16 июля, четверг 02:25
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • solus rex
    Участник ответил
    коллеги, интересная дискуссия,

    отмечу два момента:
    1) персданные защищаются не потому что они секретные (о режиме охраняемой законом тайны такой как тайна переписки, банковская тайна, медицинская тайна, тайна исповеди , тайна телефонных переговоров, тайна усыновления и т.п. речь не идёт), а потому что они потенциально или прямо касаются частной жизни гражданина, которую всуе поминать запрещено, только с разрешения носителя данных, поскольку его личность признаётся законом неприкосновенной,

    согласитесь, само по себе это намерение закона оч благое, оно лежит в основе признания интересов личности высшей ценностью государства,
    декларативно, но такова идея,

    2) управление правовым риском возложено только на правовое подразделение, поэтому и оценку этого риска должно провести оно,
    я пока что подразумеваю формальную сторону дела, в контексте порядка принятия решений и наступления ответственности за его реализацию,

    то, что "девочка-юрист ничего не знает" не меняет этот принцип,
    это проблема работодателя, если он нанимает некомпетентных работников,

    а специалист ИБ не должен пострадать в случае, когда предпринял все доступные в сложившейся ситуации меры осторожности, осмотрительности и разумности,

    принятие этих мер и доказывается той самой служебной запиской,
    важно письменно сигнализировать о проблеме работодателю, а не брать огонь на себя
    Последний раз редактировалось solus rex; 14.01.2020, 11:26.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    А какое это имеет значение, кто конкретно выходил в интернет? Тот кто мой IP-адрес регистрирует и какие-то ещё мои данные, может меня потом идентифицировать, также и с куками (никто же не знает кто конкретно за компом сидит).
    Прямое, а может не идентифицировать, а может другого человека. Мы же не в казино играем с теорией вероятности и мат ожидания?
    Сообщение от Zuz Посмотреть сообщение
    Ну, а что делать, если регулятор к этому ведёт?
    до такого маразма не доходит пока и это хорошо. На Европу мне пофиг.
    Сообщение от Zuz Посмотреть сообщение
    Как-то странно от вас слышать, если e-mail ПДн, то чем адрес почтовый не ПДн?
    Да, т.к. данные всегда рассматриваются в совокупности, отдельно это не Пдн! Адрес не является Пдн, это адрес обьекта недвижимости, который имеет кадастровый номер. Вот адрес прописки может быть.

    Обещал найти про адрес, нашел про адрес электронной почты - нашел решение суда "МОСКОВСКИЙ ГОРОДСКОЙ СУД АПЕЛЛЯЦИОННОЕ ОПРЕДЕЛЕНИЕ от 12 декабря 2016 г. по делу N 33-42101"
    Оценив собранные по делу доказательства, суд обосновано пришел к выводу об отказе в удовлетворении исковых требований, поскольку в нарушении ст. 56 ГПК РФ стороной истца не было представлено достоверных доказательств нарушения ответчиком положений Федерального закона "О персональных данных". Кроме того, судом верно было отмечено, что адрес электронной почты не относится к персональным данным, поскольку не позволяет идентифицировать субъект персональных данных, а является лишь средством передачи данных.

    Сообщение от Zuz Посмотреть сообщение
    Серия и номер? Почему?
    Есть решение суда, хоть и номер является номером учета бланка документа.
    Вам шашачки или ехать? Если шашачки - можете копаться и искать соотв решение судов, писать письма в РКН.

    Сообщение от Zuz Посмотреть сообщение
    , т.е. информация которая относится к вашему документу, по которой некоторые органы могут вас идентифицировать?
    надеюсь Вы над этим задумалась и поняли, что даже в паспорте не все однозначно, не говоря про более тонкие материи емайл, ip

    Сообщение от Zuz Посмотреть сообщение
    Нет, я просто готовлюсь к плановой проверке, и у нас параноя.
    Стоит успокоиться, и начать с бизнес процессов и законности обработки, третьих лиц, сайта и его политики, хранение.
    В такие дерби проверка врядли будет заходить.
    Если не уверены в своих силах, могу посоветовать людей с гарантией результата(:

    Сообщение от Zuz Посмотреть сообщение
    Это очевидно, как почти любая другая информация о субъекте ПДн.
    Не очевидно, и в банковских процессах она чаще обрабатывается с основной информацией.




