среда, 22 февраля 2012 г.

Классификация ИСПДн

В ФЗ "О персональных данных" ничего не говорится о классах ИСПДн, вместо этого вводится новое понятие "уровни защищенности", которое будет уточнено в дальнейшем. Однако на сегодняшний момент Роскомнадзор при проведении проверок требует акт классификации системы. Следовательно, необходимо придерживаться Приказа трех. В данном приказе не говорится о создании комиссии и составлении акта, но оператору необходимо присвоить информационной системе соответствующий класс и его документально оформить. Акт классификации перекочевал из практики по аттестации автоматизированных систем, для его  составления необходимо создать комиссию и утвердить ее приказом по организации. Я рекомендую председателем комиссии сделать лицо, ответственное за обработку персональных данных. 
В акте должно быть указано следующее:
1.Состав экспертной комиссии и основание их деятельности (№ и дата приказа);
2.Основные особенности ИСПДн (категория данных, наличие подключений и т.д.);
3.Ссылка на другие документы, уточняющие характер и состав ИСПДн (список помещений, матрица доступа и т.д.);
4.Класс системы, который определила комиссия.
Также в акте можно указать дополнительную информацию, требований к форме нет, но мое личное мнение - указывайте только необходимый для классификации минимум, подробности лучше выносить в отдельные локальные акты и на них ссылаться. Все-таки основная задача акта классификация - декларировать класс системы.

вторник, 21 февраля 2012 г.

Европейская комиссия - защита персональных данных

Сегодня блуждала по сайту Европейской комиссии, а в частности по разделу о защите персональных данных. Много чего там можно почерпнуть. Понравилось одно определение:

Anonymous data

Anonymous data cannot be related to an identified or identifiable person and are consequently not personal data.

Мне лично оно нравится больше, чем "обезличенные персональные данные".

понедельник, 20 февраля 2012 г.

Риски информационной безопасности

В ходе работы над диссертацией начала читать учебник Я.Д. Вишнякова, Н.Н. Радаева "Общая теория рисков", нравится, хорошо изложено, фундаментальный подход. Рекомендую как занимательное чтение и источник теории для презентаций. Книга о рисках вообще, достаточно философская, в ней Вы не найдете практических советов, только вдохновение для создания собственной методики:)

четверг, 16 февраля 2012 г.

О защите персональных данных в США

Вчера к нам, аспирантам, на занятие по английскому языку пришла прочитать лекцию профессор Мичиганского технологического университета Линда Мэри Отт (Dr. Linda Ott). На наше счастье говорила она четко и медленно, даже с таким небогатым словарем, как у меня, можно было понять, о чем идет речь:-) Так вот, Линда специализируется на "компьютерных науках". Многие из нас, сейчас поглощены темой защиты персональны данных, поэтому, как только появилась возможность задать вопрос, об этом я и спросила:
 "В России сейчас защита персональных данных - одно из наиболее популярных направлений в информационной безопасности. Как обстоит дело с защитой личной информации в США?" На что Линда мне ответила, что когда она посещает больницу, то ей приходится расписываться в целой куче документов и читать огромный объем информации о принимаемых мерах по защите. Однако в то же время, например, благодаря Google можно определить точные координаты ее гаража и т.д. В результате небольшой объем информации, который ты предоставляешь о себе сам, защищен прекрасно, а все остальное (в гораздо большем объеме) находится в открытом доступе... 
От такого ее ответа даже как-то на душе радостнее стало - а мы-то переживали, оказывается, организационные меры защиты преобладают не только у нас!:-)

среда, 15 февраля 2012 г.

Нарушения в области обработки персональных данных 5


Информация взята с официального сайта Роскомнадзора.

Управление Роскомнадзора по Краснодарскому краю и Республике Адыгея (Адыгея) выявило факты нарушений законодательства о персональных данных со стороны организации ЖКХ

В результате проверки выявлено нарушение действующего законодательства. Представителям Управления не были представлены документы, подтверждающие наличие согласия гражданина на обработку его персональных данных ООО «НовЖилСервис», что свидетельствует об их отсутствии и является нарушением требований ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Управлением Роскомнадзора по Тюменской области, ХМАО-Югре и ЯНАО проведена плановая выездная проверка в отношении ООО «Ямал-Софт 2003»
В ходе проверки выявлено нарушение ч. 3 ст. 6 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»: отсутствие в тексте договора обязанностей соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лицу.

