19 июля, пятница 01:14
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Павлоний Посмотреть сообщение
    ну вот теперь все стало понятно... SWIFT транспорт и в нем нельзя расплатиться картой ТРОЙКА ...или можно?
    Ну вот, похоже Вы тоже не понимаете, как работает Swift!

    Комментарий


    • Сообщение от saches Посмотреть сообщение
      Ну вот, похоже Вы тоже не понимаете, как работает Swift!
      А это и не нужно для информационных безопасников.
      Порядок расчётов через свифт это тема для бэкофиса и операционки.

      Комментарий


      • Сообщение от ost Посмотреть сообщение
        ........Порядок расчётов через свифт............................................
        Стесняюсь спросить, а почему слово "расчетов" было выделено жирным?

        Комментарий


        • Сообщение от saches Посмотреть сообщение
          Стесняюсь спросить, а почему слово "расчетов" было выделено жирным?
          А потому что это переводы денежных средств.

          Комментарий


          • Народ, смотрите какая ситуация.
            Сотрудники собирают на всяких там выставках, семинарах и т.п. анкеты с целью дальнейшей e-mail рассылки новостей.
            На листке заполняется ФИО, организация, должность, телефон, е-mail. Внизу есть галочка - согласен на обработку ПДн для новостной рассылки.
            Далее организуется рассылка с возможностью отписаться.

            В случае отписки мы должны уничтожить эту анкету с данными? А хранить согласие не требуется? Чтобы в случае чего доказать что делали рассылку на законных основаниях.

            Комментарий


            • РКН в таких случаях рекомендует с помощью копировать анкету с закрытыми ПДн, чтобы остались только ФИО и галочка.

              Комментарий


              • Сообщение от Алексей Лукацкий Посмотреть сообщение
                копировать анкету с закрытыми ПДн, чтобы остались только ФИО и галочка.
                Не рекомендую, зачастую бывает необходимо доказать, что именно этот e-mail (или что более актуально, номер телефона) был указан в анкете.

                Бывает приходит ябеда от неизвестного человека, типа Банк незаконно обрабатывает мои персональные данные, ну мы в ответ -- ...это персональные данные не ябедника, а Васи. В подтверждение направляем вам в приложении копию документа, в котором Вася собственноручно написал этот номер в заявлении-анкете на получение потребительского кредита... Обращаем ваше внимание, что Банк не имеет возможности проверить, кто и на каком правовом основании пользуется этим номером телефона, в связи с чем рекомендуем ябеднику обратиться в Банк лично, и предоставить документы подтверждающие, что он является абонентом данного номера телефона ...

                При желании набор слов и развесистость фраз могут быть увеличены.

                Комментарий


                • Сообщение от ost Посмотреть сообщение
                  Не рекомендую, зачастую бывает необходимо доказать, что именно этот e-mail (или что более актуально, номер телефона) был указан в анкете.
                  Оставить данные и получается не удалить их. Удалить и потом поди докажи что не верблюд.
                  Как ни крути бред получается.

                  Комментарий


                  • И еще не нашел где можно посмотреть сколько это согласие потом хранить?

                    Комментарий


                    • Сообщение от Sat_Kelman Посмотреть сообщение
                      И еще не нашел где можно посмотреть сколько это согласие потом хранить?
                      Насколько я понимаю, сколько хранятся ПДн, столько и согласие субъекта. Т.е. :

                      "В случае, если соискателю было отказано в приеме на работу, его данные должны быть уничтожены в течение 30 дней, если случай не предусмотрен законодательством, при котором срок хранения увеличится."

                      И если брали, и согласие тоже. А например для принятых на работу -

                      "Все документы, включая заявление о согласии на обработку персональных данных, личные карточки и все другие данные из личного дела хранятся 75 лет. Личные дела руководителей хранятся постоянно, как и штатное расписание. Этот срок касается всех сотрудников, даже бывших."

