30 марта, понедельник 06:47
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Rinat1991
    Участник создал тему Вопросы по ПДн

    Вопросы по ПДн

    Здравствуйте коллеги!
    С недавних пор работаю в банке. Возникли следующие вопросы по разработке ОРД по ПДн:
    1. Необходимо ли разрабатывать отдельно модель угроз по ПДн. Если ДА, можно ли пользоваться методикой определения актуальных угроз фстэк?
    2. АБС банка содержит большое колличество отдельных модулей(программ), преследующих конкретные цели: кредитование, вклады, переводы, анкеты клиентов и т.д. Делать отдельные ИСПДн для каждой из программ или объединить их в одну ИСПДн, например "Клиенты"? Ведь общая цель у них одна - обслуживание клиентов банка.
    3. Какие ИСПДн выделены в вашем банке?

    Спасибо!

  • dnebyshe
    Участник ответил
    Небольшая победа.
    РКН не стал оспаривать мои доводы, что отдельно взятый электронный адрес это не ПДн.
    Истек срок привлечения за административку.

    Прокомментировать:


  • Степанов В.В.
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    что не меняет сущности моего довода о том, что охрана персданных необоснованно ставится судом в зависимость от того, возможна ли с их помощью идентификация субъекта
    Ваша позиция понятна
    Согласен. Ссылку, данную Срх, необходимо рассмотреть чуть шире, иначе это будет фраза, вырванная из контекста
    С чего она начинается: Оценив собранные по делу доказательства, суд обосновано пришел к выводу, т.е рассматривались конкретные требования и конкретные доказательства
    Это в полномочиях ВС есть право рассматривать проблему со всех сторон, прежде чем сделать обобщения и выдать некие конкретные направляющие
    А апелляционная инстанция действует в весьма узком коридоре, ограниченном статьёй 327.1, посему к выводам апелляционного суда следует подходить весьма осторожно

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от Степанов В.В. Посмотреть сообщение
    итоговым документом апелляционной инстанции является определение
    да, так и есть,
    перемкнуло немного ))


    ...

    что не меняет сущности моего довода о том, что охрана персданных необоснованно ставится судом в зависимость от того, возможна ли с их помощью идентификация субъекта

    Прокомментировать:


  • Степанов В.В.
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    определение не является документом, которым завершается рассмотрение дела по существу,
    решение - да, является,
    поэтому нужный нам прецедент возникает только из решения суда,
    Немного дополню

    ГПК РФ, статья 194. Принятие решения суда
    1. Постановление суда первой инстанции, которым дело разрешается по существу, принимается именем Российской Федерации в форме
    решения суда

    Статья 329. Постановление суда апелляционной инстанции
    1. Постановление суда апелляционной инстанции выносится в форме апелляционного определения


    Таким образом, итоговым документом апелляционной инстанции является определение, так уж повелось
    посему, ссылка Срх на Апелляционное определение Московского городского суда - это нормально

    Прокомментировать:


  • Cpx
    Участник ответил
    Мне кажется основная проблема в том, что данные и причинный ущерб в РФ стоит меньше 25тр.
    Да и штрафы по КОАП не большие, даже с учетом обновления на счет БД за границей:
    http://cs.groteck.ru/IB_6_2019/19/index.html#zoom=z
    и про утечки
    http://cs.groteck.ru/IB_6_2019/28/index.html#zoom=z

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    обработка без согласия - это правонарушение с формальным составом
    Тут думаю все поддерживают. Мало кто любит получать спам звонки, рассылки, рекламные предложения.
    Молчу, про темных господ, которые занимаются темными не законными вещями.

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Отличная, мы двумя руками ЗА!

    Вопрос, возникает из не четкого толкования, а что такое ПДн?


    п.с. надеюсь донес сложную мысль
    чуть позже составлю ответ по существу


    ...

