25 мая, понедельник 16:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от saches Посмотреть сообщение
    возникает ощущение, что регулятор акцептует передачу ПДн 3му лицу без наличия оснований
    А когда вы письма пишете с указанием в них персональных данных - запаковываете в конверт и отдаете курьерской/почтовой службе, тоже считаете, что курьер/почтовая служба обрабатывает данные? Бред же. Скажете, что они доступа не имеют к содержимому - ничего подобного, при желании все могут. Аналогично и с провайдерами подобных услуг - юридически они не могут лезь в ваши сервисы/БД/хранилища и пр. Они другими вещами занимаются, а не обработкой данных.

    Комментарий


    • Сообщение от Александр Четвертый Посмотреть сообщение
      .....юридически они не могут лезь в ваши сервисы/БД/хранилища и пр. Они другими вещами занимаются, а не обработкой данных.
      С таким же успехом можно сказать, что ИТ-шники банка не имеют доступа к клиентским данным, т.к. занимаются другими вещами, а не обработкой данных.
      А мы точно говорим об одном и том же? Я, например, про SaaS, т.е. про АБС/ПО на аутсорсинге. Когда, например, есть банк, который покупает услугу доступа к АБС, находящейся в облаке, например, ЦФТ. И, ес-но, все администрирование, включая железки/базы данных/системное и прикладное ПО, выполняется сотрудниками облачного провайдера, т.е. ЦФТ, в данном случае.
      А Вы, похоже, IaaS имеете в виду, когда провайдер сдает в аренду "голые" виртуалки и/или железки, а арендатор(банк) уже сам ставит системное и прикладное ПО, администрирует их и базы данных.

      Комментарий


      • Сообщение от saches Посмотреть сообщение
        А мы точно говорим об одном и том же? Я, например, про SaaS, т.е. про АБС/ПО на аутсорсинге. Когда, например, есть банк, который покупает услугу доступа к АБС, находящейся в облаке, например, ЦФТ. И, ес-но, все администрирование, включая железки/базы данных/системное и прикладное ПО, выполняется сотрудниками облачного провайдера, т.е. ЦФТ, в данном случае.
        Но ЦФТ в данном случае не считает, что они обрабатывают ПДн ))))По факту делает все, а на бумаге ничего.

        Комментарий


        • Так и НПС считает, что не обрабатывает ПДн, и много, кто еще.
          Но теперь, хоть понятна позиция одного из регуляторов, как должны/могут быть оформлены договорные отношения.
          Последний раз редактировалось saches; 01.12.2017, 11:46.

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            Тут вот Емельянников запостил некоторые комментарии регуляторов в области ПДн - http://emeliyannikov.blogspot.ru/2017/11/blog-post.html
            И, в частности -

            Е.Б. Торбенко, ФСТЭК России. В случае размещения ИСПДн в дата-центре, облаке или по схеме SaaS для выполнения требований закона необходим договор, в котором закреплены обязанности провайдера в отношении обеспечения безопасности обрабатываемых данных для выбранного типа актуальных угроз и уровня защищенности, указаны меры, предусмотренные статьей 19 закона. В этом случае оператор свои обязанности выполнил, проверять, как именно это делает провайдер не надо, что вполне логично.

            В связи с чем, возникает ощущение, что регулятор акцептует передачу ПДн 3му лицу без наличия оснований. Т.е. АБС на оутсорсинге, вполне допустимый вариант с т.з. ФСТЭК.
            Не понятно, только, речь идет о договоре-поручении или просто о неком договоре услуг, в котором присутствуют обязательства подрядчика по исполнению требований ст 19 152-ФЗ.
            Замечательный пересказ 3-го пункта 6 статьи ФЗ-152, но:
            1. Комментировать ФЗ ФСТЭК (компетентно) не в праве (о чем они всегда в письменных ответах не забывают дисклаймер вставить)
            2. Статья 6 ФЗ-152. Пункт 5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
            3. Статья 18.1 ФЗ-152. Пункт 1.4) [Оператор обязан принимать меры...К таким мерам могут, в частности, относиться:] осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

            Комментарий


            • tomato
              Да! Действительно! А то вдруг кто забыл...
              Меседж только был о точке зрения одного из регуляторов на непротиворечивость SaaS и 152-ФЗ.
              Или это не очевидно?
              Последний раз редактировалось saches; 04.12.2017, 16:44.

