Обобщение
результатов проведенных контрольно-надзорных мероприятий в сфере персональных
данных за 4 квартал 2019 года
(с
нарастающим итогом)
1 .
Статистика количества проведенных контрольно-надзорных мероприятий и наиболее
часто встречающиеся нарушения обязательных требований
Осуществление контрольно-надзорной деятельности в 2019
году проводилось на основании планов деятельности Енисейского управления
Роскомнадзора, планов проверок юридических лиц и индивидуальных
предпринимателей, а также органов местного самоуправления.
Предметом государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных являются:
- деятельность оператора по обработке персональных
данных, осуществляемой с использованием и (или) без использования средств
автоматизации, на предмет ее соответствия требованиям, в том числе мер,
принимаемых оператором во исполнение требований;
- документы и локальные акты оператора, указанные в части
1 статьи 18.1 Федерального закона "О персональных данных", и принятые
оператором меры, указанные в части 1 статьи 18.1 Федерального закона "О
персональных данных";
- информационные системы персональных данных в части,
касающейся обработки персональных данных субъектов персональных данных.
Енисейским
управлением Роскомнадзора (далее - Управление)
по направлению деятельности государственный
контроль (надзора) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в
области персональных данных в 2019 году было запланировано к проведению 35
проверок, что на 6 % больше, чем в 2018.
В 2019 году был один случай не проведения плановой проверки на
территории Республики Тыва, и был обусловлен отсутствием руководителя, иного
уполномоченного представителя оператора на момент проведения проверки.
Проведено за
12 месяцев (4 квартал) 2019 года 34 (9) проверки, что на 21 % больше, чем в 2018.
По результатам проведенных проверок выявлено 46 (14) нарушений, в 2018 году
было выявлено 23 (6) нарушения. Основными нарушениями,
выявляемыми в ходе государственного контроля и надзора за соответствием
обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных продолжают
оставаться нарушения, связанные с неподачей
уведомления либо несвоевременной подачей информационного письма о внесении
изменений в сведения в реестре операторов, осуществляющих обработку
персональных данных.
В качестве
профилактических мер, целью которых являлось повышение правовой грамотности операторов в
вопросах исполнения ими обязанностей, предусмотренных законодательством в
области персональных данных, специалисты
Управления в течение 2019 года провели 65 мероприятий для определенного круга лиц,
которые посетили 948 операторов. В частности, проведено 53 семинара, 11
выездных встреч, 1 рабочая встреча-совещание. В ходе указанных мероприятий
специалисты Управления выступали с докладами
по теме обеспечение защиты прав субъектов персональных данных,
участникам был роздан информационно-методический материал.
В 2019 году Управлением продолжена успешная практика
проведения для операторов Дня
консультаций 25 числа каждого месяца. В течение
всего дня операторам, посетившим Управление, оказывается практическая помощь в заполнении
уведомления либо информационного письма для внесения информации в Реестр
операторов, осуществляющих обработку персональных данных. Особое внимание ко
Дню консультаций проявляют операторы,
в отношении которых запланированы надзорные мероприятия, желающие получить
консультации по соблюдению требований законодательства в области персональных
данных.
Внеплановые проверки по направлению
деятельности государственный контроль (надзора) за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области
персональных данных в 2019 году не проводились. Проверки индивидуальных предпринимателей в указанном периоде не были запланированы.
За 12 месяцев (4 квартал) 2019 года Управлением
проводились согласно утвержденному плану
мероприятия систематического наблюдения в области персональных данных,
проведено 56 (14) мероприятий.
Цель указанных мероприятий - выявление и анализ
нарушений операторами, осуществляющими обработку персональных данных требований
законодательства Российской Федерации в области персональных данных. По
результатам анализа в дальнейшем принимается решение о включении злостных
нарушителей в План проверок, осуществляемых во взаимодействии с операторами.
Мероприятия систематического наблюдения в области персональных
данных проводились в 2019 году:
- в сети Интернет;
-в местах розничной торговли в целях выявления фактов
незаконной реализации на физических носителях баз данных, содержащих
персональные данные граждан;
-в части оценки соответствия информации, размещаемой в
общественных местах, на средствах наружной рекламы и светодиодных экранах по
выявлению признаков нарушений законодательства Российской Федерации в области
персональных данных.
По результатам проведенных мероприятий за 12 месяцев (4
квартал) 2019 года выявлено 8 (3) нарушений, такое же количество нарушений было
выявлено и за прошлый год.
Все нарушения были выявлены при осуществлении мониторинга в области
персональных данных в сети Интернет. Нарушения были допущены в
основном операторами, являющимися
государственными и муниципальными
органами власти (не опубликование оператором документов, определяющих
политику в отношении обработки персональных данных, и сведений о реализуемых
требованиях к защите персональных данных, а также необеспечение возможности
доступа к указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети). Также были зафиксированы
случаи нарушения законодательства в области персональных данных действиями
образовательных учреждений и организаций, оказывающих жилищно-коммунальные
услуги (факты наличия в свободном доступе (на Интернет – ресурсе) персональных
данных граждан без правого основания).