    ранее приведённую аргументацию дополню следующим штрихом: обработка без согласия - это правонарушение с формальным составом, факт нарушения которой состоит уже в том, что обработка совершается без согласия,

    в отличие от норм с материальным составом, когда условием квалификации деяния в качестве правонарушения является наступление неблагоприятных для потерпевшего последствий в виде вреда, убытков и т.п. результатов (это к вопросу о том, что будет, если персданные внезапно станут известны третьи лицам)

    ))

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    согласитесь, само по себе это намерение закона оч благое, оно лежит в основе признания интересов личности высшей ценностью государства, декларативно, но такова идея,
    Отличная, мы двумя руками ЗА!

    Вопрос, возникает из не четкого толкования, а что такое ПДн?
    В первой редакции была идентификация, но ее убрали.
    Сейчас, это все, что угодно прямо или косвенно и по своему настроению РКН и Суд ее трактует в ту или иную пользу.
    Для гос органов создали свои условия обработки теж же ПДн с возможностью обезличивания (по методички) и есть специальное определение обезличенных Пдн, в которых проскакивает старая фраза "не позволяет идентифицировать без использования доп информации".
    Выходит у одних по гражданину Иванову - все данные = Пдн, а у Госов только часть. Где же тут тая самая идея демократии, равенства и ценности?
    Вот и коллеги переживают и не понимают (:

    На мой взгляд, нужно всеже определение ПДн доработать:
    1. вернуть категории Пдн (критичности).
    - Где критичные - все документы и св-ва (паспорта, права, биоемтрия и т.п.);
    - специальные - медицинские;
    - контактные (визитки, телефоны, адреса);
    - статусы - работы, должности и т.п.
    2. В какой-то форме вернуть признак идентификация субъекта путём использования его критичных или специальных данных и завязка их на единственные способы идентификации гражданина (паспорт или биометрия ЕБС), которая используется гос органами, нотариусами, банка ми пр..
    3 Сделать четкое понимание, кто идентифицирует и кто владеет ПДн (частью, всеми и доп информацией). А то выходит, что mail.ru владеет именем (псевдонимом), и е-майлом + оператор связи IP, паспортными данными, и адресом размещения оборудования + Банк ПДн по договору.
    И Варианты использования совокупности или в отдельности этих Пдн и не Пдн - море и в текущем виде, все они могут быть отнесены прямо или косвенно к субьекту, а могут и не отнесены. Главный вопрос кем отнесены (это 3 юр лица указанных Ваше, или это 4 юр лицо владеющие каким то составом данных, которое владеет одно из 3 юр лиц?).

    п.с. надеюсь донес сложную мысль

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    нашел решение суда "МОСКОВСКИЙ ГОРОДСКОЙ СУД АПЕЛЛЯЦИОННОЕ ОПРЕДЕЛЕНИЕ от 12 декабря 2016 г. по делу N 33-42101"
    Оценив собранные по делу доказательства, суд обосновано пришел к выводу об отказе в удовлетворении исковых требований, поскольку в нарушении ст. 56 ГПК РФ стороной истца не было представлено достоверных доказательств нарушения ответчиком положений Федерального закона "О персональных данных". Кроме того, судом верно было отмечено, что адрес электронной почты не относится к персональным данным, поскольку не позволяет идентифицировать субъект персональных данных, а является лишь средством передачи данных.
    определение не является документом, которым завершается рассмотрение дела по существу,
    решение - да, является,
    поэтому нужный нам прецедент возникает только из решения суда,

    кроме того, в этом определении суд доверчиво переписал в мотивировочную часть, обосновывающую отказ в удовлетворении апелляционной жалобы, не подтвержденный законом вывод о том, что функцией персданных является идентификация носителя (субъекта персональных данных),

    приведу пример с оформлением сделки без получения предварительного согласия лиц в случаях, предусмотренных законом: такая сделка может быть признана судом недействительной, поскольку совершена в ситуации игнорирования воли заинтересованного лица, несёт риск нарушения его имущественных прав,

