Проверки Роскомнадзора по персональным данным. Часть 1

Добрый день, дорогие читатели! Вышла в свет моя новая статья по теме защиты персональных данных, на этот раз она посвящена проверкам Роскомнадзора. Ознакомиться со статьей в открытом доступе можно здесь. 

Также я хочу поделиться с вами полными версиями таблиц, представленных в тексте.

Таблица 1

		Граждане	Должностные лица	Индивидуальные предприниматели	Юридические лица
1	Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных п.2, если эти действия не содержат уголовно наказуемого деяния.	предупреждение или наложение административного штрафа в размере от 1000 до 3000 рублей;	предупреждение или наложение административного штрафа в размере от 5000 до 10.000 рублей;	не указано	предупреждение или наложение административного штрафа в размере от 30.000 до 50.000 рублей.
2	Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных,	наложение административного штрафа в размере от 3000 до 5000 рублей;	наложение административного штрафа в размере от 10.000 до 20.000рублей;	не указано	наложение административного штрафа в размере от 15.000 до 75.000 рублей.
3	Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	предупреждение или наложение административного штрафа в размере от 700 до 1500 рублей;	предупреждение или наложение административного штрафа в размере от 3000 до 6000 рублей;	предупреждение или наложение административного штрафа в размере от 5000 до 10.000 рублей;	предупреждение или наложение административного штрафа в размере от 15.000 до 30.000 рублей
4	Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -	предупреждение или наложение административного штрафа в размере от 1000 до 2000 рублей;	предупреждение или наложение административного штрафа в размере от 4000 до 6000 рублей;	предупреждение или наложение административного штрафа в размере от 10.000 до 15.000 рублей;	предупреждение или наложение административного штрафа в размере от 20.000 до 40.000 рублей.
5	Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.	предупреждение или наложение административного штрафа в размере от 1000 до 2000 рублей;	предупреждение или наложение административного штрафа в размере от 4000 до 10.000 рублей;	предупреждение или наложение административного штрафа в размере от 10.000 до 20.000 рублей;	предупреждение или наложение административного штрафа в размере от 25.000 до 45.000 рублей.
6	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.	наложение административного штрафа в размере от семисот до двух тысяч рублей;	наложение административного штрафа в размере от 4000 до 10.000 рублей;	наложение административного штрафа в размере от 10.000 до 20.000 рублей;	наложение административного штрафа в размере от 25.000 до 50.000 рублей.
7	Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.	предупреждение или наложение административного штрафа в размере от 3000 до 6000 рублей.	не указано	не указано	не указано

Таблица 2

№	Нарушение	Краткое описание	2016	2017	Нормы законодательства
1	Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения	Уведомление об обработке персональных данных	+	+	В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 22, п. 6)
2	Непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных	Уведомление об обработке персональных данных	+		В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 22, п. 7)
3	Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ	Места хранения персональных данных	+		Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», п. 13)
4	Отсутствие в поручении лицу, ответственному за обработку персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а также требований к защите обрабатываемых персональных данных	Соблюдение конфиденциальности персональных данных	+	+	Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 6, п. 3)
5	Обработка персональных данных в случаях, не предусмотренных Федеральным законом	Незаконная обработка персональных данных	+		Обработка персональных данных должна осуществляться на законной и справедливой основе. (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 5, п. 1)
6	Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации	Согласие на обработку персональных данных	+	+	В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: …  (Федеральный закон от 27.07.2006 N 152-ФЗ  «О персональных данных» ст. 9, п. 4)
7	Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами	Меры по обеспечению выполнения обязанностей	+	+	1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 18.1, п. 1)
8	Непринятие оператором, являющимся юридическим лицом, мер по назначению ответственного за организацию обработки персональных данных	Лицо, ответственное за организацию обработки персональных данных		+	Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», п. 1, ст. 18.1)
9	Невыполнение в установленный срок законного предписания органа (должностного лица) Уполномоченного органа по защите прав субъектов персональных данных, осуществляющего государственный надзор (контроль), об устранении нарушений законодательства Российской Федерации в области персональных данных	Предписания		+	Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства -влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей. («Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ», п. 1 ст. 19.5)
10	Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации	Типовые формы документов		+	При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:… (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», п. 7)

https://vk.com/kshudrova - подписывайтесь на страницу блога ВКонтакте. Здесь ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов.