5 июля, воскресенье 10:44
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Встретил тут интересную особенность при сборе согласий на обработку ПДн у мегафона и билайна.
    Они при сборе согласия пишут, то доступ предоставляется третьим лицам, список опубликован на сайте.
    https://moscow.megafon.ru/ai/documen...nih_dannih.pdf


    Так можно делать? У нас сейчас рассматривается проблема с тем, что в последнее время стали часто появляться третьи лица, и как быть с переподписыванием согласий.
    Такой список на сайте был бы удобным вариантом.

    Комментарий


    • Согласие даётся на вид обработки, т.е. на предоставление доступа третьим лицам. Думаю, вполне можно доказать, что нигде в требованиях закона не написано, что перечень этих третьих лиц должен быть указан.
      Но в данном кокретном случае всё ещё проще. Тут даётся согласие в том числе на распространение. Согласно 152-ФЗ распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Т.е. всё, что было указано в анкете, они могут выложить в инет и им за это нечего не будет (с точки зрения законодательства о ПДн), т.к. абонент дал на это согласие.

      Комментарий


      • Сообщение от Sat_Kelman Посмотреть сообщение
        Они при сборе согласия пишут, то доступ предоставляется третьим лицам, список опубликован на сайте. https://moscow.megafon.ru/ai/documen...nih_dannih.pdf
        У них такое согласие, что я бы назвал его ничтожным, хотя бы по причине того, что в нём не указаны цели обработки, т.е. вообще не указаны.
        При этом не постеснялись написать:
        для целей, указанных в настоящем заявлении, как связанных, так и не связанных с исполнением Договора
        Ну и согласие на поручение обработки обработчикам по открытому списку это тоже не вписывается в требования закона.

        Треш, а не согласие. Лень заниматься, а так бы отправить его в прокуратуру и попросить проверить законность...

        Комментарий


        • ....для целей, указанных в настоящем заявлении, как связанных, так и не связанных с исполнением Договора
          Насколько я понимаю, сейчас у РКН стандартная претензия при проверках, что согласие нужно брать на каждую цель обработки.
          Т.е. сколько целей, столько должно быть и согласий от одного клиента.

          Комментарий


          • У нас в июне был случай - пришло письмо из роспотребнадзора. Клиент брал кредит и потом накатал заявление.

            В документах есть согласие на обработку ПДн. Я такой-то, признаю что в случае необходимости предоставления ПДн третьему лицу (в том числе страховым организациям, компаниям осуществляющим рассылку), юридическим лицам в случае их привлечения для независимой оценки имущества.... Банк вправе раскрывать в необходимом объеме для совершения вышеуказанных действий информацию обо мне таким третьим лицам. Подтверждаю, что настоящее согласие дано любым третьим лицам, указанным в настоящем согласии.

            И вот что пишет Роспотребнадзор.
            Кратко - нет списка третьих лиц - у вас нарушение. А у нас этих третьих лиц дофига и больше. И они еще и часто меняются, так как оценочные комании могут быть сегодня одни, а завтра другие. Вот и думаем как быть.

            Комментарий


            • Сообщение от Sat_Kelman Посмотреть сообщение
              И вот что пишет Роспотребнадзор. Кратко - нет списка третьих лиц - у вас нарушение. А у нас этих третьих лиц дофига и больше. И они еще и часто меняются, так как оценочные комании могут быть сегодня одни, а завтра другие. Вот и думаем как быть.
              Попробуйте улучшенный вариант мегафона и билайна - в согласии указать только категорию лиц, которым может быть поручена обработка (каких данных, какие действия с ними и для чего) и что актуальный список лиц, которым банк поручил обработку в конкретный момент, по перечисленным категориям публикуется на сайте. Ну и опубликовать их на сайте (билайн/мегафон это вообще сделали?)