    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    не может! Он привязан к лицу с кем заключен договор, а не к пользователи интернет (жена, сын. сосед)!
    А какое это имеет значение, кто конкретно выходил в интернет? Тот кто мой IP-адрес регистрирует и какие-то ещё мои данные, может меня потом идентифицировать, также и с куками (никто же не знает кто конкретно за компом сидит).

    Сообщение от Cpx Посмотреть сообщение
    Вы еще скажите, что номер машины, яхты, самолета, ТВ, джойстика, телефона, унитаза - тоже Ваши Пдн? Зачем до абсурда доходить?
    Ну, а что делать, если регулятор к этому ведёт? И в европе тоже самое. Почитайте.

    Сообщение от Cpx Посмотреть сообщение
    Также и адрес - адрес это номер квартиры, Вашей прописки - т.е. не уникальные данные, это место проживания или/и собственности или/и регистрации*. *
    Вот для меня это чувствительные данные, они более чем уникальны, точно меня идентифицируют (это как минимум, обезличенные ПДн в рамках изменений в закон о ПДн).
    Как-то странно от вас слышать, если e-mail ПДн, то чем адрес почтовый не ПДн?

    Сообщение от Cpx Посмотреть сообщение
    Данные паспорта бесспорно ПДн.
    Что именно? Серия и номер? Почему? Дата выдачи? Код подразделения выдавшего? Что именно тут ПДн, если не считать, только что всё это связано с вашим паспортом, т.е. информация которая относится к вашему документу, по которой некоторые органы могут вас идентифицировать?

    Сообщение от Cpx Посмотреть сообщение
    Но Вы сейчас их пытаетесь переплюнуть. ))
    Нет, я просто готовлюсь к плановой проверке, и у нас параноя.

    Сообщение от Cpx Посмотреть сообщение
    - сам по себе адрес не является ПДн, если адрес обрабатывается с связкой ПДн - то он им станет.
    Это очевидно, как почти любая другая информация о субъекте ПДн.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Кстати, не факт, что так однозначно
    Слишком старый суд - 2010год. позиция регулятора резко изменилась в 2014году.
    Все теперь рассматривается из конкретного бизнес процесса и состава данных, о чем коллеги забывают. Поэтому помочь коллеги мы не можем, т.к. не обладаем всей инфой.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    ....* Данные паспорта бесспорно ПДн.
    Кстати, не факт, что так однозначно - https://personal-data.livejournal.com/175682.html
    И может, вот это заинтересует - https://habr.com/ru/company/zarlaw/blog/299176/

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Может Вы что подскажите?
    Попробую поискать у себя.
    Статьи по теме (со ссылками на суды):
    https://bryanskinfo.ru/2019/11/16/otnositsja-li-adres-k-personalnym-dannym/
    https://www.garant.ru/news/1294310/
    https://habr.com/ru/post/327892/

    https://yuridicheskaya-konsultaciya.ru/trudovoe_pravo/personalnye-dannye.html
    https://habr.com/ru/company/zarlaw/blog/299176/

    На счет адреса - сам по себе адрес не является ПДн, если адрес обрабатывается с связкой ПДн - то он им станет. решение суда поищу, и там была связь с Фз о почте...
    Последний раз редактировалось Cpx; 13.01.2020, 11:26.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    По IP вообще оператор связи меня может идентифицировать
    не может! Он привязан к лицу с кем заключен договор, а не к пользователи интернет (жена, сын. сосед)!
    К Вашим Пдн он как относится - я не понимаю?
    Вы еще скажите, что номер машины, яхты, самолета, ТВ, джойстика, телефона, унитаза - тоже Ваши Пдн? Зачем до абсурда доходить?
    Также и адрес - адрес это номер квартиры, Вашей прописки - т.е. не уникальные данные, это место проживания или/и собственности или/и регистрации*. * Данные паспорта бесспорно ПДн.

