27 мая, среда 05:42
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Berckut Посмотреть сообщение
    И тогда мы просто приходим к двум отдельным согласиям, за что я и ратую. Все остальные против....
    Чтобы всё было совсем чётко, то да. Но они могут быть логически сгруппированы на одном бумажном носителе.

    Сообщение от Berckut Посмотреть сообщение
    Такая логика ещё хуже будет. Ведь тогда получается, что надо брать 2 согласия: одно на обработку ПДн, одно на рекламную рассылку.
    Что там нужно на рекламные рассылки, я не читал, вообще я предложил договор на информационных услугах в форме оферты. Т.е. банк будет рассылать СМСки на его основании, тогда вообще всё проще становится, согласие не требуется явное.
    Как логически и где будет эта оферта приписана и акцептована уже к сути не относится вопроса.

    Комментарий


    • Сообщение от Berckut Посмотреть сообщение

      В принципе, это перспективный вариант. Всё таки рассматривать согласие на обработку ПДн и согласие на рекламную рассылку, как 2 не то что независимых, а 2 несвязанных документа. В первом случае имеем согласие на обработку ПДн, в во втором согласие на рекламную рассылку.
      В первом случае обрабатываем ПДн с целью, например, принятия решения о выдаче кредита. Во втором вообще не обрабатываем ПДн, т.к. номер телефона сам по себе ПДн не является. Нет, там конечно есть ПДн, т.к. по требованиям законодательства человек, который разрешил направлять себе рекламу должен быть однозначно идентифицирован, но эти ПДн обрабатываются уже в рамках закона о рекламе и о связи.
      Соответственно, я могу вообще послать их всех в лес и сказать, чтобы не трогали согласие на обработку ПДн (оно у меня берётся как отдельная бумага к анкете). Если хотят, пусть вставляют согласие на рекламу в саму анкету и ещё куда куда-нибудь. С точки зрения ответственного за обработку ПДн – проблем нет, требования законодательства о ПДн соблюдены. А с точки зрения законодательства о рекламе пусть потом разбираются сами с ФАС, если анкета вместе с закрытым кредитным договором будет уничтожена по истечению сроков хранения, а рекламные СМСки будут продолжать идти. Это уже не моя головная боль. Не хотят по плохому (в смысле неудобно, когда надо брать дополнительную бумажку), по хорошему хуже будет.
      Update
      Не, не проканает.
      152-ФЗ
      Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

      1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
      2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

      Комментарий


      • Сообщение от Berckut Посмотреть сообщение

        Update
        Не, не проканает.
        Проканает. Номер телефона не является персональными данными! Не пишите в рассылке "Уважаемый Иванов Иван Иванович..." и не будет "прямого контакта" все попадает под массовую рассылку по 38-ФЗ, а для 38-го есть подпись в бумажке.

        Комментарий


        • Сообщение от IgorL Посмотреть сообщение

          Проканает. Номер телефона не является персональными данными! Не пишите в рассылке "Уважаемый Иванов Иван Иванович..." и не будет "прямого контакта" все попадает под массовую рассылку по 38-ФЗ, а для 38-го есть подпись в бумажке.
          Если сложить вместе периодическую тупость судов и неоднозначность формулировок законодательства, то подобное сообщение легко может быть квалифицировано, как нарушение ст.15 152-ФЗ.

          Комментарий


          • Сообщение от Berckut Посмотреть сообщение
            Update
            Не, не проканает.
            152-ФЗ
            Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

            1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
            2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи
            .
            Разве можно фразу "путем осуществления прямых контактов" понять иначе как "для звонков с целью поговорить и что-то предложить"?
            IMHO это требование к рассылкам не имеет отношение.

            Комментарий


            • Не дают мне покоя с этими ПДн. Вчера бухгалтерия, сегодня кадры.
              Оказывается сейчас в свидетельствах о браке стали снова указывать национальность (и в свидетельстве о рождении). Раньше вроде не указывали. Кто как поступает с копиями свидетельств? Замазываете национальность? Или надо брать согласие супруга? (за ребенка я так понимаю сам родитель отвечает?)

