СЗПДн. Анализ. Проверки Роскомнадзора
Просматривал тут информацию о свежих проведенных проверках Управления Роскомнадзора по Краснодарскому краю и республике Адыгея.:
Типовые их претензии и мои комментарии:
№ п/п
|
Нарушение выявленное Роскомнадзором
|
Статья нормативного документа, нарушение которой определил Роскомнадзор
|
Мой комментарий
|
1.
|
Уведомление об обработке персональных данных, содержит неполные сведения, а именно: в уведомлении отсутствует указание на обработку специальных категорий персональных данных – состояние здоровья, национальность, судимость, обработка которых осуществляется в медицинской справке студентов, анкете работника при приеме на работу
|
ч. 3 ст. 22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»
|
В общем все верно.
Но могут быть исключения:
ч.2. ст.22
«Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.»
Медицинские справки и анкеты как раз попадают под исключения.
|
2.
|
Осуществляет обработку специальных категорий персональных данных – состояние здоровья (в медицинской справке студентов), национальность, судимость (в анкете работников), без получения письменного согласия субъектов на обработку вышеуказанных персональных данных
|
ч. 1 ст. 10 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»
|
По данному вопросу - действительно необходимо получать согласие или отказываться от обработки таких данных.
Можно конечно поспорить что “данные об отсутствии противопоказаний” и “данные об отсутствии судимости” не относятся к специальным категориям.
|
3.
|
В договоре обязательного медицинского страхования от 14.10.2004 г. (дополнительное соглашение от 19.09.2007), на основании которого, в соответствии с п. 5 раздела 1 были переданы персональные данные работников в ООО «МСК-Медицина», отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке
|
ч. 4 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
|
При обязательном медицинском страховании Работодатель выступает в качестве организации которой поручена обработка ПДн. Оператором системы обязательного медицинского страхования является ФОМС. Именно ФОМС определяет цели и содержание обработки ПДн. И они определены в http://www.kubanoms.ru/_files/
inform_obmen/norm/polog9.zip
Все ПДн в соответствии с текущим законодательством передаются в ФОМС и форму договора определяет тоже ФОМС
|
4.
|
Осуществляет обработку специальной категории персональных данных - о судимости кандидатов на работу, в соответствии с анкетой кандидата, без соответствующих полномочий
|
ч. 3 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
|
В общем – всё верно.
Но если рядом федеральных законов определяется необходимость обработки данных о судимости для определенных должностей:
«Воздушный кодекс РФ»
395-1 ФЗ «О банках и банковской деятельности»,
135-ФЗ «Об оценочной деятельности»,
N 4015-1 ФЗ «Об организации страхового дела в Российской Федерации»
131-ФЗ «О государственной тайне» и т.п.
Так например при оформлении допуска сотрудника к гостайне, Работодатель вправе обрабатывать данные о судимости.
|
5.
|
Осуществляя обработку персональных данных близких родственников сотрудников в личной карточке работников (ФИО, год рождения, семейное положение), не предоставило документы, подтверждающие информирование субъекта персональных данных (близких родственников работника) о наименовании оператора, цели обработки персональных данных и ее правовом основании, предполагаемых пользователях персональных данных, правах субъекта персональных данных
|
ч. 3 ст. 18 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»
|
Обработка персональных данных близких родственников сотрудников выполняется в целях соблюдения требований трудового кодекса Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (ТК РФ) (ст.85-90)
В соответствии с данным ФЗ определена постановлением Госкомстата от 5 января 2004 года № 1 определена форма личной карточки работников.
Данная ситуация попадает под исключение ч. 3 ст. 18 №152-ФЗ
|
6.
|
В представленном ОАО «Мегафон» договоре об оказании услуг связи содержится письменное согласие на обработку персональных данных, которое включает в себя: …. Однако, в данном письменном согласии на обработку персональных данных отсутствует: срок, в течение которого действует согласие, а также порядок его отзыва
|
ч. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»
|
В общем – всё верно.
Не всегда удобно указывать конкретные сроки и конкретный порядок.
Можно сделать ссылку, что согласия действует, например в течении срока договора.
И сослаться что порядок отзыва определен в таком-то опубликованном документе.
|
7.
|
общество осуществляет передачу персональных данных работников без письменного согласия работников; в договоре об оказании услуг по организации расчетов от 02.04.2009 № ZD 09_04_07, заключенном между ЗАО «СевКавТИСИЗ» и ОАО АКБ «УРАЛСИБ - ЮГ БАНК» и предусматривающим передачу банку персональных данных работников, отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке.
В соответствии с п. 2 Приложения № 1 указанного договора общество предоставляет в банк реестр на открытие картсчетов и реестр на зачисление заработной платы, с указанием паспортных данных работников (фамилия, имя, отчество, дата и место рождения, серия и номер паспорта, кем и когда выдан, место выдачи, код подразделения, полный адрес места регистрации).
|
ч. 1 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»
|
Передача данных в банк без письменного согласия может осуществляться, например если в договоре с сотрудником определено что зарплата будет переводится на счет в банке.
При взаимодействии с банком, оператором ИСПДн является банк. Поэтому обязанность по включению в договор требований о конфиденциальности лежит на банке.
|
8.
|
В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки не были представлены документы об информировании лиц, осуществляющих обработку персональных данных, обработка которых осуществляется ООО «Телевидение Армавира» без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, что свидетельствует об их отсутствии и является нарушением требований
|
п. 6. постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
|
В общем – всё верно.
Необходим, например приказ о допуске сотрудников к обработке ПДн, в котором будет ссылка на нормативный документ компании.
С приказом и нормативным документом сотрудников необходимо ознакомить под роспись.
Приказ о допуске к обработке ПДн с использованием средств автоматизации и без использования средства автоматизации может быть совмещен.
|
9.
|
В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки не были представлены документы, определяющие места хранения персональных данных, не установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, что свидетельствует об их отсутствии и является нарушением требований
|
п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
|
В общем – всё верно.
Необходим “приказ об определении мест хранения ПДн”.
Необходимо вести “перечень лиц допущенных к ПДн”.
|
10.
|
В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки не были представлены локальные акты оператора, определяющие условия хранения материальных носителей, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, что является нарушением требований
|
п. 15 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
|
В общем – всё верно.
Необходим “приказ об определении мест хранения ПДн”.
Перечень мер защиты и перечень ответственных можно определить в этом же приказе.
|
Комментарии
Для организаций, которые не могут аргументировать свою позицию, РКН будет вменять несуществующие нарушения.
Им то выгодно найти побольше нарушений.