Управлением Роскомнадзора по Приморскому краю совместно с УФСТЭК России по Дальневосточному Федеральному округу (Федеральная служба по техническому и экспертному контролю) по согласованию с прокуратурой Приморского края проведена внеплановая выездная проверка ООО «Владивостокский бизнес-центр» по проверке фактов, изложенных в обращении Аппарата полномочного представителя Президента Российской Федерации в Дальневосточном Федеральном округе о возникновении угрозы информационной безопасности Российской Федерации, при проведении которой установлено, что Общество осуществляет обработку персональных данных в гостинице «Хендэ» с нарушением требований:
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
— часть 3 статьи 22 (представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения);
— часть 1 статьи 11 (обработка биометрических персональных данных (фотография, вес, рост) без письменного согласия субъекта персональных данных);
— часть 1 статьи 10 (обработка специальных категорий персональных данных (национальная принадлежность, состояние здоровья) без письменного согласия субъекта персональных данных);
— часть 4 статьи 6 (в тексте договора обязательного медицинского страхования работающих граждан отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных работников при их обработке, так как ООО «Владивостокский бизнес-центр» на основании данного договора поручает обработку персональных данных другому лицу);
— часть 4 статьи 21 (обработка персональных данных соискателей; клиентов, проживающих в гостинице Хендэ больше, чем того требует цель обработки персональных данных);
— часть 3 статьи 18 (поручители не были уведомлены о получении их персональных данных ООО «Владивостокский бизнес-центр» от третьих лиц);
— часть 1 статьи 6 (обработка персональных данных поручителей, близких родственников (супругов) работников и физических лиц, с которыми ООО «Владивостокский бизнес-центр» прекратило трудовые отношения, без их письменного согласия на обработку персональных данных).
1). Постановления Правительства РФ от 16.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»:
— пункт 13 (не определены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных либо имеющих доступ к персональным данным контрагентов (индивидуальных предпринимателей, законных представителей юридических лиц, физических лиц); физических лиц, с которыми ООО «Владивостокский бизнес-центр» прекратило трудовые отношения; близких родственников работников и физических лиц, с которыми ООО «Владивостокский бизнесцентр» прекратило трудовые отношения; соискателей и их ближайших родственников; поручителей);
— пункт 6 (не все работники, осуществляющие обработку персональных данных, проинформированы о факте обработки ими персональных данных, категориях обрабатываемых ими персональных данных, а также об особенностях и правилах осуществления такой обработки);
— пункт 15 (не установлены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ)
2). Трудового кодекса Российской Федерации:
— пункт 8 статьи 86 (работники и их представители не ознакомлены под роспись с документами работодателя, устанавливающими порядок хранения и использования персональных данных работников, а также об их правах и обязанностях в этой области).
3). Организация и состояние работ по обеспечению безопасности персональных данных при их обработке в информационных системах ООО «Владивостокский бизнесцентр» не соответствуют требованиям правовых и нормативно-методических документов по защите информации.
По итогам проведенной внеплановой выездной проверки ООО «Владивостокский бизнес-центр» выданы 11 предписаний об устранении выявленных нарушений.
По факту представления в Управление Роскомнадзора по Приморскому краю уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения (категории персональных данных и категории субъектов персональных данных) составлен протокол об административном правонарушении по ст. 19.7 КоАП РФ и направлен для рассмотрения мировому судье судебного участка № 22 г. Владивостока.
В прокуратуру Ленинского района г. Владивостока Приморского края направлены материалы для решения вопроса о возбуждении в отношении ООО «Владивостокский бизнес-центр» административного производства по статье 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).