                      Комментарий


                      • А, кстати, такой вопросик - вроде как, какое-то время назад, утверждение перечней типовых архивных документов с указанием сроков их хранения Указом Президента отнесено к полномочиям Федерального архивного агентства. В связи с этим, чем мы в настоящий момент руководствуемся в определении сроков хранения документов?
                        Всё еще
                        Приказом Минкульта №558, или что-то еще появилось?
                        Последний раз редактировалось saches; 21.09.2017, 12:13.

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          Насколько я понимаю, сколько хранятся ПДн, столько и согласие субъекта.
                          А если потом субъект побежит жаловаться? Как доказать что он давал согласие если его уничтожили? Но и хранить вечно тоже не вариант.
                          И одно дело с работниками, а у меня-то рассылка e-mail (и даже не клиентов).

                          Комментарий


                          • Сообщение от Sat_Kelman Посмотреть сообщение
                            Оставить данные и получается не удалить их. Удалить и потом поди докажи что не верблюд.
                            У вас есть п. 7 ч. 1 ст. 6 "обработка персональных данных необходима для осуществления прав и законных интересов оператора."
                            Права субъекта никоим образом не нарушаются, если вы просто храните у себя анкету с согласием.

                            И кстати, я не понял, когда человек отписался от рассылки вы его е-майл (а также ФИО, номер телефона и другие данные) из ИСПДн удаляете?
                            Эта ИСПДн наверняка ещё какие-то логи пишет, админы бэкапы ИСПДн делают и хранят их где-то... Мгновенно данные не исчезнут.

                            Скорее всего, если человек отписался, то вы прекратите направлять ему рассылки. Некоторое время вы будете держать его данные в ИСПДн, потом удалите, потом они пропадут из логов и бэкапов, после этого можно будет уничтожить и анкету с согласием.

                            Комментарий


                            • Пока нет реализации. только собираются запускать, вот и выясняют как это сделать правильно.
                              Ко мне пришли с вопросом. Он вроде и вообще пустяковый, но вот спросили меня: "Как, где, сколько нам хранить анкеты?". И я по срокам и не смог сходу ответить.

                              Еще мысль возникла. А можно привязать срок хранения согласия со сроком давности привлечения к административному? Например, отписался человек от рассылки, мы удалили данные и согласие. Он через 3 месяца взял и накатал заявление в РКН, а ему оттуда: "срок давности вышел - идите лесом".

                              Комментарий


                              • Сообщение от Sat_Kelman Посмотреть сообщение
                                ........ Он через 3 месяца взял и накатал заявление в РКН, а ему оттуда: "срок давности вышел - идите лесом".
                                В целом, в рамках исполнения требований законодательства по ПДн, я стараюсь придерживаться подхода, что физик может с полным правом "накатать заявление" в РКН, прокуратуру, ЦБ (если клиент), в трудовую инспекцию (если сотрудник). А позовут ли в случае серьезных разборок прицепом еще других регуляторов на букву Ф, это уж как фишка ляжет.
                                Хотя, может это и фобии...

                                UPD: хотя вот сегодня, в блоге Емельянова, увидел инфу, что Роструд отказался от надзора за соблюдением 14 главы ТК. Т.е. вроде как, жалобы в трудовую инспекцию на тему ПДн больше не прокатят.
                                http://www.securitylab.ru/blog/perso...kov/342624.php
                                Последний раз редактировалось saches; 21.09.2017, 12:55.

                                Комментарий


                                • Сообщение от Sat_Kelman Посмотреть сообщение
                                  а ему оттуда: "срок давности вышел - идите лесом".
                                  Не встречал таких ответов из РКН.
                                  Обычно бывает по другому, РКН пишет нам, мы отвечаем, если они усматривают нарушение, то фигачут в прокуратуру. Но, пока дойдет до прокуратуры, пока она раскачается сроки проходят, поэтому уже прокуратура пишет отказ в связи с истечением сроков.
                                  Как будет сейчас не знаю, но ЕМНИП, срок давности отсчитывают с момента когда субъект узнал, а не с момента нарушения. Т.е. если вы нарушили год назад, а клиент только вчера увидел письмо в почте и пожаловался, то вас таки накажут.