    отсутствие согласия нарушает не режим тайны, а порядок распоряжения имуществом,

    отсутствие согласия на обработку персональных данных нарушает не режим тайны, а порядок распоряжения субъектом личными неимущественными правами (ст.150 ГК),
    это и есть нарушенный интерес, который можно защищать путем запрета обработки,

    красной нитью в обсуждении проходит мысль "мол, а чё такова", ну увидят адрес, телефон и т.п.,
    помнится, на семинаре Витрянского обсуждали порядок передачи в залог права аренды,
    для легальности сделки арендатор обязан письменно уведомить арендодателя,
    слушатели горячо интересуются, а чем чревато несоблюдение этого правила?
    Витрянский, слегка выходя из себя, восклицает: если есть требование уведомить, что мешает его выполнить?
    немая пауза

    ...

    я к тому, что непонимание цивилистической сущности и ценности нормы (предупреждение собственника о передаче прав на его имущество в залог; функция швейцара, который докладывает господину о нарушителе покоя) обусловлено нашим отечественным менталитетом

    Прокомментировать:


  • solus rex
    Участник ответил
    коллеги, интересная дискуссия,

    отмечу два момента:
    1) персданные защищаются не потому что они секретные (о режиме охраняемой законом тайны такой как тайна переписки, банковская тайна, медицинская тайна, тайна исповеди , тайна телефонных переговоров, тайна усыновления и т.п. речь не идёт), а потому что они потенциально или прямо касаются частной жизни гражданина, которую всуе поминать запрещено, только с разрешения носителя данных, поскольку его личность признаётся законом неприкосновенной,

    согласитесь, само по себе это намерение закона оч благое, оно лежит в основе признания интересов личности высшей ценностью государства,
    декларативно, но такова идея,

    2) управление правовым риском возложено только на правовое подразделение, поэтому и оценку этого риска должно провести оно,
    я пока что подразумеваю формальную сторону дела, в контексте порядка принятия решений и наступления ответственности за его реализацию,

    то, что "девочка-юрист ничего не знает" не меняет этот принцип,
    это проблема работодателя, если он нанимает некомпетентных работников,

    а специалист ИБ не должен пострадать в случае, когда предпринял все доступные в сложившейся ситуации меры осторожности, осмотрительности и разумности,

    принятие этих мер и доказывается той самой служебной запиской,
    важно письменно сигнализировать о проблеме работодателю, а не брать огонь на себя
    Последний раз редактировалось solus rex; 14.01.2020, 11:26.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    А какое это имеет значение, кто конкретно выходил в интернет? Тот кто мой IP-адрес регистрирует и какие-то ещё мои данные, может меня потом идентифицировать, также и с куками (никто же не знает кто конкретно за компом сидит).
    Прямое, а может не идентифицировать, а может другого человека. Мы же не в казино играем с теорией вероятности и мат ожидания?
    Сообщение от Zuz Посмотреть сообщение
    Ну, а что делать, если регулятор к этому ведёт?
    до такого маразма не доходит пока и это хорошо. На Европу мне пофиг.
    Сообщение от Zuz Посмотреть сообщение
    Как-то странно от вас слышать, если e-mail ПДн, то чем адрес почтовый не ПДн?
    Да, т.к. данные всегда рассматриваются в совокупности, отдельно это не Пдн! Адрес не является Пдн, это адрес обьекта недвижимости, который имеет кадастровый номер. Вот адрес прописки может быть.

    Обещал найти про адрес, нашел про адрес электронной почты - нашел решение суда "МОСКОВСКИЙ ГОРОДСКОЙ СУД АПЕЛЛЯЦИОННОЕ ОПРЕДЕЛЕНИЕ от 12 декабря 2016 г. по делу N 33-42101"
    Оценив собранные по делу доказательства, суд обосновано пришел к выводу об отказе в удовлетворении исковых требований, поскольку в нарушении ст. 56 ГПК РФ стороной истца не было представлено достоверных доказательств нарушения ответчиком положений Федерального закона "О персональных данных". Кроме того, судом верно было отмечено, что адрес электронной почты не относится к персональным данным, поскольку не позволяет идентифицировать субъект персональных данных, а является лишь средством передачи данных.

