По результатам плановой выездной проверки соблюдения обязательных требований законодательства Российской Федерации в области персональных данных в отношении ГАУ ЯО «РЦСП» выявлены следующие нарушения:

1) ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») – непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных;

2) ч. 1 ст. 6 ФЗ «О персональных данных» ‒ обработка персональных данных в случаях, непредусмотренных ФЗ «О персональных данных», в части отсутствия сведений о правовых основаниях сбора персональных данных на сайте Оператора;

3) ч. 2 ст. 18.1 ФЗ «О персональных данных» ‒ невыполнение Оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных, в том числе неопубликование на официальном сайте;

4) ч. 4 ст. 9 ФЗ «О персональных данных» ‒ несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации; ст. 88 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ (далее – ТК РФ) ‒ передача персональных данных работника третьей стороне без письменного согласия работника, в части публикации персональных данных работников на Интернет - сайте на основании письменного согласия работников, несоответствующего ч. 4 ст. 9 ФЗ «О персональных данных»;

5) ч. 1 ст. 6 ФЗ ‒ обработка персональных данных в случаях, непредусмотренных ФЗ «О персональных данных»; ч. 4 ст. 9 ФЗ «О персональных данных» ‒ обработка персональных данных без письменного согласия субъекта персональных данных на обработку его персональных данных; ст. 88 ТК РФ ‒ передача персональных данных работника третьей стороне без письменного согласия работника, в части передачи персональных данных работников в кредитные учреждения без письменного согласия;

6) п. 8 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687 (далее — Положение) ‒ несоблюдение условий ведения журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор;

7) п. 4 ч. 1 ст. 18.1 ФЗ «О персональных данных» ‒ непринятие Оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в части неосуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных ФЗ «О персональных данных» и принятых в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

8) п. 6 ч. 1 ст. 18.1 ФЗ «О персональных данных» ‒ непринятие Оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в части неознакомления работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных;

9) п. 6 Положения – несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о категориях обрабатываемых без использования средств автоматизации персональных данных (по всем категориям субъектов персональных данных);

10) п. 13 Положения в части отсутствия документа, закрепляющего перечень мест хранения материальных носителей персональных данных (по всем категориям субъектов персональных данных);

11) п. 15 Положения в части отсутствия документа, закрепляющего перечень мер, обеспечивающих сохранность персональных данных соискателей на замещение вакантных должностей, уволенных работников, родственников работников, посетителей интернет-сайта, посетителей здания Оператора, а также перечня лиц, ответственных за реализацию указанных мер.

В результате проверки выдано предписание об устранении выявленных нарушений.