В рамках исполнения плана деятельности рабочей группы по направлению «Персональные данные» Центра компетенций Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в Южном федеральном округе на 2020 год, подготовлен обзор правоприменительной практики в Южном федеральном округе.
Обзор подготовлен за 1 квартал 2020 года по результатам рассмотрения обращений граждан и анализа контрольно-надзорной деятельности в сфере персональных данных.
I. В рамках рассмотрения обращений граждан.
По результатам рассмотрения обращений граждан выявлены следующие нарушения обязательных требований в области обработки персональных данных, а именно:
ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом)
-Нарушение выразилось в обработке должностным лицом избыточных персональных данных гражданина при предоставлении ему соответствующей услуги, а именно обработке таких данных о гражданине, как номер банковской карты, логин и пароль от личного кабинета гражданина сайта государственных услуг.
По результатам рассмотрения обращения в отношении должностного лица государственного учреждения составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ.
-Нарушение выразилось в обработке персональных данных гражданина несовместимой с целями сбора персональных данных. А именно, на гражданина без его согласия и волеизъявления была выпущена банковская карта. С целью дальнейшей работы с данной картой с гражданином Банк начал взаимодействовать путем осуществления выездов по месту его жительства и размещения листовок, содержащих персональные данные гражданина под входной дверью квартиры. Согласие на использование персональных данных с целью выпуска банковской карты, а также взаимодействия с целью обслуживания данной карты, гражданин Банку не давал.
По результатам рассмотрения обращения отношении Банка составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ Протокол со всеми материалами был направлен в мировой суд для рассмотрения.
ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом).
-Нарушение выразилось в том, что на электронную почту гражданина поступило письмо от государственного органа, адресованное другому гражданину. В данном письме указывались персональные данные, позволяющие идентифицировать иного гражданина, а именно, ФИО, адрес проживания, адрес электронной почты. При рассмотрении обращения факт нарушения ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" был подтвержден. С целью соблюдения законодательства в области персональных данных в отношении граждан в адрес государственного органа направлено письмо-требование о недопущении в дальнейшей деятельности аналогичных нарушений.
-Нарушение выразилось в том, что персональные данные гражданина размещены на сайте администрации, в объеме - фамилия, имя, отчество, год рождения, паспортные данные и место жительства. После получения запроса, администрация самостоятельно удалила персональные данные гражданина с сайта. Однако в целях пресечения возможных нарушений законодательства в области персональных данных в отношении других граждан в адрес администрации направлено письмо о недопущении в дальнейшей деятельности администрации нарушений конфиденциальности в отношении персональных данных субъектов персональных данных.
-Нарушение выразилось в том, что на сайте образовательного учреждения размещены договоры пожертвования, содержащие персональные данные (фамилия, имя, отчество, год рождения, адрес регистрации, паспортные данные) гражданина. Согласие на размещение своих персональных данных гражданин образовательному учреждению не давал. В ответ на запрос образовательное учреждение правовых оснований размещения на сайте персональных данных заявителя не предоставило. Руководствуясь ч. 3 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» после выявления незаконно размещенных персональных данных заявителя (после получения запроса Управления), в течение трех дней образовательное учреждение удалило размещенные персональные данные.
ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено).
Нарушение выразилось в том, что гражданину на номер мобильного телефона поступило без его предварительного согласия смс сообщение от Банка в целях продвижения своих услуг. Сообщение содержало, в том числе имя заявителя. По сведениям, представленным в ответ на запрос Банком, предварительного согласия, предусмотренного ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Заявление о согласии на обработку персональных данных от заявителя в Банке не найдено. В соответствии с ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
Таким образом, учитывая, что Банк осуществлял обработку персональных данных заявителя в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, без предварительного согласия заявителя, Банком допущено нарушение требований ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи без предварительного согласия субъекта персональных данных не предусмотрена законодательством Российской Федерации в области персональных данных, и за указанное нарушение предусмотрена ответственность по ч. 1 ст. 13.11 КоАП РФ. В отношении Банка составлен протокол об административном правонарушении. Протокол направлен в суд.
II. В рамках контрольно-надзорной деятельности.
ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» ( уведомление , предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
name="sub_22031">1) наименование (фамилия, имя, отчество), адрес оператора;
name="sub_22032">2) цель обработки персональных данных;
name="sub_22033">3) категории персональных данных;
name="sub_22034">4) категории субъектов, персональные данные которых обрабатываются;
name="sub_22035">5) правовое основание обработки персональных данных;
name="sub_22036">6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
name="sub_22037">7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
name="sub_220371">7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
name="sub_22038">8) дата начала обработки персональных данных;
name="sub_22039">9) срок или условие прекращения обработки персональных данных;
name="sub_220310">10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
name="sub_2203101">Информация об изменениях:
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
name="sub_220311">11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации).
