gerb

Управление Роскомнадзора по Ярославской области

В июне 2021 г. завершилась плановая выездная проверка соблюдения обязательных требований в области обработки персональных данных ОАО «Санаторий «Красный Холм»

12 июля 2021 года

По результатам плановой выездной проверки соблюдения обязательных требований законодательства Российской Федерации в области персональных данных в отношении ОАО «Санаторий «Красный Холм» выявлены следующие нарушения:

1. ч. 7 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее ФЗ «О персональных данных»)непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных.

2. ч. 4 ст. 9 ФЗ «О персональных данных» ‒ несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации; а также требования ст. 88 ТК РФ, в части осуществления передачи персональных данных работников третьим лицам (публикации на интернет-сайте) на основании письменного согласия работников, несоответствующего ч. 4 ст. 9 ФЗ «О персональных данных».

3. ч. 1 ст. 6 ФЗ «О персональных данных» обработка персональных данных в случаях, непредусмотренных ФЗ «О персональных данных», в части обработки персональных данных субъектов персональных данных в отсутствие правового основания при размещении информации на официальном сайте Оператора.

4. ч.1 ст.6 ФЗ «О персональных данных» обработка персональных данных в случаях, непредусмотренных ФЗ «О персональных данных», в части отсутствия сведений о правовых основаниях сбора персональных данных в онлайн-формах на сайте Оператора.

5. ч. 4 ст. 9 ФЗ «О персональных данных» несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации, а также требования ст. 88 ТК РФ, в части осуществления передачи персональных данных работников третьим лицам (в банк) на основании письменного согласия работников, несоответствующего ч. 4 ст. 9 ФЗ «О персональных данных».

6. ч. 5 ст. 5 ФЗ «О персональных данных» – обработка избыточных персональных данных по отношению к заявленным целям их обработки, в части внесения персональных данных родственников работников в Унифицированную форму № Т-2 в объеме, превышающем объем, предусмотренный Унифицированной формой № Т-2.

7. ч. 4 ст. 22.1 ФЗ «О персональных данных», в части отсутствия в локальных актах, закрепляющих обязанности ответственного за организацию обработки персональных данных, обязанности по осуществлению внутреннего контроля за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.

8. п. 6 ч. 1 ст. 18.1 ФЗ «О персональных данных» непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в части неознакомления работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных.

9. п. 6 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687 (далее – Положение), в части невыполнения требований по информированию лиц о категориях субъектов персональных данных, чьи персональные данные обрабатываются без использования средств автоматизации, категориях обрабатываемых без использования средств автоматизации персональных данных, об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации.

10. п. 13 Положения, в части отсутствия документа, закрепляющего перечень лиц, осуществляющих обработку персональных без использования средств автоматизации либо имеющих к ним доступ.

11. п. 15 Положения, в части отсутствия документа, закрепляющего перечень мер, обеспечивающих сохранность персональных, а также перечня лиц, ответственных за реализацию указанных мер.

 

 

В результате проверки выдано предписание об устранении выявленных нарушений.

 

Адрес статьи: http://76.rkn.gov.ru/news/news303188.htm