24 января, пятница 14:39
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от akitukitua Посмотреть сообщение
    Неа совсем не согласились, очень давно, когда девушки были моложе а вода мокрее, мне безусому курсанту вдолбили два термина идентификация и аутентификация. Определения я выучил хорошо и потом всю службу и всё время в народном хозяйстве их успешно применял. А вот писатели ФЗ как раз в своём контексте попутали (правда совсем чуть чуть), но молодые и горячие лекции наверно слушали не внимательно (или вообще обошлись без профильного образования). Отсюда и идёт путаница в определении что в данной конкретной ситуации ПД (аутентификация), а что просто сведения (идентификация). И если для сотрудника имеющего доступ в СМЭВ, ПТК СПУ СНИЛС это самый что ни наесть ПДН то для всех остальных это просто набор циферок. А всё это безобразин по одной простой причине, нефиг переводить непойми что не пойми как и принимать в качестве ФЗ.
    "Бобер, выдыхай!"
    Вам придется смириться с тем, что ваше личное мнение по этому вопросу не является единственно верным.

    Комментарий


    • #32
      Сообщение от akitukitua Посмотреть сообщение
      Вообще не понял о чём Вы
      Бывает

      идентификация
      (дэ), и, ж. (нем. Identifikation, фр. identification < ср.-лат. identificāre отождествлять). Отождествление, установление идентичности (см. идентичный) чего-н. И. почерка. Толковый словарь иностранных слов Л. П. Крысина.- М: Русский язык, 1998.
      Субъект, знающий пароль к учетной записи с идентификатором akitukitua, заявил, что:
      - является абонентом мобильной связи с номером +7 902 340 0795
      - является абонентом мобильной связи с номером +7 905 102 3515
      - является субъектом индивидуального лицевого счета пенсионного страхования №054-367-70165
      - является субъектом индивидуального лицевого счета пенсионного страхования №086-123-33321

      Таким образом, вы отождествили всех этих субъектов, сообщив нам, что все они являются одним и тем же человеком, известным нам под псевдонимом akitukitua. Этих данных нам недостаточно для того, чтобы установить вашу личность, поэтому, согласно методическим рекомендациям Роскомнадзора все эти сведения являются вашими хоть и обезличенными, но по-прежнему персональными данными.

      И, предупреждая возможную дискуссию, это мое личное мнение, с необязательностью правильности которого я давно смирился В смысле, дискутировать на это тему не буду

      Комментарий


      • #33
        Будьте проще!
        Возможно я и не прав, но лучше иметь хоть какую-то определённость, чтобы от чего-то отталкиваться.

        Пусть имеем:
        1. ФИО
        2. Номер паспорта
        3. ИНН
        4. Номер счёта
        5. Сведения о переводах со счёта.

        1, 2, 3 - ПДн, которые используются для идентификации.
        4, 5 - ПДн, которые относятся к определяемому лицу.
        Если убрать из базы 1, 2, 3, то у нас останутся обезличенные ПДн.
        При желании можно доказать, что и 1 - тоже не является ПДн, используемыми для идентификации, но это уже будет противоречить здравому смыслу. Что поделать, законодательство и здравый смысл порою несовместимы.

        Комментарий


        • #34
          Сообщение от malotavr Посмотреть сообщение
          Вам придется смириться с тем, что ваше личное мнение по этому вопросу не является единственно верным.
          Я и не претендую в истину в последней инстанции, только так и не понял как набор циферок можно отнести пксть к обезличенным но ПДН?
          [OFF]Красим белим, иногда защищаем[/OFF]

          Комментарий


          • #35
            Сообщение от Berckut Посмотреть сообщение
            Если убрать из базы 1, 2, 3, то у нас останутся обезличенные ПДн.
            Ок я Вас понял, дискуссия сворачивается.
            [OFF]Красим белим, иногда защищаем[/OFF]

            Комментарий


            • #36
              Добрый день. Такой вопросик, на чем основано заявление, что банковский платежный технологический процесс не является обработкой ПДн, кроме отсутствия цели обработки ПДн?

              Комментарий


              • #37
                Сообщение от PonomarenkoVV Посмотреть сообщение
                Добрый день. Такой вопросик, на чем основано заявление, что банковский платежный технологический процесс не является обработкой ПДн, кроме отсутствия цели обработки ПДн?
                Могу предположить, что это заявление было актуально когда действовала договоренность достигнутая "письмом шестерых" - Письмом Банка России, АРБ от 28.06.2010 N 01-23/3148 <О введении в действие Стандартов и Рекомендаций в области стандартизации Банка России по вопросам информационной безопасности банковской организации Российской Федерации>.

