10 июля, пятница 05:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Илюха Посмотреть сообщение
    .....3. Считать аутсорсинг АБС именно "передачей третьим лицам", - вообще говоря, - произвольное толкование закона.......
    Читаем коменты Приезжевой -
    Понятие "передача" также не раскрыто законодателем. Вместе с тем под передачей понимается процесс по направлению информации или документов какому-либо лицу каким-либо способом.
    При этом согласно ГОСТ Р ИСО 15489-1-2007 "Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования", утвержденному Приказом Ростехрегулирования от 12.03.2007 N 28-ст, передача (transfer) (в отношении способа хранения) - это изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть, если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации.


    Собственно, я придерживаюсь такой же точки зрения. Ес-но у любого человека она может быть своя. Как и по поводу того, что считать основанием для передачи ПДн.

    Сообщение от Илюха Посмотреть сообщение
    .....Как неоднократно было замечено, технические средства не являются субъектами права. Субъекты права должны применять технические меры. Например. Если персональные данные передаются из филиала в ГО по проводам, принадлежащим МТС, то МТС не "третье лицо" и ПД "ему" не передаются. Хотя филиал и ГО при передаче через каналы связи, принадлежащие этому третьему лицу, обязаны использовать СКЗИ.
    Ну при чем здесь еще какие-то провода и субъекты права? Чего вы тут намесили? Защищать ПДн, передаваемые по общедоступным каналам связи с помощью сертифицированных СКЗИ, необходимо по требованию ФСБ. Заключите с провайдером договор на услуги связи между ГО и филиалом, где ответственность за конфиденциальность и целостность передаваемой информации будет нести провайдер и укажите это в своей модели. И никто вам слово не скажет, за то, что не используются сертифицированные СКЗИ.
    Последний раз редактировалось saches; 09.02.2018, 15:13.

    Комментарий


    • Для saches
      Сообщение от Илюха Посмотреть сообщение
      2. Поскольку таковая обработка в том числе обеспечивает права и интересы банка, она может проводиться, если права и свободы субъекта не нарушены, это (слава богу, наконец-то) напрямую написано в законе..
      +100500

      Сообщение от Илюха Посмотреть сообщение
      3. Считать аутсорсинг АБС именно "передачей третьим лицам", - вообще говоря, - произвольное толкование закона. Как неоднократно было замечено, технические средства не являются субъектами права. Субъекты права должны применять технические меры. Например. Если персональные данные передаются из филиала в ГО по проводам, принадлежащим МТС, то МТС не "третье лицо" и ПД "ему" не передаются. Хотя филиал и ГО при передаче через каналы связи, принадлежащие этому третьему лицу, обязаны использовать СКЗИ.
      Так они же наверняка не как к черному ящику относятся к данным банка. Пока топикстартер не раскрыл подробности технологии обработки, в\полне можно предположить, что персонал ЦФТ имеет доступ к ПДн

      Комментарий


      • Сообщение от UserNick Посмотреть сообщение
        Пока топикстартер не раскрыл подробности технологии обработки, в\полне можно предположить, что персонал ЦФТ имеет доступ к ПДн
        Доступ имеют. Но никоим образом это не признают ))) И ничего брать на себя не хотят )

        Комментарий


        • Сообщение от Sat_Kelman Посмотреть сообщение
          Доступ имеют. Но никоим образом это не признают ))) И ничего брать на себя не хотят )
          Значит нужно отталкиваться от условий договора. Если из них следует, что без доступа персонала ЦФТ к БД банка договор выполнить невозможно, то совместно с вашими юристами понуждайте их к заключению "Соглашения об обработке ПДн". Другого пути не вижу.