В Республике Бурятия выявлены нарушения законодательства о персональных данных со стороны ипотечной компании
При проверке выявлены следующие нарушения:
- ч. 1 ст. 6 Федерального закона «О персональных данных», в части обработки персональных данных ближайших родственников работников и кандидатов на вакантные должности без их письменного согласия;
- ч. 4 ст. 6 Федерального закона «О персональных данных», в части отсутствия существенного условия договора об обязанности обеспечения конфиденциальности персональных данных и безопасности персональных данных при их обработке;
- ч. 4 ст. 9 Федерального закона «О персональных данных», в части несоответствия содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации;
- ч. 4 ст. 5 Федерального закона «О персональных данных», в части обработки оператором персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.

В Новосибирской области при рассмотрении жалобы гражданина выявлены нарушения законодательства о персональных данных со стороны банка и коллекторского агентства
По результатам рассмотрения обращения было установлено, что ОАО «Альфа Банк» допущена передача персональных данных заявителя третьим лицам без получения согласия субъекта персональных данных.
В действиях ООО «Кредит Коллешн Груп» по обработке персональных данных заявителя не были выявлены основания, дающие право осуществлять такую обработку без согласия заявителя.

В Приморском крае выявлено нарушение законодательства о персональных данных со стороны туроператора
При проведении проверки выявлено, что ООО «Туристическая фирма «ДАЛЬИНТУРИСТ» осуществляет обработку персональных данных с нарушением требований законодательства Российской Федерации в области персональных данных:
- представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения, чем нарушена часть 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации, чем нарушена часть 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- обработка биометрических персональных данных без письменного согласия субъекта персональных данных, чем нарушена часть 1 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Управление Роскомнадзора по Краснодарскому краю и Республике Адыгея (Адыгея) выявлены нарушения законодательства о персональных данных

В результате выявлены следующие нарушения действующего законодательства:
- осуществление деятельности по обработке персональных данных граждан без уведомления Уполномоченного органа по защите прав субъектов персональных данных (Управления Роскомнадзора по Краснодарскому краю и Республике Адыгея (Адыгея)), что является нарушением требований ч. 1 ст. 22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»;
- обработка специальной категории персональных данных (сведений о судимости граждан), что является нарушением требований ч. 3 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- обработка персональных данных с нарушением ч. 3 ст. 18 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».

В Москве на Царицынском радиорынке проведено мероприятие с целью выявления и пресечения продажи физических носителей с базами данных о гражданах

В ходе обследования изъяты диски, на которых предположительно содержатся персональные данные.
В настоящее время Управлением проводится исследование изъятых дисков на предмет наличия конфиденциальной информации.
Ранее, в июне 2011 года Роскомнадзор и ГУВД по г. Москве провели совместный рейд в ТК «Горбушкин двор». По результатам проведенных мероприятий была выявлена схема незаконной реализации физических носителей баз данных и установлен факт продажи неустановленным лицом базы данных.
В марте 2011 г. ГУВД по г. Москве совместно с Роскомнадзором был проведен рейд в ТК «Савеловский». В ходе рейда изъято около двухсот CD и DVD носителей информации, которые содержали программные средства, являющиеся СУБД (Системы управления базами данных), а также персональные данные субъектов персональных данных, объединенные в базы данных: «Прописка», «Резюме 2009», «ГАИ + Полисы КАСКО и ОСАГО», «В Контакте», «Федеральная таможенная служба», «МОСКОМЗЕМ», «Перелёты авиарейсов Сирена», «Федеральный розыск», «Пенсионный фонд», «РОСПОТРЕБНАДЗОР» и др.