                                  Комментарий


                                  • Чего-то по сотому кругу опять пошли одни и те же вопросы :-( Уж 11 лет закону, а все вопросы-вопросы...

                                    Комментарий


                                    • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      Чего-то по сотому кругу опять пошли одни и те же вопросы :-( Уж 11 лет закону, а все вопросы-вопросы...
                                      Ну не все же эту тему пилят все 11 лет, вот вопросы и появляются.

                                      Комментарий


                                      • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Уж 11 лет закону, а все вопросы-вопросы...
                                        Такой уж закон. Слов много, а смысла за этими словами не видно, а люди новые подключаются к процессу и у них всегда будут вопросы (естественно те же самые).

                                        Впрочем, у нас все новые законы такие, написаны они лозунгами и на чиновничьем языке...

                                        Комментарий


                                        • Сообщение от ost Посмотреть сообщение
                                          Я думаю, что стоит в РКН ябеду написать. Типа на сайте предлагают переводы трансграничные, а в уведомлении написали, что трансграничной передачи ПДн нет. Пусть их проверят. P.S. Done
                                          Ябеду писал на сайт https://koronapay.com/ (https://koronapay.com/online/ и http://rnko.ru/individualcards/servi...acts.aspx?pk=1), что производят сбор ПДн в интернете, явно совершают трансграничную передачу ПДн, но при этом в уведомлении на сайте РКН у них об этом ни слова.

                                          Ответ получил.

                                          Ответ РКН ЗК.pdf

                                          Мля.

                                          - имя отчество в ответе перепутали, ну да ладно.
                                          - похоже в РКН ещё не освоили термин "поручение обработки ПДн", не смогли внятно написать что ЗАО "ЗК" обработчик и действует по поручению РНКО ПЦ. (ну мы об этом догадались и понимаем, что все претензии должны быть к оператору РНКО ПЦ)
                                          - про РНКО ПЦ зацените сами ответ, одной фразой обо всем и ни о чем. Решили не заметить, что РНКО организовывает сбор ПДн на сайте в сети Интернет, а на сайте нет политики, нет галочки с согласием на обработку ПДн (а кому-то за отсутствие галочки мозг выносят).

                                          P.S. Жаль, что в РКН не заглянули в условия https://koronapay.com/transfers/Docu...%9F_210617.pdf и не потрудились разобраться в шикарной фразе на стр. 24

                                          5.3. Каждый Банк Плательщика является оператором персональных данных Плательщика. Каждый Банк Получателя является оператором персональных данных Получателя. Организатор не является оператором персональных данных Клиентов. Банк Плательщика не является оператором персональных данных Получателей. Банк Получателя не является оператором персональных данных Плательщиков.

                                          Комментарий


                                          • Это все к тому, что ОПС должен автоматом считаться ОПДн. Возможно и существуют исключения, но мне пока не попадались.
                                            Ну и опять же, хотя ФЗ уже 11 лет, а бардака хватает....

                                            Комментарий


                                            • Сообщение от saches Посмотреть сообщение
                                              а бардака хватает...
                                              Тут не просто бардак, тут правовой нигилизм.
                                              Этак можно и в банковских правилах написать, перевододатель является оператором персональных данных пееревододателя, получатель является оператором персональных данных получателя, банк не является оператором персональных данных ни пееревододателя, ни получателя...

                                              А надзорный орган это всё кушает и не давится.

                                              Комментарий


                                              • Сообщение от ost Посмотреть сообщение
                                                Тут не просто бардак, тут правовой нигилизм........
                                                Мсье знает толк.....