    Сообщение от Zuz Посмотреть сообщение
    Серия и номер? Почему?
    Есть решение суда, хоть и номер является номером учета бланка документа.
    Вам шашачки или ехать? Если шашачки - можете копаться и искать соотв решение судов, писать письма в РКН.

    Сообщение от Zuz Посмотреть сообщение
    , т.е. информация которая относится к вашему документу, по которой некоторые органы могут вас идентифицировать?
    надеюсь Вы над этим задумалась и поняли, что даже в паспорте не все однозначно, не говоря про более тонкие материи емайл, ip

    Сообщение от Zuz Посмотреть сообщение
    Нет, я просто готовлюсь к плановой проверке, и у нас параноя.
    Стоит успокоиться, и начать с бизнес процессов и законности обработки, третьих лиц, сайта и его политики, хранение.
    В такие дерби проверка врядли будет заходить.
    Если не уверены в своих силах, могу посоветовать людей с гарантией результата(:

    Сообщение от Zuz Посмотреть сообщение
    Это очевидно, как почти любая другая информация о субъекте ПДн.
    Не очевидно, и в банковских процессах она чаще обрабатывается с основной информацией.




    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    не может! Он привязан к лицу с кем заключен договор, а не к пользователи интернет (жена, сын. сосед)!
    А какое это имеет значение, кто конкретно выходил в интернет? Тот кто мой IP-адрес регистрирует и какие-то ещё мои данные, может меня потом идентифицировать, также и с куками (никто же не знает кто конкретно за компом сидит).

    Сообщение от Cpx Посмотреть сообщение
    Вы еще скажите, что номер машины, яхты, самолета, ТВ, джойстика, телефона, унитаза - тоже Ваши Пдн? Зачем до абсурда доходить?
    Ну, а что делать, если регулятор к этому ведёт? И в европе тоже самое. Почитайте.

    Сообщение от Cpx Посмотреть сообщение
    Также и адрес - адрес это номер квартиры, Вашей прописки - т.е. не уникальные данные, это место проживания или/и собственности или/и регистрации*. *
    Вот для меня это чувствительные данные, они более чем уникальны, точно меня идентифицируют (это как минимум, обезличенные ПДн в рамках изменений в закон о ПДн).
    Как-то странно от вас слышать, если e-mail ПДн, то чем адрес почтовый не ПДн?

    Сообщение от Cpx Посмотреть сообщение
    Данные паспорта бесспорно ПДн.
    Что именно? Серия и номер? Почему? Дата выдачи? Код подразделения выдавшего? Что именно тут ПДн, если не считать, только что всё это связано с вашим паспортом, т.е. информация которая относится к вашему документу, по которой некоторые органы могут вас идентифицировать?

    Сообщение от Cpx Посмотреть сообщение
    Но Вы сейчас их пытаетесь переплюнуть. ))
    Нет, я просто готовлюсь к плановой проверке, и у нас параноя.

    Сообщение от Cpx Посмотреть сообщение
    - сам по себе адрес не является ПДн, если адрес обрабатывается с связкой ПДн - то он им станет.
    Это очевидно, как почти любая другая информация о субъекте ПДн.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Кстати, не факт, что так однозначно
    Слишком старый суд - 2010год. позиция регулятора резко изменилась в 2014году.
    Все теперь рассматривается из конкретного бизнес процесса и состава данных, о чем коллеги забывают. Поэтому помочь коллеги мы не можем, т.к. не обладаем всей инфой.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    ....* Данные паспорта бесспорно ПДн.
    Кстати, не факт, что так однозначно - https://personal-data.livejournal.com/175682.html
    И может, вот это заинтересует - https://habr.com/ru/company/zarlaw/blog/299176/