Особое
внимание было уделено пропаганде среди несовершеннолетних образа жизни,
направленного на бережное отношение к персональным данным при обработке ими личной
информации, в том числе, в интернет - пространстве.
Спектр мероприятий, проведенных специалистами Управления в 2019 году
разнообразен, что позволяет охватить значительное количество
несовершеннолетних, проведено 57 мероприятий для 49270 учащихся. В частности, проводились
внеклассные часы для учащихся 6-11 классов в общеобразовательных учреждениях
Красноярского края, Республики Тыва и Республики Хакасия на тему:
"Информационная безопасность в сети Интернет. Персональные данные.
Дети", проводились выездные летние уроки по теме
«Обеспечение информационной безопасности детства» в летних оздоровительных лагерях отдыха детей, проведено несколько виртуальных
уроков.
Енисейским управлением Роскомнадзора
при исполнении полномочий в сфере персональных данных нарушений не выявлено.
2.
Привлечение к административной ответственности. Итоги судебно-претензионной
работы
В 2019 году к административной
ответственности по результатам проверок юридические и должностные лица не
привлекались.
По ст. 19.7 КоАП РФ в 2019 году
составлено 85 протоколов об административных правонарушениях, что на 25 %
больше, чем в 2018 году. Все материалы направлены на рассмотрение мировым
судьям.
Всего по ст. 19.7 КоАП РФ в 2019
году судами рассмотрено 87 дел, из них 13 дел по протоколам направленным в 2018
году. По 83 делам виновные лица привлечены к административной ответственности,
по 4 делам производство прекращено. 11 дел находится на рассмотрении суда.
По результатам рассмотренных
протоколов судами наложен 21 штраф, что на 144% больше, чем в 2018 году;
вынесено 62 предупреждения, что на 93 % превышает результат предыдущего года.
Все случаи возбуждения
административного производства связаны с непредставлением необходимой
Управлению информации по его запросу. Как правило, это относится к запросам о
предоставлении уведомления или иной информации по ч. 2 ст. 22 Федерального
закона от 27.07.2006 № 152-ФЗ «О персональных данных». Анализ рассматриваемых
случаев возбуждения административных производств продемонстрировал,
что вызов на составление на протокол способствует подаче Уведомлений данными
Операторами.
По ст. 13.11 КоАП РФ в 2019 году был
составлен 1 протокол и направлен в суд по ч. 6 ст. 13.11 КоАП РФ, по
результатам по решению мирового судьи юридическому лицу был назначен штраф в
размере 25000 рублей, Кызылским городским судом
решение мирового судьи было отменено, производство по делу прекращено. Вынесено
69 определений об отказе в возбуждении дела по частям ст. 13.11 КоАП РФ.
По ст. 19.5 КоАП РФ в 2019 году составлено
2 протокола об административных правонарушениях. Один протокол направлен в суд
по ч. 1 ст. 19.5 КоАП РФ, по результатам рассмотрения юридическому лицу
назначено наказание в виде штрафа в размере 10 000 руб. Второй протокол по
ч. 1 ст. 19.5 КоАП РФ направлен в суд, находится на рассмотрении.
В 2019 году
по результатам рассмотрения обращений граждан, Управление были установлены
факты нарушения федерального законодательства в сфере обработки персональных
данных, выразившиеся в размещении персональных данных граждан на интернет –
ресурсах (или на отдельных страницах сайтов), администратором которых являются
операторы, зарегистрированные за пределами Российской Федерации Управлением
принимаются меры согласно пунктам 3, 5 ст.23 Федерального закона от 27.06.2006
№ 152-ФЗ «О персональных данных». В отношении подобных ресурсов
подготовлено и направлено 2 исковых заявления в Октябрьский районный суд г.
Красноярска о признании информации, распространяемой интернет-ресурсами,
информацией, обрабатываемой с нарушением законодательства в области
персональных данных. По результатам рассмотрения одного
обращения подан иск в отношении vseprofili.com администратором является
оператор, зарегистрированный на территории Кипра), по результатам судебного
заседания вынесено решение в пользу Управления и оно вступило в законную силу.
Доступ к указанному ресурсу заблокирован в установленном порядке, а информация
об итогах принятых мер размещена на официальном сайте Роскомнадзора. По второму обращению в отношении интернет –
ресурса https://доскажалоб.рф/ljudi/alfonsi/20684-vnimanie-alfons.html/
(администратором является оператор, зарегистрированный на территории Латвии)
также подано исковое заявление, рассмотрение которого назначено на январь
будущего года
3.
Рекомендации в отношении мер, которые
должны приниматься объектами надзора в целях недопущения таких нарушений
В целях недопущения
нарушений обязательных требований законодательства Российской Федерации в области персональных
данных Управление операторам, осуществляющим обработку персональных данных ознакомиться с подготовленными Рекомендациями.
