7 июня, воскресенье 00:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от saches Посмотреть сообщение
    Насколько я понял, все свелось к вопросу - как [суб]агента заставить соблюдать требования 152-ФЗ, и как правильно составить договор поручения и какими еще бумажками подложиться, что бы снять возможные претензии регулятора к принципалу, если агент нарушает правила обработки ПДн?
    Не совсем. Как Роскомнадзор будет расценивать такую обработку:

    1. Как поручение (поручения) со всеми вытекающими - наличием согласий и условий в договорах из ч.3 ст.6 152-ФЗ
    2. Как обработку тремя операторами, для которой не требуется никаких согласий, а все обязанности по конфи и безопасности они и без поручений должны соблюдать по 152-ФЗ, организуя любую обработку.

    Комментарий


    • Сообщение от Александр Четвертый Посмотреть сообщение
      ...... Как Роскомнадзор будет расценивать такую обработку:.......
      Жалко, что у нас на форуме не бывают сотрудники РКН...

      Комментарий


      • Сообщение от saches Посмотреть сообщение
        Жалко, что у нас на форуме не бывают сотрудники РКН...
        Зато они пишут и публикуют комментарии к закону.
        См. научно-практический комментарий Под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой

        Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Эта обязанность возложена непосредственно на оператора.

        Реализация агентской схемы в большинстве случаев, но не всегда, предполагает получение согласия. Так, например, согласно ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи», если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании
        услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется.

        Комментарий


        • Сообщение от ost Посмотреть сообщение

          Зато они пишут и публикуют комментарии к закону.
          См. научно-практический комментарий Под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой
          Не годится. Слишком частный случай, т.к. в ст.53 126-ФЗ прямо прописано, что согласие не требуется, т.е. обработка ПДн обработчиком (передача ПДн от оператора обработчику) осуществляется на основании п.2 ч.1 ст.6 152-ФЗ. Банкам такой халявы в законе о банках не предоставили.
          А к юристам обращаться бесполезно. Независимо от их заключения крайним будет ответственный за обработку ПДн, которого обычно назначают либо из безопасников, либо из числа админов.

          Комментарий


          • Комментарий


            • Ну "нормальная" логика защиты прав субъектов персональных данных - вся страна для продаж должна собирать какие-то бумажки, а для продаж услуг связи такие бумажки почему-то не требуются (персональные данные одни и те же).

              Сообщение от ost Посмотреть сообщение
              Реализация агентской схемы в большинстве случаев, но не всегда, предполагает получение согласия.

              Допустим, пришли к тому, что агентская схема - это поручение. Что такое субагентская схема - два поручения? Агенту для поручения обработки субагенту тоже бумажка с согласием нужна с указанием конкретного(ых) субагента(ов)?

              Комментарий


              • Сообщение от Александр Четвертый Посмотреть сообщение
                Ну "нормальная" логика защиты прав субъектов персональных данных - вся страна для продаж должна собирать какие-то бумажки, а для продаж услуг связи такие бумажки почему-то не требуются (персональные данные одни и те же).
                К сожалению, законодательная база не идеальна и полна коллизий.

                Сообщение от Александр Четвертый Посмотреть сообщение
                Допустим, пришли к тому, что агентская схема - это поручение. Что такое субагентская схема - два поручения? Агенту для поручения обработки субагенту тоже бумажка с согласием нужна с указанием конкретного(ых) субагента(ов)?
                Если не ошибаюсь, Статья 1009 ГК, Субагентский договор -
                1. Если иное не предусмотрено агентским договором, агент вправе в целях исполнения договора заключить субагентский договор с другим лицом, оставаясь ответственным за действия субагента перед принципалом. В агентском договоре может быть предусмотрена обязанность агента заключить субагентский договор с указанием или без указания конкретных условий такого договора....

                Т.е. принципал вправе зафиксировать в агентском договоре требования к субагенту, в определенной степени содержание субагентского договора и ответственность агента перед принципалом за действия субагента. В согласии, если "по чесноку", должны быть указаны все соучастники обработки ПДн конкретного физика.