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Может Вы что подскажите?
    Попробую поискать у себя.
    Статьи по теме (со ссылками на суды):
    https://bryanskinfo.ru/2019/11/16/otnositsja-li-adres-k-personalnym-dannym/
    https://www.garant.ru/news/1294310/
    https://habr.com/ru/post/327892/

    https://yuridicheskaya-konsultaciya.ru/trudovoe_pravo/personalnye-dannye.html
    https://habr.com/ru/company/zarlaw/blog/299176/

    На счет адреса - сам по себе адрес не является ПДн, если адрес обрабатывается с связкой ПДн - то он им станет. решение суда поищу, и там была связь с Фз о почте...
    Последний раз редактировалось Cpx; 13.01.2020, 11:26.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    По IP вообще оператор связи меня может идентифицировать
    не может! Он привязан к лицу с кем заключен договор, а не к пользователи интернет (жена, сын. сосед)!
    К Вашим Пдн он как относится - я не понимаю?
    Вы еще скажите, что номер машины, яхты, самолета, ТВ, джойстика, телефона, унитаза - тоже Ваши Пдн? Зачем до абсурда доходить?
    Также и адрес - адрес это номер квартиры, Вашей прописки - т.е. не уникальные данные, это место проживания или/и собственности или/и регистрации*. * Данные паспорта бесспорно ПДн.

    п.с. я не пойму, куда Вы клоните и в чем задача? Я тут больше всех выступаю за позицию "РКН" и объясняю ее и местами они сильно нагибают. Но Вы сейчас их пытаетесь переплюнуть. ))

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Даже полный адрес не вялятся ПДн, ищите решение суда. Вы не туда ушли... ))
    Ищу, но пока без результативно.
    Может Вы что подскажите?

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    У нас та же фигня.
    В точку. Когда-то давно ответсвенного за организацию обработки + защиту назначили ИБ, потому как никто ПДн в всерьез не воспринимал.
    Теперь сложно убедить что организация обработки и защита это разные вещи.
    + самому интересна практика по боданию с РКН.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Вы почему не подключи своих юристов? Пусть работают это их вопросы, а не вопросы ИБ.
    У нас та же фигня.
    Во-первых, руководство разучилось читать и даже если его ткнуть носом в название закона, то оно всё равно видит там надпись "Закон о защите персональных данных". Я уже лет пять пытаюсь с этим бороться, но толку ноль.
    Во-вторых, так как когда-то именно ИБ первыми начало поднимать эти вопросы, то они и стали крайними. А передать повешенный на тебя функционал обычно невозможно. Что-то изменится только тогда, когда он уволится. И то, не факт.
    В третьих, скорее всего он тоже ответственный за обработку ПДн (да, я знаю, что это противоречит закону) и потому это именно его проблемы, а не юристов.
    Последний раз редактировалось Berckut; 13.01.2020, 04:39.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Даже полный адрес не вялятся ПДн, ищите решение суда. Вы не туда ушли... ))
    Является, я дал вам определение из закона. Определения суда могли уже устареть (закон и правоприменительная практика меняются). Адрес моего пребывания и регистрации по паспорту, адрес куда я хожу на стрижку, адреса магазинов, которые я посещаю, всё это мои ПДн, если вдруг кто-то их надумает обрабатывать.

    Сообщение от Cpx Посмотреть сообщение
    IP не Ваш, а оператора связи и вы противоречите описанному Вами выше(:
    В чём именно противоречие? Не важно чей IP, важно, что ПДн — это любая информация, которая ко мне как-то относится. Это не только информация конкретно обо мне, характеризующая меня (типа национальности или диагноза у врача), это что угодно может быть, к примеру, какие товары я покупаю в магазине (а магазин связывает эту информацию со мной, как клиентом участником программы лояльности).

    Посмотрите на эволюцию определения ПДн в 152-ФЗ (в новой дефиниции добавлен подчеркнутый текст и удалён выделенный серым шрифтом):
    Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

    Если информация позволяет меня определить, то это безусловно ПДн (а статический IP-адрес вполне меня определяет, как минимум на уровне оператора связи), если же в совокупности с такой информацией есть ещё информация, которая меня прямо не определяет, но каким-то образом относится ко мне (есть связь между данной информацией и мной как субъектом ПДн), то это тоже ПДн.