    п.с. я не пойму, куда Вы клоните и в чем задача? Я тут больше всех выступаю за позицию "РКН" и объясняю ее и местами они сильно нагибают. Но Вы сейчас их пытаетесь переплюнуть. ))

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Даже полный адрес не вялятся ПДн, ищите решение суда. Вы не туда ушли... ))
    Ищу, но пока без результативно.
    Может Вы что подскажите?

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    У нас та же фигня.
    В точку. Когда-то давно ответсвенного за организацию обработки + защиту назначили ИБ, потому как никто ПДн в всерьез не воспринимал.
    Теперь сложно убедить что организация обработки и защита это разные вещи.
    + самому интересна практика по боданию с РКН.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Вы почему не подключи своих юристов? Пусть работают это их вопросы, а не вопросы ИБ.
    У нас та же фигня.
    Во-первых, руководство разучилось читать и даже если его ткнуть носом в название закона, то оно всё равно видит там надпись "Закон о защите персональных данных". Я уже лет пять пытаюсь с этим бороться, но толку ноль.
    Во-вторых, так как когда-то именно ИБ первыми начало поднимать эти вопросы, то они и стали крайними. А передать повешенный на тебя функционал обычно невозможно. Что-то изменится только тогда, когда он уволится. И то, не факт.
    В третьих, скорее всего он тоже ответственный за обработку ПДн (да, я знаю, что это противоречит закону) и потому это именно его проблемы, а не юристов.
    Последний раз редактировалось Berckut; 13.01.2020, 04:39.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Даже полный адрес не вялятся ПДн, ищите решение суда. Вы не туда ушли... ))
    Является, я дал вам определение из закона. Определения суда могли уже устареть (закон и правоприменительная практика меняются). Адрес моего пребывания и регистрации по паспорту, адрес куда я хожу на стрижку, адреса магазинов, которые я посещаю, всё это мои ПДн, если вдруг кто-то их надумает обрабатывать.

    Сообщение от Cpx Посмотреть сообщение
    IP не Ваш, а оператора связи и вы противоречите описанному Вами выше(:
    В чём именно противоречие? Не важно чей IP, важно, что ПДн — это любая информация, которая ко мне как-то относится. Это не только информация конкретно обо мне, характеризующая меня (типа национальности или диагноза у врача), это что угодно может быть, к примеру, какие товары я покупаю в магазине (а магазин связывает эту информацию со мной, как клиентом участником программы лояльности).

    Посмотрите на эволюцию определения ПДн в 152-ФЗ (в новой дефиниции добавлен подчеркнутый текст и удалён выделенный серым шрифтом):
    Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

    Если информация позволяет меня определить, то это безусловно ПДн (а статический IP-адрес вполне меня определяет, как минимум на уровне оператора связи), если же в совокупности с такой информацией есть ещё информация, которая меня прямо не определяет, но каким-то образом относится ко мне (есть связь между данной информацией и мной как субъектом ПДн), то это тоже ПДн.

    Сообщение от Cpx Посмотреть сообщение
    в рамках которых они обязаны собирать и записывать технические данные. + СОРМ от ФСБ.
    В теории обработка всегда должна осуществляется в рамках согласия.
    Посмотрите как менялась статья 6 152-ФЗ:
    Было:
    1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
    2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
    Стало:
    1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
    Исключения ушли из закона в части согласия. Согласие в той или иной форме формально давать необходимо всегда.
    Конструкция статьи 6 теперь такова, что нужно выполнять принципы, а первый из них требует согласия субъекта ПДн:
    1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
    Исключений текущая конструкция статьи 6 не даёт, кроме отдельных пунктов типа:
    6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
    В статье 9 152-ФЗ дано определение, когда можно продолжать обработку без согласия:
    2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
    Но конструкция этой статьи такова, что она косвенно указывает на необходимость согласия для всех случаев статьи 6.

