В результате проведения проверки выявлены следующие нарушения обязательных требований законодательства РФ в области обработки персональных данных:

1) ч. 3 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» –  в части отсутствия в договоре ФГБОУ ВПО «Саратовский ГАУ» и ОАО «Сбербанк России»  персональных данных, обязанности ОАО «Сбербанк России» соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, требований к защите обрабатываемых персональных данных  в соответствии со ст. 19 Федерального закона № 152-ФЗ «О персональных данных»;

2) п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» -  в части не представления документов, определяющих политику в отношении обработки персональных данных;

3) п. 4 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» – в части не представления документа, подтверждающего осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

4) п. 5 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных»:

• - в части не представления документа, определяющего проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ «О персональных данных»;
• - в части не представления документа, определяющего соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;

5) п. 6 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» – в части не представления документов, подтверждающих ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных:

• -  с положениями законодательства Российской Федерации о персональных данных, в частности, с Постановлением Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• - документами, определяющими политику оператора в отношении обработки персональных данных;
• - локальными актами по вопросам обработки персональных данных.

6) п. 13 Постановления Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» - в части не представления документа, определяющего в отношении каждой категории персональных данных места хранения персональных данных (материальных носителей);

7) п. 5 ч. 1 ст. 19 Федерального закона № 152-ФЗ «О персональных данных» – в части не представления документов, подтверждающих ведение учета машинных носителей персональных данных;

8) ч. 1 ст. 9 Федерального закона  № 152-ФЗ «О персональных данных» - в части не конкретности согласий на обработку персональных данных (перечень персональных данных, на обработку которых даётся согласие, является не конкретным);

9) п.6 ч. 4 ст. 9 Федерального закона  № 152-ФЗ «О персональных данных» -  в части отсутствия в тексте согласий на обработку персональных данных наименования и адреса лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (данные передаются в ОАО «Сбербанк»);

10) п.7 ч. 4 ст. 9 Федерального закона  № 152-ФЗ «О персональных данных» - в части отсутствия в тексте согласий на обработку персональных данных общего описания используемых оператором способов обработки персональных данных, не полноты перечня действий, на совершение которых даётся согласие, а именно: отсутствует «запись», хотя по факту запись сведений о сотрудниках производится, в частности в материалы личного дела, студентов – в анкеты, зачётные книжки, студенческие билеты, зачетные ведомости, пропуски в общежития и т.д.;

11) ч. 5 ст. 5 Федерального закона № 152-ФЗ «О персональных данных» - в части избыточности информации, запрашиваемой в тексте личной карточки студента (национальность, семейное положение, сведения о родителях – не представлены документы, определяющие цели обработки указанных категорий персональных данных).

ФГБОУ ВПО «Саратовский государственный аграрный университет имени Н.И.Вавилова»  выдано предписание об устранении выявленных нарушений. Материалы проверки направлены по подведомственности в органы прокуратуры для принятия мер прокурорского реагирования.

В рамках проведения проверки было выявлено несоответствие сведений, содержащихся в уведомлении ФГБОУ ВПО «Саратовский государственный аграрный университет имени Н.И.Вавилова» об обработке персональных данных и фактически осуществляемой обработки персональных данных.

В связи с чем, в отношении ФГБОУ ВПО «Саратовский государственный аграрный университет имени Н.И.Вавилова» был составлен протокол об административном правонарушении по ст. 19.7 КоАП РФ. Материалы направлены для рассмотрения мировому судье по подведомственности.