2 июня, вторник 20:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • коллеги, интересная дискуссия,

    отмечу два момента:
    1) персданные защищаются не потому что они секретные (о режиме охраняемой законом тайны такой как тайна переписки, банковская тайна, медицинская тайна, тайна исповеди , тайна телефонных переговоров, тайна усыновления и т.п. речь не идёт), а потому что они потенциально или прямо касаются частной жизни гражданина, которую всуе поминать запрещено, только с разрешения носителя данных, поскольку его личность признаётся законом неприкосновенной,

    согласитесь, само по себе это намерение закона оч благое, оно лежит в основе признания интересов личности высшей ценностью государства,
    декларативно, но такова идея,

    2) управление правовым риском возложено только на правовое подразделение, поэтому и оценку этого риска должно провести оно,
    я пока что подразумеваю формальную сторону дела, в контексте порядка принятия решений и наступления ответственности за его реализацию,

    то, что "девочка-юрист ничего не знает" не меняет этот принцип,
    это проблема работодателя, если он нанимает некомпетентных работников,

    а специалист ИБ не должен пострадать в случае, когда предпринял все доступные в сложившейся ситуации меры осторожности, осмотрительности и разумности,

    принятие этих мер и доказывается той самой служебной запиской,
    важно письменно сигнализировать о проблеме работодателю, а не брать огонь на себя
    Последний раз редактировалось solus rex; 14.01.2020, 11:26.

    Комментарий


    • Сообщение от Cpx Посмотреть сообщение
      нашел решение суда "МОСКОВСКИЙ ГОРОДСКОЙ СУД АПЕЛЛЯЦИОННОЕ ОПРЕДЕЛЕНИЕ от 12 декабря 2016 г. по делу N 33-42101"
      Оценив собранные по делу доказательства, суд обосновано пришел к выводу об отказе в удовлетворении исковых требований, поскольку в нарушении ст. 56 ГПК РФ стороной истца не было представлено достоверных доказательств нарушения ответчиком положений Федерального закона "О персональных данных". Кроме того, судом верно было отмечено, что адрес электронной почты не относится к персональным данным, поскольку не позволяет идентифицировать субъект персональных данных, а является лишь средством передачи данных.
      определение не является документом, которым завершается рассмотрение дела по существу,
      решение - да, является,
      поэтому нужный нам прецедент возникает только из решения суда,

      кроме того, в этом определении суд доверчиво переписал в мотивировочную часть, обосновывающую отказ в удовлетворении апелляционной жалобы, не подтвержденный законом вывод о том, что функцией персданных является идентификация носителя (субъекта персональных данных),

      приведу пример с оформлением сделки без получения предварительного согласия лиц в случаях, предусмотренных законом: такая сделка может быть признана судом недействительной, поскольку совершена в ситуации игнорирования воли заинтересованного лица, несёт риск нарушения его имущественных прав,

      отсутствие согласия нарушает не режим тайны, а порядок распоряжения имуществом,

      отсутствие согласия на обработку персональных данных нарушает не режим тайны, а порядок распоряжения субъектом личными неимущественными правами (ст.150 ГК),
      это и есть нарушенный интерес, который можно защищать путем запрета обработки,

      красной нитью в обсуждении проходит мысль "мол, а чё такова", ну увидят адрес, телефон и т.п.,
      помнится, на семинаре Витрянского обсуждали порядок передачи в залог права аренды,
      для легальности сделки арендатор обязан письменно уведомить арендодателя,
      слушатели горячо интересуются, а чем чревато несоблюдение этого правила?
      Витрянский, слегка выходя из себя, восклицает: если есть требование уведомить, что мешает его выполнить?
      немая пауза

      ...

      я к тому, что непонимание цивилистической сущности и ценности нормы (предупреждение собственника о передаче прав на его имущество в залог; функция швейцара, который докладывает господину о нарушителе покоя) обусловлено нашим отечественным менталитетом

      Комментарий


      • Сообщение от solus rex Посмотреть сообщение
        согласитесь, само по себе это намерение закона оч благое, оно лежит в основе признания интересов личности высшей ценностью государства, декларативно, но такова идея,
        Отличная, мы двумя руками ЗА!