    Сообщение от Cpx Посмотреть сообщение
    Как "Ваш" IP и данные УЗ - относятся к Вам или к Пдн?
    Ровно так же, как и e-mail адрес, не находите? )))
    По IP вообще оператор связи меня может идентифицировать, по учётной записи, если профиль корректно заполнен, то тоже без проблем, это уже формальный признак ПДн.
    Последний раз редактировалось Zuz; 11.01.2020, 12:50.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Адрес аналогично
    Даже полный адрес не вялятся ПДн, ищите решение суда. Вы не туда ушли... ))
    Сообщение от Zuz Посмотреть сообщение
    Ни разу не давал на что-то такое никому согласия
    IP не Ваш, а оператора связи и вы противоречите описанному Вами выше(:
    Давали, помимо 152Фз, у Оператора связи есть свои ФЗ, в рамках которых они обязаны собирать и записывать технические данные. + СОРМ от ФСБ.
    Как "Ваш" IP и данные УЗ - относятся к Вам или к Пдн?


    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    100%. На работе никто не знает, что я делаю и чем занимаюсь, но все понимают, что это необходимо.
    Сообщение от ndebyshe Посмотреть сообщение
    Это девочка юрист в соседнем кабинете, и она будет в шоке от моего вопроса.
    Тем самым - Вы сами разводите балаган и хаос, вы же в банке работаете, а не на базаре разнорабочим. У каждого работника д.б. ДИ, в ней все обязанности и за них Вам платят ЗП. У любой девочки есть Руководитель, а руководителя свой. Вы сейчас хуже делаете работодателю и себе...
    Т.е. делать чужую работу готовы, а выстроить нормально процессы и ответственность не готовы? Вы так никогда не вырастите из текущей должности и болота.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Если идти Вашей логике - Оператор Вашего телефона тоже Ваши Пдн? Далее РФ, Москва, район, улица, дом - тоже Пдн?
    Конечно! ))) Если у вас есть база данных, где я идентифицирован как субъект и есть явная связь, где содержится всё вышесказанное, это ни что иное как мои ПДн.
    Но вот, если вы по коду случайного номера определили по справочнику какой этот номер оператор обслуживает, то это обезличенные ПДн.
    персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    Тот же оператор сотовой связи может меня характеризовать и иметь для кого-то значение при принятии решений.

    Адрес аналогично. А я могу не хотеть, чтобы все знали мой адрес. Это как пример, письмо по бумажной почте написали, но в адресатах указали ещё десяток лиц (к примеру, не на самом конверте, а внутри письма). По идее и тут РКН должен бить тревогу! )))

    Сообщение от Cpx Посмотреть сообщение
    иначе это не законная обработка
    Ну зашёл я на сайт (пусть этот форум) он в логи записал мой IP, а если это ещё с аутентификацией произошло, то ещё этот IP связал с моей учётной записью на ресурсе.
    Ни разу не давал на что-то такое никому согласия (хотя это в рамках закона может осуществляется, я не погружался, что там распространители информации обязаны сейчас регистрировать и можно ли это без согласия делать).

    Сообщение от Cpx Посмотреть сообщение
    Нет, если не докажете, что забор общедоступный источник и вы обрабатываете общедоступные данные.
    Очевидно, что я исключил законные способы обработки, если есть общедоступный источник, то там уже есть согласие.

    Сообщение от Cpx Посмотреть сообщение
    Если да, то к нему потом придет РКН с получение согласий, что данные на этом законе получен законно от самих субъектов. В противном случае закрою забор.
    Как ёмко вся суть РНК тут изложена. )))

    Сообщение от Cpx Посмотреть сообщение
    бигдата по каждому субъекту с привязкой к мобильному телефону
    Смотря какая бигдата, вообще если говорите про "профиль" - это явные ПДн, без вариантов, но они весьма условно обезличены.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Как я понимаю субъекты ПДн к вам не обращались
    Не, не обращались, знаю только их ФИО из письма РКН, но это не клиенты и возможности связаться с ними нет.

