Государственный контроль (надзор) за соответствием обработки персональных данных

1. Государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных

данных
Осуществляется
Роскомнадзором
в
соответствии
с
административным
регламентом, утв. Приказом Минкомсвязи
России от 14.11.2011г. № 312.
1

2. Предмет государственного контроля (надзора)

• Документы, характер информации в которых
предполагает или допускает включение в них
персональных данных.
• Информационные системы персональных
данных.
• Деятельность по обработке персональных
данных.
2

3. План проведения плановых проверок

• План проведения плановых проверок по
соблюдению
операторами
обязательных
требований в области персональных данных
отражается
в
плане
деятельности
Управления Роскомнадзора по Воронежской
области на год, утверждается приказом
руководителя
и
размещается
на
официальном интернет – сайте Управления
http://36.rkn.gov.ru
3

4.

Типовые нарушения Федерального
закона «О персональных данных»,
выявленные
в
ходе
проверок
операторов:
4

5. Классификация нарушений

Состав нарушения
Правовое основание
Непредставление и (или)
несвоевременное
представление
уведомления по обработке
персональных данных при
осуществлении
деятельности по обработке
персональных данных, не
попадающей под
исключения ч. 2 ст. 22
Федерального закона "О
персональных данных"
ч. 1 ст. 22 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"

6.

В Реестре операторов, осуществляющих обработку
персональных
данных
зарегистрировано
99%
организаций социальной сфере г. Воронежа и
Воронежской области
Организациям (Операторам), которые не включены в
Реестр операторов, осуществляющих обработку
персональных данных, необходимо представить в
Управление Роскомнадзора по Воронежской области
уведомление
об
обработке
(о
намерении
осуществлять обработку) персональных данных в
целях недопущения нарушения ч. 1 ст. 22
Федерального закона от 27.07.2006 г. № 152-ФЗ "О
персональных данных"

7.

Состав нарушения
Правовое основание
Непредставление в
Уполномоченный орган
сведений о прекращении
обработки персональных
данных или об изменении
информации,
содержащейся в
уведомлении об обработке
персональных данных
ч. 7 ст. 22 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"

8. Федеральным законом от 21.07.2014 г. №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения поря

Федеральным законом от 21.07.2014 г. №242-ФЗ «О
внесении изменений в отдельные законодательные
акты Российской Федерации в части уточнения порядка
обработки персональных данных в информационнотелекоммуникационных сетях», вступившим в силу
01.09.2015 г. внесены изменения в ч. 3 ст. 22
Федерального закона от 27.07.2006 г. №152-ФЗ «О
персональных данных», а именно дополнительно
включен п. 10.1 – сведения о месте нахождения базы
данных информации, содержащей персональные
данные
граждан
РФ
в целях недопущения нарушения
требований
ч.7
ст.22
Операторам
необходимо
представить
в
Управление
Роскомнадзора
по
Воронежской области сведения о месте нахождении
баз данных

9.

Состав нарушения
Правовое основание
Непринятие оператором
мер по опубликованию или
обеспечению
неограниченного доступа к
документу,
определяющему его
политику в отношении
обработки персональных
данных, к сведениям о
реализуемых требованиях
к защите персональных
данных
ч. 2 ст.18.1 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"

10.

На официальном сайте оператора персональных данных или на
стенде в общедоступном месте необходимо разместить
локальный акт, определяющий порядок обработки персональных
данных (Положение об обработке персональных данных);
Если оператор осуществляет сбор персональных данных
с
использованием информационно-телекоммуникационных сетей
(например на сайте имеется электронная форма заявления),
оператор обязан разместить локальный акт, определяющий
порядок
обработки
персональных
данных
на
своем
официальном сайте официальном сайте

11. Например

12. Например

13.

Состав нарушения
Правовое основание
Непредставление в
уполномоченный орган
операторами, которые
осуществляли обработку
персональных данных до 1
июля 2011 года, изменений
информации,
содержащейся в
уведомлении об обработке
персональных данных, не
позднее 1 января 2013
года
ч. 2.1 ст.25 Федерального
закона от 27.07.2006 г.
№152-ФЗ "О персональных
данных"

14.

Операторам (Организациям), включенным в Реестр
Операторов персональных данных до 1 июля 2011
года необходимо представить в Управление
Роскомнадзора
по
Воронежской
области
информационное письмо о внесении изменений в
целях недопущения нарушения
ч. 2.1 ст. 25
Федерального закона от 27.07.2006 г. № 152-ФЗ "О
персональных данных"

15.