          Комментарий


          • Сообщение от UserNick Посмотреть сообщение
            Значит нужно отталкиваться от условий договора. Если из них следует, что без доступа персонала ЦФТ к БД банка договор выполнить невозможно, то совместно с вашими юристами понуждайте их к заключению "Соглашения об обработке ПДн". Другого пути не вижу.
            Проблема не в ЦФТ, а в эффективных менеджерах, которые таким образом ищут повод сократить "бездельников" ИТэшников. Экономия весьма сомнительная и никто её особо не считает - всем нравится сама идея про аутсорс, которую настырно вливают в уши и повторяют как мантру последователи сект MBA и т.п..

            Нам тоже предлагали.
            Я отказался согласовывать договор, сказав руководству, что вопросы связанные с обработкой ПДн решить будет невозможно. Если хотите, сокращайте ради этого автоматизацию, но берите на себя ответственность сами, чтобы потом при проверке претензий не было. Дополнительно приложил письмо 42-Т.
            В общем, не пошли мы по этому пути.

            Комментарий


            • Сообщение от Berckut Посмотреть сообщение
              В общем, не пошли мы по этому пути.
              Не ввязываться, конечно, лучший вариант, только у Sat_Kelman ситуация иная и исходные данные другие. Теперь нужно пытаться поставить все с головы на ноги.

              Комментарий


              • Сообщение от Berckut Посмотреть сообщение
                Проблема не в ЦФТ, а в эффективных менеджерах, которые таким образом ищут повод сократить "бездельников" ИТэшников......В общем, не пошли мы по этому пути.
                Дело, конечно хозяйское, но ИМХО, проблема тут в кривоватом законодательстве. Таким же путем "ухода в несознанку" идут и наша любимая карточная платежная система, и одна из крупнейших процессинговых систем. Это только по личному опыту общения. Т.е. реально, проще "прикинутся вещьмешком", чем исполнить требования законодательства. И это только одно из...

                Комментарий


                • Сообщение от Sat_Kelman Посмотреть сообщение
                  Народ, подскажите по ситуации.
                  Согласно внутренним документам Банка в целях выполнения требований ПОД/ФТ, на Бенефициарного владельца, единолочного органа, представителей (вкл. всех тех, что в КОП), выгодоприобретателя Клиента должна заполняться Анкета (включая паспортные данные).
                  Коллеги, еще уточнение.
                  При открытии счета в пакет документов входят анкеты бенефициара, представителя, единоличного исполнительного органа (ЕИО). По идее каждый должен заполнять на себя такую анкету, но сложилась практика, что приходит кто-то один уполномоченный и приносит копии паспортов всех лиц, подписывает все документы. Таким образом в анкетах нет подписей вышеуказанных лиц. У крупных клиентов эти люди в банк не поедут, а банку к ним ездить невыгодно и далеко (а в некоторых случаях вообще невозможно - бизнес у них тут,а сами они в теплых краях). У вас есть подобные случаи? Как вы поступаете с согласием в анкетах.

                  Комментарий


                  • Сообщение от Sat_Kelman Посмотреть сообщение
                    Как вы поступаете с согласием в анкетах.
                    Обычно распечатывается скан/фото анкеты с подписью и пометкой "получен по каналам электронной связи" и после получения оригинала заменяется.

                    Комментарий


                    • Коллеги, приветствую!
                      В связи с очередным обсуждением темы попадает ли информация об инвалидности и из больничных листов под категорию специальных ПДн, хотел бы услышать ваши комменты по следующим вопросам:
                      1. Есть ли у кого информация, как последнее время реагируют проверяющие (в т.ч. РКН) на ситуацию, когда оператор заявляет, что речь идет о неком социальном статусе, а не о специальных ПДн?
                      2. В решении арбитражного суда, о котором идет речь в http://rusrim.blogspot.ru/2013/01/blog-post_13.html присутствует следующее утверждение -
                      Таким образом, такую категорию персональных данных, как инвалидность, в соответствии с пунктом 2 части 2 статьи 10 федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», по мнению суда, можно отнести к общедоступным данным. Обработку общедоступных персональных данных оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных.

