СЗПДн. Анализ. Проверки Роскомнадзора

Просматривал тут информацию о свежих проведенных проверках Управления Роскомнадзора по Краснодарскому краю и республике Адыгея.:
Типовые их претензии и мои комментарии:
№ п/п
Нарушение выявленное Роскомнадзором
Статья нормативного документа, нарушение которой определил Роскомнадзор
Мой комментарий
1.
Уведомление об обработке персональных данных, содержит неполные сведения, а именно: в уведомлении отсутствует указание на обработку специальных категорий персональных данных – состояние здоровья, национальность, судимость, обработка которых осуществляется в медицинской справке студентов, анкете работника при приеме на работу
ч. 3 ст. 22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»
В общем все верно.
Но могут быть исключения:
ч.2. ст.22
«Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.»
Медицинские справки и анкеты как раз попадают под исключения.
2.
Осуществляет обработку специальных категорий персональных данных – состояние здоровья (в медицинской справке студентов), национальность, судимость (в анкете работников), без получения письменного согласия субъектов на обработку вышеуказанных персональных данных
ч. 1 ст. 10 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»
По данному вопросу - действительно необходимо получать согласие или отказываться от обработки таких данных.
Можно конечно поспорить что “данные об отсутствии противопоказаний” и “данные об отсутствии судимости” не относятся к специальным категориям.
3.
В договоре обязательного медицинского страхования от 14.10.2004 г. (дополнительное соглашение от 19.09.2007), на основании которого, в соответствии с п. 5 раздела 1 были переданы персональные данные работников в ООО «МСК-Медицина», отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке
ч. 4 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
При обязательном медицинском страховании Работодатель выступает в качестве организации которой поручена обработка ПДн. Оператором системы обязательного медицинского страхования является ФОМС. Именно ФОМС определяет цели и содержание обработки ПДн. И они определены в http://www.kubanoms.ru/_files/
inform_obmen/norm/polog9.zip
Все ПДн в соответствии с текущим законодательством передаются в ФОМС и форму договора определяет тоже ФОМС
4.
Осуществляет обработку специальной категории персональных данных - о судимости кандидатов на работу, в соответствии с анкетой кандидата, без соответствующих полномочий
ч. 3 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
В общем – всё верно.
Но если рядом федеральных законов определяется необходимость обработки данных о судимости для определенных должностей:
«Воздушный кодекс РФ»
395-1 ФЗ «О банках и банковской деятельности»,
135-ФЗ «Об оценочной деятельности»,
N 4015-1 ФЗ «Об организации страхового дела в Российской Федерации»
131-ФЗ «О государственной тайне» и т.п.
Так например при оформлении допуска сотрудника к гостайне, Работодатель вправе обрабатывать данные о судимости.
5.
Осуществляя обработку персональных данных близких родственников сотрудников в личной карточке работников (ФИО, год рождения, семейное положение), не предоставило документы, подтверждающие информирование субъекта персональных данных (близких родственников работника) о наименовании оператора, цели обработки персональных данных и ее правовом основании, предполагаемых пользователях персональных данных, правах субъекта персональных данных
ч. 3 ст. 18 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»
Обработка персональных данных близких родственников сотрудников выполняется в целях соблюдения требований трудового кодекса Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (ТК РФ) (ст.85-90)
В соответствии с данным ФЗ определена постановлением Госкомстата от 5 января 2004 года № 1 определена форма личной карточки работников.
Данная ситуация попадает под исключение ч. 3 ст. 18 №152-ФЗ
6.
В представленном ОАО «Мегафон» договоре об оказании услуг связи содержится письменное согласие на обработку персональных данных, которое включает в себя: …. Однако, в данном письменном согласии на обработку персональных данных отсутствует: срок, в течение которого действует согласие, а также порядок его отзыва
ч. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»
В общем – всё верно.
Не всегда удобно указывать конкретные сроки и конкретный порядок.
Можно сделать ссылку, что согласия действует, например в течении срока договора.
И сослаться что порядок отзыва определен в таком-то опубликованном документе.
7.
общество осуществляет передачу персональных данных работников без письменного согласия работников; в договоре об оказании услуг по организации расчетов от 02.04.2009 № ZD 09_04_07, заключенном между ЗАО «СевКавТИСИЗ» и ОАО АКБ «УРАЛСИБ - ЮГ БАНК» и предусматривающим передачу банку персональных данных работников, отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке.
В соответствии с п. 2 Приложения № 1 указанного договора общество предоставляет в банк реестр на открытие картсчетов и реестр на зачисление заработной платы, с указанием паспортных данных работников (фамилия, имя, отчество, дата и место рождения, серия и номер паспорта, кем и когда выдан, место выдачи, код подразделения, полный адрес места регистрации).
ч. 1 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»
Передача данных в банк без письменного согласия может осуществляться, например если в договоре с сотрудником определено что зарплата будет переводится на счет в банке.
При взаимодействии с банком, оператором ИСПДн является банк. Поэтому обязанность по включению в договор требований о конфиденциальности лежит на банке.
8.
В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки не были представлены документы об информировании лиц, осуществляющих обработку персональных данных, обработка которых осуществляется ООО «Телевидение Армавира» без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, что свидетельствует об их отсутствии и является нарушением требований
п. 6. постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
В общем – всё верно.
Необходим, например приказ о допуске сотрудников к обработке ПДн, в котором будет ссылка на нормативный документ компании.
С приказом и нормативным документом сотрудников необходимо ознакомить под роспись.
Приказ о допуске к обработке ПДн с использованием средств автоматизации и без использования средства автоматизации может быть совмещен.
9.
В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки не были представлены документы, определяющие места хранения персональных данных, не установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, что свидетельствует об их отсутствии и является нарушением требований
п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В общем – всё верно.
Необходим “приказ об определении мест хранения ПДн”.
Необходимо вести “перечень лиц допущенных к ПДн”.
10.
В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки не были представлены локальные акты оператора, определяющие условия хранения материальных носителей, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, что является нарушением требований
п. 15 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
В общем – всё верно.
Необходим “приказ об определении мест хранения ПДн”.
Перечень мер защиты и перечень ответственных можно определить в этом же приказе.

Комментарии

Анонимный написал(а)…
Свинья грязь найдет, а РКН недостатки. Пока главное управление не определит для территориальных что относить к нарушениям - кто во что горазд - каждый суслик в поле агроном
Сергей Борисов написал(а)…
Я думаю что главное Управление тут не поможет.

Для организаций, которые не могут аргументировать свою позицию, РКН будет вменять несуществующие нарушения.
Им то выгодно найти побольше нарушений.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3