                                                Комментарий


                                                • Сообщение от ost Посмотреть сообщение
                                                  Этак можно и в банковских правилах написать, перевододатель является оператором персональных данных пееревододателя, получатель является оператором персональных данных получателя, банк не является оператором персональных данных ни пееревододателя, ни получателя...
                                                  Так то не литературно звучит)) Надо так:
                                                  Отправитель денежных средств является оператором персональных данных, содержащих персональные данные отправителя денежных средств, получатель денежных средств является оператором персональных данных, содержащих персональные данные получателя денежных средств, банк не является оператором персональных данных отправителя и получателя денежных средств...
                                                  По таким правилам каждый сам себе оператор и банки тоже не при чем.)))

                                                  Комментарий


                                                  • Сообщение от UserNick Посмотреть сообщение
                                                    Так то не литературно звучит)) Надо так:
                                                    Предлагаю вам направить ябеду в РКН на эту тему.
                                                    Сделайте перевод или обмен валюты через сайт Золотой короны, чтобы сдать им ПДн и сразу ябеду в РКН и прокуратуру, -- что за хрень в условиях, как так РНКО не оператор ПДн, правда ли, что закон такое допускает?

                                                    Ябеду можно через сайт подать.

                                                    Комментарий


                                                    • Как определить границу между обработкой персональных данных по поручению оператора и обработкой персональных данных операторами в соответствии с п.5 ч.1 ст.6 152-ФЗ (для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем) в такой популярной у нас в стране "субагентской схеме продаж"?

                                                      Например, ООО "Альфа" производит сковородки и продает их только на основании договора с покупателем. Для поиска покупателей и заключения с ними договоров купли-продажи ООО "Альфа" привлекает ООО "Бета" на основании агентского договора с правом ООО "Бета" заключать субагентские договоры для той же цели. Обработка персональных данных агентом и субагентом заключается только в оформлении договоров купли-продажи и их передаче ООО "Альфа".

                                                      1. Является ли агентский договор поручением обработки?
                                                      2. Является ли субагентский договор поручением обработки?
                                                      3. Возможно ли, что тут вообще нет поручения обработки и соответственно не требуется никаких согласий владельцев сковородок - ни ООО "Альфа", ни агенту, ни субагентам, а также соблюдения условий поручения обработки персоанльных данных в агентских/субагентских договорах в соответствии с ч.3 ст.6 152-ФЗ?

                                                      Комментарий


                                                      • Сообщение от Александр Четвертый Посмотреть сообщение
                                                        1. Является ли агентский договор поручением обработки? 2. Является ли субагентский договор поручением обработки? 3. Возможно ли, что тут вообще нет поручения обработки и соответственно не требуется никаких согласий владельцев сковородок - ни ООО "Альфа", ни агенту, ни субагентам, а также соблюдения условий поручения обработки персоанльных данных в агентских/субагентских договорах в соответствии с ч.3 ст.6 152-ФЗ?
                                                        Сам по себе договор не является поручением, согласно закону он должен содержать в себе поручение на обработку ПДн, условия и обязанность соблюдать конфиденциальность. (Кстати, если случится проверка и в договоре не найдут формального поручения, это будет нарушение).

                                                        Согласия на самом деле не требуется, п. 5 ч.1 ст. 6 позволяет не получать согласия.
                                                        И в реестр РКН вставляться не надо (если всё честно, конечно, т.е. не слать потом рекламу, не продавать ПДн и нет трансгранички)

                                                        Комментарий


                                                        • Александр Четвертый
                                                          Насколько я понимаю, в переводе на общепринятую терминологию, ООО "Альфа" это т.н. "принципал", а ООО "Бета" соответственно - "агент". Вроде как, в существующей юридической практике, если агент будет выполнять поручения от имени принципала, тогда такой договор будет похож на т.н. договор поручения, а если агент действует от своего имени, тогда такое соглашение напоминает договор комиссии.