                Комментарий


                • #38
                  Сообщение от PonomarenkoVV Посмотреть сообщение
                  банковский платежный технологический процесс не является обработкой ПДн
                  А откуда вы это взяли?
                  Был разговор, что АБС не является ИСПДн, поскольку у неё другие цели и к ней другие требования, соответственно предлагаемые на тот момент классификации ИСПДн к АБС не применимы. Такого, как в вашей формулировке -- не помню.

                  Комментарий


                  • #39
                    Добрый день. Спасибо за ответы. А формулировка такая мне запомнилась при штудировании просторов инета по другому вопросу, при проведении самооценки по иббс 2014, мозг уловил и запомнил)). Но, к сожалению, автора сего высказывания я не запомнил.

                    Комментарий


                    • #40
                      Примерно такая формулировка была в СТО БР 2010 г., п. 7.10.9:
                      АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.
                      В действующем СТО БР такой лазейки нет.

                      Комментарий


                      • #41
                        Добрый день коллеги. В карте Т-2, сотрудники указывали данные о родственниках, Роскомнадзор не обязывает брать согласие на эти ПДн, но как правильно указать цель обработки этих ПДн? Ах да, данная ситуация в банке, никакими ФЗ данная обработка не обусловлена.

                        Комментарий


                        • #42
                          Подобные данные есть в анкете на трудоустройство и на это дает согласие соискатель. Далее их смело кадровики переносят в Т-2.

                          Комментарий


                          • #43
                            Если в анкете собирать данные о родственниках без их согласия, думаю регулятор за это поругает. Нужна конкретная цель для их обработки в карте Т-2. Я предполагаю указать цель прогнозирование рисков, т.к. некоторые должности критичные по отношению к бизнес процессам банка. Брать на работу сотрудника не зная за него подноготную безрассудно.

                            Комментарий


                            • #44
                              Сообщение от PonomarenkoVV Посмотреть сообщение
                              Добрый день коллеги. В карте Т-2, сотрудники указывали данные о родственниках, Роскомнадзор не обязывает брать согласие на эти ПДн, но как правильно указать цель обработки этих ПДн? Ах да, данная ситуация в банке, никакими ФЗ данная обработка не обусловлена.
                              Это персональные данные о родственниках, а не персональные данные родственников. Т.е. персональные данные лица, на которого оформлена карточка Т-2, а значит достаточно согласия работника.
                              Но наличие согласия это не единственная проблема. Как указано в законе, ПДн должны собиратсья не просто так, а с какой-то целью. Вернее даже с заранее заявленной целью, т.е. цель сбора ПДн о родственниках должна быть определена во внутренних документах. Вот тут уже можно и сказать, для оценки рисков. Вот только боюсь, что придётся эту методику оценки рисков прописать.

                              Комментарий


                              • #45
                                Сообщение от Berckut Посмотреть сообщение
                                Это персональные данные о родственниках, а не персональные данные родственников. Т.е. персональные данные лица, на которого оформлена карточка Т-2, а значит достаточно согласия работника.
                                Дайте пожалуйста ссылку на нормативный документ, который подтверждает обоснованность Вашей мысли.

                                Комментарий


                                • #46
                                  Сообщение от UserNick Посмотреть сообщение
                                  Дайте пожалуйста ссылку на нормативный документ, который подтверждает обоснованность Вашей мысли.
                                  У нас презумпция невиновности. Дайте ссылку, что я не прав!
                                  А вообще, во-первых, ну не позволяют эти данные идентифицировать человека.
                                  Во-вторых, мало ли что я напишу про своих родственников. Вот написал я, что мой родственник Путин В.В. И что дальше? Роскомнадхор выпишет моему работодателю штраф за то, что он обрабатывает ПДн Путина?

                                  Комментарий


                                  • #47
                                    Сообщение от Berckut Посмотреть сообщение
                                    У нас презумпция невиновности. Дайте ссылку, что я не прав!
                                    В общем ушел от ответа .... ))

                                    Сообщение от Berckut Посмотреть сообщение
                                    А вообще, во-первых, ну не позволяют эти данные идентифицировать человека.
                                    Как это не позволяют? ФИО же есть.

                                    Сообщение от Berckut Посмотреть сообщение
                                    Во-вторых, мало ли что я напишу про своих родственников. Вот написал я, что мой родственник Путин В.В. И что дальше? Роскомнадхор выпишет моему работодателю штраф за то, что он обрабатывает ПДн Путина?
                                    С этим тоже не все просто. Обычно в автобиографии и в анкете пишут, что "предоставление недостоверных данных может служить основанием для отказа..."
                                    В общем получается, что предоставление сведений о составе семьи и автобиографичные сведения тоже очень даже мутная тема с точки зрения НПА по ПДн.
                                    IMHO все таки нужно требовать согласие от здравствующих упомянутых родственников.
                                    Очень хочу, чтобы кто-то аргументировано помог мне поменять мнение.