                ЗЫ:Возможно, будет иметь смысл обратится за разъяснением в РКН, если с юристами так всё запущено....
                Хотя Ваши юристы наверняка же согласовывают все внутренний документы.

                Комментарий


                • Коллеги, а если кадры покупают билеты на самолет сотрудникам, то это трансграничка?

                  Комментарий


                  • Sat_Kelman
                    Насколько я представляю, если, сотрудники летят за бугор, то данные туда тоже "едут".
                    + оформление виз, загранпаспортов, забугорных тимбилдингов, конференций и т.д.

                    Комментарий


                    • Сообщение от saches Посмотреть сообщение
                      Статья 1009 ГК, Субагентский договор
                      Да тут ничего полезного для 152-ФЗ. Поручение обработки - это договор между Оператором и обработчиком. А раз 2 договора (агентский и субагентский), то соответственно 2 поручения, их нельзя же рассматривать как одно поручение.

                      Сообщение от saches Посмотреть сообщение
                      обратится за разъяснением в РКН, если с юристами так всё запущено
                      С законом все запущено, а не с юристами Не подходит он для российских реалий.

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение
                        Банкам такой халявы в законе о банках не предоставили.
                        Так Банки и сковородками не торгуют. Надо раскрывать свой кейс...

                        Комментарий


                        • Сообщение от ost Посмотреть сообщение
                          Так Банки и сковородками не торгуют. Надо раскрывать свой кейс...
                          А я и не знаю, как из этого выкручиваться!
                          Если мы говорим о новом клиенте, то проблем в схеме работы через агента нет. Новый клиент приходит к агенту, где ему дадут "правильное" согласие, в котором сразу будет указано, что он разрешает и обрабатывать персональные данные банку, и передавать их агенту.
                          А если речь идёт о том, чтобы передать агенту ПДн существующего клиента, то тут болт - не давал клиент нам такого согласия. Это, например, больная тема всех облачных хранилищ (вид обработки - хранение). Каждый раз, когда ко мне приходят с таким предложением, я задаю только одни вопрос: как мне доказать, что владелец облака не имеет доступ к данным? Всё, на этом обычно разговор заканчивается, потому что иначе надо пересобирать согласия со всех клиентов.

                          Комментарий


                          • Сообщение от Berckut Посмотреть сообщение
                            ......я задаю только одни вопрос: как мне доказать, что владелец облака не имеет доступ к данным? ....
                            Если облачные услуги предоставляются в виде IAAS с шифрованием томов/дисков, то почему бы и нет.
                            Вроде как, это уже типовое решение и есть даже все из себя сертифицированные/аттестованные, типа - http://www.it-grad.ru/iaas/dopolnite...lnykh-dannykh/
                            Последний раз редактировалось saches; 31.10.2017, 10:02.

                            Комментарий


                            • Сообщение от Berckut Посмотреть сообщение
                              как мне доказать, что владелец облака не имеет доступ к данным?
                              Ну это просто, в договоре должно быть прописано такое условие.
                              Об этом Емельянников говорил. Возможность не исполнения договора не должна приниматься во внимание, он приводил ещё другой пример: "возможность гардеробщика шарить по карманам не является основанием для отказа от услуг (или запрета) гардеробов"

                              Комментарий


                              • Книга в подарок

                                2017 А.И. Савельев Научно-практический постатейный комментарий к Федеральному закону «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

                                Комментарий к Федеральному закону «О персональных данных» подготовлен с учетом последних изменений в КоАП РФ в части административной ответственности за нарушение законодательства о персональных данных. Использована отечественная судебная практика, разъяснения Минкомсвязи России и Роскомнадзора по вопросам применения законодательства о персональных данных. Ряд положений Закона о персональных данных анализируется в сравнении с европейским законодательством, включая недавно принятый General Data Protection Regulation и правовые позиции Европейского Суда Справедливости. Комментарий будет полезен всем практикующим юристам.