        Вопрос, возникает из не четкого толкования, а что такое ПДн?
        В первой редакции была идентификация, но ее убрали.
        Сейчас, это все, что угодно прямо или косвенно и по своему настроению РКН и Суд ее трактует в ту или иную пользу.
        Для гос органов создали свои условия обработки теж же ПДн с возможностью обезличивания (по методички) и есть специальное определение обезличенных Пдн, в которых проскакивает старая фраза "не позволяет идентифицировать без использования доп информации".
        Выходит у одних по гражданину Иванову - все данные = Пдн, а у Госов только часть. Где же тут тая самая идея демократии, равенства и ценности?
        Вот и коллеги переживают и не понимают (:

        На мой взгляд, нужно всеже определение ПДн доработать:
        1. вернуть категории Пдн (критичности).
        - Где критичные - все документы и св-ва (паспорта, права, биоемтрия и т.п.);
        - специальные - медицинские;
        - контактные (визитки, телефоны, адреса);
        - статусы - работы, должности и т.п.
        2. В какой-то форме вернуть признак идентификация субъекта путём использования его критичных или специальных данных и завязка их на единственные способы идентификации гражданина (паспорт или биометрия ЕБС), которая используется гос органами, нотариусами, банка ми пр..
        3 Сделать четкое понимание, кто идентифицирует и кто владеет ПДн (частью, всеми и доп информацией). А то выходит, что mail.ru владеет именем (псевдонимом), и е-майлом + оператор связи IP, паспортными данными, и адресом размещения оборудования + Банк ПДн по договору.
        И Варианты использования совокупности или в отдельности этих Пдн и не Пдн - море и в текущем виде, все они могут быть отнесены прямо или косвенно к субьекту, а могут и не отнесены. Главный вопрос кем отнесены (это 3 юр лица указанных Ваше, или это 4 юр лицо владеющие каким то составом данных, которое владеет одно из 3 юр лиц?).

        п.с. надеюсь донес сложную мысль

        Комментарий


        • Сообщение от Cpx Посмотреть сообщение
          Отличная, мы двумя руками ЗА!

          Вопрос, возникает из не четкого толкования, а что такое ПДн?


          п.с. надеюсь донес сложную мысль
          чуть позже составлю ответ по существу


          ...

          ранее приведённую аргументацию дополню следующим штрихом: обработка без согласия - это правонарушение с формальным составом, факт нарушения которой состоит уже в том, что обработка совершается без согласия,

          в отличие от норм с материальным составом, когда условием квалификации деяния в качестве правонарушения является наступление неблагоприятных для потерпевшего последствий в виде вреда, убытков и т.п. результатов (это к вопросу о том, что будет, если персданные внезапно станут известны третьи лицам)

          ))

          Комментарий


          • Сообщение от solus rex Посмотреть сообщение
            обработка без согласия - это правонарушение с формальным составом
            Тут думаю все поддерживают. Мало кто любит получать спам звонки, рассылки, рекламные предложения.
            Молчу, про темных господ, которые занимаются темными не законными вещями.

            Комментарий


            • Мне кажется основная проблема в том, что данные и причинный ущерб в РФ стоит меньше 25тр.
              Да и штрафы по КОАП не большие, даже с учетом обновления на счет БД за границей:
              http://cs.groteck.ru/IB_6_2019/19/index.html#zoom=z
              и про утечки
              http://cs.groteck.ru/IB_6_2019/28/index.html#zoom=z

              Комментарий


              • Сообщение от solus rex Посмотреть сообщение
                определение не является документом, которым завершается рассмотрение дела по существу,
                решение - да, является,
                поэтому нужный нам прецедент возникает только из решения суда,
                Немного дополню

                ГПК РФ, статья 194. Принятие решения суда
                1. Постановление суда первой инстанции, которым дело разрешается по существу, принимается именем Российской Федерации в форме
                решения суда

                Статья 329. Постановление суда апелляционной инстанции
                1. Постановление суда апелляционной инстанции выносится в форме апелляционного определения


                Таким образом, итоговым документом апелляционной инстанции является определение, так уж повелось
                посему, ссылка Срх на Апелляционное определение Московского городского суда - это нормально

                Комментарий


                • Сообщение от Степанов В.В. Посмотреть сообщение
                  итоговым документом апелляционной инстанции является определение
                  да, так и есть,
                  перемкнуло немного ))


                  ...