    Сообщение от Cpx Посмотреть сообщение
    в рамках которых они обязаны собирать и записывать технические данные. + СОРМ от ФСБ.
    В теории обработка всегда должна осуществляется в рамках согласия.
    Посмотрите как менялась статья 6 152-ФЗ:
    Было:
    1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
    2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
    Стало:
    1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
    Исключения ушли из закона в части согласия. Согласие в той или иной форме формально давать необходимо всегда.
    Конструкция статьи 6 теперь такова, что нужно выполнять принципы, а первый из них требует согласия субъекта ПДн:
    1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
    Исключений текущая конструкция статьи 6 не даёт, кроме отдельных пунктов типа:
    6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
    В статье 9 152-ФЗ дано определение, когда можно продолжать обработку без согласия:
    2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
    Но конструкция этой статьи такова, что она косвенно указывает на необходимость согласия для всех случаев статьи 6.

    Сообщение от Cpx Посмотреть сообщение
    Как "Ваш" IP и данные УЗ - относятся к Вам или к Пдн?
    Ровно так же, как и e-mail адрес, не находите? )))
    По IP вообще оператор связи меня может идентифицировать, по учётной записи, если профиль корректно заполнен, то тоже без проблем, это уже формальный признак ПДн.
    Последний раз редактировалось Zuz; 11.01.2020, 12:50.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Адрес аналогично
    Даже полный адрес не вялятся ПДн, ищите решение суда. Вы не туда ушли... ))
    Сообщение от Zuz Посмотреть сообщение
    Ни разу не давал на что-то такое никому согласия
    IP не Ваш, а оператора связи и вы противоречите описанному Вами выше(:
    Давали, помимо 152Фз, у Оператора связи есть свои ФЗ, в рамках которых они обязаны собирать и записывать технические данные. + СОРМ от ФСБ.
    Как "Ваш" IP и данные УЗ - относятся к Вам или к Пдн?


    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    100%. На работе никто не знает, что я делаю и чем занимаюсь, но все понимают, что это необходимо.
    Сообщение от ndebyshe Посмотреть сообщение
    Это девочка юрист в соседнем кабинете, и она будет в шоке от моего вопроса.
    Тем самым - Вы сами разводите балаган и хаос, вы же в банке работаете, а не на базаре разнорабочим. У каждого работника д.б. ДИ, в ней все обязанности и за них Вам платят ЗП. У любой девочки есть Руководитель, а руководителя свой. Вы сейчас хуже делаете работодателю и себе...
    Т.е. делать чужую работу готовы, а выстроить нормально процессы и ответственность не готовы? Вы так никогда не вырастите из текущей должности и болота.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Если идти Вашей логике - Оператор Вашего телефона тоже Ваши Пдн? Далее РФ, Москва, район, улица, дом - тоже Пдн?
    Конечно! ))) Если у вас есть база данных, где я идентифицирован как субъект и есть явная связь, где содержится всё вышесказанное, это ни что иное как мои ПДн.
    Но вот, если вы по коду случайного номера определили по справочнику какой этот номер оператор обслуживает, то это обезличенные ПДн.
    персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    Тот же оператор сотовой связи может меня характеризовать и иметь для кого-то значение при принятии решений.

    Адрес аналогично. А я могу не хотеть, чтобы все знали мой адрес. Это как пример, письмо по бумажной почте написали, но в адресатах указали ещё десяток лиц (к примеру, не на самом конверте, а внутри письма). По идее и тут РКН должен бить тревогу! )))

    Сообщение от Cpx Посмотреть сообщение
    иначе это не законная обработка
    Ну зашёл я на сайт (пусть этот форум) он в логи записал мой IP, а если это ещё с аутентификацией произошло, то ещё этот IP связал с моей учётной записью на ресурсе.
    Ни разу не давал на что-то такое никому согласия (хотя это в рамках закона может осуществляется, я не погружался, что там распространители информации обязаны сейчас регистрировать и можно ли это без согласия делать).

