5 июля, воскресенье 20:49
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #91
    Сообщение от UserNick Посмотреть сообщение
    Они правы.
    Подскажу Вам самый простой способ перепроверки - реестр платежных систем на сайте БР. Свифта там не найдете.
    Платежной системы МИР и самого Банка России там нет, а они есть. )))

    Комментарий


    • #92
      Сообщение от UserNick Посмотреть сообщение
      Конкретный проверяющий может иметь другую точку зрения, соответствующую закону, и при этом будет прав.
      Я, конечно, очень извиняюсь, и спасибо за баян, но мой вопрос был о том, классифицировал ли кто свои ИСПДн (например, зарплата/кадры/СКУД) по 3 (или выше) УЗ. И, конечно, хотелось бы услышать по каким критериям, а не о том, какое мнение будет у проверяющего при очередной проверке.

      Комментарий


      • #93
        Сообщение от Zuz Посмотреть сообщение
        Платежной системы МИР и самого Банка России там нет, а они есть. )))
        Вы не равняйте мелкую несерьезную бельгийскую контору с великим и могучим регулятором )))

        Комментарий


        • #94
          Сообщение от UserNick Посмотреть сообщение
          Они правы.
          Подскажу Вам самый простой способ перепроверки - реестр платежных систем на сайте БР. Свифта там не найдете.
          Спасибо за информацию.

          Комментарий


          • #95
            Коллеги, возник интересный вопрос:
            Законно ли при осуществлении цессии передавать ПДн заёмщиков цессионарию-нерезиденту?

            Что надо написать в договоре цессии (или допнике), чтобы снять с себя правовые и регуляторные риски?

            Комментарий


            • #96
              Сообщение от ost Посмотреть сообщение
              Коллеги, возник интересный вопрос:
              Законно ли при осуществлении цессии передавать ПДн заёмщиков цессионарию-нерезиденту?

              Что надо написать в договоре цессии (или допнике), чтобы снять с себя правовые и регуляторные риски?
              Предположу, что Вам необходимо взять согласие на трансграничную передачу передачу ПДн , если у него нет представительства в России(но скорее всего есть). В договоре можно сослаться на 218-ФЗ "О кредитных историях", там что то есть про уступку права и конечно не забывайте про защиту ПДн п. 3 ст. 6 152 - ФЗ.
              Последний раз редактировалось PonomarenkoVV; 03.06.2016, 07:14.

              Комментарий


              • #97
                Сообщение от PonomarenkoVV Посмотреть сообщение
                взять согласие на трансграничную передачу
                Ага. У каждого в отдельности.
                Не, совсем не катит.

                Комментарий


                • #98
                  Вообще, цессия и 152-ФЗ, это одна из самых мутных тем, так что, что конкретно писать, так сразу и не скажешь.
                  Но, может поможет -
                  ИНФОРМАЦИОННОЕ ПИСЬМО № 146 от 13 сентября 2011 г. Президиума Высшего Арбитражного Суда Российской Федерации

                  п.16. Уступка банком лицу, не обладающему статусом кредитной организации, не исполненного в срок требования по кредитному договору с заёмщиком-гражданином не противоречит закону и не требует согласия заёмщика.

                  +, возможно, требования 242-ФЗ.

                  похоже, надо читать судебную практику, т.к. и без нерезидентов много судебных прецедентов.

                  А база с переданными в цессию кредитными договорами заемщиков остается в банке?
                  Последний раз редактировалось saches; 06.06.2016, 17:04.

                  Комментарий


                  • #99
                    Сообщение от saches Посмотреть сообщение
                    п.16. Уступка банком лицу, не обладающему статусом кредитной организации
                    Это письмо мы видели, и с Роспотребом судились, и даже выиграли...
                    Оно "не про то".