                                    Комментарий


                                    • #48
                                      Сообщение от UserNick Посмотреть сообщение
                                      Дайте пожалуйста ссылку на нормативный документ, который подтверждает обоснованность Вашей мысли.
                                      ну вот здесь написано, например, п. 2. Это не нормативный документ, но, по крайней мере, это - пояснения регулятора.


                                      Сообщение от UserNick Посмотреть сообщение
                                      Как это не позволяют? ФИО же есть.
                                      только ФИО? тогда это не ПДн, нужен еще какой-либо признак в связке с ФИО, чтобы определить конкретное лицо.

                                      Комментарий


                                      • #49
                                        Сообщение от junglets Посмотреть сообщение
                                        только ФИО? тогда это не ПДн, нужен еще какой-либо признак в связке с ФИО, чтобы определить конкретное лицо.
                                        В анкетах, как правило, кроме ФИО указывают дату и место рождения как минимум, этого вполне достаточно для идентификации.
                                        По теме вопроса: в качестве целей обработки ПДн родственников указали что-то вроде "выполнение требований законодательства РФ, требований нормативных актов, а также для выполнения обязательств в области социальной ответственности перед работниками и членами их семей".
                                        Что касается согласий, то в анкете примерно такая формулировка: Я, ФИО, перед предоставлением персональных данных своих ближайших родственников получил их согласие на обработку "Банк" их персональных данных и, при необходимости, обязуюсь предоставить такое согласие в письменном виде в течение хх дней.

                                        Комментарий


                                        • #50
                                          junglets, обычно в анкетах кроме ФИО, пишут еще и место проживание или регистрации, чем это не признак?

                                          Комментарий


                                          • #51
                                            коллеги, я согласен с вами, просто в вопросе написали только про ФИО

                                            Комментарий


                                            • #52
                                              Сообщение от junglets Посмотреть сообщение
                                              ну вот здесь написано, например, п. 2. Это не нормативный документ, но, по крайней мере, это - пояснения регулятора.
                                              Цитируемое вами разъяснение датировано 14 декабря 2012 года.
                                              А Постановление Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты" которым утверждена форма Т-2 носит рекомендательный характер с 1 января 2013 г..
                                              В чем подвох Вам понятно? Будь разъяснение опубликовано на 8 дней позже, тогда можно было бы им руководствоваться, а так увы нет.
                                              К сожалению, не убедили.

                                              Комментарий


                                              • #53
                                                Сообщение от Tor Посмотреть сообщение
                                                По теме вопроса: в качестве целей обработки ПДн родственников указали что-то вроде "выполнение требований законодательства РФ, требований нормативных актов, а также для выполнения обязательств в области социальной ответственности перед работниками и членами их семей".
                                                Что касается согласий, то в анкете примерно такая формулировка: Я, ФИО, перед предоставлением персональных данных своих ближайших родственников получил их согласие на обработку "Банк" их персональных данных и, при необходимости, обязуюсь предоставить такое согласие в письменном виде в течение хх дней.
                                                Уязвимость такой изворотливости в невозможности доказать, что с начала обработки до момента выявления нарушения, обработка осуществлялась на законном основании и избежать штрафа. Возможна ситуация, что с течением времени будет невозможно получить согласие, если например родственника или члена семьи в тот момент когда согласие потребовалось нет в живых или он откажется дать согласие по любым причинам.

                                                Комментарий


                                                • #54
                                                  Сообщение от UserNick Посмотреть сообщение
                                                  В чем подвох Вам понятно? Будь разъяснение опубликовано на 8 дней позже, тогда можно было бы им руководствоваться, а так увы нет.
                                                  К сожалению, не убедили.
                                                  я извиняюсь, может чего-то не понимаю, но где связь?
                                                  в пояснении говорится именно про карточку Т-2, без каких либо уточнений. То, что с 1 января 2013 эта форма перестала быть обязательной к применению не означает, что она перестала существовать вообще, а вместе с ней "исчезли" и применямые к ней нормы.

