Просматривал тут информацию о свежих проведенных проверках Управления Роскомнадзора по Краснодарскому краю и республике Адыгея.:
Типовые их претензии и мои комментарии:
№ п/п | Нарушение выявленное Роскомнадзором | Статья нормативного документа, нарушение которой определил Роскомнадзор | Мой комментарий |
1. | Уведомление об обработке персональных данных, содержит неполные сведения, а именно: в уведомлении отсутствует указание на обработку специальных категорий персональных данных – состояние здоровья, национальность, судимость, обработка которых осуществляется в медицинской справке студентов, анкете работника при приеме на работу | ч. 3 ст. 22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» | В общем все верно. Но могут быть исключения: ч.2. ст.22 «Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.» Медицинские справки и анкеты как раз попадают под исключения. |
2. | Осуществляет обработку специальных категорий персональных данных – состояние здоровья (в медицинской справке студентов), национальность, судимость (в анкете работников), без получения письменного согласия субъектов на обработку вышеуказанных персональных данных | ч. 1 ст. 10 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» | По данному вопросу - действительно необходимо получать согласие или отказываться от обработки таких данных. Можно конечно поспорить что “данные об отсутствии противопоказаний” и “данные об отсутствии судимости” не относятся к специальным категориям. |
3. | В договоре обязательного медицинского страхования от 14.10.2004 г. (дополнительное соглашение от 19.09.2007), на основании которого, в соответствии с п. 5 раздела 1 были переданы персональные данные работников в ООО «МСК-Медицина», отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке | ч. 4 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» | При обязательном медицинском страховании Работодатель выступает в качестве организации которой поручена обработка ПДн. Оператором системы обязательного медицинского страхования является ФОМС. Именно ФОМС определяет цели и содержание обработки ПДн. И они определены в http://www.kubanoms.ru/_files/ inform_obmen/norm/polog9.zip Все ПДн в соответствии с текущим законодательством передаются в ФОМС и форму договора определяет тоже ФОМС |
4. | Осуществляет обработку специальной категории персональных данных - о судимости кандидатов на работу, в соответствии с анкетой кандидата, без соответствующих полномочий | ч. 3 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» | В общем – всё верно. Но если рядом федеральных законов определяется необходимость обработки данных о судимости для определенных должностей: «Воздушный кодекс РФ» 395-1 ФЗ «О банках и банковской деятельности», 135-ФЗ «Об оценочной деятельности», N 4015-1 ФЗ «Об организации страхового дела в Российской Федерации» 131-ФЗ «О государственной тайне» и т.п. Так например при оформлении допуска сотрудника к гостайне, Работодатель вправе обрабатывать данные о судимости. |
5. | Осуществляя обработку персональных данных близких родственников сотрудников в личной карточке работников (ФИО, год рождения, семейное положение), не предоставило документы, подтверждающие информирование субъекта персональных данных (близких родственников работника) о наименовании оператора, цели обработки персональных данных и ее правовом основании, предполагаемых пользователях персональных данных, правах субъекта персональных данных | ч. 3 ст. 18 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» | Обработка персональных данных близких родственников сотрудников выполняется в целях соблюдения требований трудового кодекса Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (ТК РФ) (ст.85-90) В соответствии с данным ФЗ определена постановлением Госкомстата от 5 января 2004 года № 1 определена форма личной карточки работников. Данная ситуация попадает под исключение ч. 3 ст. 18 №152-ФЗ |
6. | В представленном ОАО «Мегафон» договоре об оказании услуг связи содержится письменное согласие на обработку персональных данных, которое включает в себя: …. Однако, в данном письменном согласии на обработку персональных данных отсутствует: срок, в течение которого действует согласие, а также порядок его отзыва | ч. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» | В общем – всё верно. Не всегда удобно указывать конкретные сроки и конкретный порядок. Можно сделать ссылку, что согласия действует, например в течении срока договора. И сослаться что порядок отзыва определен в таком-то опубликованном документе. |
7. | общество осуществляет передачу персональных данных работников без письменного согласия работников; в договоре об оказании услуг по организации расчетов от 02.04.2009 № ZD 09_04_07, заключенном между ЗАО «СевКавТИСИЗ» и ОАО АКБ «УРАЛСИБ - ЮГ БАНК» и предусматривающим передачу банку персональных данных работников, отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке. В соответствии с п. 2 Приложения № 1 указанного договора общество предоставляет в банк реестр на открытие картсчетов и реестр на зачисление заработной платы, с указанием паспортных данных работников (фамилия, имя, отчество, дата и место рождения, серия и номер паспорта, кем и когда выдан, место выдачи, код подразделения, полный адрес места регистрации). | ч. 1 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» | Передача данных в банк без письменного согласия может осуществляться, например если в договоре с сотрудником определено что зарплата будет переводится на счет в банке. При взаимодействии с банком, оператором ИСПДн является банк. Поэтому обязанность по включению в договор требований о конфиденциальности лежит на банке. |
8. | В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки не были представлены документы об информировании лиц, осуществляющих обработку персональных данных, обработка которых осуществляется ООО «Телевидение Армавира» без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, что свидетельствует об их отсутствии и является нарушением требований | п. 6. постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» | В общем – всё верно. Необходим, например приказ о допуске сотрудников к обработке ПДн, в котором будет ссылка на нормативный документ компании. С приказом и нормативным документом сотрудников необходимо ознакомить под роспись. Приказ о допуске к обработке ПДн с использованием средств автоматизации и без использования средства автоматизации может быть совмещен. |
9. | В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки не были представлены документы, определяющие места хранения персональных данных, не установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, что свидетельствует об их отсутствии и является нарушением требований | п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». | В общем – всё верно. Необходим “приказ об определении мест хранения ПДн”. Необходимо вести “перечень лиц допущенных к ПДн”. |
10. | В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки не были представлены локальные акты оператора, определяющие условия хранения материальных носителей, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, что является нарушением требований | п. 15 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» | В общем – всё верно. Необходим “приказ об определении мест хранения ПДн”. Перечень мер защиты и перечень ответственных можно определить в этом же приказе. |