                  что не меняет сущности моего довода о том, что охрана персданных необоснованно ставится судом в зависимость от того, возможна ли с их помощью идентификация субъекта

                  Комментарий


                  • Сообщение от solus rex Посмотреть сообщение
                    что не меняет сущности моего довода о том, что охрана персданных необоснованно ставится судом в зависимость от того, возможна ли с их помощью идентификация субъекта
                    Ваша позиция понятна
                    Согласен. Ссылку, данную Срх, необходимо рассмотреть чуть шире, иначе это будет фраза, вырванная из контекста
                    С чего она начинается: Оценив собранные по делу доказательства, суд обосновано пришел к выводу, т.е рассматривались конкретные требования и конкретные доказательства
                    Это в полномочиях ВС есть право рассматривать проблему со всех сторон, прежде чем сделать обобщения и выдать некие конкретные направляющие
                    А апелляционная инстанция действует в весьма узком коридоре, ограниченном статьёй 327.1, посему к выводам апелляционного суда следует подходить весьма осторожно

                    Комментарий


                    • Небольшая победа.
                      РКН не стал оспаривать мои доводы, что отдельно взятый электронный адрес это не ПДн.
                      Истек срок привлечения за административку.

                      Комментарий


                      • Коллеги, такой вопрос.
                        При подачи юриком документов на открытие счета, он передает нас ПДн третих лиц (бенефицара, главбуха, еще может кого).
                        Надо-ли брать и у них согласия на обработку?
                        И как их брать, если первичные сканы доков подаются удаленно?

                        У физиков мне понятно. С помощью ПЭП из СМС и афертой мы это согласия получим.
                        А вот как получить согласия от сотрудников организации, чьи данные подает скажем юрист или директор фирмы?

                        Комментарий


                        • dnebyshe

                          как получить согласия от сотрудников организации, чьи данные подает скажем юрист или директор фирмы?
                          согласие не требуется,
                          ибо оператор (кредитная организация) обрабатывает эти сведения в связи с исполнением своих функций:

                          2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

                          Комментарий


                          • Сообщение от solus rex Посмотреть сообщение
                            согласие не требуется,
                            даже если это не клиент банка, а просто директор левой фирмы, который только намеревается открыть у нас счет и прикрепляет к форме заявке сканы паспорта своего и главбуха?

                            Комментарий


                            • Сообщение от dnebyshe Посмотреть сообщение
                              даже если это не клиент банка, а просто директор левой фирмы, который только намеревается открыть у нас счет и прикрепляет к форме заявке сканы паспорта своего и главбуха?
                              Сообщение от 152-ФЗ
                              Статья 6. Условия обработки персональных данных

                              1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
                              1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
                              ...
                              5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
                              Это разные основания для обработки.

                              Вы получаете ПДн для обработки в соответствии с п. 5)
                              Если клиент юр.лицо или ИП, не взял со своих работников согласие на передачу вам для обработки ПДн своих работников , то это его проблемы.

                              Комментарий


                              • UserNick

                                субъект персональных данных - только физ лицо

                                Комментарий


                                • Сообщение от solus rex Посмотреть сообщение
                                  субъект персональных данных - только физ лицо
                                  Мышкой двигал и кнопочки кто нажимал? Субъект. При этом он еще был и представителем юр.лица или ИП.

                                  Комментарий


                                  • Сообщение от UserNick Посмотреть сообщение
                                    Мышкой двигал и кнопочки кто нажимал? Субъект. При этом он еще был и представителем юр.лица или ИП.
                                    речь о том, что инициатива субъекта персональных данных при заключении договора с юридическим лицом в формальном смысле отсутствует,

                                    поэтому нет оснований для вывода о том, что
                                    Вы получаете ПДн для обработки в соответствии с п. 5)
                                    ​​​​​​

                                    Комментарий


                                    • Сообщение от solus rex Посмотреть сообщение
                                      поэтому нет оснований для вывода о том, что​​​​​​
                                      Да, согласен. По юр.лицам и ИП Вы правы. ПДн их представителей обрабатываются для выполнения возложенных на банк обязанностей.