              Комментарий


              • Sat_Kelman
                Национальность лучше замазать, если не хотите связываться со специальными категориями ПДн.
                Согласие, если "по чесноку" надо брать в любом случае, со всех указываемых в анкетах и иных документах ближайших родственников.
                Другой вопрос, зачем хранить копии всех приносимых документов?

                Комментарий


                • Сообщение от saches Посмотреть сообщение
                  зачем хранить копии всех приносимых документов
                  а "принесите мы только посмотрим" - это обработка?

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    Другой вопрос, зачем хранить копии всех приносимых документов?
                    У кадров есть положение о социальной помощи. При рождении ребенка, вступлении в брак, смерти родственников и еще что-то у нас возможны выплаты сотрудникам. Бухгалтерии эти документы нужны как подтверждение законности выплат. Копии прилагаются к заявкам.

                    Комментарий


                    • Сообщение от Александр Четвертый Посмотреть сообщение
                      а "принесите мы только посмотрим" - это обработка?
                      У Вас полицейский документы просит предъявить на улице. Это попадает под обработку ПДн?

                      Комментарий


                      • Сообщение от Александр Четвертый Посмотреть сообщение
                        а "принесите мы только посмотрим" - это обработка?
                        Только посмотрим не катит. Для бухов нужен документ подтверждающий законность выплаты. У них не моет быть просто счет на оплату - нужно что-то на основе чего будет проводка.
                        Для контрагентов это договора и всякие счет фактуры, а для сотрудников это заявления на мат.помощь и копия документа.

                        Комментарий


                        • Сообщение от Berckut Посмотреть сообщение

                          Если сложить вместе периодическую тупость судов и неоднозначность формулировок законодательства, то подобное сообщение легко может быть квалифицировано, как нарушение ст.15 152-ФЗ.
                          Нет никаких оснований массовую рассылку квалифицировать как нарушение 152-ФЗ. Даже о прецедентах такого не нашел и не слышал.
                          В отличии от дел по 38-ФЗ, где любой может сразу с телефона отправить жалобу в ФАС.

                          Комментарий


                          • Сообщение от saches Посмотреть сообщение
                            У Вас полицейский документы просит предъявить на улице. Это попадает под обработку ПДн?
                            Мне кажется, да. Это действие, совершаемое с персональными данными без использования средств автоматизации, а именно "использование персональных данных".

                            Комментарий


                            • Сообщение от Sat_Kelman Посмотреть сообщение

                              У кадров есть положение о социальной помощи. При рождении ребенка, вступлении в брак, смерти родственников и еще что-то у нас возможны выплаты сотрудникам. Бухгалтерии эти документы нужны как подтверждение законности выплат. Копии прилагаются к заявкам.
                              Положение о социальной помощи - это ваш внутренний документ и основанием для обработки ПДн он не является.
                              Если бухгалтерии нужно подтверждение, то пусть обоснуют это законодательными требованиями и потом обрабатывают это на основании ФЗ. Если не не могут - значит это просто их хотелка.

                              Комментарий


                              • Сообщение от Александр Четвертый Посмотреть сообщение
                                Мне кажется, да. Это действие, совершаемое с персональными данными без использования средств автоматизации, а именно "использование персональных данных".
                                КМК, если посмотреть на определение в 152-ФЗ, пока протокол не оформили, на "использование ПДн" не тянет.

                                А если вернуться к первоначальному вопросу, то в разъяснениях РКН по кадрам от 2012 года есть такие строчки:

                                Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:
                                ......
                                2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, .....


                                Т.е. если объем ПДн родственников не превышает того, что требуется при заполнении формы Т-2, то и согласие получать не нужно
                                Последний раз редактировалось saches; 12.01.2018, 12:48.

                                Комментарий


                                • Полицейский использует ПД для идентификации личности - имеет право по закону. А вот если он Ваш паспорт на телефон сфоткает или на заборе начнет их записывать - это уже нарушение порядка обработки. Меня вот смущает подход в организациях, в которых при обслуживании твои данные (паспорт, телефон) вслух зачитывают при посторонних, например, для проверки все ли правильно они записали.

