Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю и Республике Адыгея (Адыгея) с 01 февраля 2011 года по 28 февраля 2011 года было проведено плановое надзорное мероприятие в отношении ОАО «АБ «Кубаньбанк».
В ходе проведения надзорного мероприятия выявлены факты нарушения законодательства о персональных данных, которые выразились в следующем:
ОАО «АБ «Кубаньбанк» было представлено в Управление Роскомнадзора по Краснодарскому краю и Республике Адыгея (Адыгея) уведомление об обработке персональных данных, содержащее недостоверные сведения, а именно: в уведомлении не указаны категории субъектов (близкие родственники кандидата на работу, клиента при получении кредита), персональные данные которых обрабатываются в анкете кандидата, заявлении на получение кредита, что является нарушением ч. 7 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
В договоре обязательного медицинского страхования, на основании которого, в соответствии с п. 5 были переданы персональные данные сотрудников ОАО «АБ «Кубаньбанк» в ООО «МСК-Мед», отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке, что является нарушением требований ч. 4 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В ходе проверки ОАО «АБ «Кубаньбанк» не были представлены документы, подтверждающие ознакомление работников и их представителей с документами работодателя, устанавливающие порядок хранения и использования персональных данных работников, что свидетельствует об их отсутствии и является нарушением требований п. 8 ст. 86 Трудового кодекса Российской Федерации, а также ОАО «АБ «Кубаньбанк» не были представлены документы об информировании лиц, осуществляющих обработку персональных данных, обработка которых осуществляется ОАО «АБ «Кубаньбанк» без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, что свидетельствует об их отсутствии и является нарушением требований п. 6. постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В ОАО «АБ «Кубаньбанк» отсутствовали документы, определяющие места хранения персональных данных (материальных носителей), не установлен перечень лиц, осуществляющих обработку персональных данных без использования средств автоматизации либо имеющих к ним доступ, что свидетельствует об их отсутствии и является нарушением требований п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Также в ходе проведения надзорного мероприятия установлено, что в соответствии с уведомлением об обработке персональных данных целью обработки персональных данных является осуществление банковской деятельности, предотвращение легализации (отмывания) доходов, полученных преступным путем, исполнение договоров. Однако в анкете предусматривается также сбор персональных данных близких родственников работника (Ф. И. О., гражданство, дата, место рождения, адрес, телефон, место работы). Таким образом, ОАО «АБ «Кубаньбанк» осуществляет обработку персональных данных близких родственников работника, избыточных по отношению к целям, заявленным при сборе персональных данных, что является нарушением требований п. 4 ч. 1 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Вместе с тем, ОАО «АБ «Кубаньбанк», осуществляя обработку персональных данных близких родственников работника в анкете, утвержденной приказом банка, не предоставило документы, подтверждающие информирование субъекта персональных данных (близких родственников работника) о наименовании оператора, цели обработки персональных данных и ее правовом основании, предполагаемых пользователях персональных данных, правах субъекта персональных данных, что является нарушением ч. 3 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
По фактам нарушения законодательства о персональных данных ОАО «АБ «Кубаньбанк» выданы предписания.
Материалы были направлены в прокуратуру Карасунского административного округа г. Краснодара для возбуждения административного производства.