                                      Комментарий


                                      • Сообщение от UserNick Посмотреть сообщение
                                        ПДн их представителей
                                        ПДн работников контрагента оператора


                                        ​​​​​

                                        Комментарий


                                        • Сообщение от dnebyshe Посмотреть сообщение

                                          даже если это не клиент банка, а просто директор левой фирмы, который только намеревается открыть у нас счет и прикрепляет к форме заявке сканы паспорта своего и главбуха?
                                          этот "просто директор левой фирмы" является оферентом оператора (кредитной организации), поэтому приведенное основание подходит к обсуждаемому случаю как нельзя лучше,

                                          оферта - предложение заключить ДБС,
                                          акцепт - заключение ДБС

                                          Комментарий


                                          • Сообщение от UserNick Посмотреть сообщение
                                            ПДн их представителей обрабатываются для выполнения возложенных на банк обязанностей.
                                            Сообщение от solus rex Посмотреть сообщение
                                            ПДн работников контрагента оператора​​
                                            С "работниками" в общем случае не согласен. Думаю, что мы оба не совсем правы, а предмет уточнений лежит за рамками заданного вопроса.
                                            Предлагаю более точную и удобную для восприятия формулировку "Лиц связанных с юр. лицом или ИП, ПДн которых банк обязан обрабатывать для подтверждения их полномочий по распоряжению ДС или для исполнения возложенных на банк обязанностей".

                                            Комментарий


                                            • Сообщение от UserNick Посмотреть сообщение

                                              С "работниками" в общем случае не согласен. Думаю, что мы оба не совсем правы, а предмет уточнений лежит за рамками заданного вопроса.
                                              Предлагаю более точную и удобную для восприятия формулировку "Лиц связанных с юр. лицом или ИП, ПДн которых банк обязан обрабатывать для подтверждения их полномочий по распоряжению ДС или для исполнения возложенных на банк обязанностей".

                                              UserNick

                                              поддерживаю,
                                              категорически,

                                              ибо не всегда эти лица состоят с клиентом в трудовых правоотношениях,
                                              а для того, чтобы квалифицировать их в качестве представителя, нужны особые условия - договор поручения, доверенность,
                                              кроме того, факт наличия у этих лиц доверенности никак не связан с процедурой передачи оператору персональных данных этих лиц

                                              Комментарий


                                              • В таких случаях почти всегда делается доверенность на представителя огранизации, которая передаётся в банк. Порядок использвания доверенности опредёл ст. 185 ГК.
                                                На мой взгляд можно сказать, что банк обрабатывает ПДн представителя клиента в рамках федерального законодательства - ГК. Равно как и клиент, когда наделяет своего работника такими полномочиями.

                                                Комментарий


                                                • Сообщение от Berckut Посмотреть сообщение
                                                  клиент, когда наделяет своего работника такими полномочиями.
                                                  а содержание полномочия какое?

                                                  Комментарий


                                                  • Господа теоретики, так мне на сайте нужно делать подтверждение при помощи ПЭП согласия на обработку ПДН или нет?
                                                    Я про юриков, где руководитель отправляет сканы доков и паспортов некоторых сотрудников для рассмотрения возможности открытия счета. (потом к нему отправим менеджера за подписанием доков).

                                                    Комментарий


                                                    • Сообщение от dnebyshe Посмотреть сообщение
                                                      Господа теоретики, так мне на сайте нужно делать подтверждение при помощи ПЭП согласия на обработку ПДН или нет?
                                                      Я про юриков, где руководитель отправляет сканы доков и паспортов некоторых сотрудников для рассмотрения возможности открытия счета. (потом к нему отправим менеджера за подписанием доков).
                                                      не нужно

                                                      Комментарий

                                                      500 Портал временно недоступен

                                                      Портал временно недоступен

                                                      Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                      Обновите страницу спустя некоторое время.

                                                      Агенство Bankir.Ru приносит извинения пользователям
                                                      за доставленные неудобства
                                                      Обработка...
                                                      X