    Сообщение от Cpx Посмотреть сообщение
    Нет, если не докажете, что забор общедоступный источник и вы обрабатываете общедоступные данные.
    Очевидно, что я исключил законные способы обработки, если есть общедоступный источник, то там уже есть согласие.

    Сообщение от Cpx Посмотреть сообщение
    Если да, то к нему потом придет РКН с получение согласий, что данные на этом законе получен законно от самих субъектов. В противном случае закрою забор.
    Как ёмко вся суть РНК тут изложена. )))

    Сообщение от Cpx Посмотреть сообщение
    бигдата по каждому субъекту с привязкой к мобильному телефону
    Смотря какая бигдата, вообще если говорите про "профиль" - это явные ПДн, без вариантов, но они весьма условно обезличены.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Как я понимаю субъекты ПДн к вам не обращались
    Не, не обращались, знаю только их ФИО из письма РКН, но это не клиенты и возможности связаться с ними нет.

    Сообщение от Zuz Посмотреть сообщение
    Потому как ИБ - это служба по непонятным вопросам
    100%. На работе никто не знает, что я делаю и чем занимаюсь, но все понимают, что это необходимо.
    Сообщение от solus rex Посмотреть сообщение
    достаточно направить служебную записку в правовое подразделение банка
    Это девочка юрист в соседнем кабинете, и она будет в шоке от моего вопроса.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Потому как ИБ - это служба по непонятным вопросам.
    Вот и не понятно, ту ли специальность выбрал.... за 13 лет ничего не поменялось -(
    А потом умные люди на своих блогах рассуждает, что должен знать и уметь специалист ИБ или аналитик SOC))
    Где их искать, почему их не учат и сколько они должны стоять...

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    IP-адрес у меня статический, и он связан со мной как субъектом ПДн
    Не согласен, но РКН и в эту степь пытается идти ))
    IP адрес с Вами не связан ибо это товар/услуга которую Вы купили. Если идти Вашей логике - Оператор Вашего телефона тоже Ваши Пдн? Далее РФ, Москва, район, улица, дом - тоже Пдн?
    Сообщение от Zuz Посмотреть сообщение
    Кто-то взял с меня согласие на обработку (а обрабатывают его постоянно)?
    На что? Постоянно не может обрабатывать, либо цели в договоре, либо короткий срок в согласии согласия. Срок 10 лет тоже зарубает РКН ):
    Кто-то тоже не может, этот кто-то Вам известен (указан в договоре или согласии) иначе это не законная обработка. Также как и конкретный и конечный состав данных.

    Сообщение от Zuz Посмотреть сообщение
    Похоже, что даже разглядывание надписи на заборе тоже обработка
    Нет, если не докажете, что забор общедоступный источник и вы обрабатываете общедоступные данные. Т.е. найти владельца забора и получить у него ответ, забор общедоступный источник или нет. Если да, то к нему потом придет РКН с получение согласий, что данные на этом законе получен законно от самих субъектов. В противном случае закрою забор.
    Если нет, можете договор заключить на получение таких данных, доказывать придётся владельцу забора. Немного смежный кейс от операторов связи - бигдата по каждому субъекту с привязкой к мобильному телефону. Для составления профиля клиента банка и таргетирование условия и анализ рисков.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Жалоба от гражданина А, Б и В, что они увидел чужие адреса, и значит их адрес увидят тож
    Вот это надуманная причина (что кто-то увидел чужой e-mail адрес и всё пропало), нет в законе явно ничего про это, цель звучит вот так:
    Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
    Права и свободы субъектов ПДн направление электронного групового письма (без учёта 15 статьи 152-ФЗ) никак не нарушает.
    А вот то, что было направлено письмо, возмоджно, рекламного характера, уже права нарушает, вот есть статья по теме (основной вывод: не имеешь согласия на рассылку не направляй).