              Вообще странный конечно вывод в последнем абзаце у вашего проверяющего - как будто когда лицо явно указано, оно сразу обеспечивает конфиденциальность и безопасность данных при обработке.

              Комментарий


              • Сообщение от Sat_Kelman Посмотреть сообщение
                Так можно делать? У нас сейчас рассматривается проблема с тем, что в последнее время стали часто появляться третьи лица, и как быть с переподписыванием согласий.
                А иначе не получиться. мы всегда клиентам делали следующий подход:
                Делали бумажное согласие с приложением (перечень третьих лиц) с указанием, что актуальный см на сайте. На сайте перечень всегда актуальный, на бумаге периодические меняется. РКН конечно говорит, что так лучше не делать, но бизнес процесс иначе встанет, поэтому с пониманием относятся и закрывают на это глаза. Главное на момент проверки актуализировать перечни, чтобы они с сайтом были валидными.
                И само собой согласие д.б. правильное, где указано: Одна цель, состав, действие, третье лицо.
                saches правильно написал, что РКН требует:

                Сообщение от saches Посмотреть сообщение
                Т.е. сколько целей, столько должно быть и согласий от одного клиента.
                Но исходя из нелепости ФЗ, а там действительно указана 1 цель, невозможно сделать 10 согласий с клиентом (он просто пошлет подальше), мы делали табличку с подписью клиента под каждой строкой таблицы. Это некий компромисс, который попадает в РКН и бизнес.


                Комментарий


                • Сообщение от Александр Четвертый Посмотреть сообщение
                  Попробуйте улучшенный вариант мегафона
                  Очень странно, что хреновое у них согласие, т.к. у них была проверка в прошлом году.
                  Забили на все и зажили по новому?) Можно жалобу накатать, особенно в силу новой политики подключения платных услуг (подписок) без спроса абонента))

                  А согласие реально убогое:
                  - цели - "обезличивание", на каком основании? у них нет такого основания в соотв. с 152ФЗ - за это их сразу накажет РКН;
                  - "и третьими лицами, которым ПАО «МегаФон» на основании договора поручило обработку персональных данных для целей, указанных в настоящем заявлении, как связанных, так и не связанных с исполнением Договора"; Просто Огонь! А потом тебе назанимают телефонные террористы и предлагают услуги.
                  - по ссылке нет третьих лиц!;
                  - не понял, а какой смысл дублировать и перегружать очевидными вещами типа "в соответствии с п.4 статьи 7 Федерального закона от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»." Достаточно того, что есть законное основание хранить 5 лет в соотв с 1з, зачем об этом писать? ;
                  - если есть договор, то зачем данное согласие - включить всех третьих лиц туда и все. Все равно со старыми клиентами не будут подписывать допники или согласия;
                  - состав данных специально игнорят?
                  Последний раз редактировалось Cpx; 31.07.2019, 11:10.

                  Комментарий


                  • Сообщение от Sat_Kelman Посмотреть сообщение
                    А у нас этих третьих лиц дофига и больше. И они еще и часто меняются, так как оценочные комании могут быть сегодня одни, а завтра другие. Вот и думаем как быть.
                    По идее, если ПДн обрабатываются (а передача это один из видов обработки) в целях заключения или исполнения договора, то согласие субъекта не требуется. Так что если у вас в условиях эти проверки оговорены, то можно и без согласия всё делать.

                    Только не называйте это поручением обработки ПДн, это не тот путь.

                    Комментарий


                    • Сообщение от ost Посмотреть сообщение
                      Только не называйте это поручением обработки ПДн, это не тот путь.
                      А что это? Оценочная компания в договоре обяжет банк иметь согласие на поручение им обработки данных физиков, как минимум, чтобы не возиться с согласиями. На каком основании оценочная компания будет обрабатывать ПДн физиков? Договора с физиком у нее нет. На основании "согласия Иванова на передачу Банком Х его данных в оценочную компанию"? Дк это не основание для обработки оценочной компанией, это лишь основание Банка Х передать данные в оценочную компанию. А последней-то как быть с этими данными - даже хранить же нельзя?

                      Комментарий


                      • Сообщение от Александр Четвертый Посмотреть сообщение
                        Оценочная компания в договоре обяжет банк иметь согласие на поручение им обработки данных физиков, как минимум, чтобы не возиться с согласиями.
                        Я не совсем понял, чего это компания оценивает, но варианты всегда есть. Мы сейчас убираем любые упоминания про поручение обработки. Как правило её можно заменить на предоставление доступа к ПДн, и большинству посредников не нужно хранить ПДн, поработал и удалил.

                        Комментарий


                        • Сообщение от ost Посмотреть сообщение
                          Я не совсем понял, чего это компания оценивает
                          Давайте что-нибудь конкретное обсудим - БКИ (кредитный отчет, который 218-ФЗ предусмотрен). Кто берет согласие на обработку ПДн, указывая явно передачу/доступ "НКБИ", "ОКБ", "Эквифакс", "Русский стандарт" и т.д.? Любой запрос в БКИ это передача ПДн в БКИ (не важно, есть они уже в таком БКИ или еще нет). Саму обработку данных БКИ уже осуществляет на основании закона, а вот момент с передачей банком туда данных тоже требует явного перечисления всех БКИ, с которыми в данный момент работает банк?

                          Согласие по 218-ФЗ это другая опера - это право банка получить кредитный отчет субъекта в любом БКИ (к 152-ФЗ отношения не имеет).

                          Сообщение от ost Посмотреть сообщение
                          поработал и удалил
                          Это и есть самая настоящая обработка.

                          Комментарий


                          • Сообщение от Cpx Посмотреть сообщение
                            .....Но исходя из нелепости ФЗ, а там действительно указана 1 цель, невозможно сделать 10 согласий с клиентом (он просто пошлет подальше), мы делали табличку с подписью клиента под каждой строкой таблицы. Это некий компромисс, который попадает в РКН и бизнес.
                            Просьба уточнить, этот вариант устраивает проверяющих из РКН?

                            ЗЫ: возможно, в требованиях РКН по этому поводу и есть какая-то сырмяга. Например, у нас достаточно распространённый случай, когда физик, которого достали продажники своими смс-ками и звонками, пишет отзыв согласия на обработку ПДн, но договор на обслуживание не разрывает. При этом получается некая коллизия, т.к. не всегда понятно, от чего физик реально хочет отказаться.
                            Конечно, если у физика будет браться 10 согласий, далеко не факт, что физик будет указывать, какое именно согласие он отзывает.
                            Т.е. это может еще больше запутать ситуацию, но, вдруг, на следующей итерации, РКН придумает что-то более конструктивное...

                            Комментарий


                            • Сообщение от Александр Четвертый Посмотреть сообщение
                              Согласие по 218-ФЗ это другая опера - это право банка получить кредитный отчет субъекта в любом БКИ (к 152-ФЗ отношения не имеет).
                              Ну, это вы так трактуете. Мы на так не считаем, получили согласие по 218-ФЗ и всё, дальше обработка ПДн идёт в силу закона 218-ФЗ и может осуществляться без согласия, равно как и передача ПДн заёмщика в БКИ осуществляется без его согласия.

                              Комментарий


                              • Сообщение от saches Посмотреть сообщение
                                физик, которого достали продажники своими смс-ками и звонками, пишет отзыв согласия на обработку ПДн, но договор на обслуживание не разрывает. При этом получается некая коллизия, т.к. не всегда понятно, от чего физик реально хочет отказаться.
                                О! Таки вас за это можно обвинить в том, что у вас согласие недостаточно информативное.
                                По моей практике сами физики пишут отзыв когда их реально достали рекламные СМС, мы в таком случае отключаем их от рассылок. Второй вариант это просрочники, те редко пишут сами, в основном за них пишут всякие раздолжители, в этом случае им рекламу тоже отключаем, а по всем остальным пунктам пишем отказ, реально нам их согласие и не нужно, всё делается на основании законов и без согласия субъекта.

