Сформировать обращение

Анализ нарушений, выявленных Управлением Роскомнадзора по Ярославской области по итогам проверок соблюдения законодательства о персональных данных в 1 квартале 2018 года

2 апреля 2018 года

В 1 квартале 2018 года отделом по защите прав субъектов персональных данных и надзора в сфере информационных технологий проведено 3 плановых проверки, по итогам которых выявлено 25 нарушений.

Все проверки указанного периода завершились предписаниями об устранении выявленных нарушений. Срок исполнения предписаний в настоящий момент не наступил, информация об их исполнении Операторами в Управление Роскомнадзора по Ярославской области не представлена.

По итогам одной проверки возбуждено дело об административном правонарушении, ответственность за которое предусмотрена статьей 19.7 Кодекса Российской Федерации об административных правонарушениях.

Типовыми нарушениями является группа нарушений, связанных с предоставлением сведений в Реестр операторов, осуществляющих обработку персональных данных, их доля по отношению к общему числу выявленных в 1 квартале 2018 года составляет 40 %, а именно:

- ч. 1 ст. 22 ФЗ «О персональных данных» - несвоевременное представление уведомления об обработке персональных данных при осуществлении деятельности по обработке персональных данных, не попадающей под исключения ч. 2 ст. 22 Федерального закона «О персональных данных» - 3 нарушения;

-  ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») – 2 нарушения;

- ч. 3 ст. 22 ФЗ «О персональных данных» - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 3 нарушения;

ч. 2.1 ст. 25 ФЗ «О персональных данных» - непредставление в уполномоченный орган операторами, которые осуществляли обработку персональных данных до 01.07.2011, изменений информации, содержащейся в уведомлении об обработке персональных данных не позднее 01.01.2013 – 2 нарушения.

Доля нарушений законодательства, при обработке персональных данных без использования средств автоматизации, в 1 квартале 2018 года составила 24 %, а именно:

- п. 6 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее №687 – П) – несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации – 2 нарушения;

- п. 8 № 687-П - несоблюдение оператором установленных требований при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях – 1 нарушение;

- п. 13 №687 – П - отсутствие у оператора перечня лиц, осуществляющих обработку персональных данных пользователей удостоверяющего центра (центра выпуска и обслуживания сертификатов ключей проверки электронной подписи) либо имеющих к ним доступ – 2 нарушения.

- п. 15 №687-П – отсутствие у оператора документа, закрепляющего перечень мер, обеспечивающих сохранность персональных данных - 1 нарушение.

В двух проверках выявлено нарушение ч. 4 ст. 22.1 ФЗ «О персональных данных», в части закрепления обязанностей лица, ответственного за организацию обработки персональных данных, установленных ч. 4 ст. 22.1 ФЗ «О персональных данных», за другими лицами.

В проверках однократно встречались следующие нарушения:

-  ч. 1 ст. 6 ФЗ «О персональных данных»  - обработка персональных данных в случаях, непредусмотренных ФЗ «О персональных данных»;

- ст. 7 ФЗ «О персональных данных» - нарушение требований конфиденциальности при обработке персональных данных;

- ч. 5 ст. 5 ФЗ «О персональных данных» – обработка избыточных персональных данных по отношению к заявленным целям их обработки;

-  ч. 1 ст. 18.1 ФЗ «О персональных данных» -  непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

-  ч. 4 ст. 21  ФЗ «О персональных данных» - несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки;

- ч. 4 ст. 9 ФЗ «О персональных данных» - несоблюдение оператором установленных требований к письменной форме согласия на обработку персональных данных;

- пп. «б» п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами», утвержденном Постановлением Правительства РФ от 21.03.2012 № 211.

Последнее изменение: 02.04.2018 14:22