    Сообщение от Zuz Посмотреть сообщение
    Потому как ИБ - это служба по непонятным вопросам
    100%. На работе никто не знает, что я делаю и чем занимаюсь, но все понимают, что это необходимо.
    Сообщение от solus rex Посмотреть сообщение
    достаточно направить служебную записку в правовое подразделение банка
    Это девочка юрист в соседнем кабинете, и она будет в шоке от моего вопроса.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Потому как ИБ - это служба по непонятным вопросам.
    Вот и не понятно, ту ли специальность выбрал.... за 13 лет ничего не поменялось -(
    А потом умные люди на своих блогах рассуждает, что должен знать и уметь специалист ИБ или аналитик SOC))
    Где их искать, почему их не учат и сколько они должны стоять...

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    IP-адрес у меня статический, и он связан со мной как субъектом ПДн
    Не согласен, но РКН и в эту степь пытается идти ))
    IP адрес с Вами не связан ибо это товар/услуга которую Вы купили. Если идти Вашей логике - Оператор Вашего телефона тоже Ваши Пдн? Далее РФ, Москва, район, улица, дом - тоже Пдн?
    Сообщение от Zuz Посмотреть сообщение
    Кто-то взял с меня согласие на обработку (а обрабатывают его постоянно)?
    На что? Постоянно не может обрабатывать, либо цели в договоре, либо короткий срок в согласии согласия. Срок 10 лет тоже зарубает РКН ):
    Кто-то тоже не может, этот кто-то Вам известен (указан в договоре или согласии) иначе это не законная обработка. Также как и конкретный и конечный состав данных.

    Сообщение от Zuz Посмотреть сообщение
    Похоже, что даже разглядывание надписи на заборе тоже обработка
    Нет, если не докажете, что забор общедоступный источник и вы обрабатываете общедоступные данные. Т.е. найти владельца забора и получить у него ответ, забор общедоступный источник или нет. Если да, то к нему потом придет РКН с получение согласий, что данные на этом законе получен законно от самих субъектов. В противном случае закрою забор.
    Если нет, можете договор заключить на получение таких данных, доказывать придётся владельцу забора. Немного смежный кейс от операторов связи - бигдата по каждому субъекту с привязкой к мобильному телефону. Для составления профиля клиента банка и таргетирование условия и анализ рисков.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Жалоба от гражданина А, Б и В, что они увидел чужие адреса, и значит их адрес увидят тож
    Вот это надуманная причина (что кто-то увидел чужой e-mail адрес и всё пропало), нет в законе явно ничего про это, цель звучит вот так:
    Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
    Права и свободы субъектов ПДн направление электронного групового письма (без учёта 15 статьи 152-ФЗ) никак не нарушает.
    А вот то, что было направлено письмо, возмоджно, рекламного характера, уже права нарушает, вот есть статья по теме (основной вывод: не имеешь согласия на рассылку не направляй).

    Сообщение от ndebyshe Посмотреть сообщение
    он хочет от вас ... основания обработки
    Тут, КМК, нужно стоять до конца, ПДн конкретных лиц не обрабатывали, т.к. e-mail адреса не связаны с конкретными субъектами и являются обезличенными персональными данными. Поэтому и основания для обработки таких данных не требуется.

    У РКН вопрос должен быть вот по этой норме:
    Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
    1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

    Но тут аналогично, обработку не вели, т.к. обезличенные данные.

    Как я понимаю субъекты ПДн к вам не обращались, правами из главы 3 152-ФЗ не воспользовались (к примеру, п. 2 статьи 15), сразу написали жалобу (согласно п. 1 статьи 17).
    КМК, единственный верный тут вариант отвечать, что не ведёте обработку ПДн указанных лиц. С требованиям по уточнению и прекращению обработки кто-либо из субъектов не обращался.

    Сообщение от solus rex Посмотреть сообщение
    дополню: или обрабатываются на законном основании
    Если бы мы знали такое основание в контесте той проблемы, что обсуждаем, то ndebyshe всех бы уже благодарил, поэтому я это опустил, т.к. иначе бы вопроса не было. )

    Сообщение от solus rex Посмотреть сообщение
    срисовывание без согласия - это обработка без согласия
    А ведь формально это так.