                                Комментарий


                                • [QUOTE=ost;n4918941]О! Таки вас за это можно обвинить в том, что у вас согласие недостаточно информативное.....
                                  Абсолютно голословное утверждение! я бы даже сказал, злостная клевета!

                                  Сообщение от ost Посмотреть сообщение
                                  ... По моей практике сами физики пишут отзыв когда их реально достали рекламные СМС, мы в таком случае отключаем их от рассылок.....
                                  Так и мы отключаем от рассылок.
                                  Я писал о том, что, какое бы не было навороченное согласие. Физик пришет примерно так - " меня задолбали ваши звонки и СМС-ки, я отзываю своё согласие на обработку ПДн."
                                  И поди, угадай, что конкретно он имел в виду, это с одной стороны, и не будет ли он жаловаться, если он имел в виду не только звонки и СМС.




                                  Комментарий


                                  • Сообщение от saches Посмотреть сообщение
                                    Просьба уточнить, этот вариант устраивает проверяющих из РКН? ЗЫ: возможно, в требованиях РКН по этому поводу и есть какая-то сырмяга. Например, у нас достаточно распространённый случай, когда физик, которого достали продажники своими смс-ками и звонками, пишет отзыв согласия на обработку ПДн, но договор на обслуживание не разрывает. При этом получается некая коллизия, т.к. не всегда понятно, от чего физик реально хочет отказаться. Конечно, если у физика будет браться 10 согласий, далеко не факт, что физик будет указывать, какое именно согласие он отзывает. Т.е. это может еще больше запутать ситуацию, но, вдруг, на следующей итерации, РКН придумает что-то более конструктивное...
                                    Каждый случай это уникальный, но в своей массе - да,устраивает если у оператора в целом все хорошо с выполнением юр моментов и их отражение по факту.
                                    Забавная действительно ситуация, но видимо нужно таким физикам делать и форму отзыва согласия, который будет ссылаться на пункты (таблицы) самого согласия, чтобы ошибочно не отозвал лишнее. с другой стороны, при заполнении нормального согласия, 90% физиков не дадут разрешения на СМс и звонки (если за это не полагается скидка здесь и сейчас ).
                                    Меня вот просто не реально выбешивает Альфабанк, хотя я был их клиентом всего пару месяцев. Продажники явно не имеют единой базы и каждый раз прошу меня удалить из базы, иначе накатаю в РКН жалобу, при том, что я согласие когда был клиентом не давал на маркетинг цели. В ПСБ тоже неоднократно жаловался, но вопрос решили. В ВТБ благодаря личному манагеру вопросы быстро решаются.
                                    Сообщение от ost Посмотреть сообщение
                                    всё делается на основании законов и без согласия субъекта.
                                    Верно, согласие нужно для привлечение доп бизнеса Банку, но не клиенту.




                                    Комментарий


                                    • К нам пришел физик и говорит "Хочу открыть вклад".
                                      Делаем договор, а у нас в форме договора отдельным разделом прописано что он дает согласие на обработку ПДн, которые фигурируют в этом договоре.
                                      Он: Нее, согласие я вам не дам.
                                      Мы: Ну ок, других форм у нас нет, тогда договор не заключим, вклада не будет.
                                      Он: Тогда пишите мне официальный отказ и я пойду с ним жаловаться в ЦБ.
                                      Мы: Тогда пишите нам официальный запрос чтобы мы дали не него официальный отказ.
                                      Он: Ну тогда я договор подпишу и сразу же напишу заявление на отзыв своего согласия.
                                      Мы: Ну ок. Только мы все равно будем всё обрабатывать, в силу законодательства и в целях исполнения договора.
                                      Он: ха-ха, ну посмотрим, я только недавно ходил в очень крупный банк, они тоже сначала отказывали, потом брали согласие, а в итоге потом само позвонили и как миленькие все мне оформили по моим условиям.

