За 9 месяцев 2020 года отделом контроля и надзора за соблюдением законодательства в сфере персональных данных проведено 4 плановых проверки (юридических лиц и органов местного самоуправления), по итогам которых выявлено 35 нарушений.

Все проверки указанного периода завершились предписаниями об устранении выявленных нарушений. В Управление поступила информация об исполнении предписания от трех Операторов, предписания сняты с контроля.

Типовыми нарушениями являются нарушения, связанные с отсутствием письменной формы согласия либо ее несоответствия требованиям законодательства РФ, их доля по отношению к общему числу выявленных за 9 месяцев 2020 года нарушений составляет 31%, а именно:

- ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») – 6 нарушений;

- ч. 4 ст. 9 ФЗ «О персональных данных» – несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ  –  5 нарушений;

Также типовыми нарушениями являются нарушения, связанные с предоставлением сведений в Реестр операторов, осуществляющих обработку персональных данных, их доля по отношению к общему числу выявленных за 9 месяцев 2020 года составляет 17 %, а именно:

- ч. 7 ст. 22  ФЗ «О персональных данных» – непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных – 3 нарушения;

- ч. 3 ст. 22 ФЗ «О персональных данных» – представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 1 нарушение;

- ч. 2.1 ст. 25 ФЗ «О персональных данных» – непредставление в уполномоченный орган операторами, которые осуществляли обработку персональных данных до 01.07.2011, изменений информации, содержащейся в уведомлении об обработке персональных данных не позднее 01.01.2013 – 2 нарушения.

Доля нарушений законодательства, при обработке персональных данных без использования средств автоматизации, за 9 месяцев 2020 года составила 17 %, а именно:

- п. 6 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее № 687-П) – несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации о факте обработки ими персональных данных, о категориях обрабатываемых персональных данных, об особенностях и правилах осуществления такой обработки – 2 нарушения;

- п. 13 № 687-П – отсутствие документа, закрепляющего перечень лиц, осуществляющих обработку персональных данных без использования средств автоматизации либо имеющих к ним доступ – 2 нарушения;

- п. 15 № 687-П – отсутствие у оператора документа, закрепляющего перечень мер, обеспечивающих сохранность персональных данных, а также перечень лиц, ответственных за реализацию указанных мер – 2 нарушения.

В проверках неоднократно были выявлены следующие нарушения:

- п. 6  ч.1 ст. 18.1 ФЗ «О персональных данных» – неознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных – 2 нарушения;

- ч. 4 ст. 21 ФЗ «О персональных данных» –  несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки – 2 нарушения.

- ч. 5 ст. 5 ФЗ «О персональных данных» – обработка избыточных персональных данных по отношению к заявленным целям их обработки – 3 нарушения.

- пп. «б» п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами», утвержденном Постановлением Правительства РФ от 21.03.2012 № 211 – 2 нарушения

В проверках однократно встречались следующие нарушения:

- ч. 4 ст. 22.1 ФЗ «О персональных данных» – отсутствие документа, закрепляющего обязанности лица, ответственного за организацию обработки персональных данных;

- п. 2 ч. 1 ст. 18.1 ФЗ «О персональных данных» – отсутствие документов, устанавливающих перечень лиц, имеющих доступ к ИСПДн Оператора.