                    Кстати, цессионарий может обладать статусом кредитной организации, например при секьюритизации автокредов в забугорном банке с точки зрения Президиума ВАС всё в шоколаде, а вот с ПДн и 242-ФЗ как-то не очень складывается.

                    А надо бы какой-то общий подход иметь.

                    Комментарий


                    • т.е. с небольшим допущением, вопрос можно трансформировать в - "чтоб такое написать в договоре, что бы клиенты в суд не подавали?"

                      а если серьезно, то пока, кмк, при нынешнем 152-ФЗ, такие вопросы разруливаются только на уровне судебной практики

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        "чтоб такое написать в договоре, что бы клиенты в суд не подавали?
                        Неправильная формулировка, ничто и никто не может запретить клиенту обращаться в суд.
                        Речь о том, какие правильные слова написать в договоре и в уведомлении клиенту, чтобы
                        а) у клиента у него не было оснований для обращения в суд и
                        б) у суда не было оснований обвинить банк в нарушении закона.


                        Сообщение от saches Посмотреть сообщение
                        при нынешнем 152-ФЗ, такие вопросы разруливаются только на уровне судебной практики
                        Да ну, и много у нас судебной практики по 152-ФЗ?
                        И потом, я же не хочу нарушать закон, я хочу действовать по закону. И что самое главное, закон это позволяет.

                        Комментарий


                        • Коллеги, Банк собирает информацию о родственниках в анкетах на кредит, появился вопрос, как можно легализовать данный сбор без взятия согласия у родственников? В анкете указываются: степень родства, ФИО, дата рождения, место проживания. Интересно какие пути решения есть. У нескольких банков видел в анкетах сбор информации о родственниках, но сбора согласия с родственников не видел.

                          Комментарий


                          • Сообщение от PonomarenkoVV Посмотреть сообщение
                            как можно легализовать данный сбор без взятия согласия у родственников?
                            Все основания перечислены в п.п. 2-11 части 1 статьи 6 закона 152-ФЗ.
                            Я полагаю, что можно подвести под п. 7

                            7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
                            Думайте, как вы будете отбиваться при наездах.Хотя, если при этом не нарушаются права и свободы субъекта персональных данных то не должно быть и наездов.

                            Комментарий


                            • Сообщение от PonomarenkoVV Посмотреть сообщение
                              Коллеги, Банк собирает информацию о родственниках в анкетах на кредит, появился вопрос, как можно легализовать данный сбор без взятия согласия у родственников? В анкете указываются: степень родства, ФИО, дата рождения, место проживания. Интересно какие пути решения есть. У нескольких банков видел в анкетах сбор информации о родственниках, но сбора согласия с родственников не видел.
                              Ну, для начала вы обязаны сообщить этим самым родственникам, что получили эти самые данные, причем еще до того, как примете анкету в обработку

                              Статья 18. Обязанности оператора при сборе персональных данных
                              ...
                              3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
                              1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
                              2) цель обработки персональных данных и ее правовое основание;
                              3) предполагаемые пользователи персональных данных;
                              4) установленные настоящим Федеральным законом права субъекта персональных данных;
                              5) источник получения персональных данных.

                              Комментарий


                              • Всем спасибо. Ещё добавил такую штуку в согласии :
                                Настоящим подтверждаю, что до оформления настоящей анкеты получил согласие каждого из указанных в ней лиц на обработку их персональных данных, включая их передачу Банку, и передал каждому из лиц, указанных в анкете мною, полученное от Банка Уведомление субъекта персональных данных о получении его персональных данных от третьих лиц. Подтверждаю также, что персональные данные лиц, указанных в настоящей анкете, получены мной непосредственно от данных лиц.

                                Комментарий


                                • Сообщение от PonomarenkoVV Посмотреть сообщение
                                  Ещё добавил такую штуку в согласии :
                                  Теперь вам осталось решить, что будете делать в случае получения отзыва согласия субъекта, а затем реализовать это в ваших операционных процедурах.


                                  Удачи.

