Отделом по защите прав субъектов персональных данных  и надзора в сфере информационных технологий проанализированы итоги контрольно-надзорных мероприятий, проведенных в 3 квартале 2016 г.

В указанном периоде проверки за соблюдением требований законодательства о персональных данных проведены в отношении 2 юридических лиц.

По итогам указанных проверок выявлены следующие нарушения:

- ч. 3 ст. 22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (2 нарушения);

- ч. 7 ст. 22 ФЗ «О персональных данных» - несоблюдение оператором установленных требований предоставления информации в уполномоченный орган по защите прав субъектов персональных данных в случае изменения сведений, указанных в ч. 3 ст. 22 ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных (1 нарушение);

- ч. 3 ст. 6 ФЗ «О персональных данных» - отсутствие в поручении лицу, которому оператором поручается обработка персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а так же требований к защите обрабатываемых персональных данных (1 нарушение);

- ч. 4 ст.21 ФЗ «О персональных данных» - несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки (1 нарушение);

- ч. 2.1 ст. 25 ФЗ «О персональных данных» - непредставление в уполномоченный орган операторами, которые осуществляли обработку персональных данных до 01.07.2011, изменений информации, содержащейся в уведомлении об обработке персональных данных не позднее 01.01.2013 (1 нарушение);

- ч. 1 ст. 6 ФЗ «О персональных данных» - обработка персональных данных в случаях, непредусмотренных Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» (1 нарушение);

- ч. 4 ст. 9 ФЗ «О персональных данных» - несоблюдение оператором установленных требований к письменной форме согласия на обработку персональных данных (1 нарушение);

- ч. 1 ст. 18.1 ФЗ «О персональных данных» - непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами (1 нарушение);

п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15 сентября 2008 г. №687, - лица, осуществляющие обработку персональных данных без использования средств автоматизации, не проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки (1 нарушение);

- п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15 сентября 2008 г. №687, - не установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (1 нарушение);

- п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15 сентября 2008 г. №687, - оператором не установлен перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер (1 нарушение).

По итогам проведения мероприятий по контролю в отношении государственных и муниципальных органов в 3 квартале 2016 г. выявлены следующие нарушения:

- ч. 3 ст. 22 ФЗ «О персональных данных» (1 нарушение);

- ч. 2.1 ст. 25 ФЗ «О персональных данных» (1 нарушение);

- ч. 7 ст. 22 ФЗ «О персональных данных» (1 нарушение);

- ч. 4 ст. 21 ФЗ «О персональных данных» (2 нарушения);

- ч. 1 ст. 22 ФЗ «О персональных данных» - непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде в части осуществления деятельности по обработке персональных данных, не попадающую под исключения ч. 2 ст. 22 Федерального закона «О персональных данных», без уведомления Уполномоченного органа по защите прав субъектов персональных данных (1 нарушение).

Необходимо отметить, что большинство нарушений в 3 квартале 2016 г. носит частный характер, при этом нарушение ч. 3 ст. 22 ФЗ «О персональных данных» выявлено в большинстве проверок.

В целях недопущения указанного нарушения, при заполнении Уведомления об обработке (о намерении осуществлять обработку) персональных данных необходимо использовать Рекомендации, размещенные на главной странице сайта или в разделе «Персональные данные».

Консультацию по заполнению формы Уведомления об обработке (о намерении осуществлять обработку) персональных данных и порядку внесения изменений можно получить по телефону: (4852) 32-98-19.

Операторам, зарегистрированным в Реестре операторов, осуществляющих обработку персональных данных, рекомендуется проанализировать ранее представленную информацию на предмет ее соответствия ч. 3 ст. ст. 22 ФЗ «О персональных данных» и актуальности.

Ознакомиться с информацией, внесенной в Реестр операторов, осуществляющих обработку персональных данных, можно по следующей ссылке: http://pd.rkn.gov.ru/operators-registry/operators-list.

Управлением в 3 квартале 2016 г. проведены мероприятия систематического наблюдения в сети Интернет по следующим категориям операторов: учреждения высшего, среднего, начального и общего образования; государственные и муниципальные органы; организации в сфере ЖКХ; коллекторские агентства.

В рамках указанных четырех мероприятий осуществлен мониторинг 79 операторов в сети Интернет. Выявлены следующие нарушения:

- ч. 1 ст. 6 ФЗ «О персональных данных» (6 нарушений);

- п. 2 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 (далее - Перечень мер) (11 нарушений);

- ст. 7 ФЗ «О персональных данных» (2 нарушения);

- ч.2 ст. 18.1 ФЗ «О персональных данных» (2 нарушения).

В целях недопущения незаконного распространения персональных данных на сайте Оператора, рекомендуется перед осуществлением таких действий определить цель размещения персональных данных в сети Интернет, а также оценить правомерность публикации персональных данных каждого конкретного субъекта с точки зрения условий, допускающих обработку персональных данных, закрепленных в ч. 1 ст. 6 ФЗ «О персональных данных».

Ввиду значительного числа нарушений п. 2 Перечня мер, государственным муниципальным органам рекомендуется обратить внимание на положения указанного пункта, согласно которым документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.