              Комментарий


              • Сообщение от saches Посмотреть сообщение
                tomato
                Да! Большое спасибо! А то вдруг кто забыл...
                Я к тому, что высказывание "В этом случае оператор свои обязанности выполнил, проверять, как именно это делает провайдер не надо, что вполне логично.", мягко выражаясь, - сомнительно...

                Комментарий


                • tomato
                  Еще более сомнительно, что РКН при проверке не задаст вопрос - А, вообще, на каком основании ПДн стали доступны 3му лицу?
                  Например, с таким же успехом, можно передавать на уничтожения носители ПДн внешним компаниям. И никакой договор-поручение + согласие на обработку здесь не прокатит.
                  Последний раз редактировалось saches; 04.12.2017, 17:34.

                  Комментарий


                  • Прошу помощи.
                    Зарубился тут с юристами по вопросу о том, можно ли в одном согласии объединять разные цели обработки ПДн, если при этом используется разный набор ПДн. Может я конечно параноик и это проверки ЦБ серьёзно деформировали мою психику, но желания подставляться нет абсолютно никакого.

                    Берём почти условный пример:
                    Процесс выдачи кредита. Клиент заполняет анкету, в которой указывает свои ПДн. Допустим это: ФИО, дата рождения, место работы, телефон.
                    Вместе с анкетой мы даём клиенту подписать согласие на обработку ПДн, в котором заявляем цель обработки "проверка корректности предоставленных сведений о клиенте и принятие решения о предоставлении услуг".
                    В процессе работы мы проверяем анкету, принимаем решение. Далее согласие перестаёт действовать и мы убираем его в архив и обрабатываем ПДн с целью соблюсти законодательные требования по архивному хранению, либо включаем в состав документов по кредитному договору и обрабатываем ПДн в рамках кредитного договора. Всё ровно и красиво.

                    Усложняем ситуацию. Добавляем в согласие пункт о том, что ПДн также собираются с целью направлению клиенту рекламных SMS по телефону. Формально, на первый взгляд проблем нет. Юристы даже в Роскомнадзор запрос отправили и получили ответ, что да, в одном согласии можно объединять разные цели обработки ПДн.
                    Я же настаиваю, что нельзя и отказываюсь согласовывать такую форму согласия, т.к. это потенциальные риски в будущем - необходимо на рекламную рассылку брать отдельное согласие.
                    Банк решил не выдавать кредит клиенту, но хочет продолжать слать ему SMS. Решение принято, соответственно как минимум одна заявленная цель достигнута. Но согласие не может прекратить действовать частично, значит оно продолжает действовать. Также, явно не указано, что для рекламной рассылки нам нужен только номер телефона, а значит имеем ситуацию, при которой у нас есть согласие на обработку ПДн с целью направления рекламных SMS, в том числе ПДн о месте работы. На лицо явное нарушение - обработка ПДн, избыточных по отношению к заявленным целям обработки.

                    Нужны юридически грамотные обоснования, что так делать нельзя.

