• Главная
• Письма
• 2011
• Февраль
• 22
• Письмо от 22.02.2011 г № 04.4-11-1044

Письмо от 22.02.2011 г № 04.4-11-1044

Об информационных системах персональных данных

Руководителям органов местного
самоуправления, осуществляющих
управление в сфере образования
Руководителям краевых подведомственных
министерству образования и науки края
образовательных учреждений
Министерство образования края напоминает, что в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями закона не позднее 1 июля 2011 года.
В Федеральном законе под информационной системой персональных данных понимается информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информируем, что управлением Роскомнадзора по Хабаровскому краю и ЕАО в 2010 году проведены проверки ряда образовательных учреждений и органов управления образованием. На заседании Совета по информационной безопасности при Губернаторе края от 22 февраля 2011 г. отмечены распространенные нарушения законодательства в области обработки персональных данных:
Федеральный закон от 27 июля 2006 г. N 152-ФЗ
"О персональных данных"
- Статья 6. Условия обработки персональных данных
- Отсутствие в текстах договоров существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лицу (ч. 4 ст. 6 "В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке").
- Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в части обработки персональных данных без согласия субъекта персональных данных (ч. 1 ст. 6 "Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи").
- Статья 7. Конфиденциальность персональных данных
- Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в части нарушения требований конфиденциальности при обработке категорий персональных данных, не являющихся общедоступными (ч. 1 ст. 7 "Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи").
- Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
- Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (ч. 4 ст. 9 "В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных").
- Статья 10. Специальные категории персональных данных
- Обработка специальных категорий персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 10 Федерального закона "О персональных данных" (ч. 1 ст. 10 "Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи").
- Статья 18. Обязанности оператора при сборе персональных данных
- Нарушение оператором обязательных требований при обработке персональных данных, полученных от третьих лиц (ч. 3 ст. 18).
- Статья 22. Уведомление об обработке персональных данных
- Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), предоставление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно предоставление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде в части осуществления деятельности по обработке персональных данных, не попадающей под исключения ч. 2 ст. 22 Федерального закона "О персональных данных", без уведомления Уполномоченного органа по защите прав субъектов персональных данных (ч. 1 ст. 22 "Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи").
Постановление Правительства Российской Федерации
от 15.09.2008 N 687 "Об утверждении Положения об
особенностях обработки персональных данных, осуществляемой
без использования средств автоматизации"
- несоблюдение оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ (п. 15);
- отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (п. 13);
- несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации (п. 6).
В качестве примеров были приведены образовательные учреждения, в которых выявлены нарушения законодательства:
Муниципальное дошкольное образовательное
учреждение детский сад N N
В ходе проведения проверки были выявлены нарушения обязательных требований законодательства Российской Федерации в области обработки персональных данных:
- нарушение ч. 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", выразившееся в представлении в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные сведения.
При проведении проверки установлено, что МДОУ детский сад N N кроме указанных в уведомлении категорий персональных данных осуществляет обработку следующих категорий персональных данных: состав семьи, сведения о социальных льготах, данные свидетельства о рождении ребенка, свидетельство о заключении брака.
В ходе проверки данное нарушение было устранено. МДОУ детский сад N N предоставило новое уведомление об обработке персональных данных.
- нарушение ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", выразившееся в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в части обработки персональных данных без согласия субъекта персональных данных.
В МДОУ детский сад N N обработка персональных данных работников осуществляется без согласия субъекта персональных данных.
В ходе проверки данное нарушение было устранено. МДОУ детский сад N N разработано, утверждено "Согласие работника на обработку персональных данных", соответствующее требованиям законодательства Российской Федерации. Данное согласие подписано каждым работником МДОУ детский сад N N.
- нарушение ч. 4 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", выразившееся в отсутствии в тексте договора обязательного медицинского страхования работающих граждан существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лицу.