                                  Оформление протокола это иной вид обработки (запись). Тоже, наверное, предусмотрен законодательством - что там можно и не можно.

                                  Комментарий


                                  • Сообщение от Александр Четвертый Посмотреть сообщение
                                    ...... Меня вот смущает подход в организациях, в которых при обслуживании твои данные (паспорт, телефон) вслух зачитывают при посторонних, например, для проверки все ли правильно они записали.....
                                    Полностью согласен. Встречал положения по обработке ПДн в некоторых организациях, где было запрещено вслух зачитывать ПДн в присутствии посторонних лиц.

                                    Комментарий


                                    • Сообщение от saches Посмотреть сообщение
                                      А если вернуться к первоначальному вопросу, то в разъяснениях РКН по кадрам от 2012 года есть такие строчки:
                                      ...
                                      Т.е. если объем ПДн родственников не превышает того, что требуется при заполнении формы Т-2, то и согласие получать не нужно
                                      Это разъяснение устарело, нормативные документы с того времени изменились. Вопрос уже обсуждался. Ссылку быстро найти не смог, некогда.

                                      Комментарий


                                      • Сообщение от UserNick Посмотреть сообщение
                                        Это разъяснение устарело, нормативные документы с того времени изменились. Вопрос уже обсуждался. Ссылку быстро найти не смог, некогда.
                                        Согласен, что-то такое было, что у родственников полюбас надо брать согласие, форму Т-2 вроде как отменили, и т.д. и т.п.
                                        Но, разъяснения РКН всё еще висит. И, хотелось бы услышать как сейчас при проверках реагируют проверяющие из РКН, на отсутствие согласия от родственников при наличии их ПДн в объеме соответствующем требованиям Т-2.

                                        Комментарий


                                        • Сообщение от saches Посмотреть сообщение
                                          на отсутствие согласия от родственников при наличии их ПДн в объеме соответствующем требованиям Т-2
                                          в нашей форме Т-2 вообще нет таких сведений - только ПД работника

                                          Комментарий


                                          • Сообщение от Александр Четвертый Посмотреть сообщение
                                            в нашей форме Т-2 вообще нет таких сведений - только ПД работника
                                            В оригинале так -
                                            2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

                                            Возможно, всех остальных выкинули, что бы не было соблазна согласие получать....

                                            Комментарий


                                            • Народ, подскажите по ситуации.
                                              Согласно внутренним документам Банка в целях выполнения требований ПОД/ФТ, на Бенефициарного владельца, единолочного органа, представителей (вкл. всех тех, что в КОП), выгодоприобретателя Клиента должна заполняться Анкета (включая паспортные данные). Т.е. все эти данные собираются на основе ФЗ, то есть согласия не требуется.

                                              А для передачи третьим лицам нужно их отдельное согласие? Конкретно эти данные загружаются в АБС, которая у нас на аутсорсинге (ЦФТ если что).

                                              Комментарий


                                              • Сообщение от Sat_Kelman Посмотреть сообщение
                                                А для передачи третьим лицам нужно их отдельное согласие? Конкретно эти данные загружаются в АБС, которая у нас на аутсорсинге (ЦФТ если что).
                                                Считаю, что нужно. Только на какие конкретные действия нужно брать согласие подробностей мало. Не уверен, что это будет именно передача.

                                                Комментарий


                                                • Сообщение от UserNick Посмотреть сообщение
                                                  Только на какие конкретные действия нужно брать согласие подробностей мало. Не уверен, что это будет именно передача.
                                                  Да на обычные действия. Как и для любого клиента. Идентификация и сбор данных, которые требуются по закону.
                                                  Тут фишка еще такая. ЦФТ не считает что они обрабатывают ПДн. Вот нигде не сказано что они являются обработчиком. Их позиция - мы с ПДн не работаем, мы только предоставляем услугу АБС. Хотя мы у них на таком жестком аутсорсинге сидим, что я даже боюсь представить сколько мы им платим. Для примера - даже пользователей новых заводят они, мы просто заявку делаем. Наши ИТ вообще не работают с АБС, у них есть доступ к второй резервной копии базы, и то в случае если первая резервная которая хранится у ЦФТ же будет недоступна (ну например если ЦФТ отрежет от всего мира в связи с форс-мажором).
                                                  Как это не передача, если мы их ПДн берем, и вносим в АБС, которая принадлежит ЦФТ, расположена на их территории.

