1

Тема: Проверки - личный опыт

В данной теме приветствуются отзывы о прохождении проверок на соответствие требованиям ФЗ-152. Формат отзыва может быть любой, конечно, в идеале желательно отразить 4 ключевых момента: плановая/внеплановая, подведомственность проверяющих, выявленные нарушения, сколько времени было предоставлено на устранение.

2

Re: Проверки - личный опыт

Управление Роскомнадзора по Кемеровской области провело плановую выездную проверку деятельности ЗАО АКБ «Бизнес-Сервис-Траст» (ЗАО «БСТ-БАНК», г. Новокузнецк) на предмет соблюдения обязательных требований в области обработки персональных данных.

В ходе проверки выявлены нарушения:
1. Обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.

2. Нарушение установленного законом порядка сбора, хранения, использования информации о гражданах (персональных данных) в части обработки персональных данных без согласия субъектов персональных данных.

3. Непринятие организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий. Нарушение устранено в ходе проведения проверки.

4. Непредставление ЗАО «БСТ-БАНК» в Управление Роскомнадзора по Кемеровской области, являющееся уполномоченным органом по защите прав субъектов персональных данных, сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных. Нарушение устранено в ходе проведения проверки.

С целью устранения нарушений, которые ЗАО «БСТ-БАНК» не устранило в ходе проведения проверки, Управлением выданы предписания об устранении выявленных нарушений. Материалы по результатам проверки направлены в Прокуратуру г. Новокузнецка для принятия мер прокурорского реагирования.

3

Re: Проверки - личный опыт

Управлением Роскомнадзора по Ростовской области проведена плановая выездная проверка соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных ОАО АКБ «Стелла-Банк».

При проведении проверки выявлены нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.

Так, в тексте договора отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лицу.

Кроме того, оператор не соблюдает условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

По результатам проверки юридическому лицу выданы предписания об устранении выявленных нарушений. Для принятия решения о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ материалы проверки направлены в органы прокуратуры.

4

Re: Проверки - личный опыт

Управление Роскомнадзора по Рязанской области провело плановую проверку соблюдения Администрацей Сапожковского района Рязанской области обязательных требований в области обработки персональных данных:

При проверке выявлены следующие нарушения:

1. Администрация обрабатывала категории персональных данных, которые не были указаны в уведомлении об обработке персональных данных (ч. 3 ст.22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»);

2. Обработка персональных данных в рамках трудовых отношений осуществлялась в отсутствии документов, устанавливающих порядок хранения и использования персональных данных работников (ст. 87 Трудового кодекса Российской Федерации);

3. Содержание письменного согласия субъекта персональных данных на обработку персональных данных не соответствует требованиям законодательства Российской Федерации (ч. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»);

4. Должностные лица, обрабатывающие персональные данные без средств автоматизации, не проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки (п. 6 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);

5. В администрации отсутствуют документы, подтверждающие уничтожение информации, содержащей персональные данные, цель обработки которых достигнута (ч. 4 ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»);

6. Администрация не представила в уполномоченный орган информацию об изменении сведений, указанных в уведомлении об обработке персональных данных (ч.7 ст.22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

По указанным нарушениям Администрации выданы 4 предписания и составлен протокол об административном правонарушении, предусмотренном ст.19.7 КоАП РФ. Акт и материалы по результатам проверки направлены в органы прокуратуры для рассмотрения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ (Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

5

Re: Проверки - личный опыт

Примерный список запрашиваемых документов при проверке Роскомнадзором Оператора персональных данных
1. учредительные документы Оператора;
2. копия уведомления об обработке персональных данных;
3. положение о порядке обработки персональных данных;
4. положение о подразделении, осуществляющем функции по организации защиты персональных данных;
5. должностные регламенты лиц, имеющих доступ к персональным данным;
6. план мероприятий по защите персональных данных;
7. план внутренних проверок состояния защиты персональных данных;
8. приказ о назначении ответственных лиц по работе с персональными данными;
9. типовые формы документов, предполагающие или допускающие содержание персональных данных;
10. журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
11. договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
12. приказы об утверждении мест хранения материальных носителей персональных данных;
13. письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
14. распечатки электронных шаблонов полей, содержащие персональные данные; справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
15. заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
16. приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
17. журналы (книги) учета обращений граждан (субъектов персональных данных);
18. акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
19. иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных.