6 июля, понедельник 11:38
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #61
    Добрый день. Появился ещё один вопрос, как в коммерческих организациях обрабатывают информацию о судимости работников? Т.к. документами не регламентировано(ФЗ и т.д.), трудов кодексом запрещено не брать (статья 64). Я подумал, может определить критические должности для бизнес процессов организации и требовать справки об отсутствии судимости с работников, которые претендуют на данные должности? при этом брать справки для прогнозировавания рисков, а погашенная судимость не является не является поводом в отказе трудоустройства (тут выполняем требования трудового кодекса).

    Комментарий


    • #62
      Сообщение от PonomarenkoVV Посмотреть сообщение
      Добрый день. Появился ещё один вопрос, как в коммерческих организациях обрабатывают информацию о судимости работников? Т.к. документами не регламентировано(ФЗ и т.д.), трудов кодексом запрещено не брать (статья 64). Я подумал, может определить критические должности для бизнес процессов организации и требовать справки об отсутствии судимости с работников, которые претендуют на данные должности? при этом брать справки для прогнозировавания рисков, а погашенная судимость не является не является поводом в отказе трудоустройства (тут выполняем требования трудового кодекса).
      Строго по закону, т.е. никак.

      ФЗ-152, статья 10
      3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
      ТК РФ, статья 86:
      4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;
      Вы имеете право потребовать справку о судимости только в том случае, если обязанность предоставить такую справку установлена законом (например, если человек устраивается педагогом).

      Комментарий


      • #63
        Что касается банков, то такие должности определены в 408-П: банк должен согласовывать с ЦБ некоторые назначения, при этом банк должен предоставить справки о наличии/отсутствии судимости этих работников.
        Расширять на всех остальных, соглашусь с malotavr , незаконно.
        Если уж нарушаете закон, то хотя бы не оставляйте улик, не храните эти справки. Принёс кандидат/работник справку, показал, плюсик в его анкете поставили и отдали справку обратно.

        Комментарий


        • #64
          Сообщение от malotavr Посмотреть сообщение
          Строго по закону, т.е. никак.
          Вы не правы.

          Мне известно несколько случаев, в которых обработка ПДн о судимости в банках необходима:

          ФЗ от 02.12.1990 N 395-1 "О банках и банковской деятельности"
          Руководитель кредитной организации, главный бухгалтер, заместитель главного бухгалтера кредитной организации, руководитель, главный бухгалтер филиала кредитной организации
          Руководитель единоличного исполнительного органа и главный бухгалтера небанковской кредитной организации
          Учредитель (участник) кредитной организации, приобретающий более 10 процентов акций (долей) кредитной организации

          ФЗ от 22.04.1996 N 39-ФЗ "О рынке ценных бумаг"
          Член совета директоров (наблюдательного совета), член коллегиального исполнительного органа, единоличный исполнительный органом, руководитель филиала профессионального участника рынка ценных бумаг, руководитель службы внутреннего контроля, контролер профессионального участника рынка ценных бумаг, руководитель службы внутреннего аудита, должностное лицо, ответственное за организацию системы управления рисками (руководитель отдельного структурного подразделения, ответственного за организацию системы управления рисками), руководитель структурного подразделения кредитной организации, созданного для осуществления деятельности профессионального участника рынка ценных бумаг, или руководитель отдельного структурного подразделения профессионального участника рынка ценных бумаг в случае совмещения указанным профессиональным участником профессиональной деятельности на рынке ценных бумаг.

          Еще можно упомянуть требование которое к банкам не относится, но имеет место быть:
          ФЗ от 06.12.2011 N 402-ФЗ "О бухгалтерском учете"
          В открытых акционерных обществах (за исключением кредитных организаций), страховых организациях и негосударственных пенсионных фондах, акционерных инвестиционных фондах, управляющих компаниях паевых инвестиционных фондов, в иных экономических субъектах, ценные бумаги которых допущены к обращению на организованных торгах (за исключением кредитных организаций), в органах управления государственных внебюджетных фондов, органах управления государственных территориальных внебюджетных фондов главный бухгалтер или иное должностное лицо, на которое возлагается ведение бухгалтерского учета

          На этом моя коллекция ссылок заканчивается, буду рад если кто либо её дополнит.