                    Комментарий


                    • Berckut, насколько я понимаю, если цель обработки достигнута, это не значит, что нельзя обрабатывать ПДн в рамках другой цели в том же согласии, если оно только не отозвано или уже не действует.
                      С другой стороны нельзя обрабатывать те ПДн, которые не согласуются с целью. Например: дата рождения, место работы, место учёбы не нужны для рассылки СМС, поэтому они либо должны быть уничтожены (обезличены), либо помещены на архивное хранение, данные для расылки СМС могут быть помещены в автоматизированную систему для проведения рассылок.
                      Всё это не думаю, что сложно вывести из 152-ФЗ самостоятельно, на грамотные обоснования увы времени нет. )))

                      Вот другое дело, можно ли считать ФИО + телефон недостаточно обезличенными ПДн? Почему это вообще ПДн? )))
                      А вот с датой рождения, наверное, можно считать уже ПДн.
                      Злит нечёткое определе6ние ПДн в законе, написали бы какой-то минимальный перечь что есть ПДн + все прочие связанные с ними сведения, относящиеся к субъекту ПДн.

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение
                        ...
                        - необходимо на рекламную рассылку брать отдельное согласие....
                        Для направления рекламных SMS нужно согласие абонента "выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки". Подробности в ФЗ "О связи".

                        Комментарий


                        • Сообщение от Zuz Посмотреть сообщение
                          Berckut, насколько я понимаю, если цель обработки достигнута, это не значит, что нельзя обрабатывать ПДн в рамках другой цели в том же согласии, если оно только не отозвано или уже не действует.
                          С другой стороны нельзя обрабатывать те ПДн, которые не согласуются с целью. Например: дата рождения, место работы, место учёбы не нужны для рассылки СМС, поэтому они либо должны быть уничтожены (обезличены), либо помещены на архивное хранение, данные для расылки СМС могут быть помещены в автоматизированную систему для проведения рассылок.
                          Всё это не думаю, что сложно вывести из 152-ФЗ самостоятельно, на грамотные обоснования увы времени нет. )))

                          Вот другое дело, можно ли считать ФИО + телефон недостаточно обезличенными ПДн? Почему это вообще ПДн? )))
                          А вот с датой рождения, наверное, можно считать уже ПДн.
                          Злит нечёткое определе6ние ПДн в законе, написали бы какой-то минимальный перечь что есть ПДн + все прочие связанные с ними сведения, относящиеся к субъекту ПДн.
                          Как определить, что для рассылки клиент разрешил мне пользоваться только его номером телефона, а не всем остальным? Суть моего спора в том, что если в согласии две разные цели, то после достижения одной из них невозможно доказать, что подлежит уничтожению, а что дальнейшему использованию.

                          Комментарий


                          • Сообщение от IgorL Посмотреть сообщение
                            Для направления рекламных SMS нужно согласие абонента "выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки". Подробности в ФЗ "О связи".
                            По-моему это к банкам не будет иметь отношения. Только к операторам связи. Которые, в свою очередь, уже при заключении договоров на рассылки должны предусмотреть обязанность получать эти согласия заказчиком.

                            Комментарий


                            • Сообщение от Berckut Посмотреть сообщение
                              Добавляем в согласие пункт о том, что ПДн также собираются с целью направлению клиенту рекламных SMS по телефону. Формально, на первый взгляд проблем нет. Юристы даже в Роскомнадзор запрос отправили и получили ответ, что да, в одном согласии можно объединять разные цели обработки ПДн.
                              Странно, что РКН не видит нарушений в объединении целей.

                              Комментарий


                              • Сообщение от Berckut Посмотреть сообщение

                                По-моему это к банкам не будет иметь отношения. Только к операторам связи. Которые, в свою очередь, уже при заключении договоров на рассылки должны предусмотреть обязанность получать эти согласия заказчиком.
                                Бремя доказывания наличия согласия абонента на получение рекламы возлагается на компанию формирующую список получателей, а не на оператора. Наш банк в 2014 году попадал на штраф разослав рекламу по номерам SMS информирования клиентов - держателей карт, оператора не оштрафовали.
                                Для рекламной рассылки персональные данные не нужны. Номер телефона не является персональными данными, он идентифицирует абонентское устройство а не субъекта персональных данных, если рассылка не именная РКН претензий не предъявит, они сами давали разъяснения что номер без указания владельца не позволяет однозначно идентифицировать субъекта следовательно он не ПДн.