                                                          Сообщение от Александр Четвертый Посмотреть сообщение
                                                          ......1. Является ли агентский договор поручением обработки?
                                                          2. Является ли субагентский договор поручением обработки?......
                                                          КМК, если агент действует от имени принципала, то агентские/субагентские договора вполне могут являться и договором поручения в контексте 152-ФЗ. Но тогда, по хорошему, там должны присутствовать все необходимые требования к договору поручения из 152-ФЗ.
                                                          Кстати, требования по защите коммерческой тайны (или чего-то в этом роде) в агентских договорах обычно присутствуют. Т.е. добавить туда требования из 152-ФЗ ничего не мешает.

                                                          Сообщение от Александр Четвертый Посмотреть сообщение
                                                          .......3. Возможно ли, что тут вообще нет поручения обработки и соответственно не требуется никаких согласий владельцев сковородок - ни ООО "Альфа", ни агенту, ни субагентам, а также соблюдения условий поручения обработки персоанльных данных в агентских/субагентских договорах в соответствии с ч.3 ст.6 152-ФЗ?
                                                          По моим представлениям, в данном случае, принципал является Оператором ПДн со всеми вытекающими....

                                                          ЗЫ: Всё ИМХО и, наверное, более правильно было бы все эти вопросы задать юристам.
                                                          Последний раз редактировалось saches; 27.10.2017, 11:24.

                                                          Комментарий


                                                          • Обеспечить в агентском и субагентском договорах все условия для поручения обработки из 152-ФЗ это не проблема.

                                                            Проблема субагентской схемы с поручением в том, что для этого требуются согласиЯ(!):

                                                            1. Согласие субъкта на поручение ООО "Альфа" обработки ООО "Бета";
                                                            2. Согласие субъекта на поручение ООО "Бета" обработки субагенту {1;N}.

                                                            Обычно в такой схеме ООО "Альфа" придумывает некую форму согласия, которую агент/субагент оформляют с субъектом при заключении договора купли-продажи в стиле:
                                                            Я ___ даю согласие __ в том числе на поручение обработки агентам и субагентам ООО "Альфа" (или просто третьим лицам) в целях заключения со мной договора куплю-продажи сковородки.
                                                            Вот кому нужна эта бумажка (или несколько бумажек), чьи права она "блюдет"?

                                                            С точки зрения субъекта ПДн, если я заключаю договор с ООО "Альфа" на покупку сковородки через посредника - все, что мне надо знать: что у посредника не остается никаких данных обо мне после заключения договора (а это итак должно обеспечиваться, если операторы - агент и субагенты соблюдают условия п.5 ч.1 ст.6 152-ФЗ, договор заключили, передали ООО "Альфа", данные уничтожили). И бумажка с согласием в этом плане никак не помогает, если агент/субагент не соблюдают 152-ФЗ.

                                                            Комментарий


                                                            • Сообщение от Александр Четвертый Посмотреть сообщение
                                                              ........ бумажка с согласием в этом плане никак не помогает, если агент/субагент не соблюдают 152-ФЗ.
                                                              Насколько я понял, все свелось к вопросу - как [суб]агента заставить соблюдать требования 152-ФЗ, и как правильно составить договор поручения и какими еще бумажками подложиться, что бы снять возможные претензии регулятора к принципалу, если агент нарушает правила обработки ПДн?
                                                              Т.е. тут, наверное, должен стоять вопрос об ответственности Оператора ПДн (Принципала) и Обработчика ПДн (Агента) при нарушении договора поручения на обработку ПДн.

                                                              ЗЫ: Поможет ли в возможных разборках с РКН/прокуратурой[/ЦБ] правильно оформленный договор поручения + акты проверок обработчиков оператором (+может еще что-то), не могу сказать, о подобных прецедентах не слышал. И лучше, всё же, с этим, к своим юристам.
                                                              Нашел вот некую "матрицу ответственности" (на 2011) Оператора и Обработчика ПДн, возможно поможет определиться, кто за что отвечает - http://sborisov.blogspot.ru/2011/12/2.html
                                                              Последний раз редактировалось saches; 27.10.2017, 13:12.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X