          Комментарий


          • #65
            Добрый день. Большое спасибо за ответы.

            Комментарий


            • #66
              Сообщение от UserNick Посмотреть сообщение
              Вы не правы.
              Мне известно несколько случаев, в которых обработка ПДн о судимости в банках необходима:
              Вы невнимательно прочитали и вопрос топикстартера, и мой ответ

              Топикстартер спрашивает, как в организациях (организациях вообще) обрабатываются данные о судимости людей, занимающих критические должности (критические вообще, без упоминания конкретных должностей), Правильный ответ на такую формулировку вопроса - "никак", потому что такая обработка запрещена (кроме отдельных исключений, установленных законодательством).

              Конкретно для приведенных вами исключений - да, действительно, и обязанность обработки сведений о судимости, и порядок такой обработки установлен в указанных вами нормативных актах

              Комментарий


              • #67
                Сообщение от malotavr Посмотреть сообщение
                Вы невнимательно прочитали и вопрос топикстартера, и мой ответ
                Ожидал подобной реакции

                Сообщение от malotavr Посмотреть сообщение
                Топикстартер спрашивает, как в организациях (организациях вообще) обрабатываются данные о судимости людей, занимающих критические должности (критические вообще, без упоминания конкретных должностей), Правильный ответ на такую формулировку вопроса - "никак", потому что такая обработка запрещена (кроме отдельных исключений, установленных законодательством).
                Никак слишком уж обобщенный ответ, особенно с исключением про педагогов.
                Банки, финансовые, страховые и т.п. компании обычно коммерческие организации, а мы с Вами на банковском форуме.

                Ответ мой был в контексте вопроса про желание определить критичные должности, как же можно их определить, не сделав конкретный перечень...
                В целом, думаю, что наши в Вами ответы дополняют друг друга до более точного понимания сути!

                Комментарий


                • #68
                  Сообщение от UserNick Посмотреть сообщение
                  Ответ мой был в контексте вопроса про желание определить критичные должности, как же можно их определить, не сделав конкретный перечень... В целом, думаю, что наши в Вами ответы дополняют друг друга до более точного понимания сути!

                  Комментарий


                  • #69
                    Передача ПДн через стороннюю СЭД

                    Коллеги, здравствуйте!

                    Возник вопрос по части использования сторонней СЭД для передачи документов, содержащих ПДн, между территориально разнесенными сотрудниками.
                    Дабы не плодить темы - задам здесь.

                    Дано:

                    Несколько сотрудников территориально находятся вне офисов организации.
                    Для передачи различной клиентской документации, включающей ПДн, между сотрудниками в офисе и сотрудниками вне офиса по защищенному каналу решено использовать стороннюю СЭД.
                    СЭД реализована по типу "клиент-сервер" и, к несчастью, всю передаваемую информацию будет хранить "где-то у себя". Предполагается, что СЭД хранит все данные в зашифрованном виде и организатор СЭД не имеет к ним доступа, т.е. даже не знает, что там могут быть ПДн.

                    Отсюда первый вопрос: нужно ли считать организатора СЭД "третьим лицом", который обрабатывает передаваемые нашими сотрудниками ПДн?

                    Комментарий


                    • #70
                      Сообщение от Beckett Посмотреть сообщение
                      Отсюда первый вопрос: нужно ли считать организатора СЭД "третьим лицом", который обрабатывает передаваемые нашими сотрудниками ПДн?
                      Если СЭД на стороне этого оператора обрабатывает только зашифрованные ПДн, т.е. он никаким образом не имеет возможности их расшифровать, то это обработка обезличенных ПДн, т.е. третье лицо может такую обработку производить без всяких проблем.

                      Комментарий


                      • #71
                        Сообщение от Zuz Посмотреть сообщение
                        Если СЭД на стороне этого оператора обрабатывает только зашифрованные ПДн, т.е. он никаким образом не имеет возможности их расшифровать, то это обработка обезличенных ПДн, т.е. третье лицо может такую обработку производить без всяких проблем.
                        Если ситуация реально будет реализована так как описал Beckett, то скорее даже при этом будут обрабатываться не обезличенные ПДн, а просто зашифрованные данные.

                        Чтобы реализовать описанную в исходном вопросе защиту, с моей точки зрения, владелец СЭД должен выполнить следующие условия:
                        - наличие лицензии ФСТЭК на ТЗКИ,
                        - наличие лицензии ФСБ на оказание услуг с соответствующими пунктами из ПП313,
                        - обеспечить шифрование ПДн по ГОСТ,
                        - обеспечить шифрование ПДн до их размещения в хранилище СЭД,
                        - ключи шифрования должны создаваться, храниться и использоваться владельцем данных,
                        - СЭД должна быть сертифицирована ФСБ.

                        Комментарий


                        • #72
                          Для UserNick. Добавляю в Вашу копилку следующую ссылку.

                          Федеральный закон от 07.08.2001 N 115-ФЗ (ред. от 30.12.2015) "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (с изм. и доп., вступ. в силу с 29.03.2016).

                          Специальным должностным лицом, ответственным за реализацию правил внутреннего контроля, не может быть лицо, имеющее неснятую или непогашенную судимость за преступления в сфере экономики или преступления против государственной власти.
                          Последний раз редактировалось PonomarenkoVV; 20.05.2016, 10:51.

                          Комментарий


                          • #73
                            Сообщение от PonomarenkoVV Посмотреть сообщение
                            Для UserNick. Добавляю в Вашу копилку следующую ссылку.
                            Спасибо.

                            Комментарий


                            • #74
                              Добрый день. Коллеги, подскажите пожалуйста, в банке, различные платежные системы типа свифт и вестерн юнион, которые дополнительно к платежной информации передают персональные данные клиентов (а именно ФИО и адрес прописки), обязывают меня прописывать в документации, что банк осуществляет трансграничную передачу ПДн? Так же система Visa может осуществлять трансграничную передачу.

                              Что бы исключить полемику по поводу определения ПДн: персональные данные -это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

                              Комментарий


                              • #75
                                Сообщение от PonomarenkoVV Посмотреть сообщение
                                Добрый день. Коллеги, подскажите пожалуйста, в банке, различные платежные системы типа свифт и вестерн юнион, которые дополнительно к платежной информации передают персональные данные клиентов (а именно ФИО и адрес прописки), обязывают меня прописывать в документации, что банк осуществляет трансграничную передачу ПДн? Так же система Visa может осуществлять трансграничную передачу.
                                Не претендую на 100% правильность, но мы пошли по такому пути:
                                1. Свифт: напрямую мы не подключаемся и информацию не передаём. Договор у нас заключен с сервис-бюро, российской организацией. Мы передаём информацию им. Куда дальше они информацию отправляют нас не касается и проверить это мы не можем, т.е. именно мы трансграничную передачу не делаем. Если сервис-бюро осуществляет трансграничную передачу (а оно конечно же осуществляет) - это их головная боль.
                                2. ВестернЮнион - договор заключен с российской организацией НКО «Вестерн Юнион ДП Восток», то же самое - передаём информацию российской организации, мы сами трансграничную передачу не осуществляем.
                                3. Visa - ну тут нам ещё проще, у нас договор с процессинговым центром - российским банком, всю информацию им передаём. Впрочем, был бы свой процессинг - тоже не беда, во-первых, был бы договор опять же с российской ООО "Платежная система «Виза», а во-вторых, они обязаны обрабатывать информацию по картам в РФ через НСПК.

                                Комментарий


                                • #76
                                  Регулятор проверял такую расстановку? Тут у меня есть сомнение. Наши клиенты (с открыт или без открытия счёта) приходят и говорят, переведите деньги. Мы поручаем другому банку( или другой организации по договору) осуществить перевод денег за границу. В данном случае, по закону, головная боль у нас, мы должны взять согласие или не брать в рамках фз, проверить страну куда посылают деньги и т.д., надеюсь я не прав)) Но с другой стороны, мы не осуществляем явного перевода, у нас нет договора с организацией иностранного государства.

                                  Комментарий


                                  • #77
                                    РКН не проверял. Если проверит и сможет обоснованно доказать, что мы неправы - исправимся. Но во-первых, фактически лично мы ничего за границу не отправляем. Ну пусть мы понимаем, что данные идут за границу, но тогда во-вторых, отправка перевода - это договорные отношения, одной из сторон которых является субъект ПДн и п/п 4 п. 4 ст.12 ничем не хуже п/п 1 п. 4 ст.12.

