ОГБУЗ «Октябрьская центральная районная больница» нарушила ФЗ «О защите персональных данных»

22.10.2012

Основанием для выдачи предписания о ликвидации обнаруженных нарушений в итоге выездной плановой проверки в Областном государственном бюджетном учреждении здравоохранении «Октябрьская центральная районная больница» послужил факт не принятия оператором технических, правовых, организационных мер, и кроме того, оператор предоставил уведомление, в котором содержаться не достаточные и неверные сведения.

Инспекторы Биробиджанского территориального отдела Управления Роскомнадзора в процессе проверки провели несколько контрольных мероприятий с целью выявления соответствия проводимых оператором действий — защита и обработка персональных данных, о которых упоминается в уведомлении, требования действующего законодательства Российской Федерации. В результате было установлено нарушение ч. 7 ст. 22 Федерального закона «О персональных данных» за № 152 ФЗ от 27.07.2006 года — изменив свое название с Муниципального учреждения здравоохранения на Областное государственное бюджетное учреждение здравоохранения «Октябрьская центральная клиническая больница», оператор не предупредил об этом Управление Роскомнадзора. Более того, сличив сведения, которые содержались в уведомлении оператора, касающиеся защиты и обработки персональных данных, специалисты установили несколько несоответствий, таких как недостоверность и неполнота информации — а это прямое нарушение ч. 3 ст. 22 ФЗ за № 152 «О персональных данных».

Проверочные мероприятия на предмет соблюдения данной организацией требований законодательства РФ об обеспечении безопасности персональной информации при ее обработке в ИСПДн показали, что ОГБУЗ «Октябрьская ЦРБ» нарушило ч. 1 ст. 19 ФЗ от 27 июля 2006 года за № 152 «О персональных данных» — акт классификации ИСПДн у оператора отсутствует, не проводилось обследование информационных систем, которые эксплуатировались оператором, на предмет обработки в них персональной информации и установления безопасного режима. Локальные акты ОГБУЗ «Октябрьская ЦРБ» предусматривают процедуру резервного восстановления базы данных. Учет съемных носителей, в виде магнитно-оптических дисков и флеш-карт, а также контроль за электронным журналом обращений — не ведутся, Положение об обработке персональных данных пациентов лечебно-профилактического учреждения также отсутствует, нет других внутренних локальных актов, которые регламентировали бы правила обработки персональной информации в учреждении.

Все установленные в процессе проверки факты говорят о признаках нарушения данным юридическим лицом требований ч. 1 ст. 9 Федерального закона за № 152 ФЗ «О персональных данных» от 2006.07.27, которое выразилось в виде не принятия оператором технических, правовых и организационных мер для обеспечения защиты персональных данных от случайного или неправомерного доступа к ним, изменения, блокирования, уничтожения, копирования или распространения персональной информации, а также о других незаконных действий.

За это нарушение Кодекс об административных правонарушениях предусматривает административную ответственность согласно ст. 13.11.

По итогам выездной плановой проверки ОГБУЗ «Октябрьская ЦРБ» получило предписание, в котором прописан конкретный срок исполнения.

Материалы этого дела были отданы в прокуратуру Октябрьского района. Были составлены 2 протокола об административно м правовом нарушении, за которые предусмотрена ответственность по ст. 19.7 КоАП Российской Федерации.

Материалы административных делопроизводств, касающиеся данной организации, были переданы мировому судье Октябрьского судебного участка Ленинского районного суда ЕАО с целью привлечения к административной ответственности.