                                                  Комментарий


                                                  • #55
                                                    Сообщение от junglets Посмотреть сообщение
                                                    в пояснении говорится именно про карточку Т-2, без каких либо уточнений. То, что с 1 января 2013 эта форма перестала быть обязательной к применению не означает, что она перестала существовать вообще, а вместе с ней "исчезли" и применямые к ней нормы.
                                                    В тот момент когда готовилось разъяснение, Т-2 была документом, который ВСЕ БЫЛИ ОБЯЗАНЫ применять.
                                                    Но наступило 1 января 2013 г. и форма документа стала РЕКОМЕНДАТЕЛЬНОЙ. Т.е. её применение возможно на добровольный основе, а по хорошему на её базе необходимо сформировать свою форму документа. А при разработке новой формы для включения в неё тех или иных данных, необходимы ПРАВОВЫЕ основания, которые мы с вами пока не можем найти.

                                                    Комментарий


                                                    • #56
                                                      Сообщение от UserNick Посмотреть сообщение
                                                      а по хорошему на её базе необходимо сформировать свою форму документа.
                                                      а можно продолжать пользоваться Т-2 (о которой и шла речь изначально) и не усложнять себе жизнь поиском правовых обоснований.

                                                      Комментарий


                                                      • #57
                                                        Сообщение от UserNick Посмотреть сообщение
                                                        В тот момент когда готовилось разъяснение, Т-2 была документом, который ВСЕ БЫЛИ ОБЯЗАНЫ применять.
                                                        Но наступило 1 января 2013 г. и форма документа стала РЕКОМЕНДАТЕЛЬНОЙ. Т.е. её применение возможно на добровольный основе, а по хорошему на её базе необходимо сформировать свою форму документа. А при разработке новой формы для включения в неё тех или иных данных, необходимы ПРАВОВЫЕ основания, которые мы с вами пока не можем найти.
                                                        Поддержу коллегу.

                                                        В начале 2000х, когда Госкомстат начал наводить порядок в сборе статистики, были утверждены формы отчетности. Чтобы была возможность проверить достоверность предоставляемых отчетов, Госкомстат утвердил унифицированные формы первичных учетных документов, которые были обязаны вести все юридические лица, в том числе и форму Т-2. оответственно, эта обязанность и являлась основанием для обработки ПД в этих формах без согласия субъекта.

                                                        В 2012 Госкомстат осознал, что эти первичные учетные документы ему нафиг не сдались, и теперь требует предоставления только сводных статистических отчетов, так что основания для обязательного ведения первичных учетных документов исчезли. Поскольку государство не требует обязательного ведения этих документов, "исполнение законодательства" перестало быть целью обработки ПД. Если кадрам зачем-то нужно продолжать их вести, пусть сперва сам себе внятно скажет, на фига ему они сдались (сформулирует цель обработки), и озаботится получением согласия сотрудников на обработку этих ПД или поиском иных оснований для обработки этих ПД без согласия субъектов.

                                                        То, что там "не персональные данные родственникjd, а сведения о родственниках, да еще и не факт, что достоверные" за отмазку не катит. Там содержатся сведения о конкретных субъектах (о людях, идентифицированных, как минимум, их ФИО и связанных определенными родственными отношениями с определенными работниками), так что это персональные данные, и даже не обезличенные. А обязанность выполнять требования ФЗ никак не зависит от достоверности этих сведений - достаточно того, что оператор захотел и начал эти сведения обрабатывать

                                                        Комментарий


                                                        • #58
                                                          Сообщение от junglets Посмотреть сообщение
                                                          а можно продолжать пользоваться Т-2 (о которой и шла речь изначально) и не усложнять себе жизнь поиском правовых обоснований.
                                                          В этом предложении вторая часть никак не следует из первой.
                                                          Разумеется, можно продолжать пользоваться формой Т-2. Но для того, чтобы обрабатывать сведения, предусмотренной этлй формой, нужны основания, указанные в ФЗ

                                                          Комментарий


                                                          • #59
                                                            Сообщение от junglets Посмотреть сообщение
                                                            а можно продолжать пользоваться Т-2 (о которой и шла речь изначально) и не усложнять себе жизнь поиском правовых обоснований.
                                                            Если действовать с позиции страуса закопавшего голову в песок, то конечно можно.)
                                                            Но законных оснований обрабатывать персональные данные родственников и членов семьи мне не известно.
                                                            Да, есть древняя практика запрашивать автобиографии, анкеты и т.п., но ПРАВОВЫХ оснований для этого я пока не знаю.
                                                            Думаю, что сам механизм поверки работников пусть даже не через пиратские базы, а через официальные запросы, в отношении родственников и членов семьи не имеет ПРАВОВЫХ оснований. Вы ведь не берете на работу родственника, правильно?

                                                            Комментарий


                                                            • #60
                                                              теперь понятно) суть в правовом обосновании обработки таких ПДн, которое перестало действовать как только Т-2 перестали быть обязательными с т.з. закона.

                                                              Комментарий

                                                              Обработка...
                                                              X