                                                  Комментарий


                                                  • Сообщение от Sat_Kelman Посмотреть сообщение
                                                    .....А для передачи третьим лицам нужно их отдельное согласие? Конкретно эти данные загружаются в АБС, которая у нас на аутсорсинге (ЦФТ если что).
                                                    Вродеж уже терли несколько раз.
                                                    Основополагающим условием передачи ПДн третьему лицу, является наличие достаточного основания у Оператора ПДн, которым в данном случае является банк.
                                                    В соответствии с п. 5, ч. 1, ст. 6, 152-ФЗ, таким основанием является ситуация, когда «поручение обработки ПДн необходимо для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».
                                                    Конкретный пример из судебной практики http://ras.arbitr.ru/ , дело № А27-5075/2013. Пример несколько из другой области, но суд признал недопустимой передачу ПДн Исаенко М.С. оператором ПДн (МТС) 3-му лицу без достаточных оснований -

                                                    Поскольку Исаенко М. С. является стороной договора № 4072 от 14.05.2010 на получение международной и междугородней связи, обработка ее персональных данных в целях исполнения такого договора допускается.
                                                    Вместе с тем, Исаенко М. С. не является стороной или выгодоприобретателем по агентскому договору № КЛ-21/2007 от 27.12.2007, заключенному между ОАО «МТС» и ООО «НСВ», соответственно, на правоотношения между ООО «НСВ» и Исаенко М. С. требования пункта 5 части 1 статьи 6 Закона № 152-ФЗ не распространяются.


                                                    Т.е.:
                                                    1. Конечно требуется полноценный договор-поручение на обработку ПДн с совершенно конкретными требованиями по их защите и Согласие субъекта ПДн на передачу конкретно этому 3-му лицу;
                                                    2. Банк передает ПДн 3-му лицу при отсутствие каких-либо оснований. И даже наличие Согласия не освобождает банк от ответственности за неисполнение 152-ФЗ;
                                                    3. ЦФТ просто отмораживаются точно так же, как и многие другие, просто заявляя, что не обрабатывают никаких ПДн, т.к. делать это по действующему законодательству нельзя.

                                                    Т.к. этот подход реально противоречит мировой практике и нормальным условиям бизнеса, хотелось бы понять, как на это сейчас реагируют проверяющие.

                                                    .

                                                    Комментарий


                                                    • Сообщение от Sat_Kelman Посмотреть сообщение
                                                      Как это не передача, если мы их ПДн берем, и вносим в АБС, которая принадлежит ЦФТ, расположена на их территории.
                                                      Подробностей стало больше, ясности тоже. Однако советую вникать глубже в технологию обработки. Может быть все ПДн перед передачей в ЦОД ЦФК шифруются, обрабатываются условно обезличенно и расшифровываются только в момент визуализации или формирования отчетов...

                                                      Сообщение от saches Посмотреть сообщение
                                                      1. Конечно требуется полноценный договор-поручение на обработку ПДн с совершенно конкретными требованиями по их защите и Согласие субъекта ПДн на передачу конкретно этому 3-му лицу;
                                                      2. Банк передает ПДн 3-му лицу при отсутствие каких-либо оснований. И даже наличие Согласия не освобождает банк от ответственности за неисполнение 152-ФЗ;
                                                      +1

                                                      Сообщение от saches Посмотреть сообщение
                                                      3. ЦФТ просто отмораживаются точно так же, как и многие другие, просто заявляя, что не обрабатывают никаких ПДн, т.к. делать это по действующему законодательству нельзя.
                                                      Почему нельзя?