    К примеру, IP-адрес у меня статический, и он связан со мной как субъектом ПДн (в договоре, прописан, меня даже идентифицировать в Интернете можно по нему).
    Кто-то взял с меня согласие на обработку (а обрабатывают его постоянно)?
    Вот по этому закон далеко несовершенен, нюансы не продуманы, каждую секунду, что-то формально являющееся моими ПДн кто-то обрабатывает, а про согласие даже и не думал спрашивать.

    Похоже, что даже разглядывание надписи на заборе тоже обработка (если вы такое разглядывание не для личных нужд осуществляете). Тут есть тонкая грань: такая обработка (случайная, без явного волеизъявления и каких-то конкретных целей), но без согласия тоже нарушение? )))

    Сообщение от Cpx Посмотреть сообщение
    Вы почему не подключи своих юристов?
    Потому как ИБ - это служба по непонятным вопросам.

    Сообщение от ndebyshe Посмотреть сообщение
    Похоже, что они в этом не сильны.
    Но могут обратится за консультацией к экспертам. Коллеги правы, нам тут в качестве разминки для ума и правоприменительной практики интересно, а у вас реальный регуляторный риск.

    Прокомментировать:


  • solus rex
    Участник ответил
    Cpx

    да, вы правы: коллега ndebyshe может инициировать правовую защиту своего работодателя уже сейчас, не дожидаясь постановления о правонарушении,

    достаточно направить служебную записку в правовое подразделение банка с требованием дать оценку рискам в складывающейся ситуации с обработкой "контрафактных" сведений и предложить эффективные меры защиты,

    целесообразно направить второй экземпляр самому работодателю (лицу, курирующему работу правового подразделения)

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Похоже, что они в этом не сильны.
    т.е. а Вы как ИТ/ИБ специалист сильны в Юр вопросах? ) Без обид (:
    Вы молодец, что за дело переживаете, но это их работа (риски, иски, взаимодействие с РКН, ответы).
    Вы и так самостоятельно прошли проверку ЦБ на отлично.

    Не знают, умеют - пусть привлекают тех кто знает и умеет, гарантирует результат. Если интересно, могу помочь (посоветую людей).

    Во всех проверках, в которых я помогал банкам проходить - всегда участвовали лица:
    - ИТ;
    - Бизнес;
    - Юристы;
    - ИБ.
    бывали, случаи когда бизнес не хотел вносить изменения в процесс и готов был платить штрафы (:

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Вы почему не подключи своих юристов
    Похоже, что они в этом не сильны.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    .....Вы почему не подключи своих юристов? Пусть работают это их вопросы, а не вопросы ИБ...
    Полностью согласен, тем более, с учетом того, что РКН подаст в суд (если не успокоится) и, с учетом этой перспективы, чем раньше в тематику погрузятся юристы, тем лучше.
    И, вообще, лучше всё, что не связано с технической стороной вопроса защиты ПДн и первичным разбором инцидентов, постараться передать юристам.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    А как можно получить обезличенный адрес на законных основаниях? Если я получу согласие человека, то я уже значить его как-то идентифицировал.
    Элементарно, по поручение на организацию рассылке, банк поручает третьему лицо с передачей БД. При этом БД должна быть получена законно (свои клиенты с согласием). * на это РКН не однозначно смотрит.
    Вы себе противоречите! Вы определитесь для себя, емейл это Пдн, обезлич ПДн, вообще не Пдн. Без привязки к каким либо условиям.
    Сообщение от ndebyshe Посмотреть сообщение
    Можно-ли законно собирать адреса, скажем в интернете или с визиток или с забора срисовывать?
    Собирать можно визитки, которые Вам дали. Далее организовывать спам и рекламную рассылку у Вас нет права.
    Обрабатывать информацию с общедоступных источников, но при этом вы д.б. доказать, что получили его с такого источника.

