Внеплановая документарная проверка Территориального фонда обязательного медицинского страхования Свердловской области

31.10.2011

В августе месяце текущего года в адрес Управления Роскомнадзора по Свердловской области от Территориального фонда обязательного медицинского страхования Свердловской области поступили сведения о проникновении ООО СМК «Астрамед-МС» в Центральный банк данных ТФОМС СО, содержащую информацию о застрахованных гражданах. Для подтверждения или исключения данного факта была организована и проведена внеплановая документарная проверка в ООО СМК «Астрамед-МС» и ТФОМС СО. К участию в проверке были привлечены специалисты Управления ФСТЭК по УФО.

В ходе проверки были выявлены факты нарушения законодательства в области персональных данных выше названными операторами персональных данных в мае месяце текущего года.

Принятыми мерами со стороны операторов незаконно полученная база данных застрахованных лиц была уничтожена ещё до начала проверок.

Вместе с тем в ходе проверки деятельности ТФОМС СО были выявлены нарушения:

— ч. 7 ст.22 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных». Непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных, в определенный законодательством срок;

— ч.1 ст.19 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных». Непринятие оператором необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий;

— п. 7 Постановления Правительства от 15 сентября 2008г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации;

— п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687. Отсутствие у оператора перечня лиц, осуществляющих обработку персональных данных либо имеющим к ним доступ.

По мнению Управления Роскомнадзора по Свердловской области и Управления ФСТЭК по УФО данные нарушения явились следствием проникновения постороннего лица в Центральный банк данных ТФОМС СО. Оператор не принял исчерпывающих и достаточных мер для защиты информации, проведя мероприятия по защите только незначительной части информации, действуя по принципу «лишь бы, что то было».

Таким образом, деятельность ТФОМС СО в области персональных данных признана не соответствующей требованиям законодательства РФ. Оператору выданы предписания об устранении выявленных нарушений и рассматривается вопрос о направлении материалов проверки в органы прокуратуры.