                                      Вот сидим сейчас и ломаем голову, в чем же подводные камни? Какие могут быть цели и мотивы у данного клиента?

                                      Комментарий


                                      • Сообщение от Galivut Посмотреть сообщение
                                        у нас в форме договора отдельным разделом прописано что он дает согласие на обработку ПДн
                                        Зачем вообще нужно согласие вкладчика на обработку? Вы какие-то данные необычные требуете предоставить? Даже у заемщиков не все банки берут согласие, обосновывая это условием "в целях заключения договора".

                                        Комментарий


                                        • Сообщение от Galivut Посмотреть сообщение
                                          ...Вот сидим сейчас и ломаем голову, в чем же подводные камни? Какие могут быть цели и мотивы у данного клиента?
                                          Может дробильщик вкладов, до 1,4 млн?

                                          Комментарий


                                          • Сообщение от Александр Четвертый Посмотреть сообщение
                                            Зачем вообще нужно согласие вкладчика на обработку? Вы какие-то данные необычные требуете предоставить? Даже у заемщиков не все банки берут согласие, обосновывая это условием "в целях заключения договора".
                                            +1, есть договор, более банку не надо, с учетом того, что обычно это обычный договор на РКО + ДБО в котором есть прайс (в т.ч. вклады). На бумаге можно лишь получить выписку по условиям вклада.
                                            А клиент просто слишком правильный, и имхоо правильно делает, чтобы потом банки не наглели(:
                                            Я так тоже иногда делаю, когда время позволяет еще от руки могу зачернять пункты. которые мне не нравятся в согласии))
                                            Сообщение от saches Посмотреть сообщение
                                            Может дробильщик вкладов, до 1,4 млн?
                                            это плохо? По-моему здравая логика, но в банке все равно деньги хранить рискованно.

                                            Комментарий


                                            • Сообщение от Galivut Посмотреть сообщение
                                              а у нас в форме договора отдельным разделом прописано что он дает согласие на обработку ПДн, которые фигурируют в этом договоре.
                                              А зачем? п. 5 ч. 1 ст. 6 152-ФЗ гласит, что в целях заключения договора и исполнения договора обрабатывать ПДн можно без согласия.

                                              З.Ы. Странно, что РКН этого до сих пор не выучил, регулярно пишут в запросах: ...у заявителя с банком заключен договор... просим предоставить правовые основания обработки ПДн заявителя, согласие ... на обработку ПДн .... Вероятно у них там шаблон какой-то есть.

                                              Комментарий


                                              • Сообщение от Cpx Посмотреть сообщение
                                                +1, есть договор, более банку не надо, с учетом того, что обычно это обычный договор на РКО + ДБО в котором есть прайс (в т.ч. вклады). На бумаге можно лишь получить выписку по условиям вклада.
                                                Сообщение от ost Посмотреть сообщение
                                                А зачем? п. 5 ч. 1 ст. 6 152-ФЗ гласит, что в целях заключения договора и исполнения договора обрабатывать ПДн можно без согласия.
                                                Сообщение от Александр Четвертый Посмотреть сообщение

                                                Зачем вообще нужно согласие вкладчика на обработку? Вы какие-то данные необычные требуете предоставить? Даже у заемщиков не все банки берут согласие, обосновывая это условием "в целях заключения договора".
                                                Да это понятно, в силу договора можно обрабатывать. Можно также приплести, наверно, ведение реестра вкладчиков, т.к. это необходимо по законодательству.
                                                Форма договора старая, не спорим что она не очень, с тех времен, когда особо вопросы ПДн не прорабатывались. Быстро поменять не успеем, т.к. нужно миллион согласований.
                                                Если послать клиента, говорит что в ЦБ побежит с жалобой. Если заключать договор в такое форме, потом вкладчик напишет согласие на отзыв, потом напишет запрос какие данные мы обрабатываем и на каком основании. Потом с этими результатами побежит в РКН что он отзывал согласие а мы все равно обрабатываем. Даже если в этом вопросе к нам претензий нет, то визит РКН с проверкой ПДн врядли кто то очень ждет. Может ли быть такой сценарий? Или по такому мелкому поводу куда бы не побежал клиент, везде в первую очередь сам будет послан?