                      Есть ли у кого понимание, на основании чего было сделано заключение, что данные об инвалидности можно считать общедоступными?
                      Мне тут попался ПП № 674 "О формировании и ведении федерального реестра инвалидов....", я уж, грешным делом решил, что из него можно сделать такой вывод. Но вот наши юристы как-то с этим не согласны.
                      Что скажете?

                      Комментарий


                      • А файлообменник будет являться ИСПДн? Если через него кидаться будут файлы с ПДн.

                        Комментарий


                        • И еще вопрос. База данных колл-центра с записями звонков будет являться ИСПДн? В разговоре клиенты сообщают свои персональные данные.

                          Комментарий


                          • Сообщение от Sat_Kelman Посмотреть сообщение
                            И еще вопрос. База данных колл-центра с записями звонков будет являться ИСПДн? В разговоре клиенты сообщают свои персональные данные.
                            А что Вам мешает эту базу данных включить в ту же ИСПДн, что и CRM?

                            Комментарий


                            • Сообщение от Sat_Kelman Посмотреть сообщение
                              База данных колл-центра с записями звонков будет являться ИСПДн
                              Смотря для чего вы идентифицируете информационные активы - для выполнения требований РКН или для защиты этих активов.

                              Комментарий


                              • Сообщение от Александр Четвертый Посмотреть сообщение
                                Смотря для чего вы идентифицируете информационные активы - для выполнения требований РКН или для защиты этих активов.
                                Для РКН конечно. ПО защите там и так норм. Тут еще дело в мутках топ-менеджеров.
                                Вкратце так. Есть КЦ Банка и есть КЦ некой организации. По сути это боковик Банка, но юридически Банк и боковик не связаны между собой. Хотя сидят на одном этаже и в одном кабинете. Сотрудники КЦ боковика устроены в Банк на 0,1 ставки. Еще хотят сотрудников КЦ Банка устроить на 0,1 ставки боковика.
                                Банка выдает кредиты. Боковик сделан для того, чтобы привлекать клиентов для кредитования объектов. То есть клиент хочет купить товар, боковик по сути ему помогает найти банк, далее Клиент заключает с Банком кредитный договор.
                                Теперь у начальства появилась идея совместить колл-центры этих двух организаций. Сейчас КЦ Банка звонит только клиентам Банка по всем вопросам, а сотрудники КЦ боковика только своим. Хотят чтобы и те и другие могли звонить всем.
                                Для телефонии используется сервер, на котором записываются звонки с клиентами. По сути он админится ит-шниками Банка.
                                И теперь как правильно сделать, чтобы они с юридической точки зрения могли пользоваться одной базой с записями звонков. Если сотрудники КЦ взаимно устроены друг у друга, то при звонке они как бы звонят от имени той организации какой нужно. А например как быть с админами банка? Которые о сути имеют доступ к базе данных с записями телефона, где Клиенты говорят свои ПДн?
                                Короче, верха там что-то мудрят со всеми этимиотедльными конторами и слияниями, а мы тут разгребаем их мутки.

                                Была идея чтобы этот боковик как бы передал на аутсорсинг Банку услуги колл-центра. Пока других идей легализовать слияние нет.