                                https://www.consultant.ru/kniga/
                                © КонсультантПлюс, 1997-2017

                                Комментарий


                                • Ребят, я правильно понимаю?
                                  Есть у нас ИСПДн с данными сотрудников. Ведется в модуле АБС, все как полагается. Сейчас СБ хочет заключить с банком партнером из европы соглашение об обмене ПДн кандидатов. Если к ним приходят русские, то мы им помогаем проверить, еесли к нам приходят иностранцы, то они нам. Понятно что тут сразу возникает трансграничная передача.
                                  Но ведь мы же в ИСПДн данные еще не забиваем, значит в ИСПДн данной передачи нет? Просто только отправили в РКН уведомление о внесении изменений, и там по всем своим базам укзали, что трансграничной передачи нет.
                                  При заключении подобного соглашения мы же в РКН уведомлений слать не должны? Надо только менять политику ПДн и в анкеты добавить согласие на трансграничку.

                                  Комментарий


                                  • Сообщение от Sat_Kelman Посмотреть сообщение
                                    Ведется в модуле АБС, все как полагается
                                    Если вы кандидатов хранить собрались, то для этого требуется соответствующее согласие (+ РКН просит документ о кадровом резерве, с которым ознакамливаются субъекты), которое должно содержать цели (обычно это "кадровый резерв" - в этом может быть заинтересован субъект). А вот передача в стороннюю организацию для какой цели? Она отражена в вашем согласии? Не верю, что субъект ПД в здравом уме подпишет согласие, где указана "в целях проверки .. иными организациями, в том числе заграницей".

                                    Комментарий


                                    • Если договорятся о сотрудничестве, то в свои документы внесем нужное. Согласие, политика ПДн и т.п. Вопрос, а надо ли уведомлять РКН? По сути данные в ИСПДн не попадают, они пока только в виде анкеты на бумаге.
                                      Сообщение от Александр Четвертый Посмотреть сообщение
                                      А вот передача в стороннюю организацию для какой цели?
                                      Для целей проверки. Для чего же еще. К примеру приходит к ним в банк устраиваться человек с гражданством РФ, чтобы его проверить они нам данные присылают и мы им отвечем что по этому человеку нашли (короче обычная работа СБ). Так же и в обратную сторону. Приходит к нам человек с их гражанством - тогда уже мы запрос делаем к ним для получения информации о негативе по нему.

                                      Комментарий


                                      • Сообщение от Sat_Kelman Посмотреть сообщение
                                        Вопрос, а надо ли уведомлять РКН? По сути данные в ИСПДн не попадают, они пока только в виде анкеты на бумаге.
                                        Думаю, что уведомлять РКН надо.
                                        Не нашел в 152-ФЗ исключения в котором сказано, что передавать ПДн трансгранично в бумажном виде можно. Впрочем вряд ли у вас они будут пересылаться в конверте или курьером.
                                        Считаю, что не принципиально в каком виде происходит передача ПДн в бумажном или в электронном. Принципиально то, что она в в принципе происходит.

                                        Комментарий


                                        • Сообщение от Sat_Kelman Посмотреть сообщение
                                          Для целей проверки.
                                          А откуда какие у вас полномочия гласно проводить такую проверку? Или имеется в виду проверка по открытым источникам, а не по связям (звонки куда нужно и контакты с СБ бывшего работодателя) и левым базам?

                                          В любом случае, не стоит вообще такую деятельность светить, особенно на уровне РКН зачем это вам такие проверки зачастую, то что вы "нашли" вообще обрабатывать вы никакого права не имеете.