    Сообщение от ndebyshe Посмотреть сообщение
    он хочет от вас ... основания обработки
    Тут, КМК, нужно стоять до конца, ПДн конкретных лиц не обрабатывали, т.к. e-mail адреса не связаны с конкретными субъектами и являются обезличенными персональными данными. Поэтому и основания для обработки таких данных не требуется.

    У РКН вопрос должен быть вот по этой норме:
    Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
    1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

    Но тут аналогично, обработку не вели, т.к. обезличенные данные.

    Как я понимаю субъекты ПДн к вам не обращались, правами из главы 3 152-ФЗ не воспользовались (к примеру, п. 2 статьи 15), сразу написали жалобу (согласно п. 1 статьи 17).
    КМК, единственный верный тут вариант отвечать, что не ведёте обработку ПДн указанных лиц. С требованиям по уточнению и прекращению обработки кто-либо из субъектов не обращался.

    Сообщение от solus rex Посмотреть сообщение
    дополню: или обрабатываются на законном основании
    Если бы мы знали такое основание в контесте той проблемы, что обсуждаем, то ndebyshe всех бы уже благодарил, поэтому я это опустил, т.к. иначе бы вопроса не было. )

    Сообщение от solus rex Посмотреть сообщение
    срисовывание без согласия - это обработка без согласия
    А ведь формально это так.

    К примеру, IP-адрес у меня статический, и он связан со мной как субъектом ПДн (в договоре, прописан, меня даже идентифицировать в Интернете можно по нему).
    Кто-то взял с меня согласие на обработку (а обрабатывают его постоянно)?
    Вот по этому закон далеко несовершенен, нюансы не продуманы, каждую секунду, что-то формально являющееся моими ПДн кто-то обрабатывает, а про согласие даже и не думал спрашивать.

    Похоже, что даже разглядывание надписи на заборе тоже обработка (если вы такое разглядывание не для личных нужд осуществляете). Тут есть тонкая грань: такая обработка (случайная, без явного волеизъявления и каких-то конкретных целей), но без согласия тоже нарушение? )))

    Сообщение от Cpx Посмотреть сообщение
    Вы почему не подключи своих юристов?
    Потому как ИБ - это служба по непонятным вопросам.

    Сообщение от ndebyshe Посмотреть сообщение
    Похоже, что они в этом не сильны.
    Но могут обратится за консультацией к экспертам. Коллеги правы, нам тут в качестве разминки для ума и правоприменительной практики интересно, а у вас реальный регуляторный риск.

    Прокомментировать:


  • solus rex
    Участник ответил
    Cpx

    да, вы правы: коллега ndebyshe может инициировать правовую защиту своего работодателя уже сейчас, не дожидаясь постановления о правонарушении,

    достаточно направить служебную записку в правовое подразделение банка с требованием дать оценку рискам в складывающейся ситуации с обработкой "контрафактных" сведений и предложить эффективные меры защиты,

    целесообразно направить второй экземпляр самому работодателю (лицу, курирующему работу правового подразделения)

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Похоже, что они в этом не сильны.
    т.е. а Вы как ИТ/ИБ специалист сильны в Юр вопросах? ) Без обид (:
    Вы молодец, что за дело переживаете, но это их работа (риски, иски, взаимодействие с РКН, ответы).
    Вы и так самостоятельно прошли проверку ЦБ на отлично.

    Не знают, умеют - пусть привлекают тех кто знает и умеет, гарантирует результат. Если интересно, могу помочь (посоветую людей).

    Во всех проверках, в которых я помогал банкам проходить - всегда участвовали лица:
    - ИТ;
    - Бизнес;
    - Юристы;
    - ИБ.
    бывали, случаи когда бизнес не хотел вносить изменения в процесс и готов был платить штрафы (:

    Прокомментировать:

Обработка...
X