Управлением Роскомнадзора по Калужской области в период с 01.02.2017 по 01.03.2017 проведена плановая выездная проверка ГБУЗКО «Калужская областная клиническая больница».

По результатам проведения указанного мероприятия выявлены следующие нарушения:

1) ч. 3 ст. 22 Федерального закона от 27.07.2006  № 152-ФЗ «О персональных данных»: предоставление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения в части категорий обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, способов обработки персональных данных; срока или условий обработки персональных данных.

Исходя из обстоятельств, установленных в ходе проведения проверки, в частности, с учетом содержания личных дел сотрудников, информированных согласий на медицинское вмешательство, локальных актов ГБУЗКО «КОКБ» по вопросам обработки персональных данных обязанность по направлению указанных сведений возникла за пределами срока давности привлечения к административной ответственности, в связи с чем, дело об административном правонарушении по ст. 19.7 КоАП РФ не может быть возбуждено (ч.1 ст. 24.5 КоАП РФ).

2) ч.7 ст. 22 Федерального закона от 27.07.2006  № 152-ФЗ «О персональных данных»:  информационное письмо в связи с изменением сведений, содержащихся в реестре операторов персональных данных в части указания сведений об ответственном за организацию обработки персональных данных, представлено несвоевременно.

Исходя из обстоятельств, установленных в ходе проведения проверки, в частности, обязанность по направлению сведений об изменении ответственного за организацию обработки персональных данных лица возникла за пределами срока давности привлечения к административной ответственности, в связи с чем, дело об административном правонарушении по ст. 19.7 КоАП РФ не может быть возбуждено (ч.1 ст. 24.5 КоАП РФ).

Нарушение устранено путем подачи информационного письма, отражающего сведения о лице, ответственном за организацию обработки персональных данных.

3) ст. 7, ч.1 ст. 18.1 Федерального закона от 27.07.2006  № 152-ФЗ «О персональных данных»: нарушение конфиденциальности персональных данных, непринятие  необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ в связи с передачей ГБУЗКО «КОКБ» медицинской документации по месту нахождения страховых медицинских организаций.

4) ч.4 ст. 21 Федерального закона от 27.07.2006  № 152-ФЗ «О персональных данных» в части обработки персональных данных, содержащихся в медицинской документации,  после достижения целей обработки персональных данных и сроков, предусмотренных законодательством Российской Федерации.

5) ч. 3 ст. 6 Федерального закона № 152-ФЗ: отсутствие в поручении оператора (договоре), заключенном с ООО «Вега»  (договор от 01.12.2016 оказания услуг), обязанности  по соблюдению ООО «Вега» конфиденциальности персональных данных и обеспечению  безопасности персональных данных при их обработке, а также требований к защите обрабатываемых персональных данных в соответствии со ст.19 указанного Федерального закона.

  6) п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687: осуществление хранения документов, содержащих персональные данные, в месте, не установленном  для хранения персональных данных локальным актом ГБУЗКО «КОКБ».

7) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687: хранение материальных носителей персональных данных в незапираемых шкафах/сейфах при возможности доступа лиц, не являющихся сотрудниками ГБУЗКО «КОКБ» в помещения, где хранятся материальные носители персональных данных, а также отсутствие локальных актов (документов), устанавливающих требования непосредственно к условиям хранения материальных носителей персональных данных.

8) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687: отсутствие внутренних локальных актов, закрепляющих  перечень лиц, ответственных за реализацию мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей.

По результатам проверки юридическому лицу выдано предписание об устранении выявленных нарушений, а также рекомендовано привести локальные акты в соответствие с действующим законодательством и фактической деятельностью по обработке персональных данных.