                                Комментарий


                                • Сообщение от Sat_Kelman Посмотреть сообщение

                                  Для РКН конечно. ПО защите там и так норм. Тут еще дело в мутках топ-менеджеров.
                                  Вкратце так. Есть КЦ Банка и есть КЦ некой организации. По сути это боковик Банка, но юридически Банк и боковик не связаны между собой. Хотя сидят на одном этаже и в одном кабинете. Сотрудники КЦ боковика устроены в Банк на 0,1 ставки. Еще хотят сотрудников КЦ Банка устроить на 0,1 ставки боковика.
                                  Банка выдает кредиты. Боковик сделан для того, чтобы привлекать клиентов для кредитования объектов. То есть клиент хочет купить товар, боковик по сути ему помогает найти банк, далее Клиент заключает с Банком кредитный договор.
                                  Теперь у начальства появилась идея совместить колл-центры этих двух организаций. Сейчас КЦ Банка звонит только клиентам Банка по всем вопросам, а сотрудники КЦ боковика только своим. Хотят чтобы и те и другие могли звонить всем.
                                  Для телефонии используется сервер, на котором записываются звонки с клиентами. По сути он админится ит-шниками Банка.
                                  И теперь как правильно сделать, чтобы они с юридической точки зрения могли пользоваться одной базой с записями звонков. Если сотрудники КЦ взаимно устроены друг у друга, то при звонке они как бы звонят от имени той организации какой нужно. А например как быть с админами банка? Которые о сути имеют доступ к базе данных с записями телефона, где Клиенты говорят свои ПДн?
                                  Короче, верха там что-то мудрят со всеми этимиотедльными конторами и слияниями, а мы тут разгребаем их мутки.

                                  Была идея чтобы этот боковик как бы передал на аутсорсинг Банку услуги колл-центра. Пока других идей легализовать слияние нет.
                                  ММВБ также работает похоже. Вот их согласие:
                                  fs.moex.com/files/861/

                                  Комментарий


                                  • Коллеги, такой вот вопрос из практики одной дочерней структуры - приходит например в страховую компанию актуарий (физ-ло) для проведения актуарной оценки.
                                    Выгружает к себе практически всю базу клиентов ( и физиков, и юриков), для проведения оценки. И, после завершения, забирает её с собой, так как, якобы, оценку со всеми материалами может запросить в рамках проверки проведенной оценки всё тот же ЦБ.
                                    А на вопрос, на каком основании забирается конфиденциалка и ПДН, в частности, предъявляется 293-ФЗ "Об актуарной деятельности в РФ", где черным по русски сказано:

                                    1. При осуществлении актуарной деятельности субъект актуарной деятельности имеет право:
                                    1) требовать от заказчика обеспечения в полном объеме доступа к документации, необходимой для осуществления актуарной деятельности;
                                    2) запрашивать у заказчика сведения, необходимые для осуществления актуарной деятельности, за исключением сведений, составляющих государственную тайну;
                                    ..............
                                    2. При осуществлении актуарной деятельности субъект актуарной деятельности обязан:
                                    .....
                                    3) обеспечивать сохранность документов, полученных от заказчика при осуществлении актуарной деятельности;
                                    4) не разглашать конфиденциальные сведения, полученные от заказчика при осуществлении актуарной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации;

                                    Т.е. все нормально и по другому никак.
                                    Что скажете?

                                    Комментарий


                                    • С картами раньше дела не имел (ну да, типа повезло мне!), а тут жизнь заставляет разбираться.
                                      Что-то я понять не могу, на каком основании банки при выпуске и обслуживании платиковых карт передают персональные данные процессору, а тот, в свою очередь, ещё и может передать их третьему лицу, которое будет осуществлять эмбоссирование? Да и собственно владелец платёжной систем тут лицо не первое и не второе. И нет ли здесь трансгранички (на которую надо получать отдельное согласие, которое впоследствии может быть отозвано) и "принятия решений на основании исключительно автоматизированной обработки"?

                                      Комментарий


                                      • Сообщение от Berckut Посмотреть сообщение
                                        на каком основании банки при выпуске и обслуживании платиковых карт передают персональные данные процессору, а тот, в свою очередь, ещё и может передать их третьему лицу, которое будет осуществлять эмбоссирование?
                                        Эмбоссирование многие аутсорсят, тут полезно брать согласие клиента на поручение обработки. Печать и рассылку выписок по картам тоже часто аутсорсят, опять нужно согласие.
                                        Кстати, печать жировок за ЖКУ, налоговых уведомлений и т.п. также аутсорсится, на лицо поручение обработки, а никакого согласия с граждан никто не спрашивал. Меня давно интересует как там обходят этот момент.

                                        А вот насчет передачи ПДн при обслуживании всё шоколадно, это нужно для исполнения договора, так что и трансграничка прокатывает.