                                                Комментарий


                                                • Сообщение от Galivut Посмотреть сообщение
                                                  везде в первую очередь сам будет послан
                                                  ЦБ пришлет запрос ...
                                                  PKH пришлет запрос ...

                                                  Комментарий


                                                  • Сообщение от Galivut Посмотреть сообщение
                                                    Форма договора старая, не спорим что она не очень, с тех времен, когда особо вопросы ПДн не прорабатывались. Быстро поменять не успеем, т.к. нужно миллион согласований
                                                    Есть один приятный момент - менять для старых клиентов и переподписывать разом не нужно! Можно сделать новую (кошерную форму), которую использовать для всех новых клиентов, а со старыми переподписывать по мере необходимости (когда клиент пришел в офис ногами за чем-нибудь).
                                                    Сообщение от Galivut Посмотреть сообщение
                                                    Может ли быть такой сценарий? Или по такому мелкому поводу куда бы не побежал клиент, везде в первую очередь сам будет послан?
                                                    Может и вероятность его 80%, и м.б. послан если не грамотно напишет жалобу в РКН, ЦБ.
                                                    Тут выбирать Вам, чья проверка менее болезненна, думаю в 90% лучше РКН, чем ЦБ (:

                                                    Комментарий


                                                    • Сообщение от Galivut Посмотреть сообщение
                                                      Он: Ну тогда я договор подпишу и сразу же напишу заявление на отзыв своего согласия. Мы: Ну ок. Только мы все равно будем всё обрабатывать, в силу законодательства и в целях исполнения договора.
                                                      А в чем риск? Пункт договора с согласием, который, допустим, станет недействительным после отзыва согласия - не страшно. Обрабатывайте дальше по договору (на условия вклада это не влияет, весь договор не признается недействительным). На запросы субъекта - ответ, что обрабатываем такие данные на основании договора вклада такого-то. Даже после закрытия вклада - храним договор еще 5 лет согласно такому-то пункту ТП и номенклатуры дел.

                                                      Комментарий


                                                      • Сообщение от Александр Четвертый Посмотреть сообщение
                                                        Даже после закрытия вклада - храним договор еще 5 лет согласно такому-то пункту ТП и номенклатуры дел.
                                                        Храним 5 лет согласно 115-ФЗ.

                                                        Комментарий


                                                        • Сообщение от Александр Четвертый Посмотреть сообщение
                                                          Зачем вообще нужно согласие вкладчика на обработку? Вы какие-то данные необычные требуете предоставить? Даже у заемщиков не все банки берут согласие, обосновывая это условием "в целях заключения договора".
                                                          У нас АБС от ЦФТ, так что основная задача согласия - передача ПДн третьим лицам.

                                                          Комментарий


                                                          • Сообщение от Sat_Kelman Посмотреть сообщение
                                                            У нас АБС от ЦФТ, так что основная задача согласия - передача ПДн третьим лицам.
                                                            А что с ЦФТ по другому никак нельзя, обязательно передача третьим лицам?

                                                            Комментарий


                                                            • Сообщение от ost Посмотреть сообщение
                                                              А что с ЦФТ по другому никак нельзя, обязательно передача третьим лицам?
                                                              Так в облаке же АБС (аля SAAS), по другому только в договор вписать эту самую SAAS с реквизитами ЦФТ.

                                                              Комментарий

                                                              Обработка...
                                                              X