За 2019 год отделом контроля и надзора за соблюдением законодательства в сфере персональных данных проведено 10 плановых проверок (юридических лиц и органов местного самоуправления), по итогам которых выявлено 59 нарушений.

Все проверки указанного периода завершились предписаниями об устранении выявленных нарушений. Срок исполнения предписаний в настоящий момент не наступил для трех Операторов. В Управление поступила информация об исполнении предписаний от семи Операторов, предписания сняты с контроля.

Типовыми нарушениями является группа нарушений, связанных с предоставлением сведений в Реестр операторов, осуществляющих обработку персональных данных, их доля по отношению к общему числу выявленных за 2019 год составляет 18,6 %, а именно:

-  ч. 7 ст. 22 ФЗ «О персональных данных» – непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных  – 6 нарушений;

- ч. 3 ст. 22 ФЗ «О персональных данных» – представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 2 нарушения;

- ч. 1 ст. 22 ФЗ «О персональных данных» – непредставление уведомления об обработке персональных данных при осуществлении деятельности по обработке персональных данных, не попадающей под исключения ч. 2 ст. 22 ФЗ «О персональных данных» – 1 нарушение;

- ч. 2.1 ст. 25 ФЗ «О персональных данных» – непредставление в уполномоченный орган операторами, которые осуществляли обработку персональных данных до 01.07.2011, изменений информации, содержащейся в уведомлении об обработке персональных данных не позднее 01.01.2013 – 2 нарушения.

Доля нарушений законодательства, при обработке персональных данных без использования средств автоматизации за  2019 год составила 44 %, а именно:

- п. 6 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее № 687-П) – несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации о факте обработки ими персональных данных, о категориях обрабатываемых персональных данных, об особенностях и правилах осуществления такой обработки – 9 нарушений;

- п. 7 № 687-П – отсутствие в типовой форме сведений о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адреса оператора, источника получения персональных данных, сроков обработки персональных данных, перечня действий с персональными данными, которые будут совершаться в процессе их обработки, общего описания используемых оператором способов обработки персональных данных – 2 нарушения;

- п. 8 № 687-П – несоблюдение условий ведения журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор – 1 нарушение;

- п. 13 № 687-П – отсутствие документа, закрепляющего перечень лиц, осуществляющих обработку персональных данных без использования средств автоматизации либо имеющих к ним доступ – 7 нарушений;

- п. 15 № 687-П – отсутствие у оператора документа, закрепляющего перечень мер, обеспечивающих сохранность персональных данных, а также перечень лиц, ответственных за реализацию указанных мер – 7 нарушений.

В проверках неоднократно были выявлены следующие нарушения:

- ч. 4 ст. 9 ФЗ «О персональных данных» –  несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ – 5 нарушений;

- ч.1 ст. 18.1 ФЗ «О персональных данных» – непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в части не ознакомления работников с положениями законодательства Российской Федерации о персональных данных – 5 нарушений;

- ч. 4 ст. 21 ФЗ «О персональных данных» –  несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки – 3 нарушения;

- ч. 4 ст. 22.1 ФЗ «О персональных данных» – отсутствие в локальных актах, закрепляющих обязанности ответственного за организацию обработки персональных данных, обязанности по доведению до сведения работников Оператора положений законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных – 3 нарушения;

- ч. 3 ст. 6 ФЗ «О персональных данных»  – отсутствие необходимых сведений в поручении на обработку персональных данных 2 нарушения.

В проверках однократно были выявлены следующие нарушения:

- пп. «б» п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами», утвержденном Постановлением Правительства РФ от 21.03.2012 № 211;

- пп. «е» п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами», утвержденном Постановлением Правительства РФ от 21.03.2012 № 211;

- ч. 2 ст. 5 ФЗ «О персональных данных» – обработка персональных данных, несовместимая с целями сбора персональных данных;

-  ч. 5 ст. 5 ФЗ «О персональных данных» – обработка избыточных персональных данных по отношению к заявленным целям их обработки