В январе 2022 г. завершилась плановая выездная проверка соблюдения обязательных требований в области обработки персональных данных АО «ТИИР»
По результатам плановой выездной проверки соблюдения обязательных требований законодательства Российской Федерации в области персональных данных в отношении АО «ТИИР» выявлены следующие нарушения:
1) ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») – непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных;
2) ч. 4 ст. 9 ФЗ «О персональных данных» ‒ несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации;
3) ч. 4 ст. 21 ФЗ «О персональных данных» – необеспечение уничтожения персональных данных в случае достижения цели обработки персональных данных;
4) ч. 5 ст. 5 ФЗ «О персональных данных» – обработка избыточных персональных данных по отношению к заявленным целям их обработки;
5) п. 6 ч. 1 ст. 18.1 ФЗ «О персональных данных» ‒ непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в части неознакомления работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных;
6) п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением правительства российской федерации от 15.09.2008 № 687 (далее ‒ Положение), в части невыполнения требований по информированию лиц о категориях обрабатываемых без использования средств автоматизации персональных данных (по всем категориям субъектов персональных данных);
7) п. 13 Положения, в части отсутствия документа, закрепляющего перечень лиц, осуществляющих обработку персональных данных уволенных работников, родственников работников, кандидатов на вакантные должности, физических лиц (контрагентов), заключивших с оператором гражданско-правовые договоры, без использования средств автоматизации либо имеющих к ним доступ
8) п. 15 Положения, в части отсутствия документа, закрепляющего перечень мер, обеспечивающих сохранность персональных данных лиц, проходящих на территорию Оператора, а также перечня лиц, ответственных за реализацию указанных мер.
В результате проверки выдано предписание об устранении выявленных нарушений.