ЕДИНЫЙ ТЕЛЕФОН ДОВЕРИЯ
Защита персональных данных
Информация от 22.02.2011 № 04.4-11-1044
Министерство образования края напоминает, что в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями закона не позднее 1 июля 2011 года.
В Федеральном законе под информационной системой персональных данных понимается информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информируем, что управлением Роскомнадзора по Хабаровскому краю и ЕАО в 2010 году проведены проверки ряда образовательных учреждений и органов управления образованием. На заседании Совета по информационной безопасности при Губернаторе края от 22 февраля 2011 г. отмечены распространенные нарушения законодательства в области обработки персональных данных:
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Статья 6. Условия обработки персональных данных
• Отсутствие в текстах договоров существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработки, в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лицу (ч. 4 ст.6 «В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке»).
• Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в части обработки персональных данных без согласия субъекта персональных данных (ч. 1 ст. 6 «Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи»).
Статья 7. Конфиденциальность персональных данных
• Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в части нарушения требований конфиденциальности при обработке категорий персональных данных не являющихся общедоступными (ч.1 ст.7 «Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи»).
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
• Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (ч.4 ст.9 «В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных»).
Статья 10. Специальные категории персональных данных
• Обработка специальных категорий персональных данных за исключением случаев, предусмотренных ч. 2 ст. 10 Федерального закона «О персональных данных» (ч. 1 ст. 10 «Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи»).
Статья 18. Обязанности оператора при сборе персональных данных
• Нарушение оператором обязательных требований при обработке персональных данных, полученных от третьих лиц (ч. 3 ст. 18)
Статья 22. Уведомление об обработке персональных данных
• Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), предоставление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно предоставление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде в части осуществления деятельности по обработке персональных данных, не попадающую под исключения ч. 2 ст. 22 Федерального закона «О персональных данных», без уведомления Уполномоченного органа по защите прав субъектов персональных данных (ч.1 ст.22 «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи»);
Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
= несоблюдение оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ (п. 15);
= отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (п.13);
= несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации (п.6).
В качестве примеров были приведены образовательные учреждения, в которых выявлены нарушения законодательства:
Муниципальное дошкольное образовательное учреждение детский сад № N
В ходе проведения проверки были выявлены нарушения обязательных требований законодательства Российской Федерации в области обработки персональных данных:
— нарушение ч. 3 ст. 22 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», выразившееся в представлении в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные сведения.
При проведении проверки установлено, что МДОУ детский сад № N кроме указанных в уведомлении категорий персональных данных осуществляет обработку следующих категорий персональных данных: состав семьи, сведения о социальных льготах, данные свидетельства о рождении ребенка, свидетельство о заключении брака.
В ходе проверки данное нарушение было устранено. МДОУ детский сад № N предоставило новое уведомление об обработке персональных данных.
— нарушение ч. 1 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», выразившееся в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в части обработки персональных данных без согласия субъекта персональных данных.
В МДОУ детский сад № N обработка персональных данных работников осуществляется без согласия субъекта персональных данных.
В ходе проверки данное нарушение было устранено. МДОУ детский сад № N разработано, утверждено «Согласие работника на обработку персональных данных» соответствующее требованиям законодательства Российской Федерации. Данное согласие подписано каждым работником МДОУ детский сад № N.
— нарушение ч. 4 ст. 6 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», выразившееся в отсутствии в тексте договора обязательного медицинского страхования работающих граждан существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лицу.
МДОУ детский сад № N на основании данного договора поручает обработку персональных данных своих работников другому лицу — ООО «Страховая компания „ДАЛЬ-РОСМЕД». Однако, в тексте договора обязательного медицинского страхования работающих граждан отсутствовало существенное условие — обязанность обеспечения страховщиком конфиденциальности и безопасности персональных данных при их обработке, что является нарушением ч. 4 ст. 6 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных».
В ходе проверки данное нарушение оператором устранено. МДОУ детский сад № N заключило Дополнительное соглашение к договору обязательного медицинского страхования работающих граждан, согласно которому ООО «Страховая компания „ДАЛЬ-РОСМЕД» и МДОУ детский сад № N обязуются обеспечивать безопасность персональных данных застрахованных лиц.