                                Комментарий


                                • Сообщение от ost Посмотреть сообщение

                                  Странно, что РКН не видит нарушений в объединении целей.
                                  Сам был в шоке! Впрочем, похоже так делают очень многие банки.
                                  Дословно:
                                  Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" не установлено требование подачи отдельного согласия на обработку персональных данных, осуществляемую в различных целях. В связи с чем, в согласии могут быть указаны все цели обработки, в том числе - рассылка рекламного характера.

                                  Комментарий


                                  • Сообщение от ost Посмотреть сообщение
                                    Странно, что РКН не видит нарушений в объединении целей.
                                    а в чем нарушение? принцип, установленный в законе, тут не нарушается

                                    3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

                                    Комментарий


                                    • Сообщение от Berckut Посмотреть сообщение
                                      Как определить, что для рассылки клиент разрешил мне пользоваться только его номером телефона, а не всем остальным? Суть моего спора в том, что если в согласии две разные цели, то после достижения одной из них невозможно доказать, что подлежит уничтожению, а что дальнейшему использованию.
                                      Если это явно не отражено в согласии абсолютно верно!
                                      Поэтому вы как оператор и должны определить, что для чего, и указать в согласии какие данные вы будите, в каких целях и каким образом обрабатывать.

                                      Комментарий


                                      • Сообщение от Александр Четвертый Посмотреть сообщение
                                        а в чем нарушение? принцип, установленный в законе, тут не нарушается
                                        Нарушается это: "2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных".
                                        Т.е. собирали для "проверки корректности", а потом начали вдруг применять для рассылки. Цели сбора были одни, а обработка осуществляется в других целях.

                                        Комментарий


                                        • Сообщение от Berckut Посмотреть сообщение
                                          Сам был в шоке! Впрочем, похоже так делают очень многие банки.
                                          Делать-то мы делаем, но стремаемся. :-)

                                          Вообще-то в GDPR сказано, что надо получать согласие на каждую конкретную цель, (но, ЕМНИП, только в том случае, когда обработка осуществляется исключительно на основании согласия). Я х.з. как там всё повернётся в РКН, но КМК желательно иметь отдельное согласие на рекламу, которое кастомер может отзывать, типа хочешь получать промоушен от банка -- давай согласие, которое можешь отозвать в любое время, а вот всё, что обрабатывается по договору идёт без согласия. К сожалению, тут очень мешает формулировка ч. 3 ст. 6 (поручение обработки), жду, может поменяют.

                                          Комментарий


                                          • Сообщение от Zuz Посмотреть сообщение
                                            Нарушается это: "2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных".
                                            Т.е. собирали для "проверки корректности", а потом начали вдруг применять для рассылки. Цели сбора были одни, а обработка осуществляется в других целях.
                                            Тут как раз всё ровно.
                                            В согласии указаны обе цели. Вот если бы указали только одну цель, а не указали другую, но начали рекламу рассылать, то тогда да - нарушение.

                                            Комментарий


                                            • Сообщение от Berckut Посмотреть сообщение
                                              В согласии указаны обе цели. Вот если бы указали только одну цель, а не указали другую, но начали рекламу рассылать, то тогда да - нарушение.
                                              Согласие на обработку ПДн и согласие на получение рекламы это не одно и то же, "обработка" не подразумевает рассылку. РКН рассылка рекламы по SMS не интересна, этим занимается ФАС на основании заявлений и закона "О рекламе". И если в "согласии на обработку" не будет явно указано что клиент дает свое согласие на получение любой рекламной информации от банка, то для ФАС такому согласию цена ноль. Для банка же это может стоить от 100 до 500 тысяч штрафа если обиженный невыдачей кредита клиент обратится в ФАС.