                                  Комментарий


                                  • Сообщение от PonomarenkoVV Посмотреть сообщение
                                    Всем спасибо. Ещё добавил такую штуку в согласии :
                                    Настоящим подтверждаю, что до оформления настоящей анкеты получил согласие каждого из указанных в ней лиц на обработку их персональных данных, включая их передачу Банку, и передал каждому из лиц, указанных в анкете мною, полученное от Банка Уведомление субъекта персональных данных о получении его персональных данных от третьих лиц. Подтверждаю также, что персональные данные лиц, указанных в настоящей анкете, получены мной непосредственно от данных лиц.
                                    Не слишком увлекайтесь такими фокусами.

                                    1. "...получил согласие..."

                                    Читаем закон:
                                    Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
                                    Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных ... возлагается на оператора.
                                    Предположим, вы по цессии передали заем коллекторам. Коллекторы прессуют родственника, обозленный родственник начинает в отместку гадить всем, кто его так нехорошо подставил. В частности, требует привлечь к ответственности вас. В силу лежащего на вас бремени доказывания, голословное утверждение родственника "я согласия не давал" - истина в последней инстанции, пока вы не докажете обратное. Чем будете доказывать? Тем что заемщик написал вам "мамой клянусь - он согласен"? Тем более, что заемщик всегда может сказать, что намеренно ввел вас в заблуждение и ничего ему за это не будет - обязанность получить согласие лежала на вас

                                    2. "...передал уведомление..."

                                    Читаем закон:
                                    оператор ... обязан предоставить субъекту персональных данных
                                    Из вашего текста я вижу, что субъекту оператор ничего не предоставил, тем самым нарушив букву закона.

                                    На мой субъективный взгляд, вы как оператор пытаетесь уклониться от выполнения своих обязанностей по отношению к субъекту, причем не очень убедительно Соовтетственно, вы рискуете, что при очередной внеплановой проверке по жалобе обиженного коллекторами родственника вам может попасться инспектор, который разделяет мою точку зрения - со всеми вытекающими для вас последствиями.

                                    Комментарий


                                    • я так понял, что единственный легальный выход (без излишнего сбора) - это брать данные о жене/муже, залогодателе, поручителе, при это их даже можно не уведомлять.

                                      Комментарий


                                      • Сообщение от PonomarenkoVV Посмотреть сообщение
                                        я так понял, что единственный легальный выход (без излишнего сбора) - это брать данные о жене/муже, залогодателе, поручителе, при это их даже можно не уведомлять.
                                        О супругах тоже нельзя собирать сведения - позиция РКН (исхожу из их предписания). Их даже не устроила схема с поручением заемщиком обработки ПДн его супруга(и) банку, текст которого (поручения) добавлялся в анкету заемщика, с указанием целей - ускорения рассмотрения банком заявки, обеспечения кред. договора дополнительными контактами бла-бла со всеми моментами из ч.3 ст.6 152-ФЗ (в т.ч. что согласие на такое поручение заемщик получил у супруги). РКН посчитал, что указанные цели обработки преследует банк, а не заемщик, соответственно оператором, поручающим обработку ПДн супруги банку, он не является, а весь текст поручения в анкете навязан банком.

                                        Комментарий


                                        • На данный момент, мы пришли к выводу, что необходимо в таблице сбора пдн вставить столбец (уведомлён об обработке пдн) и будем давать уведомление об обработке пдн. Таким образом, как мне кажется, мы выполним норму "оператор обязан уведомить" и плюс если человек не согласен, то и данные свои указывать не даст.
                                          Но это всё лишний гемор для клиентов. Интересно, что крупные банки собирают инфу о клиентах, чем они руководствуются? Не думаю, что они рассылают заказные письма об уведомлении.