                                                      Комментарий


                                                      • Сообщение от UserNick Посмотреть сообщение
                                                        ....Почему нельзя?
                                                        Имелось в виду, что некое 3-е лицо, в данном случае ЦФТ, конечно может обрабатывать ПДн, которые им зачем-то передал банк.
                                                        Но обрабатывать так, что бы банк при этом не попадал под нарушение 152-ФЗ, на мой взгляд, невозможно.
                                                        Вот они и отмораживаются, что бы банкам крепче спалось.

                                                        Комментарий


                                                        • Сообщение от saches Посмотреть сообщение
                                                          Но обрабатывать так, что бы банк при этом не попадал под нарушение 152-ФЗ, на мой взгляд, невозможно.
                                                          Вот это как раз мне и было интересно.
                                                          Почему с Вашей точки зрения, оформленная всеми необходимыми юридическими документами обработка по обсуждаемой технологии, невозможна без нарушений?

                                                          Комментарий


                                                          • Я же в своем предыдущем письме даже привел случай из судебной практики, когда МТС оказался виноват, из-за передачи ПДн 3-му лицу без достаточных оснований.
                                                            Например, приходит физик в тур.компанию и просит отправить его на юга. Вот тут у тур.компании есть все основания передать ПДн физика во всякие отели и авикомпании, что бы физик благополучно долетел, отдохнул и вернулся обратно.
                                                            А вот если у банка (или у любого другого ОПДн) нет оснований для передачи ПДн, т.е. непонятно, с какого такого перепуга банк вдруг решил передать ПДн кому-то на сторону, вот это невозможно правильно оформить любыми юридическими документами, т.к. это нарушает п.5, ч 1, ст 6. 152-ФЗ.
                                                            И, наперед неизвестно, как на это среагируют проверяющие, когда Согласие и Договор-поручение есть, а основания нет.
                                                            Как в таких случаях реагируют суды, при наличии жалоб физиков, уже примерно понятно.

                                                            ЗЫ: Почему-то тема неправомочности передачи 3-му лицу на уничтожение старых документов или МНИ, содержащих ПДн, вопросов никогда не вызывает, а по точно такой же передаче во всякие внешние 1С/АБС или еще какие SaaS/PaaS всегда дискуссии...
                                                            Последний раз редактировалось saches; 09.02.2018, 12:08.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              Я же в своем предыдущем письме даже привел случай из судебной практики, когда МТС оказался виноват, из-за передачи ПДн 3-му лицу без достаточных оснований.
                                                              Т.е., если у банка нет оснований для передачи ПДн, это невозможно правильно "оформить всеми юридическими документами", т.к. нарушает п.5, ч 1, ст 6. 152-ФЗ.
                                                              Аутсорсинг АБС, вне всякого сомнения, является исполнением договора счета и/или кредитного, поэтому закону не противоречит.

                                                              1. Поскольку банк поручил эксплуатацию своей АБС какой то ещё организации (допустим, цфт), в договоре с этой организацией должен быть определен порядок защиты и банковской тайны, и ПДн, а также ответственность сторон. Что организация лицензиат по ТЗКИ это не про то, нужно конкретное обязательство относительно данных конкретного банка.
                                                              2. Поскольку таковая обработка в том числе обеспечивает права и интересы банка, она может проводиться, если права и свободы субъекта не нарушены, это (слава богу, наконец-то) напрямую написано в законе.
                                                              3. Считать аутсорсинг АБС именно "передачей третьим лицам", - вообще говоря, - произвольное толкование закона. Как неоднократно было замечено, технические средства не являются субъектами права. Субъекты права должны применять технические меры. Например. Если персональные данные передаются из филиала в ГО по проводам, принадлежащим МТС, то МТС не "третье лицо" и ПД "ему" не передаются. Хотя филиал и ГО при передаче через каналы связи, принадлежащие этому третьему лицу, обязаны использовать СКЗИ.
                                                              /kiv

                                                              Комментарий

                                                              Обработка...
                                                              X