                                              Комментарий


                                              • 1. Не согласен, что всё совсем ровно:
                                                Сообщение от Berckut Посмотреть сообщение
                                                Тут как раз всё ровно.
                                                В согласии указаны обе цели. Вот если бы указали только одну цель, а не указали другую, но начали рекламу рассылать, то тогда да - нарушение.
                                                Нельзя просто указать кучу целей, набрать большой объём данный под эти цели, завершить обработку по некоторым целям, а затем продолжать обрабатывать весь объём персональных данных в рамках оставшихся целей, т.к. типа есть общее согласие (в этом же суть вопроса?).
                                                Именно об этом процитированное. Т.к. обработка сведений о месте работе или дате рождения не может быть применена для целей рассылки, кроме случая, если только при каждой расылке не проводится определённое таргетирование с помощью таких данных. Но про такие цели должно быть тогда явно написано в согласии. Если просто для рассылки (как адресная информация), то если оставаться в рамках примера появляется обработка несовместимая с целями сбора (при продолжении обработки всего объёма ПДн), т.к. для рассылки не требуются данные о месте работы и учёбы, ну и дата рождения особо не нужна, кроме случая поздравления с днём рождения и таргетирования предложений в такой день, но, в любом случае, это тоже нужно явно указывать.

                                                Иначе возникает проблема с которой у вас вопрос и появился.

                                                P.S. Кстати, было бы интересно услышать трактовку понятия "несовместимая с целью обработка ПДн". Можете привести пример?

                                                2. Возможно я не достаточно точно выбрал принцип и мои рассуждения натянуты (применительно к процитированному принципу и вашему примеру), посмотрите тогда на этот принцип:
                                                5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
                                                По мне эта норма говорит о том, что в согласии нужно все данные сгруппировать, чтобы вопроса вашего не возникало: каждой цели свой набор данных, сроки, действия с ПДн.

                                                Или вот:
                                                7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
                                                3. А ФИО + номер телефона почему ПДн? Разве они недостаточно обезличены, зачем на такую обработку вообще согласие? Я разделяю позицию ost и IgorL в части того, что это должна быть отдельная бумага на рассылку, она может быть на той же бумаге физически, что и прочие согласия, но как-то обособлено выделена с отдельной подписью или это вообще может быть даже договор об информационных услугах (закон о рекламе не перечитывал, может там или ещё где есть ограничения какие).
                                                Последний раз редактировалось Zuz; 10.01.2018, 09:13.

                                                Комментарий


                                                • Сообщение от Zuz Посмотреть сообщение
                                                  2. Возможно я не достаточно точно выбрал принцип и мои рассуждения натянуты (применительно к процитированному принципу и вашему примеру), посмотрите тогда на этот принцип:

                                                  По мне эта норма говорит о том, что в согласии нужно все данные сгруппировать, чтобы вопроса вашего не возникало: каждой цели свой набор данных, сроки, действия с ПДн.
                                                  И тогда мы просто приходим к двум отдельным согласиям, за что я и ратую. Все остальные против....

                                                  Сообщение от IgorL Посмотреть сообщение
                                                  Согласие на обработку ПДн и согласие на получение рекламы это не одно и то же, "обработка" не подразумевает рассылку. РКН рассылка рекламы по SMS не интересна, этим занимается ФАС на основании заявлений и закона "О рекламе". И если в "согласии на обработку" не будет явно указано что клиент дает свое согласие на получение любой рекламной информации от банка, то для ФАС такому согласию цена ноль. Для банка же это может стоить от 100 до 500 тысяч штрафа если обиженный невыдачей кредита клиент обратится в ФАС.
                                                  Сообщение от Zuz Посмотреть сообщение
                                                  3. А ФИО + номер телефона почему ПДн? Разве они недостаточно обезличены, зачем на такую обработку вообще согласие? Я разделяю позицию ost и IgorL в части того, что это должна быть отдельная бумага на рассылку, она может быть на той же бумаге физически, что и прочие согласия, но как-то обособлено выделена с отдельной подписью или это вообще может быть даже договор об информационных услугах (закон о рекламе не перечитывал, может там или ещё где есть ограничения какие).
                                                  Такая логика ещё хуже будет. Ведь тогда получается, что надо брать 2 согласия: одно на обработку ПДн, одно на рекламную рассылку.