Муниципальное образовательное учреждение дополнительного образования детей «Центр …»
Муниципальное образовательное учреждение дополнительного образования детей «Центр …» (далее по тексту — Центр) создан с целью обучения и воспитания детей школьного возраста.
В ходе проведения проверки были выявлены нарушения обязательных требований законодательства Российской Федерации в области обработки персональных данных:
— нарушение ч. 3 ст. 22 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», выразившееся в представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные сведения.
При проведении проверки установлено, что Центр кроме указанных в уведомлении категорий персональных данных осуществляет обработку следующих категорий персональных данных: месяц рождения, год рождения, место рождения, ученая степень, ученое звание, отношение к воинской обязанности, ИНН, СПС, паспортные данные, сведения о судимости. Данный факт подтверждается, типовой формой анкеты, которую заполняет работник, копией паспорта, копией ИНН, копией СПС.
В ходе проверки данное нарушение было устранено. Центр предоставил новое уведомление об обработке персональных данных.
— нарушение ч. 1 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», выразившееся в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в части обработки персональных данных без согласия субъекта персональных данных.
В Центре обработка персональных данных осуществлялась без согласия субъекта персональных данных.
В ходе проверки данное нарушение было устранено. Центром разработано, утверждено «Согласие работника на обработку персональных данных» соответствующее требованиям законодательства Российской Федерации. Данное согласие подписано каждым работником Центра.
— нарушение ч. 4 ст. 6 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», выразившееся в отсутствии в тексте договора обязательного медицинского страхования работающих граждан существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лиц.
Центр на основании данного договора поручает обработку персональных данных своих работников другому лицу — ОАО Страховая компания «РОСНО-МС». Однако, в тексте договора обязательного медицинского страхования работающих граждан отсутствовало существенное условие — обязанность обеспечения страховщиком конфиденциальности и безопасности персональных данных при их обработке.
В ходе проверки данное нарушение оператором устранено. Центр заключил Дополнительное соглашение к Договору обязательного медицинского страхования работающих граждан, согласно которому ОАО Страховая компания «РОСНО-МС» и Центр обязуются обеспечивать безопасность персональных данных застрахованных лиц.
— ч. 3 ст. 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», выразившееся в нарушении оператором обязательных требований при обработке специальных категорий персональных данных (сведения о судимости).
При трудоустройстве в Центр, потенциальный кандидат заполняет о себе анкету, в которой указывает сведения о наличии судимости, являющиеся специальными категориями персональных данных. При этом согласие работника в письменной форме на обработку своих персональных данных (сведениях о судимости) в Центре отсутствует.
В ходе проверки данное нарушение было устранено Центр включил в пункт «состав персональных данных, на обработку которых дается согласие субъекта персональных данных» в «Согласие работника на обработку персональных данных» сведения о судимости.
— нарушение п. 13 Постановления Правительства Российской Федерации от 15.09. 2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», выразившееся в отсутствии у оператора перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
В Центре отсутствовал перечень лиц, имеющих доступ к персональным данным обучающихся.
В ходе проверки данное нарушение было устранено. В Центре утвержден «Перечень лиц, допущенных к персональным данным обучающихся».
Работники, имеющие доступ к персональным данным, ознакомлены с данным перечнем под роспись.
Министерство образования и науки края просит проанализировать наиболее типичные нарушения законодательства в области защиты персональных данных, выявленные Управлением Роскомнадзора по Хабаровскому краю и ЕАО в образовательных учреждениях в 2010 году, и принять меры по недопущению нарушений законодательства.
Одновременно по просьбе Управления Роскомнадзора по Хабаровскому краю и ЕАО информируем, что оператор обработки персональных данных (или его учредитель) должен своевременно информировать Управление об изменении наименования оператора, его реорганизации или ликвидации в целях поддержания в актуальном состоянии базы операторов обработки персональных данных.
Заместитель министра А.М. Король