                                          Не пробовали упор ставить на п.7 ст. 6 обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

                                          Супруга/супруг является выгодоприобретателем при разводе или при наследстве. Поэтому, мне кажется, её/его данные необходимы.
                                          Последний раз редактировалось PonomarenkoVV; 10.06.2016, 15:20.

                                          Комментарий


                                          • Сообщение от PonomarenkoVV Посмотреть сообщение
                                            Не пробовали упор ставить на п.7 ст. 6 обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
                                            Опять же, "обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей."
                                            Строго говоря, вы должны заранее и конкретно определить, в чем именно заключается "осуществление прав оператора" и как обработка данных субъекта позволяет вам их осуществить. Кроме того, вы должны быть готовы доказывать, что осуществляя таким образом свои права вы не нарушаете прав субъекта.

                                            Комментарий


                                            • Сообщение от PonomarenkoVV Посмотреть сообщение
                                              крупные банки собирают инфу о клиентах, чем они руководствуются?
                                              О клиентах да.
                                              О родственниках какие банки собирают? Перечислите поименно, плиз.

                                              Комментарий


                                              • Сообщение от PonomarenkoVV Посмотреть сообщение
                                                На данный момент, мы пришли к выводу, что необходимо в таблице сбора пдн вставить столбец (уведомлён об обработке пдн) и будем давать уведомление об обработке пдн. Таким образом, как мне кажется, мы выполним норму "оператор обязан уведомить" и плюс если человек не согласен, то и данные свои указывать не даст.
                                                Но это всё лишний гемор для клиентов. Интересно, что крупные банки собирают инфу о клиентах, чем они руководствуются? Не думаю, что они рассылают заказные письма об уведомлении.

                                                Не пробовали упор ставить на п.7 ст. 6 обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

                                                Супруга/супруг является выгодоприобретателем при разводе или при наследстве. Поэтому, мне кажется, её/его данные необходимы.
                                                Если я в анкете напишу, где-нибудь в дополнительных сведениях, что я являюсь троюродным племянником Путина и он работает президентом РФ, то это будут персональные данные Путина? Нет.
                                                Так что предлагаю настаивать на том, что это персональные данные о родственниках, а не персональные данные родственников. Т.е. лица, заполняющего анкету.

                                                Комментарий


                                                • Сообщение от Berckut Посмотреть сообщение
                                                  Так что предлагаю настаивать на том, что это персональные данные о родственниках, а не персональные данные родственников.
                                                  Ну одно дело когда указывается просто ФИО родственников и степень родства, а другое когда еще и место проживания, телефоны, место работы. Это уже ни разу не данные лица заполняющего анкету.

                                                  Комментарий


                                                  • Сообщение от Sat_Kelman Посмотреть сообщение
                                                    Ну одно дело когда указывается просто ФИО родственников и степень родства, а другое когда еще и место проживания, телефоны, место работы. Это уже ни разу не данные лица заполняющего анкету.
                                                    Вот 2 записи, которые я указал в анкете и передал вам. Ваши действия?

                                                    ФИО: Путин Владимир Владимирович
                                                    Степень родства: троюродный племянник двоюродной сестры
                                                    Место проживания: г. Москва, Кремль.
                                                    Телефон: 8-800-200-23-16
                                                    Место работы: Президент РФ

                                                    ФИО: Иванов Пётр Николаевич
                                                    Степень родства: Брат
                                                    Место проживания: г. Барнаул, пр. Ленина, 61 - 78.
                                                    Телефон: отсутствует
                                                    Место работы: системный администратор ООО "Плюшкин"

                                                    Первый - реально существующая личность с реальными данными.
                                                    Второй - вымышленная личность, но вы об этом не сможете доподлинно узнать.

                                                    Комментарий


                                                    • Сообщение от Berckut Посмотреть сообщение
                                                      Вот 2 записи, которые я указал в анкете и передал вам. Ваши действия?