МДОУ детский сад N N на основании данного договора поручает обработку персональных данных своих работников другому лицу - ООО "Страховая компания "ДАЛЬ-РОСМЕД". Однако в тексте договора обязательного медицинского страхования работающих граждан отсутствовало существенное условие - обязанность обеспечения страховщиком конфиденциальности и безопасности персональных данных при их обработке, что является нарушением ч. 4 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
В ходе проверки данное нарушение оператором устранено. МДОУ детский сад N N заключило Дополнительное соглашение к договору обязательного медицинского страхования работающих граждан, согласно которому ООО "Страховая компания "ДАЛЬ-РОСМЕД" и МДОУ детский сад N N обязуются обеспечивать безопасность персональных данных застрахованных лиц.
Муниципальное образовательное учреждение
дополнительного образования детей "Центр..."
Муниципальное образовательное учреждение дополнительного образования детей "Центр..." (далее по тексту - Центр) создан с целью обучения и воспитания детей школьного возраста.
В ходе проведения проверки были выявлены нарушения обязательных требований законодательства Российской Федерации в области обработки персональных данных:
- нарушение ч. 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", выразившееся в представлении в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные сведения.
При проведении проверки установлено, что Центр кроме указанных в уведомлении категорий персональных данных осуществляет обработку следующих категорий персональных данных: месяц рождения, год рождения, место рождения, ученая степень, ученое звание, отношение к воинской обязанности, ИНН, СПС, паспортные данные, сведения о судимости. Данный факт подтверждается типовой формой анкеты, которую заполняет работник, копией паспорта, копией ИНН, копией СПС.
В ходе проверки данное нарушение было устранено. Центр предоставил новое уведомление об обработке персональных данных.
- нарушение ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", выразившееся в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в части обработки персональных данных без согласия субъекта персональных данных.
В Центре обработка персональных данных осуществлялась без согласия субъекта персональных данных.
В ходе проверки данное нарушение было устранено. Центром разработано, утверждено "Согласие работника на обработку персональных данных", соответствующее требованиям законодательства Российской Федерации. Данное согласие подписано каждым работником Центра.
- нарушение ч. 4 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", выразившееся в отсутствии в тексте договора обязательного медицинского страхования работающих граждан существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лицу.
Центр на основании данного договора поручает обработку персональных данных своих работников другому лицу - ОАО Страховая компания "РОСНО-МС". Однако в тексте договора обязательного медицинского страхования работающих граждан отсутствовало существенное условие - обязанность обеспечения страховщиком конфиденциальности и безопасности персональных данных при их обработке.
В ходе проверки данное нарушение оператором устранено. Центр заключил Дополнительное соглашение к Договору обязательного медицинского страхования работающих граждан, согласно которому ОАО Страховая компания "РОСНО-МС" и Центр обязуются обеспечивать безопасность персональных данных застрахованных лиц.
- ч. 3 ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", выразившееся в нарушении оператором обязательных требований при обработке специальных категорий персональных данных (сведения о судимости).
При трудоустройстве в Центр потенциальный кандидат заполняет о себе анкету, в которой указывает сведения о наличии судимости, являющиеся специальными категориями персональных данных. При этом согласие работника в письменной форме на обработку своих персональных данных (сведениях о судимости) в Центре отсутствует.
В ходе проверки данное нарушение было устранено, Центр включил в пункт "состав персональных данных, на обработку которых дается согласие субъекта персональных данных" в "Согласие работника на обработку персональных данных" сведения о судимости.
- нарушение п. 13 Постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", выразившееся в отсутствии у оператора перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
В Центре отсутствовал перечень лиц, имеющих доступ к персональным данным обучающихся.
В ходе проверки данное нарушение было устранено. В Центре утвержден "Перечень лиц, допущенных к персональным данным обучающихся". Работники, имеющие доступ к персональным данным, ознакомлены с данным перечнем под роспись.
Министерство образования и науки края просит проанализировать наиболее типичные нарушения законодательства в области защиты персональных данных, выявленные Управлением Роскомнадзора по Хабаровскому краю и ЕАО в образовательных учреждениях в 2010 году, и принять меры по недопущению нарушений законодательства.
Одновременно по просьбе Управления Роскомнадзора по Хабаровскому краю и ЕАО информируем, что оператор обработки персональных данных (или его учредитель) должен своевременно информировать Управление об изменении наименования оператора, его реорганизации или ликвидации в целях поддержания в актуальном состоянии базы операторов обработки персональных данных.
Заместитель министра
А.М.Король

• Главная
• Письма
• 2011
• Февраль
• 22
• Письмо от 22.02.2011 г № 04.4-11-1044