В Республике Ингушетия выявлены нарушения законодательства о персональных данных

3 октября 2011 года
 В ходе проведения должностными лицами Управления Роскомнадзора по Республике Ингушетия плановой выездной проверки в отношении Государственного учреждения «Ингушская республиканская клиническая больница» выявлены нарушения законодательства о персональных данных:
- представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения (ч.3 ст.22 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных»);
- несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации (п. 6 Постановления Правительства Российской Федерации от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
- нарушение оператором обязательных требований при обработке персональных данных в рамках трудовых отношений в части отсутствия документов, устанавливающих порядок хранения и использования персональных данных работников (ст. 87 Трудового кодекса Российской Федерации);
- нарушение оператором обязательных требований при обработке персональных данных в рамках трудовых отношений в части отсутствия документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных (ст.86 Трудового кодекса Российской Федерации);
- непринятие оператором организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, блокирования, копирования, распространения (ч.1 ст.19 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных»).

понедельник, 13 февраля 2012 г.

Comment: Power to the People to Secure Consumerized Devices

Наткнулась на статью Terry Greer-King из  Check Point про использование персональных устройств пользователя в сети организации. Предлагается для обеспечения безопасности применять специализированные DLP-системы. При обнаружении в отправляемом файле конфиденциальной информации, должна появляться табличка "Вы уверены, что хотите отправить файл Х адресату У?" Таким образом, по мнению автора можно "вовлекать пользователей в процесс обеспечения информационной безопасности".
На мой взгляд решение для России нерабочее. С одной стороны, мы не можем заставить людей ставить на их компьютеры DLP системы, с другой стороны юридической силы такой таблички нет никакой. Сотрудник всегда может сказать, что это был сбой или вообще не он подтверждал согласие.

Вот собственно сама статья.

пятница, 10 февраля 2012 г.

Судебные решения

В своей работе часто использую судебные решения, найти их бывает не просто. В основном поиск на сайтах судов ведется по номеру, ФИО участников процесса, а не по статье. Вчера нашла сайт, где представлено множество судебных решений и осуществляется поиск по словам. Надергала оттуда и по коммерческой тайне и по персональным данным :) Предлагаю делиться ссылками на такие ресурсы!:)

четверг, 9 февраля 2012 г.

Нарушения в области обработки персональных данных 4

Информация взята с официального сайта Роскомнадзора.

Управление Роскомнадзора по Краснодарскому краю и Республике Адыгея (Адыгея) выявило факты нарушений законодательства о персональных данных со стороны организации ЖКХ

В результате проверки выявлено нарушение действующего законодательства. Представителям Управления не были представлены документы, подтверждающие наличие согласия гражданина на обработку его персональных данных ООО «НовЖилСервис», что свидетельствует об их отсутствии и является нарушением требований ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Управлением Роскомнадзора по Тюменской области, ХМАО-Югре и ЯНАО проведена плановая выездная проверка в отношении ООО «Ямал-Софт 2003»
В ходе проверки выявлено нарушение ч. 3 ст. 6 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»: отсутствие в тексте договора обязанностей соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лицу.

В Республике Бурятия выявлены нарушения законодательства о персональных данных со стороны ипотечной компании
При проверке выявлены следующие нарушения:
- ч. 1 ст. 6 Федерального закона «О персональных данных», в части обработки персональных данных ближайших родственников работников и кандидатов на вакантные должности без их письменного согласия;
- ч. 4 ст. 6 Федерального закона «О персональных данных», в части отсутствия существенного условия договора об обязанности обеспечения конфиденциальности персональных данных и безопасности персональных данных при их обработке;
- ч. 4 ст. 9 Федерального закона «О персональных данных», в части несоответствия содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации;
- ч. 4 ст. 5 Федерального закона «О персональных данных», в части обработки оператором персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.

В Новосибирской области при рассмотрении жалобы гражданина выявлены нарушения законодательства о персональных данных со стороны банка и коллекторского агентства
По результатам рассмотрения обращения было установлено, что ОАО «Альфа Банк» допущена передача персональных данных заявителя третьим лицам без получения согласия субъекта персональных данных.
В действиях ООО «Кредит Коллешн Груп» по обработке персональных данных заявителя не были выявлены основания, дающие право осуществлять такую обработку без согласия заявителя.