    Вы почему не подключи своих юристов? Пусть работают это их вопросы, а не вопросы ИБ.

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Разве срисовать адрес с забора и записать его в блокнот это нарушение ФЗ?
    срисовывание без согласия - это обработка без согласия

    Прокомментировать:


  • ndebyshe
    Участник ответил
    А как можно получить обезличенный адрес на законных основаниях? Если я получу согласие человека, то я уже значить его как-то идентифицировал.
    Можно-ли законно собирать адреса, скажем в интернете или с визиток или с забора срисовывать?
    Разве срисовать адрес с забора и записать его в блокнот это нарушение ФЗ?

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение

    Честно говоря я не вижу запрета в направлении подобной рассылки в 152-ФЗ, если ПДн обезличены (у банка только e-mail адреса) и получены они на законном основании.
    дополню: или обрабатываются на законном основании

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    и получены они на законном основании.
    ndebyshe Как я понимаю - получены не легально. РКН прав, директор им не указ у них только ФЗ и судебная практика. Также как их разъяснения из РГ от 2014-2025 года.

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Частная жизнь от того, что кто-то увидел ещё, что его адрес pushistiy_zayac@mail.ru из иных адресатов такого письма, никак не пострадает.

    не спорю ))
    частная жизнь лица не пострадает,
    хотя рефлексия по этому поводу предметом регулирования 152-фз не является

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    А РКН как-то свою позицию аргументируют? Что конкретно нарушено?
    РКН (писменно нам) Жалоба от гражданина А, Б и В, что они увидел чужие адреса, и значит их адрес увидят тоже. Предоставьте основание обработки ПДн (адресов).
    МЫ (письменно в ответ РКН) - "Не обрабатываем ПДн граждан А, Б и В", "возможно" была рассылка, но адреса обезличены.
    РКН (в телефонном режиме мне) - даже e-mail, написанный на заборе ПДн.
    Я (по телефону сотруднику РКН) - ваш директор сказал, что отдельно e-mail это не ПДн. Дал им ссылку на статью РКн.
    РКН (по телефону мне) - наш директор нам не указ, у меня свой начальник, он хочет от вас или основания обработки или покайтесь и мы вас "вздрючим".
    Я (по телефону РКН) - мы вам письменно ответили, что не обрабатывает ПДн, указанных в запросе субъектов, они не наши клиенты, знать их не знаем.
    РКН (по телефону мне) - мы будем принимать меры, и повесили трубку.


    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Никто не знает кому принадлежат ящики.
    Тогда это не ПДн (в терминах текущего 152-ФЗ) и обезличенные ПДн (в терминах проекта).

    Сообщение от Cpx Посмотреть сообщение
    Это точка зрения РКН и в ходе проверок успешно нагибает своих проверяющих.
    Это вполне вероятно, но я к тому, что данный момент не очевидный, как вы его преподнесли.

    Сообщение от solus rex Посмотреть сообщение
    квалифицирующий признак персональных данных - фактическая соотносимость сведений с определяемой с их помощью персоной (прямо или косвенно),
    Верно, но в рассматриваемом случае есть список e-mail без привязки к кому-либо. Частная жизнь от того, что кто-то увидел ещё, что его адрес pushistiy_zayac@mail.ru из иных адресатов такого письма, никак не пострадает.

    КМК вопрос у РКН не в том, что направлено такое письмо, а в том откуда такие данные получены (e-mail) и соответствует ли это требованиям закона, да, вот эта мысль:
    Сообщение от ndebyshe Посмотреть сообщение
    Мне необходимо дать ответ РКН, на каком основании у меня туева хуча обезличенных e-mail адресов (где я их взял) и я шлю им безадресное предложения банка да еще и групповой рассылкой.
    Честно говоря я не вижу запрета в направлении подобной рассылки в 152-ФЗ, если ПДн обезличены (у банка только e-mail адреса) и получены они на законном основании.
    А РКН как-то свою позицию аргументируют? Что конкретно нарушено?

    Прокомментировать:

Обработка...
X