                                                      ФИО: Путин Владимир Владимирович
                                                      Степень родства: троюродный племянник двоюродной сестры
                                                      Место проживания: г. Москва, Кремль.
                                                      Телефон: 8-800-200-23-16
                                                      Место работы: Президент РФ

                                                      ФИО: Иванов Пётр Николаевич
                                                      Степень родства: Брат
                                                      Место проживания: г. Барнаул, пр. Ленина, 61 - 78.
                                                      Телефон: отсутствует
                                                      Место работы: системный администратор ООО "Плюшкин"

                                                      Первый - реально существующая личность с реальными данными.
                                                      Второй - вымышленная личность, но вы об этом не сможете доподлинно узнать.
                                                      во втором случае мы вам кредит не выдадим))), да и в первом случае тоже.
                                                      В данном вопросе большую роль играет цель обработки таких данных, нежели их перечень. Над этим вопросом сейчас бьются юристы.

                                                      Комментарий


                                                      • Сообщение от ost Посмотреть сообщение
                                                        О клиентах да.
                                                        О родственниках какие банки собирают? Перечислите поименно, плиз.
                                                        ВТБ и Сбер собирают информацию о родственниках: ФИО, дату рождения, степень родства, социальное положение (на иждивении или нет). Данную информацию нашел в анкетах в открытом доступе.

                                                        Комментарий


                                                        • Сообщение от PonomarenkoVV Посмотреть сообщение
                                                          ВТБ и Сбер собирают информацию о родственниках: ФИО, дату рождения, степень родства, социальное положение (на иждивении или нет).
                                                          Нормально. Можно сказать, что это законные интересы оператора.
                                                          Влияет на ценку заемщика и необходимо для поиска связанных заемщиков.

                                                          Комментарий


                                                          • Добрый день. Коллеги, прошу указать на возможную ошибку в такой логической цепочке: Используем такие ИС как 1с зарплата и абс гефест, могу их классифицировать как одну ИСПДн указав цель осуществление требований законодательства? Или всё же разбить на две ИСПДн?

                                                            Еще вопрос: Систему ДБО - iBank, относить к ИСПДн? (тут руководствуюсь следующими рассуждениями: базы, железо, софт есть - уже ИСПДн, закупили с целью осуществления удаленного банковского обслуживания)

                                                            Комментарий


                                                            • Сообщение от PonomarenkoVV Посмотреть сообщение
                                                              Добрый день. Коллеги, прошу указать на возможную ошибку в такой логической цепочке: Используем такие ИС как 1с зарплата и абс гефест, могу их классифицировать как одну ИСПДн указав цель осуществление требований законодательства? Или всё же разбить на две ИСПДн?
                                                              Еще вопрос: Систему ДБО - iBank, относить к ИСПДн? (тут руководствуюсь следующими рассуждениями: базы, железо, софт есть - уже ИСПДн, закупили с целью осуществления удаленного банковского обслуживания)
                                                              Осуществление требований законодательства не может быть целью использования ИСПДн, т.к. никакое законодательство не обязывает использовать именно 1с зарплату и АБС Гефест. Выполнение требований законодательства - это, скорее, просто одно из условий при достижении цели.
                                                              К тому же в большинстве случаев требования к защите 1с зарплата будут гораздо проще, чем к АБС - хотя бы поэтому их имеет смысл поделить на 2 ИСПДн.
                                                              Что касается системы ДБО...
                                                              "тут руководствуюсь следующими рассуждениями: базы, железо, софт есть - уже ИСПДн". ИМХО, руководствуйтесь, есть ли там вообще ПДн. К примеру, если только идентификаторы и информация по счетам - тогда нет перс.данных и, соответственно, не ИСПДн.
                                                              Если ПДн есть, то однозначно это будет ИСПДн. Раньше у ЦБ была лазейка, благодаря которой АБС и ДБО можно было не называть ИСПДн, сейчас эту лазейку убрали.

                                                              Комментарий

                                                              Обработка...
                                                              X