В Приморском крае выявлено нарушение законодательства о персональных данных со стороны туроператора
При проведении проверки выявлено, что ООО «Туристическая фирма «ДАЛЬИНТУРИСТ» осуществляет обработку персональных данных с нарушением требований законодательства Российской Федерации в области персональных данных:
представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения, чем нарушена часть 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации, чем нарушена часть 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- обработка биометрических персональных данных без письменного согласия субъекта персональных данных, чем нарушена часть 1 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Управление Роскомнадзора по Краснодарскому краю и Республике Адыгея (Адыгея) выявлены нарушения законодательства о персональных данных
В результате выявлены следующие нарушения действующего законодательства:
- осуществление деятельности по обработке персональных данных граждан без уведомления Уполномоченного органа по защите прав субъектов персональных данных (Управления Роскомнадзора по Краснодарскому краю и Республике Адыгея (Адыгея)), что является нарушением требований ч. 1 ст. 22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»;
обработка специальной категории персональных данных (сведений о судимости граждан), что является нарушением требований ч. 3 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- обработка персональных данных с нарушением ч. 3 ст. 18 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».

В Москве на Царицынском радиорынке проведено мероприятие с целью выявления и пресечения продажи физических носителей с базами данных о гражданах
В ходе обследования изъяты диски, на которых предположительно содержатся персональные данные.
В настоящее время Управлением проводится исследование изъятых дисков на предмет наличия конфиденциальной информации.
Ранее, в июне 2011 года Роскомнадзор и ГУВД по г. Москве провели совместный рейд в ТК «Горбушкин двор». По результатам проведенных мероприятий была выявлена схема незаконной реализации физических носителей баз данных и установлен факт продажи неустановленным лицом базы данных.
В марте 2011 г. ГУВД по г. Москве совместно с Роскомнадзором был проведен рейд в ТК «Савеловский». В ходе рейда изъято около двухсот CD и DVD носителей информации, которые содержали программные средства, являющиеся СУБД (Системы управления базами данных), а также персональные данные субъектов персональных данных, объединенные в базы данных: «Прописка», «Резюме 2009», «ГАИ + Полисы КАСКО и ОСАГО», «В Контакте», «Федеральная таможенная служба», «МОСКОМЗЕМ», «Перелёты авиарейсов Сирена», «Федеральный розыск», «Пенсионный фонд», «РОСПОТРЕБНАДЗОР» и др.

В Республике Ингушетия выявлены нарушения законодательства о персональных данных
3 октября 2011 года
 В ходе проведения должностными лицами Управления Роскомнадзора по Республике Ингушетия плановой выездной проверки в отношении Государственного учреждения «Ингушская республиканская клиническая больница» выявлены нарушения законодательства о персональных данных:
представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения (ч.3 ст.22 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных»);
несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации (п. 6 Постановления Правительства Российской Федерации от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
- нарушение оператором обязательных требований при обработке персональных данных в рамках трудовых отношений в части отсутствия документов, устанавливающих порядок хранения и использования персональных данных работников (ст. 87 Трудового кодекса Российской Федерации);
нарушение оператором обязательных требований при обработке персональных данных в рамках трудовых отношений в части отсутствия документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных (ст.86 Трудового кодекса Российской Федерации);
непринятие оператором организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, блокирования, копирования, распространения (ч.1 ст.19 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных»).


среда, 8 февраля 2012 г.

Нарушения в области обработки персональных данных 3


Информация взята с официального сайта Роскомнадзора.

На Камчатке выявлены нарушения в области обработки персональных данных

В области обработки персональных данных выявлены следующие нарушения:
несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации;
не определены места хранения персональных данных (материальных носителей) при обработке персональных данных, осуществляемой без использования средств автоматизации;
работники не ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

В Саратовской области Администрация Дубковского муниципального образования осуществляла распространение персональных данных граждан без их согласия
В ходе проверок выявлены факты распространения Администрацией персональных данных граждан (справок о составе семьи) третьим лицам (ООО «Конкрет-Плюс») без согласия граждан.
В ходе проверки ООО «Конкрет-Плюс» выявлены нарушения Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», а также Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 г. № 687.