Администрация представила уведомление об обработке персональных, на основании которого была внесена в реестр операторов. Так же от Администрации поступили информационные письма о внесении изменений в реестр операторов. Анализ содержания информации на предмет соответствия фактической деятельности администрации показал ряд несоответствий, а именно в полном объеме не указаны: цели обработки персональных данных, категории персональных данных, категории субъектов персональных данных, правовые основания обработки персональных данных, действия с персональными данными, способы обработки персональных данных, меры, предусмотренные статьями 18.1 и 19 Федерального закона. Так же указана недостоверная информации о назначении ответственного за организацию обработки персональных данных и дата начала обработки персональных данных.
В отношении администрации составлен протокол об административном правонарушении по ст. 19.7 КоАП РФ.
ч. 1 ст. 10 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» ( name="sub_1001">обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи).
Было установлено, что банк обрабатывает персональные данные близких родственников работников в объеме ФИО, степень родства, год рождения, национальность. Согласно ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», национальность является специальной категорией персональных данных. В соответствии с п. 1 ч. 2 вышеуказанной статьи, обработка специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
В деятельности банка было выявлено нарушение ч. 1 ст. 10 Закона о персональных данных, ответственность по которой предусмотрена ч. 2 ст. 13.11 КоАП РФ. Учитывая, что срок давности привлечения к административной ответственности по ч. 2 ст. 13.11 КоАП РФ, установленный ст. 4.5 КоАП РФ, истек, банк к административной ответственности не привлекался.
п. 7 Постановления Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
name="sub_1071">а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
name="sub_1072">б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
name="sub_1073">в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы).
Было установлено, что туристическое агентство использовало типовые формы: «Отказ заказчика от страхования от невозможности совершения поездки (невыезд)», «Расписка (о самостоятельной подаче документов на визу)» и «Заявление (об изменении набора услуг в договоре)», в которые вносились персональные данные клиентов, не содержащие сведения об адресе оператора, сроках обработки персональных данных, перечне действий с персональными данными, которые будут совершаться в процессе их обработки и общего описания используемых оператором способов обработки персональных данных.
По данному факту выдано предписание об устранении выявленных нарушений.
ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
name="sub_9041">1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
name="sub_9049">2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
name="sub_9042">3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
name="sub_9043">4) цель обработки персональных данных;
name="sub_9044">5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
name="sub_9048">6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
name="sub_9045">7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
name="sub_9046">8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
name="sub_9047">9) подпись субъекта персональных данных).
Было установлено, что образовательное учреждение на основании договора возмездного оказания услуг, в целях ведения бухгалтерского учета финансово-хозяйственной деятельности, поручает расчетному центру обработку персональных данных своих работников с передачей их персональных данных в соответствии с условиями договора.
В соответствии с ч. 3 ст. 6 Федерального закона «О персональных данных» Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Кроме того, согласно ст. 88 Трудового Кодекса Российской Федерации при передаче персональных данных работника работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами. Стоит акцентировать внимание, что требования к согласию в письменной форме установлены ч. 4 ст. 9 Федерального закона «О персональных данных». Указанная обработка осуществляется на основании согласия на обработку персональных данных в письменной форме. В то же время, в представленном согласии в письменной форме работника отсутствуют сведения, предусмотренные ч. 4 ст. 9 Федерального закона «О персональных данных»: (п. 4) цель обработки персональных данных; (п. 6) адрес лица, осуществляющего обработку персональных данных по поручению оператора; (п. 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
По данному факту выдано предписание об устранении нарушения. Учитывая, что срок давности привлечения к административной ответственности по ч. 2 ст. 13.11 КоАП РФ, установленный ст. 4.5 КоАП РФ, истек, оператор к административной ответственности не привлекался.
п. 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 (при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
name="sub_1081">а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
name="sub_1082">б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
name="sub_1083">в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор).
Было установлено, что образовательное учреждение осуществляет обработку персональных данных в целях однократного пропуска посетителей на территорию посредством ведения журнала, форма которого определена приказом руководителя.
В нарушение п. 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановления Правительства Российской Федерации от 15 сентября
По данному факту выдано предписание об устранении нарушения.
ч. 4 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных (оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса).
Территориальными управлениями Роскомнадзора в Южном федеральном округе в целях реализации полномочий по ведению реестра операторов, осуществляющих обработку персональных данных, определенных ч. 5 ст. 23 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных», на основании п. 1 ч. 3 ст. 23 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных», в адрес операторов, осуществляющих обработку персональных данных, были направлены запросы информации.
Согласно ч. 4 ст. 20 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
За непредставление или несвоевременное предоставление информации составлены протоколы об административном правонарушении по ст. 19.7 КоАП РФ.
