В августе месяце текущего года в адрес Управления Роскомнадзора по Свердловской области от Территориального фонда обязательного медицинского страхования Свердловской области поступили сведения о проникновении ООО СМК «Астрамед-МС» в Центральный банк данных ТФОМС СО, содержащую информацию о застрахованных гражданах. Для подтверждения или исключения данного факта была организована и проведена внеплановая документарная проверка в ООО СМК «Астрамед-МС» и ТФОМС СО. К участию в проверке были привлечены специалисты Управления ФСТЭК по УФО.
В ходе проверки были выявлены факты нарушения законодательства в области персональных данных выше названными операторами персональных данных в мае месяце текущего года.
Принятыми мерами со стороны операторов незаконно полученная база данных застрахованных лиц была уничтожена ещё до начала проверок.
Вместе с тем в ходе проверки деятельности ТФОМС СО были выявлены нарушения:
— ч. 7 ст.22 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных». Непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных, в определенный законодательством срок;
— ч.1 ст.19 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных». Непринятие оператором необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий;
— п. 7 Постановления Правительства от 15 сентября 2008г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации;
— п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687. Отсутствие у оператора перечня лиц, осуществляющих обработку персональных данных либо имеющим к ним доступ.
По мнению Управления Роскомнадзора по Свердловской области и Управления ФСТЭК по УФО данные нарушения явились следствием проникновения постороннего лица в Центральный банк данных ТФОМС СО. Оператор не принял исчерпывающих и достаточных мер для защиты информации, проведя мероприятия по защите только незначительной части информации, действуя по принципу «лишь бы, что то было».
Таким образом, деятельность ТФОМС СО в области персональных данных признана не соответствующей требованиям законодательства РФ. Оператору выданы предписания об устранении выявленных нарушений и рассматривается вопрос о направлении материалов проверки в органы прокуратуры.