Управление Роскомнадзора по Ярославской области

Анализ нарушений, выявленных Управлением Роскомнадзора по Ярославской области по итогам проверок соблюдения законодательства о персональных данных во 2 квартале 2018 года

3 июля 2018 года

Во 2 квартале 2018 года отделом по защите прав субъектов персональных данных и надзора в сфере информационных технологий проведено 4 плановых проверки (юридических лиц и органов местного самоуправления), по итогам которых выявлено 27 нарушений.

Все проверки указанного периода завершились предписаниями об устранении выявленных нарушений. Срок исполнения предписаний в настоящий момент не наступил. В Управление поступила информация об исполнении предписания от одного Оператора, предписание снято с контроля.

По итогам одной проверки возбуждено дело об административном правонарушении, ответственность за которое предусмотрена частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях. Мировым судом назначено наказание в виде предупреждения.

Типовыми нарушениями является группа нарушений, связанных с предоставлением сведений в Реестр операторов, осуществляющих обработку персональных данных, их доля по отношению к общему числу выявленных во 2 квартале 2018 года составляет 29 %, а именно:

-  ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») – 4 нарушения;

- ч. 3 ст. 22 ФЗ «О персональных данных» - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 1 нарушение;

ч. 2.1 ст. 25 ФЗ «О персональных данных» - непредставление в уполномоченный орган операторами, которые осуществляли обработку персональных данных до 01.07.2011, изменений информации, содержащейся в уведомлении об обработке персональных данных не позднее 01.01.2013 – 3 нарушения.

Доля нарушений законодательства, при обработке персональных данных без использования средств автоматизации, во 2 квартале 2018 года составила 22 %, а именно:

- п. 6 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее №687 – П) – несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации – 3 нарушения;

- п. 13 №687 – П - отсутствие у оператора перечня лиц, осуществляющих обработку персональных данных пользователей удостоверяющего центра (центра выпуска и обслуживания сертификатов ключей проверки электронной подписи) либо имеющих к ним доступ – 2 нарушения.

- п. 15 №687-П – отсутствие у оператора документа, закрепляющего перечень мер, обеспечивающих сохранность персональных данных - 1 нарушение.

В двух проверках выявлено нарушение ч. 4 ст. 22.1 ФЗ «О персональных данных», в части закрепления обязанностей лица, ответственного за организацию обработки персональных данных, установленных ч. 4 ст. 22.1 ФЗ «О персональных данных», за другими лицами или отсутствие закрепления указанных обязанностей.

Следующие нарушения допущены также двумя Операторами:

-  ч. 1 ст. 6 ФЗ «О персональных данных»  - обработка персональных данных в случаях, непредусмотренных ФЗ «О персональных данных»;

- ч. 5 ст. 5 ФЗ «О персональных данных» – обработка избыточных персональных данных по отношению к заявленным целям их обработки;

-  ч. 1 ст. 18.1 ФЗ «О персональных данных» -  непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

-  ч. 4 ст. 21  ФЗ «О персональных данных» - несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки;

Однократно встречались следующие нарушения:

- ч. 4 ст. 9 ФЗ «О персональных данных» - несоблюдение оператором установленных требований к письменной форме согласия на обработку персональных данных;

- пп. «б» п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами», утвержденном Постановлением Правительства РФ от 21.03.2012 № 211;

- пп. «е» п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами», утвержденном Постановлением Правительства РФ от 21.03.2012 № 211.

Адрес статьи: http://76.rkn.gov.ru/news/news176384.htm