По результатам проверки, проведённой Управлением Роскомнадзора в МУП «ЕРКЦ г. Саратова», выявлены нарушения законодательства в сфере обработки персональных данных:
- отсутствует внутренний нормативный акт, регламентирующий обработку персональных данных сотрудников, предусмотренный п. 6 раздела 2 Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и п. 8 ст. 86 Трудового кодекса Российской Федерации.
- в информационной системе МУП «ЕРКЦ г. Саратова» хранятся персональные данные по расторгнутым договорам. Оператором не принимаются меры по уничтожению персональных данных при достижении целей их обработки, что противоречит требованиям ч. 2 ст. 5, ч. 4 ст. 21 Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». - в типовом договоре на оказание услуг по расчётному и кассовому обслуживанию, заключённому между Управляющей компанией (Заказчик) и МУП «ЕРКЦ г. Саратова» (Исполнитель), отсутствует существенное условие договора, а именно, обязанность обеспечения оператором и третьими лицами конфиденциальности и безопасности персональных данных при их обработке, что является нарушением ч. 4 ст. 6 Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
В целях доставки счетов-извещений МУП «ЕРКЦ г. Саратова» заключило договор с ФГУП «Почта России», поручив, таким образом, обработку персональных данных третьему лицу. При этом в договоре требование об обеспечении конфиденциальности отсутствует. Данный факт также противоречит ч. 4 ст. 6 Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Персональные данные получателей услуг по расчётному и кассовому обслуживанию поступают в МУП «ЕРКЦ г. Саратова» от Управляющих компаний в виде списков (реестра). На момент проведения проверки документы, подтверждающие получение субъектами персональных данных информации, предусмотренной ч. 3 ст. 18 Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», не представлены.
На момент проведения проверки не представлены документы, определяющие места хранения персональных данных, а так же перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Данный факт противоречит п. 13 раздела 3 Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Кроме того, на момент проведения проверки установлено, что в МУП «ЕРКЦ г. Саратова» не определен перечень мер, необходимых для соблюдения условий, обеспечивающих сохранность персональных данных и исключающий несанкционированный доступ к ним, а также перечень лиц, ответственных за реализацию указанных мер. Это является нарушением п. 15 раздела 3 Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
По результатам проверки МУП «ЕРКЦ г. Саратова» вынесены предписания об устранении вышеуказанных нарушений действующего законодательства в области обработки персональных данных. Также материалы переданы в прокуратуру Саратовской области для принятия мер прокурорского реагирования.
Источник: rsoc.ru
- отсутствует внутренний нормативный акт, регламентирующий обработку персональных данных сотрудников, предусмотренный п. 6 раздела 2 Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и п. 8 ст. 86 Трудового кодекса Российской Федерации.
- в информационной системе МУП «ЕРКЦ г. Саратова» хранятся персональные данные по расторгнутым договорам. Оператором не принимаются меры по уничтожению персональных данных при достижении целей их обработки, что противоречит требованиям ч. 2 ст. 5, ч. 4 ст. 21 Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». - в типовом договоре на оказание услуг по расчётному и кассовому обслуживанию, заключённому между Управляющей компанией (Заказчик) и МУП «ЕРКЦ г. Саратова» (Исполнитель), отсутствует существенное условие договора, а именно, обязанность обеспечения оператором и третьими лицами конфиденциальности и безопасности персональных данных при их обработке, что является нарушением ч. 4 ст. 6 Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
В целях доставки счетов-извещений МУП «ЕРКЦ г. Саратова» заключило договор с ФГУП «Почта России», поручив, таким образом, обработку персональных данных третьему лицу. При этом в договоре требование об обеспечении конфиденциальности отсутствует. Данный факт также противоречит ч. 4 ст. 6 Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Персональные данные получателей услуг по расчётному и кассовому обслуживанию поступают в МУП «ЕРКЦ г. Саратова» от Управляющих компаний в виде списков (реестра). На момент проведения проверки документы, подтверждающие получение субъектами персональных данных информации, предусмотренной ч. 3 ст. 18 Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», не представлены.
На момент проведения проверки не представлены документы, определяющие места хранения персональных данных, а так же перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Данный факт противоречит п. 13 раздела 3 Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Кроме того, на момент проведения проверки установлено, что в МУП «ЕРКЦ г. Саратова» не определен перечень мер, необходимых для соблюдения условий, обеспечивающих сохранность персональных данных и исключающий несанкционированный доступ к ним, а также перечень лиц, ответственных за реализацию указанных мер. Это является нарушением п. 15 раздела 3 Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
По результатам проверки МУП «ЕРКЦ г. Саратова» вынесены предписания об устранении вышеуказанных нарушений действующего законодательства в области обработки персональных данных. Также материалы переданы в прокуратуру Саратовской области для принятия мер прокурорского реагирования.
Источник: rsoc.ru
Странно, везде ссылка на ПП №687, но что-то не верится, что в ЕРКЦ обходятся без ПК. А значит, можно косвенно подумать, что такие решения вносят некоторую ясность в вопросе АС или неАС.
ОтветитьУдалитьЕстественно, что ЕРКЦ не может обходиться без ПК и у них достаточно много нарушений выявлено по автоматизированным способам обработки. Вопрос в другом, неужели за 4 месяца их специалисты не смогли элементарно подготовить комплект соответствующих документов, чтобы на первом этапе формально прикрыться от РКН? ЕРКЦ ведь висел в плановых проверках РКН на 2009 год (http://www.rsoc.ru/main/directions/contr/964/) как минимум с мая этого года. Возможно, их специалисты не удосужились проверить план на предмет наличия в нем себя.
ОтветитьУдалитьНе совсем понятен термин неАС. Не автоматизированная система не значит не автоматизированная обработка.
В тексте новости, не было сообщений по нарушениям автоматизированным способом. Откуда данные? Риторический вопрос к источнику: зачем было акцентировать внимание на нарушениях ПП №687?
ОтветитьУдалитьНУ а на вопрос почему не смогли, у меня есть предположение, что защиту ПД там организовывали либо вовсе не специалисты по ЗИ, или кто-то со стороны, кому захотелось денег срубить пока тема модная.
Про термин неАС, конечно речь про вид обработки.
Везде, где нет ссылки на ПП 687, можно говорить и об автоматизированной обработке. Вообще, с терминологией не совсем прозрачная ситуация. С одной стороны, термин автоматизированная обработка подразумевает участие человека (судя по определению), а с другой стороны, если в процессе обработки принимает участие человек, то можно говорить и о неавтоматизированной обработке. Если говорить строго, то наши умельцы не совсем корректно перевели Конвенцию Совета Европы, которая направлена на защиту прав субъектов ПДн при автоматической обработке ПДн, но не как не при автоматизированной…!
ОтветитьУдалитьВообще, само по себе ПП 687 далеко не совершенный и не оконченный документ, который требует разъяснений и т.п. Ведь его основной целью была попытка отменить ФЗ152, а получилось, что наоборот законодатели осложнили всем жизнь.
Еще бросается в глаза то, что нет определения понятия «Идентификация». Что имеется в виду под понятием «возможность идентифицировать субъекта»? Конечно, на этот счет существует много мнений, но четкого определения нет. А казалось бы, это одно из основополагающих понятий.