                                        Комментарий


                                        • Сообщение от Berckut Посмотреть сообщение
                                          и "принятия решений на основании исключительно автоматизированной обработки"?
                                          Это-то где?

                                          Комментарий


                                          • Сообщение от ost Посмотреть сообщение

                                            Эмбоссирование многие аутсорсят, тут полезно брать согласие клиента на поручение обработки. Печать и рассылку выписок по картам тоже часто аутсорсят, опять нужно согласие.
                                            Кстати, печать жировок за ЖКУ, налоговых уведомлений и т.п. также аутсорсится, на лицо поручение обработки, а никакого согласия с граждан никто не спрашивал. Меня давно интересует как там обходят этот момент.
                                            Согласие сильно не надёжная вещь в таком случае. Его могут отозвать и тогда банк получает кучу головняков, связанных с уничтожением переданных ПДн. Неужели никто из просрочников или так называемых антиколлекторов ещё не додумался, что так можно банку палки в колёса вставлять?

                                            Сообщение от ost Посмотреть сообщение
                                            Это-то где?
                                            Хммм. Ну сейчас с картами чего только не делают. И счета автоматически открываются без участия опреациониста, и кредиты выдаются.

                                            Комментарий


                                            • Сообщение от Berckut Посмотреть сообщение
                                              Неужели никто из просрочников или так называемых антиколлекторов ещё не додумался, что так можно банку палки в колёса вставлять?
                                              Додумались, конечно, но их тупо посылают, на основании ч. 2 ст. 9 при наличии просроченной задолженности действует п. 7 ч. 1 ст. 6. Прокуратура и РКН с этим согласны.
                                              Кроме того, обработчику обычно в договоре ставится условие немедленно удалить ПДн после обработки (т.е. после эмбоссирования карты или печати стейтмента).

                                              Сообщение от Berckut Посмотреть сообщение
                                              И счета автоматически открываются без участия опреациониста, и кредиты выдаются.
                                              У нас в стране (по нормативке) счета автоматом не открываются и кредиты автоматом не выдаются, постулируется, что за каждым таким действием блюдёт сотрудник банка (так же как и в ГИБДД штраф выписывает не камера, а сотрудник). Т.о. это не попадает под формулировку ч. 2 ст. 16.

                                              2. Решение, порождающее юридические последствия в отношении субъекта
                                              персональных данных или иным образом затрагивающее его права и законные
                                              интересы, может быть принято на основании исключительно автоматизированной
                                              обработки его персональных данных только при наличии согласия в письменной форме
                                              субъекта персональных данных или в случаях, предусмотренных федеральными
                                              законами, устанавливающими также меры по обеспечению соблюдения прав и
                                              законных интересов субъекта персональных данных.

                                              Комментарий


                                              • Народ, такая ситуация.

                                                Бизнес вышел с предложением заключить договор с курьерской компанией по доставке карт, заказанных через сайт.

                                                При встрече курьер будет фотографировать клиента и страницы его паспорта, далее в своем мобильном приложении прикреплять фото к заказу. Эти фото будут видеть сотрудники нашего банка через Личный кабинет. Планируется эти фото скачивать из ЛК и прикреплять в эл. карточку клиента в АБС.
                                                Личный кабинет курьерской компании не располагается на сервере Банка, доступ в него будут иметь как курьерская компания, так и сотрудники банка.
                                                В договоре с курьером есть такой пункт.
                                                Любая информация, полученная Исполнителем, в отношение получателей почтовых отправлений подлежит удалению в течение 3 (трех) месяца после доставки или возврата почтового отправления, путем составления акта об уничтожении информации.

                                                Вроде что-то подобное есть у Тинькофф. Кто-то знает как у них это делается?