Управление Роскомнадзора по Краснодарскому краю и Республике Адыгея (Адыгея) выявило нарушения законодательства о персональных данных со стороны ООО «ЮГ-ФИНАНС»

В результате выявлены нарушения действующего законодательства, которые выразились в следующем:
- ООО «ЮГ-ФИНАНС» осуществляет обработку специальной категории персональных данных – сведений о судимости (в анкете при приеме на работу), что является нарушением требований ч. 3 ст. 10 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»;
- ООО «ЮГ-ФИНАНС», осуществляя обработку персональных данных близких родственников кандидатов (в анкете при приеме на работу), не предоставило документы, подтверждающие информирование субъекта персональных данных (близких родственников кандидатов) о наименовании оператора, цели обработки персональных данных и ее правовом основании, предполагаемых пользователях персональных данных, правах субъекта персональных данных, об источнике получения персональных данных, что является нарушением ч. 3 ст. 18 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»;
- в соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки от 09.08.2011 № 890, ООО «ЮГ-ФИНАНС» не были представлены документы, подтверждающие ознакомление работников и их представителей с документами работодателя, устанавливающие порядок хранения и использования персональных данных работников, что свидетельствует об их отсутствии и является нарушением требований п. 8 ст. 86 Трудового кодекса Российской Федерации.

В Приморском крае ТСЖ «Крепость» нарушает требования законодательства РФ в области персональных данных
При рассмотрении обращения Управлением было установлено, что ТСЖ «Крепость» вывешивает на подъездах домов списки плательщиков (неплательщиков) коммунальных услуг.
Размещая такие списки в общедоступных местах без согласия на то субъектов персональных данных, ТСЖ «Крепость» нарушает требования ст. 7 Федерального закона «О персональных данных», направленные на соблюдение принципа конфиденциальности персональных данных.

В Краснодарском крае выявлены факты нарушения законодательства о персональных данных со стороны коммерческого банка
В результате проверки выявлены нарушения законодательства, которые выразились в следующем:
1. В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки от 01.08.2011 № 875, ОАО «ОТП Банк» не были представлены документы об информировании лиц, осуществляющих обработку персональных данных гр. А., обработка которых осуществляется ОАО «ОТП Банк» без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, что свидетельствует об их отсутствии и является нарушением требований п. 6. постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2. В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки от 01.08.2011 № 875, ОАО «ОТП Банк» не были представлены документы, устанавливающие перечень лиц, осуществляющих обработку персональных данных гр. А., либо имеющих к ним доступ, что свидетельствует об их отсутствии и является нарушением требований п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3. В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки от 01.08.2011 № 875, ОАО «ОТП Банк» не было представлено письменное согласие гр. А. на обработку его биометрических персональных данных, обработка которых осуществляется ОАО «ОТП Банк» путем предоставления копии паспорта гр. А. при заполнении заявления на получение потребительского кредита (заключении кредитного договора № 2414459823 от 16.11.2010), что свидетельствует об его отсутствии и является нарушением требований ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Управление Роскомнадзора по Архангельской области и Ненецкому автономному округу провело плановую выездную проверку соблюдения законодательства о персональных данных в Информационно-методическом центре г. Мирный
В результате выявлены нарушения:
нарушение требований ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части предоставления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и недостоверные сведения;
нарушение требований ст. 87 Трудового кодекса Российской Федерации в части отсутствия документов, устанавливающих порядок хранения и использования персональных данных работников;
нарушение требований п. 8 ст. 86 Трудового кодекса Российской Федерации в части отсутствия документов, подтверждающих ознакомление работников с документами работодателя, устанавливающими порядок хранения и использования персональных данных работников.

Управление Роскомнадзора по Ставропольскому краю провело проверку соблюдения отделением ПФР по Ставропольскому краю требований законодательства о персональных данных

В ходе проверки выявлены следующие нарушения:
- в соглашениях, заключенных между отделением Пенсионного фонда РФ по СК и негосударственными пенсионными фондами, не определена обязанность соблюдения последними конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке, не указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных (нарушено требование ч.3 ст.6 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных»);
не все сотрудники отделения, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, установленными нормативно правовыми актами в области обработки персональных данных (нарушено требование п.6 постановления Правительства Российской Федерации от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).


вторник, 7 февраля 2012 г.

Нарушения в области обработки персональных данных 2


Предлагаю Вам выборку нарушений в области  защиты персональных данных (вторая половина 2011 г.). Информация взята с официального сайта Роскомнадзора.
Выявлены нарушения законодательства о персональных данных в Администрации г. Мичуринска Тамбовской области

Нарушение выразилось в том, что информационные системы персональных данных, эксплуатируемые в Администрации города Мичуринска, не классифицированы.