                                                  Комментарий


                                                  • Сообщение от Berckut Посмотреть сообщение
                                                    Ведь тогда получается, что надо брать 2 согласия: одно на обработку ПДн, одно на рекламную рассылку.
                                                    Берите одно. Штраф за ПДн примерно 50 тыр. За несанкционированную рекламу от 100 тысяч рублей. Выбор есть.

                                                    Я (бы) сделал в анкете-согласии приписку примерно такого содержания: "Согласен на получение информационных сообщений о новостях в продуктах и предложениях банка" с отдельной строчкой для подписи и полем в электронной карточке клиента "согласен получать рекламную рассылку". Соответственно для рассылок выгружать номера/мейлы только имеющих там отметку.

                                                    Комментарий


                                                    • Народ, нужна помощь в разборе ситуации. Нужно ли брать согласие на обработку ПДн, представителей юрлиц?
                                                      К примеру приходит представитель с доверенностью на подпись документов (например актов-приема передачи), если снимать копию доверенности, то это обработка ПДн?
                                                      У нас сейчас операционисты берут копию. Я не знаю зачем они это делают, говорят что потом им надо доказать что такой-то человек мог подписать документы от имени такого-то.
                                                      Есть ли какое-то исключение для представителей по доверенности?

                                                      Еще мне бухгалтерия что-то там говорила про случаи когда и договора как такового нет, и клиент не заведен как клиент, а становится им в момент выполнения каких-то действий. Короче не понятно ничего в их этой бухгалтерии.

                                                      Комментарий


                                                      • Сообщение от Sat_Kelman Посмотреть сообщение
                                                        Народ, нужна помощь в разборе ситуации. Нужно ли брать согласие на обработку ПДн, представителей юрлиц?
                                                        К примеру приходит представитель с доверенностью на подпись документов (например актов-приема передачи), если снимать копию доверенности, то это обработка ПДн?
                                                        У нас сейчас операционисты берут копию. Я не знаю зачем они это делают, говорят что потом им надо доказать что такой-то человек мог подписать документы от имени такого-то.
                                                        Есть ли какое-то исключение для представителей по доверенности?

                                                        Еще мне бухгалтерия что-то там говорила про случаи когда и договора как такового нет, и клиент не заведен как клиент, а становится им в момент выполнения каких-то действий. Короче не понятно ничего в их этой бухгалтерии.
                                                        Не уверен точно, но по-моему кто-то отмазывался так: обработка ведётся в рамках главы 10 ГК (представительство и доверенности), т.е. в целях выполнения федерального закона. Детали, к сожалению, история не сохранила.

                                                        Комментарий


                                                        • Сообщение от Berckut Посмотреть сообщение
                                                          Не уверен точно, но по-моему кто-то отмазывался так: обработка ведётся в рамках главы 10 ГК (представительство и доверенности)
                                                          Про ГК и представительство я читал. Но в ГК не нашел, что можно или нужно брать копию доверенности.