                                    Комментарий


                                    • #78
                                      Сообщение от Tor Посмотреть сообщение
                                      РКН не проверял. Если проверит и сможет обоснованно доказать, что мы неправы - исправимся
                                      Отслеживал такие ситуации, как правило они заканчиваются соответствующим направлением в прокуратуру и как следствие наложение штрафа... Желательно заранее подстраховаться))

                                      Комментарий


                                      • #79
                                        Сообщение от PonomarenkoVV Посмотреть сообщение
                                        Отслеживал такие ситуации, как правило они заканчиваются соответствующим направлением в прокуратуру и как следствие наложение штрафа... Желательно заранее подстраховаться))
                                        Как правило, в прессу и в интернет попадают только те случаи, когда идут направления в прокуратуру, поэтому и создаётся впечатление, что всё плохо.
                                        На самом деле, конкретно в описанной ситуации позиция банка достаточно аргументированная, даже слабенький юрист без проблем справится. Где там повод для обращения в прокуратуру? Вы таки настаиваете, что имеет место трансграничка? ОК, Ну так согласие в письменном виде равнозначно в этом случае выполнению договорных отношений. Отправка перевода это договорные отношения? Абсолютно точно да. Всё, требования 152-ФЗ выполнены.
                                        Честно, не вижу причин "заранее подстраховаться". Но таки да, поинтересуйтесь мнением собственных юристов - это ж им общаться в случае чего.

                                        Комментарий


                                        • #80
                                          Сообщение от PonomarenkoVV Посмотреть сообщение
                                          ........ В данном случае, по закону, головная боль у нас, ........., проверить страну куда посылают деньги и т.д..........
                                          Коллега, смежный вопрос, как Вы считаете, в контексте одной платежной системы, сколько может быть операторов ПДн(определяющих цели, состав, действия и т.д при обработке ПДн), кроме оператора этой платежной системы?
                                          Последний раз редактировалось saches; 24.05.2016, 15:10.

                                          Комментарий


                                          • #81
                                            Соглашусь с Вами, не могу не порадоваться этому). Разговаривал с представительством Свифт в России, они косвенно подтвердили сказанную Вами информацию. Спасибо.

                                            Комментарий


                                            • #82
                                              Сообщение от PonomarenkoVV Посмотреть сообщение
                                              Соглашусь с Вами, не могу не порадоваться этому). Разговаривал с представительством Свифт в России, они косвенно подтвердили сказанную Вами информацию. Спасибо.
                                              Ну, и хорошо!!!

                                              Комментарий


                                              • #83
                                                Добрый день. Коллеги, моё расследование привело к неожиданным заключениям)) Оказывается, мы (Банк) имеем договор с организацией, которая предоставляет оборудование и т.п., фактически является каналом связи в системе SWIFT. Сама система Свифт - это не платёжная система, а некие договоренности между банками, следовательно оператором ПДн, в данном случае, остаёмся мы. С кем бы не разговаривал в данной цепочке, говорят, что я первый такие вопросы задаю)).

                                                По закону, мы должны подписать договор и все такое о ПДн, с кем подписывать? )) Сейчас буду в доках ковыряться, беда, что они на английском.

                                                Tor - будет интересно узнать, какие соглашения с посредниками в системе СВИФТ у вас?
                                                Последний раз редактировалось PonomarenkoVV; 30.05.2016, 15:15.

                                                Комментарий


                                                • #84
                                                  Сообщение от PonomarenkoVV Посмотреть сообщение
                                                  По закону, мы должны подписать договор и все такое о ПДн, с кем подписывать? ))
                                                  Навеяло:

                                                  Бежит Гиви за Абрамом с огромным ножом, кричит
                                                  -- Убью гада.
                                                  Народ его останавливает, спрашивает
                                                  -- Гиви, что случилось, чем тебя Абрам обидел?
                                                  -- Люди, евреи нашего Христа распяли!
                                                  -- Гиви, так это ж когда было...
                                                  -- Не знаю, мне только что сказали.

                                                  Комментарий


                                                  • #85
                                                    Коллеги, приветствую!

                                                    В рамках актуализации нормативки по ПДН, возник такой вопрос - классифицировал ли кто свои ИСПДн (в соответствии с ПП-1119) на 3-ий (или более высокий) УЗ по критериям отличным от "Иные категории ПДн, более чем 100 000·субъектов ПДн, не являющихся сотрудниками оператора"?

                                                    Кстати, по вопросу обработки справок о судимости при приеме на работу, в постатейном комментарии РКН(Приезжевой) по 152-ФЗ,в части 3 ст. 10, сказано, "Таким образом, простое сообщение о наличии (отсутствии) судимости лица без дополнительной информации о факте осуждения и назначения субъекту персональных данных приговором суда наказания не может характеризоваться в качестве специальных персональных данных...."
                                                    Последний раз редактировалось saches; 31.05.2016, 16:54.

                                                    Комментарий


                                                    • #86
                                                      Сообщение от PonomarenkoVV Посмотреть сообщение
                                                      Сама система Свифт - это не платёжная система, а некие договоренности между банками, следовательно оператором ПДн, в данном случае, остаёмся мы.
                                                      Извините, а Вы уверены, что именно Ваш банк определяет форматы сообщений SWIFT?

                                                      http://www.rosswift.ru/500/50011/

                                                      Комментарий


                                                      • #87
                                                        Добрый день. Вот тут https://www.swift.com/about-us/legal...ction-policies нашел информацию по политике защиты ПДн. Согласен, что форматы определяет не наш банк.

                                                        Нашёл такую штуку в документе - Контроллер данных в соответствии с Законом Бельгии является компания или физическое лицо, которое определяет цели и средства обработки персональных данных.

                                                        Осталось разобраться в вопросе взятия согласия на трансграничную передачу.
                                                        Последний раз редактировалось PonomarenkoVV; 01.06.2016, 07:34.

                                                        Комментарий


                                                        • #88
                                                          Сообщение от saches Посмотреть сообщение
                                                          Извините, а Вы уверены, что именно Ваш банк определяет форматы сообщений SWIFT?

                                                          http://www.rosswift.ru/500/50011/
                                                          "Сама система Свифт - это не платёжная система, а некие договоренности между банками, следовательно оператором ПДн, в данном случае, остаёмся мы." - К таким рассуждениям меня привели беседы с представительством SWIFT в России. Они мне показались сомнительны, и подверглись перепроверке))


                                                          Появился ещё один вопрос. Вся документация на английском, для проверяющих разработать документ о работе в системе СВИФТ или сделать перевод существующих документов разработанных СВИФТом?.
                                                          Последний раз редактировалось PonomarenkoVV; 01.06.2016, 08:05.

                                                          Комментарий


                                                          • #89
                                                            Сообщение от saches Посмотреть сообщение
                                                            Кстати, по вопросу обработки справок о судимости при приеме на работу, в постатейном комментарии РКН(Приезжевой) по 152-ФЗ,в части 3 ст. 10, сказано, "Таким образом, простое сообщение о наличии (отсутствии) судимости лица без дополнительной информации о факте осуждения и назначения субъекту персональных данных приговором суда наказания не может характеризоваться в качестве специальных персональных данных...."
                                                            РКН на сегодняшний день не уполномочен комментировать законодательство о ПДн. Удельный вес опубликованного мнение - "частная точка зрения с позиции занимаемой должности".
                                                            Конкретный проверяющий может иметь другую точку зрения, соответствующую закону, и при этом будет прав.

                                                            Комментарий


                                                            • #90
                                                              Сообщение от PonomarenkoVV Посмотреть сообщение
                                                              "Сама система Свифт - это не платёжная система, а некие договоренности между банками, следовательно оператором ПДн, в данном случае, остаёмся мы." - К таким рассуждениям меня привели беседы с представительством SWIFT в России. Они мне показались сомнительны, и подверглись перепроверке)).
                                                              Они правы.
                                                              Подскажу Вам самый простой способ перепроверки - реестр платежных систем на сайте БР. Свифта там не найдете.

                                                              Комментарий

                                                              Обработка...
                                                              X