В Кемеровской области выявлено нарушение законодательства о персональных данных областным Департаментом труда и занятости
В ходе проведения проверки выявлены нарушения обязательных требований законодательства в области персональных данных:
- представление Департаментом труда и занятости населения Кемеровской области в Управление Роскомнадзора по Кемеровской области уведомления об обработке персональных данных, содержащего неполные сведения. (Выдано предписание об устранении нарушения, начато делопроизводство по ст. 19.7 КоАП РФ);
- отсутствие документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных работников. (Нарушение устранено в ходе проведения проверки);
- непринятие организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. (По данному факту выдано предписание об устранении нарушения).

В Иркутской области Администрация муниципального образования не соблюдает требования законодательства в области персональных данных
В ходе проверки выявлены нарушения законодательства:
- не соблюдение обязательного требования по включению в договор, заключенного между оператором и третьим лицом, существенного условия, безусловно подтверждающего обязанность обеспечения конфиденциальности и безопасности персональных данных при их обработке третьим лицом по поручению оператора (ч. 3 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»);
- не соблюдение оператором обязательных требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации (п. 6 Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).

В Краснодарском крае в деятельности ООО «Хоум Кредит энд Финанс Банк» выявлены факты нарушений федерального законодательства о персональных данных
В результате выявлены нарушения действующего законодательства.
1. ООО «ХКФ Банк», осуществляя обработку персональных данных гр. Ю. (при оформлении документов на получение кредита в ООО «ХКФ Банк» гр. З. указал в качестве контактного лица гр. Ю. и сообщил его абонентский номер мобильного телефона, после чего вышеуказанная информация о гр. Ю. как об альтернативном контакте заемщика (гр. З.) была внесена в базу данных ООО «ХКФ Банк») не представило письменное согласие гр. Ю. на обработку его персональных данных, что свидетельствует о его отсутствии и является нарушением требований п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ.
2. ООО «ХКФ Банк», осуществляя обработку персональных данных гр. Ю. (письмо № 23/01-09933 от 19.08.2011, согласно которому при оформлении документов на получение кредита в ООО «ХКФ Банк» гр. З. указал в качестве контактного лица гр. Ю. и сообщил его абонентский номер мобильного телефона, после чего вышеуказанная информация о гр. Ю. как об альтернативном контакте заемщика (гр. З.) была внесена в базу данных ООО «ХКФ Банк»), не предоставило документы, подтверждающие направление и получение субъектом персональных данных (гр. Ю.) информации о наименовании и адресе оператора или его представителя, цели обработки персональных данных и ее правовом основании, предполагаемых пользователях персональных данных, правах субъекта персональных данных, а также об источнике получения персональных данных, что является нарушением ч. 3 ст. 18 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
3. В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки от 04.08.2011 № 885, ООО «ХКФ Банк» не были представлены документы об информировании лиц, осуществляющих обработку персональных данных гр. Ю., о категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, что является нарушением требований п. 6. постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4. В соответствии с перечнем документов, установленным п.10 приказа о проведении внеплановой документарной проверки от 04.08.2011 № 885, ООО «ХКФ Банк» не были представлены документы, устанавливающие перечень лиц, осуществляющих обработку персональных данных гр. Ю., либо имеющих к ним доступ, что является нарушением требований п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

В Иркутской области выявлены нарушения законодательства в области обработки персональных данных
В ходе проверок установлено, что операторы осуществляет обработку персональных данных с нарушением ч. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»: не соблюдаются требования к содержанию письменного согласия субъекта персональных данных на обработку персональных данных.
Операторам выданы предписания об устранении выявленных нарушений. Материалы направлены в органы прокуратуры для принятия дальнейшего решения.

На Чукотке выявлены нарушения в области обработки персональных данных
В ходе проверки выявлены следующие нарушения:
- обработка персональных данных граждан без согласия субъекта ПД (п.1 ч.1 ст.6 Федерального закона «О персональных данных»);
- отсутствие перечня лиц, осуществляющих обработку персональных данных, либо имеющих доступ к ним.