3.1. Рекомендации по вопросам
представления в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушение
требований части 3 статьи 22 Федерального закона 27.07.2006 № 152-ФЗ «О
персональных данных»»).
Оператор до начала обработки
персональных данных обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку
персональных данных, за исключением случаев, предусмотренных частью 2 статьи .
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»».
Уведомление, предусмотренное частью 1 указанной
статьи, направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом.
В случае
изменения сведений, указанных в части 3 статьи
22 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», а
также в случае прекращения обработки персональных данных оператор обязан
уведомить об этом уполномоченный орган по защите прав субъектов персональных
данных в течение десяти рабочих дней с даты возникновения таких изменений или с
даты прекращения обработки персональных данных.
В целях
разъяснения порядка направления операторами, осуществляющими обработку
персональных данных, сведений об обработке (намерении осуществлять обработку)
персональных данных, об изменении ранее представленных сведений, о прекращении
обработки персональных данных
подготовлены Методические рекомендации по уведомлению уполномоченного
органа о начале обработки персональных данных и о внесении изменений в ранее
представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94) .
Размещены на официальном сайте Енисейского управления Роскомнадзора по адресу (Главная
страница> Деятельность управления>Персональные данные > Методические
рекомендации по уведомлению уполномоченного органа о начале обработки
персональных данных и о внесении изменений в ранее представленные сведения
(утв. Приказом Роскомнадзора от 30.05.2017 N 94) >) https://24.rkn.gov.ru/directions/p5987/p4245/
На
Портале персональных данных, (www.pd.rkn.gov.ru) (Главная страница >
Реестр операторов> Документы) размещены примеры заполнения: информационного письма, уведомления, а также заявления о внесении в
реестр операторов сведений о прекращении оператором обработки персональных
данных и заявления о предоставлении
выписки из реестра операторов.
Сами формы доступны для заполнения
на сайте Енисейского управления Роскомнадзора (www.24.rkn.gov.ru) в разделе
«Электронные формы заявлений».
3.2.Рекомендации
по вопросам не опубликования оператором документов, определяющих политику в
отношении обработки персональных данных, и сведений о реализуемых требованиях к
защите персональных данных, а также необеспечение возможности доступа к
указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети (нарушение требований части 2 статьи
18.1 Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»»).
Оператор обязан опубликовать или
иным образом обеспечить неограниченный доступ к документу, определяющему его
политику в отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий сбор
персональных данных с использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей информационно-телекоммуникационной сети
документ, определяющий его политику в отношении обработки персональных данных,
и сведения о реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Рекомендации по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №
152-ФЗ «О персональных данных» размещены
на официальном сайте
Роскомнадзора по адресу (Главная
страница> Персональные данные > Рекомендации по составлению политики
обработки персональных данных>)
https://rkn.gov.ru/personal-data/p908/
3.3. Рекомендации по вопросам
обработки персональных данных, осуществляемой с нарушением обязательных
требований, предъявляемых
законодательством Российской
Федерации в области персональных данных к осуществлению деятельности операторов
В соответствии с ч.1 ст.6 Федерального закона обработка персональных данных субъектов
персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных Федеральным законом. Пунктами 1-11 ч. 1 ст. 6 Федерального
закона определены случаи, когда допускается обработка персональных данных.
Перечень
нормативных правовых актов, устанавливающих обязательные требования к осуществлению
деятельности юридических лиц и индивидуальных предпринимателей за соответствием
обработки персональных данных требованием законодательства Российской Федерации
в области персональных данных доступен на официальном сайте Роскомнадзора по адресу (Главная страница>Профилактика нарушений обязательных требований>Перечень
в сфере защиты прав субъектов персональных данных>Перечень нормативных
правовых актов, устанавливающих обязательные требования к осуществлению
деятельности юридических лиц и
индивидуальных предпринимателей за соответствием обработки персональных данных
требованием законодательства Российской Федерации в области персональных
данных>)
https://rkn.gov.ru/p582/p585/p863/
4. Рекомендации при
проведении мероприятий контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства Российской Федерации в области персональных данных
При
организации и проведении мероприятий следует руководствоваться перечнем нормативных
правовых актов, непосредственно регулирующих проведение проверок. Перечень
доступен на официальном сайте
Роскомнадзора по адресу (Главная
страница> Профилактика нарушений обязательных требований> Перечень в
сфере защиты прав субъектов персональных данных> Перечень нормативных
правовых актов, непосредственно регулирующих проведение проверок)
https://rkn.gov.ru/p582/p585/p862/
В целях
повышения правовой грамотности
Роскомнадзор в рамках реализации Стратегии институционального развития и
информационно-публичной деятельности в области защиты прав субъектов
персональных данных на период до 2020 года открыл на Портале
персональных данных продолжает работать сервис «Задай тему
Роскомнадзору» https://pd.rkn.gov.ru/poll/.