Статистическая обработка обезличенных ПДн бюро кредитных историй
Добрый день!
Многие слышали о системах статистической обработки данных - Citadel (Канада), SIRA (Европа), которые используются для оценки Банком риска мошенничества со стороны потенциального заемщика.
Хочу узнать мнения специалистов по поводу одного такого информационного взаимодействия с бюро кредитных историй (БКИ).
БКИ выделяет для Банков "защищенные сегменты" ( ~ Cloud) на своих серверах (этакие базы данных Банков - у каждого Банка "своя БД").
Сведения в эту базу передаются Банком на "до договорном" этапе с клиентом - то есть, при подаче клиентом анкеты (заявления) в Банк. Т.о. 218-ФЗ тут еще не действует.
Как только сведения попадают в БД, они проходят процедуру обезличивания (hash) и хранятся в БД только в таком виде (по крайней мере, так говорится в договоре).
Таким образом в БКИ собирается набор из N баз, содержащих хэшированные ПД лиц, подававших кредитные заявки в Банки. Суть работы самой системы (статистическая обработка хэшей в комлексе БД) оставим за рамками данной темы, инетересно следующее:
1. БКИ заявляет, что данное взаимодействие с ними подпадает под ст. 6, часть 1, п. 9 152-ФЗ
следовательно, Банку не нужно брать согласие Клиента на передачу сведений в БКИ на этапе приема анкеты (заявки)?
P.S.: обезличивание ПДн происходит, по сути, в БКИ
2. Что в данном случае делает Банк - передает ПДн или поручает обработку ПДн? В чем принципиальное отличие данных действий оператора?
3. Где гарантии того, что БКИ не бэкапит БД до их обезличивания, создавая таким образом неплохую БД по физ. лицам РФ? Абвер курит в сторонке.
Многие слышали о системах статистической обработки данных - Citadel (Канада), SIRA (Европа), которые используются для оценки Банком риска мошенничества со стороны потенциального заемщика.
Хочу узнать мнения специалистов по поводу одного такого информационного взаимодействия с бюро кредитных историй (БКИ).
БКИ выделяет для Банков "защищенные сегменты" ( ~ Cloud) на своих серверах (этакие базы данных Банков - у каждого Банка "своя БД").
Сведения в эту базу передаются Банком на "до договорном" этапе с клиентом - то есть, при подаче клиентом анкеты (заявления) в Банк. Т.о. 218-ФЗ тут еще не действует.
Как только сведения попадают в БД, они проходят процедуру обезличивания (hash) и хранятся в БД только в таком виде (по крайней мере, так говорится в договоре).
Таким образом в БКИ собирается набор из N баз, содержащих хэшированные ПД лиц, подававших кредитные заявки в Банки. Суть работы самой системы (статистическая обработка хэшей в комлексе БД) оставим за рамками данной темы, инетересно следующее:
1. БКИ заявляет, что данное взаимодействие с ними подпадает под ст. 6, часть 1, п. 9 152-ФЗ
обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных
P.S.: обезличивание ПДн происходит, по сути, в БКИ
2. Что в данном случае делает Банк - передает ПДн или поручает обработку ПДн? В чем принципиальное отличие данных действий оператора?
3. Где гарантии того, что БКИ не бэкапит БД до их обезличивания, создавая таким образом неплохую БД по физ. лицам РФ? Абвер курит в сторонке.
Комментарий