                                                Я конечно понимаю желание бизнеса сделать обслуживание клиентов проще и технологичнее, но со стороны РКН тут больше палок в колеса.
                                                Думается мне что у Тинкофа приезжают сотрудники Банка, и приложение используют какое-то своё, а тут получается какая-то дичь. Мало того, что ПДн получает какая-то третья сторона, так они еще и хранят их у себя 3 месяца. По сути у них ИСПДн )))) Отрицательный ответ у меня уже подготовлен, но как говорится: "Отрицая - предлагай", - хочется подкинуть варианты реализации.
                                                Кто-нибудь сталкивался с таким подходом? Или может тут есть сотрудники самого Тинькоффа, кто сможет мне подсказать

                                                Комментарий


                                                • Сообщение от Sat_Kelman Посмотреть сообщение
                                                  фотографировать клиента и страницы его паспорта
                                                  Юридически это же процедура идентификации по 115-ФЗ, а ее банк не в праве поручать кому-попало - только сотрудник банка это может делать. Это страшнее нарушение, чем 152-ФЗ. Или фотки для других целей?

                                                  Комментарий


                                                  • Сообщение от ________
                                                    фотографировать клиента и страницы его паспорта
                                                    Возложить эту обязанность на Клиента (получатель Банк), а на курьерскую службу - верификацию полученной Банком инфо от клиента...
                                                    Курьеру - моб.приложение Банка с доступом к ...фото и пасп. данными ... все равно не красиво получается с курьерами...


                                                    Комментарий


                                                    • Да все некрасиво получается, но есть же банки с такими услугами. Интересно как у них это сделано.

                                                      Фотки я так понимаю, чтобы удостовериться, что карту получил тот человек, чью копию паспорта они получили при онлайн заявке.
                                                      Т.е. общая схема работы такая,
                                                      1. Клиент делает онлайн заявку, прикладывает копию паспорта
                                                      2. Делается карта, отдается курьеру
                                                      3. Курьер привозит карту и договор, делает фото паспорта и фото человека, который эту карту получил и подписал документы. (тут непонятно как курьер должен определить, что паспорт не поддельный, но это другой вопрос).
                                                      4. Фотки попадают в Банк и сотруник сверяет, что изначальная копия паспорта совпадает с фото от курьера, видит, что человек с картой является тем, кто изображен на паспорте.
                                                      5. После процедуры подтверждения карту активируют.

                                                      И вот пробел между тем когда курьер делает фото и тем когда они попадают в банк. Получается появляется обработчик ПДн.
                                                      Последний раз редактировалось Sat_Kelman; 21.05.2018, 10:22.

                                                      Комментарий


                                                      • Сообщение от Sat_Kelman Посмотреть сообщение
                                                        И вот пробел между тем когда курьер делает фото и тем когда они попадают в банк. Получается появляется обработчик ПДн.
                                                        Очень просто, у них курьер является представителем клиента по доверенности, он действует от имени и по поручению клиента, а не банка. Т.о. банк как бы получает ПДн не от своего агента, а непосредственно от субъекта или его представителя.

                                                        Комментарий


                                                        • Сообщение от ost Посмотреть сообщение
                                                          Очень просто, у них курьер является представителем клиента по доверенности, он действует от имени и по поручению клиента, а не банка
                                                          То есть клиент подписывает еще и доверенность на курьера?

                                                          Комментарий


                                                          • Сообщение от Sat_Kelman Посмотреть сообщение
                                                            подписывает еще и доверенность на курьера
                                                            грош цена такой доверенности. а если бы нотариальная была (то есть имела ценность) - никто бы такое не подписал

                                                            Комментарий


                                                            • Сообщение от Sat_Kelman Посмотреть сообщение
                                                              о есть клиент подписывает еще и доверенность на курьера?
                                                              Ага.

                                                              Сообщение от Александр Четвертый Посмотреть сообщение
                                                              грош цена такой доверенности.
                                                              Да щаз, нигде не сказано, что представлять интересы субъекта ПДн можно только по нотариальной доверенности, и надзорные органы на этом не настаивают.

                                                              Комментарий

                                                              Обработка...
                                                              X