                                                          Комментарий


                                                          • Сообщение от IgorL Посмотреть сообщение
                                                            Я (бы) сделал в анкете-согласии приписку примерно такого содержания: "Согласен на получение информационных сообщений о новостях в продуктах и предложениях банка" с отдельной строчкой для подписи и полем в электронной карточке клиента "согласен получать рекламную рассылку". Соответственно для рассылок выгружать номера/мейлы только имеющих там отметку.
                                                            В принципе, это перспективный вариант. Всё таки рассматривать согласие на обработку ПДн и согласие на рекламную рассылку, как 2 не то что независимых, а 2 несвязанных документа. В первом случае имеем согласие на обработку ПДн, в во втором согласие на рекламную рассылку.
                                                            В первом случае обрабатываем ПДн с целью, например, принятия решения о выдаче кредита. Во втором вообще не обрабатываем ПДн, т.к. номер телефона сам по себе ПДн не является. Нет, там конечно есть ПДн, т.к. по требованиям законодательства человек, который разрешил направлять себе рекламу должен быть однозначно идентифицирован, но эти ПДн обрабатываются уже в рамках закона о рекламе и о связи.
                                                            Соответственно, я могу вообще послать их всех в лес и сказать, чтобы не трогали согласие на обработку ПДн (оно у меня берётся как отдельная бумага к анкете). Если хотят, пусть вставляют согласие на рекламу в саму анкету и ещё куда куда-нибудь. С точки зрения ответственного за обработку ПДн – проблем нет, требования законодательства о ПДн соблюдены. А с точки зрения законодательства о рекламе пусть потом разбираются сами с ФАС, если анкета вместе с закрытым кредитным договором будет уничтожена по истечению сроков хранения, а рекламные СМСки будут продолжать идти. Это уже не моя головная боль. Не хотят по плохому (в смысле неудобно, когда надо брать дополнительную бумажку), по хорошему хуже будет.

                                                            Комментарий


                                                            • Сообщение от Sat_Kelman Посмотреть сообщение
                                                              Нужно ли брать согласие на обработку ПДн, представителей юрлиц? К примеру приходит представитель с доверенностью на подпись документов (например актов-приема передачи), если снимать копию доверенности, то это обработка ПДн?
                                                              КМК, это можно делать без согласия и подвести под п. 7 ч. 1 ст. 6, обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц...

                                                              И кстати, рекомендую почитать GDPR, там в отличие от нашего дебильного текста 152-ФЗ, есть пояснения.

                                                              Например, по поводу согласия (кмк, смысл несколько иной):
                                                              (32) ... Consent should cover all processing activities carried out for the same purpose or purposes. When the
                                                              processing has multiple purposes, consent should be given for all of them
                                                              . If the data subject's consent is to be
                                                              given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive
                                                              to the use of the service for which it is provided.

                                                              а вот довольно интересные стейтменты на тему законных интересов:
                                                              (47) The legitimate interests of a controller, including those of a controller to which the personal data may be
                                                              disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the
                                                              fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable
                                                              expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist
                                                              for example where there is a relevant and appropriate relationship between the data subject and the controller in
                                                              situations such as where the data subject is a client or in the service of the controller.
                                                              At any rate the existence of
                                                              a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the
                                                              time and in the context of the collection of the personal data that processing for that purpose may take place.
                                                              The interests and fundamental rights of the data subject could in particular override the interest of the data
                                                              controller where personal data are processed in circumstances where data subjects do not reasonably expect
                                                              further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to
                                                              process personal data, that legal basis should not apply to the processing by public authorities in the
                                                              performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing
                                                              fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for
                                                              direct marketing purposes may be regarded as carried out for a legitimate interest.


                                                              (48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a
                                                              legitimate interest in transmitting personal data within the group of undertakings for internal administrative
                                                              purposes, including the processing of clients' or employees' personal data
                                                              . The general principles for the transfer
                                                              of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.

                                                              (49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring
                                                              network and information security, i.e. the ability of a network or an information system to resist, at a given level
                                                              of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity,
                                                              integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered
                                                              by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams
                                                              (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications
                                                              networks and services and by providers of security technologies and services, constitutes a legitimate interest of
                                                              the data controller concerned
                                                              . This could, for example, include preventing unauthorised access to electronic
                                                              communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to
                                                              computer and electronic communication systems.

                                                              Комментарий

                                                              Обработка...
                                                              X