изменении ранее представленных сведений, о прекращении обработки
персональных данных подготовлены
Методические рекомендации по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения (утв. Приказом Роскомнадзора от 30.05.2018 N 94) . Размещены на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная страница> Деятельность
управления>Персональные данные > Рекомендации по составлению документа,
определяющего политику оператора в отношении обработки персональных данных в
порядке, установленном Федеральным законом от 27.07.2006 года № 152-ФЗ «О
персональных данных»>) https://24.rkn.gov.ru/directions/p5987/p22406
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе
«Электронные формы заявлений».
3.2.Рекомендации по вопросам не
опубликования оператором документов, определяющих политику в отношении
обработки персональных данных, и сведений о реализуемых требованиях к защите
персональных данных, а также необеспечение возможности доступа к указанному
документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная
страница> Персональные данные > Рекомендации по составлению политики
обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3. Рекомендации по вопросам
обработки персональных данных, осуществляемой с нарушением обязательных требований,
предъявляемых законодательством Российской Федерации в области персональных
данных к осуществлению деятельности операторов
В соответствии с ч.1 ст.6 Федерального закона обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального
закона определены случаи, когда допускается обработка персональных данных.
Перечень нормативных правовых актов,
устанавливающих обязательные требования к осуществлению деятельности
юридических лиц и индивидуальных предпринимателей за соответствием обработки
персональных данных требованием законодательства Российской Федерации в области
персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница> Профилактика нарушений обязательных требований>
Перечень нормативных правовых актов, устанавливающих обязательные требования к
осуществлению деятельности юридических лиц и индивидуальных предпринимателей за
соответствием обработки персональных данных требованием законодательства
Российской Федерации в области персональных данных>)
https://rkn.gov.ru/p582/p585/p863/
4. Рекомендации при
проведении мероприятий контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской Федерации в области персональных данных
При
организации и проведении мероприятий следует руководствоваться перечнем
нормативных правовых актов, непосредственно регулирующих проведение проверок.
Перечень доступен на официальном сайте
Роскомнадзора по адресу (Главная
страница> Профилактика нарушений обязательных требований> Перечень в
сфере защиты прав субъектов персональных данных> Перечень нормативных
правовых актов, непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/