                                          Комментарий


                                          • Сообщение от Zuz Посмотреть сообщение
                                            зачастую, то что вы "нашли" вообще обрабатывать вы никакого права не имеете.
                                            Сейчас очень популярна позиция "мы это все нашли в открытых источниках - социальных сетях бла бла и согласия на обработку никакого не надо". И вот в чем тут нарушения: 1. человек предоставил доступ к своим данным неограниченному кругу лиц для целей коммуникации в социальной сети и т.п., а не для того, чтобы эти данные использовались для оценки его платежеспособности, возможности принятия на работу и уж тем более не для формирования подпольного досье на него. 2. есть целый бизнес по аггрегации данных из соцсетей и их использования в дальнейшем и этот бизнес имеет как нарушение из п.1, так и совершенно не учитывает статус этих данных в дальнейшем (в первоисточнике - есть ли они еще в общем доступе)

                                            Комментарий


                                            • Сообщение от Zuz Посмотреть сообщение
                                              А откуда какие у вас полномочия гласно проводить такую проверку? Или имеется в виду проверка по открытым источникам, а не по связям (звонки куда нужно и контакты с СБ бывшего работодателя) и левым базам?
                                              СБ для проверки используют сервис от Контура вроде. Или что-то типа того - проверка по приставам, налоговикам. Конечно проверяют и более досконально по своим связяам, но это для топов, обычных стандартно.

                                              Сообщение от UserNick Посмотреть сообщение
                                              Думаю, что уведомлять РКН надо. Не нашел в 152-ФЗ исключения в котором сказано, что передавать ПДн трансгранично в бумажном виде можно. Впрочем вряд ли у вас они будут пересылаться в конверте или курьером. Считаю, что не принципиально в каком виде происходит передача ПДн в бумажном или в электронном. Принципиально то, что она в в принципе происходит.
                                              Да я тоже понимаю что надо, но вопрос-то в другом. Года 3 назад я когда заполнял уведомление, то там просто стоял чек-бокс - "трансграничная передача данных". 2 недели назад вносил изменения в уведомление и обнаружил, что там теперь по другому. https://rkn.gov.ru/personal-data/forms/p333/
                                              Появилась возможность указывать столько ИСПДн, сколько у тебя их есть (там они называются информационная система). И вот эта галочка про трансграничку есть в каждой ИС. То есть указывается есть ли в ИС трансграничная передача.
                                              Но фишка в том, что данные кандидатов-то в ИСПДн не вносятся.

                                              Комментарий


                                              • Сообщение от Sat_Kelman Посмотреть сообщение
                                                Да я тоже понимаю что надо, но вопрос-то в другом. Года 3 назад я когда заполнял уведомление, то там просто стоял чек-бокс - "трансграничная передача данных". 2 недели назад вносил изменения в уведомление и обнаружил, что там теперь по другому. https://rkn.gov.ru/personal-data/forms/p333/
                                                Появилась возможность указывать столько ИСПДн, сколько у тебя их есть (там они называются информационная система). И вот эта галочка про трансграничку есть в каждой ИС. То есть указывается есть ли в ИС трансграничная передача.
                                                Но фишка в том, что данные кандидатов-то в ИСПДн не вносятся.
                                                Предлагаю, отталкиваясь от способа обмена данными в рамках ваших договоренностей с забугорным контрагентом, описать под эту задачу обмена отдельную ИС и поставить в ней соответствующий признак. Как раз для вашего случая применительно к ИС есть возможность указать признак обработки "неавтоматизированная".
                                                Еще вариант отправить уведомление на бумажном носителе и пусть сами голову ломают как в своей учетной системе ваше уведомление отражать.

                                                Комментарий


                                                • Сообщение от UserNick Посмотреть сообщение
                                                  ......Еще вариант отправить уведомление на бумажном носителе и пусть сами голову ломают как в своей учетной системе ваше уведомление отражать.
                                                  А стоит ли напрашиваться на
                                                  .... непредставление или несвоевременное представление вышеуказанных сведений (информации), представление которых предусмотрено законом, а также представление таких сведений (информации) в неполном объёме или в искажённом виде, предусмотрена административная ответственность в соответствии со ст. 19.7 Кодекса Российской Федерации об административных правонарушениях.

