Брянский филиал «ОАО Сбербанк России» осуществляет сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, как с использованием средств автоматизации, так и без использования таких средств. ОАО Сбербанк России является оператором, организующим и осуществляющим обработку персональных данных граждан. При этом юридическое лицо не представило уведомление об обработке персональных данных в государственный орган, представление которого предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. ОАО «Сбербанк России» нарушило ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В отделе по работе с персоналом Брянского филиала ОАО «Сбербанк России» форма и содержание письменного заявления — согласия субъекта персональных данных на обработку персональных данных — не соответствует требованиям законодательства Российской Федерации.
В форме согласия отсутствует следующая информация: наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных, перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, срок, в течение которого действует согласие, а также порядок его отзыва. В типовой форме заявление (анкеты), определяющей согласие гражданина на обработку своих персональных данных, утвержденной приказом ОАО «Сбербанк России» 30.05.2003г № 229-3-р «О порядке кредитования физических лиц Сбербанком России и его филиалами» содержание письменного заявления — согласия субъекта персональных данных на обработку персональных данных не соответствует требованиям законодательства Российской Федерации. В нём отсутствует следующая информация: номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование, перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие. Нарушены требования п. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», п. 7 Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В рекомендуемых формах договоров, утвержденных приказом ОАО «Сбербанк России» от 30.05.2003 г. № 229-3-р «Порядок кредитования физических лиц Сбербанком России и его филиалами», отсутствуют существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке. Это является нарушением ч. 4 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Результаты проведенного мероприятия по контролю направлены в головное Управление — Управление Роскомнадзора по Москве и Московской области для принятия решения о применении мер реагирования.