Состав нарушения
Правовое основание
Отсутствие в поручении
лицу, которому оператором
поручается обработка
персональных данных,
обязанности соблюдения
конфиденциальности
персональных данных и
обеспечения их
безопасности, а так же
требований к защите
обрабатываемых
персональных данных
ч. 3 ст. 6 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"

16.

В
случае, если Оператор поручает обработку
персональных данных третьему лицу (например
заключает договор на выпуск и обслуживание
банковских карт сотрудников организации), договор,
заключенный между Оператором и Банком должен
содержать обязательные условия, указанные в ч. 3
ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ
"О персональных данных"

17.

Состав нарушения
Правовое основание
Несоответствие типовых
форм документов,
характер информации в
которых предполагает или
допускает включение в них
персональных данных,
требованиям
законодательства
Российской Федерации
п. 7 постановления
Правительства Российской
Федерации от 15 сентября
2008 г. № 687 "Об
утверждении Положения
об особенностях обработки
персональных данных,
осуществляемой без
использования средств
автоматизации"

18.

В случае, если Оператор персональных данных самостоятельно разрабатывает
типовые формы документов (например анкета кандидата на вакантные должности,
журнал личного приема руководителя), которые предполагают внесение в них
персональных данных, ему в соответствии с требованиями п. 7, указанного
постановления, необходимо разработать документ в котором Оператор должен
определить: цели обработки персональных данных, источник получения
персональных данных, перечень действий с персональными данными и т.д.

19.

Состав нарушения
Правовое основание
Несоответствие
содержания письменного
согласия субъекта
персональных данных на
обработку персональных
данных требованиям
законодательства
Российской Федерации
ч. 4 ст. 9 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"

20. В случае, если обработка персональных данных допустима только с согласия субъекта персональных данных, Оператор до начала обработки персо

В случае, если обработка персональных данных
допустима только с согласия субъекта персональных
данных, Оператор до начала обработки персональных
данных обязан взять у субъекта персональных данных
согласие, которое должно содержать: Ф.И.О. субъекта,
адрес, номер основного документа, удостоверяющего
его личность, сведения о дате выдачи указанного
документа и выдававшем его органе, цель обработки
персональных данных, сведения об Операторе
персональных данных, срок в течение которого
действует согласие и т.д.

21.

Состав нарушения
Правовое основание
Отсутствие у оператора
места (мест) хранения
персональных данных
(материальных носителей),
перечня лиц,
осуществляющих
обработку персональных
данных либо имеющих к
ним доступ
п. 13 постановления
Правительства Российской
Федерации от 15 сентября
2008 г. № 687 "Об
утверждении Положения
об особенностях обработки
персональных данных,
осуществляемой без
использования средств
автоматизации"

22.

Состав нарушения
Правовое основание
Несоблюдение оператором
установленных требований
при ведении журналов
(реестров, книг),
содержащих персональные
данные, необходимые для
однократного пропуска
субъекта персональных
данных на территорию, на
которой находится
оператор, или в иных
аналогичных целях
п. 8 постановления
Правительства Российской
Федерации от 15 сентября
2008 г. № 687 "Об
утверждении Положения
об особенностях обработки
персональных данных,
осуществляемой без
использования средств
автоматизации"

23. Административная ответственность за нарушения в сфере обработки персональных данных

• Статья 13.11 Нарушение установленного законом
порядка
сбора,
хранения,
использования
или
распространения
информации
о
гражданах
(персональных данных) Нарушение порядка сбора,
хранения,
использования
или
распространения
информации о гражданах (персональных данных) –
предупреждение или штраф на долж.л. – от 500 до
1000руб.; на юр.л. - от 5000 до 10000руб.
23

24. Административная ответственность за непредставление сведений (уведомления, информационного письма)

• Статья 19.7 Непредставление и (или) несвоевременное
представление сведений, представление которых
предусмотрено Законом – предупреждение или
наложение административного штрафа на граждан в
размере от 100 до 300 рублей; на должностных лиц - от
300 до 500 рублей; на юридических лиц - от 3 тысяч до
5 тысяч рублей
24

25. Административная ответственность за невыполнение предписания(уведомления, информационного письма)

• Статья 19.5 Невыполнение в установленный срок
законного предписания об устранении нарушений
законодательства в области персональных данных –
влечет наложение штрафа на граждан в размере от
300 до 500 рублей; на должностных лиц - от 1 тысячи
до 2 тысяч рублей или дисквалификацию на срок до
трех лет; на юридических лиц - от 10 тысяч до 20 тысяч
рублей.
25