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    А стоит ли напрашиваться
                                                    1. просто "непредставление"
                                                    2. альтернатива в случае представления ...
                                                    "несвоевременное представление"
                                                    "в неполном объёме"
                                                    "в искажённом виде"


                                                    может занять позицию некоторых юристов и не уведомлять совсем...?

                                                    Комментарий


                                                    • Сообщение от Павлоний Посмотреть сообщение
                                                      ......может занять позицию некоторых юристов и не уведомлять совсем...?
                                                      Сталкивался с точкой зрения, что 1ый раз уведомление лучше подать, а с обновлениями "оценить риски" или обновлять только в случае получения уведомления о проверке РКН.
                                                      По прикидкам на http://sborisov.blogspot.ru/ менее 40% ОПДн (в т.ч. из госструктур) обновляют информацию.

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        А стоит ли напрашиваться на
                                                        .... непредставление или несвоевременное представление вышеуказанных сведений (информации), представление которых предусмотрено законом, а также представление таких сведений (информации) в неполном объёме или в искажённом виде, предусмотрена административная ответственность в соответствии со ст. 19.7 Кодекса Российской Федерации об административных правонарушениях.
                                                        Приказом Роскомнадзора от 30.05.2017 N 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения" не установлена обязанность предоставлять сведения в разрезе используемых ИС или ИСПДн.
                                                        В чем с Вашей точки зрения может состоять нарушение?

                                                        Комментарий


                                                        • Сообщение от UserNick Посмотреть сообщение
                                                          ....... не установлена обязанность предоставлять сведения в разрезе используемых ИС или ИСПДн. .........
                                                          Похоже, что опять обманули.....

                                                          Сообщение от Sat_Kelman Посмотреть сообщение
                                                          .......... 2 недели назад вносил изменения в уведомление и обнаружил, что там теперь по другому. https://rkn.gov.ru/personal-data/forms/p333/ Появилась возможность указывать столько ИСПДн, сколько у тебя их есть (там они называются информационная система). И вот эта галочка про трансграничку есть в каждой ИС. То есть указывается есть ли в ИС трансграничная передача........
                                                          Ну, или, например, "ответственный" уволился...
                                                          Подробней есть на http://sborisov.blogspot.ru/ с количествами нарушителей по отдельным показателям

                                                          Комментарий


                                                          • Сообщение от saches Посмотреть сообщение
                                                            Похоже, что опять обманули.....
                                                            Не думаю, что это прямо таки обман.
                                                            Скорее просто окончательно не согласованный с Минюстом креатив.
                                                            С моей точки зрения подход привязки трансгранички к конкретной ИС(ПДн) разумнее, чтобы точнее оценивать возникающие риски.

                                                            Комментарий


                                                            • Тут вот Емельянников запостил некоторые комментарии регуляторов в области ПДн - http://emeliyannikov.blogspot.ru/2017/11/blog-post.html
                                                              И, в частности -

                                                              Е.Б. Торбенко, ФСТЭК России. В случае размещения ИСПДн в дата-центре, облаке или по схеме SaaS для выполнения требований закона необходим договор, в котором закреплены обязанности провайдера в отношении обеспечения безопасности обрабатываемых данных для выбранного типа актуальных угроз и уровня защищенности, указаны меры, предусмотренные статьей 19 закона. В этом случае оператор свои обязанности выполнил, проверять, как именно это делает провайдер не надо, что вполне логично.

                                                              В связи с чем, возникает ощущение, что регулятор акцептует передачу ПДн 3му лицу без наличия оснований. Т.е. АБС на оутсорсинге, вполне допустимый вариант с т.з. ФСТЭК.
                                                              Не понятно, только, речь идет о договоре-поручении или просто о неком договоре услуг, в котором присутствуют обязательства подрядчика по исполнению требований ст 19 152-ФЗ.

                                                              Комментарий

                                                              Обработка...
                                                              X