4 июля, суббота 07:33
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Rinat1991
    Участник создал тему Вопросы по ПДн

    Вопросы по ПДн

    Здравствуйте коллеги!
    С недавних пор работаю в банке. Возникли следующие вопросы по разработке ОРД по ПДн:
    1. Необходимо ли разрабатывать отдельно модель угроз по ПДн. Если ДА, можно ли пользоваться методикой определения актуальных угроз фстэк?
    2. АБС банка содержит большое колличество отдельных модулей(программ), преследующих конкретные цели: кредитование, вклады, переводы, анкеты клиентов и т.д. Делать отдельные ИСПДн для каждой из программ или объединить их в одну ИСПДн, например "Клиенты"? Ведь общая цель у них одна - обслуживание клиентов банка.
    3. Какие ИСПДн выделены в вашем банке?

    Спасибо!

  • solus rex
    Участник ответил
    Сообщение от df1 Посмотреть сообщение

    Уточнил. Говорят, что физик может прийти к нам не от третьего лица, но бизнес хочет передавать такую информацию как раз таки третьим лицам по согласию физика. Т.е. физик узнает о третьем лице только в момент направления запроса в нашей системе
    Опять это треклятое третье лицо! Ох, пора бы уже с ним познакомиться!
    наверное, придётся вам ещё раз понаведаться: третье лицо - какой это субъект?

    поскольку возможно, что для сбора сведений по поручению такого третьего лица получение согласия субъекта законом не предусмотрено

    Прокомментировать:


  • df1
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение

    если лицо привлечено к сбору персональных данных контрагентом субъекта персональных данных (оператор) в порядке п.3 ст.6 152-фз, то в силу п.4 той же статьи оно не обязано получать согласие:



    оператор в данном случае - контрагент налогоплательщика,
    а сборщик - третье лицо (в терминологии 153-фз)
    Уточнил. Говорят, что физик может прийти к нам не от третьего лица, но бизнес хочет передавать такую информацию как раз таки третьим лицам по согласию физика. Т.е. физик узнает о третьем лице только в момент направления запроса в нашей системе

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от df1 Посмотреть сообщение
    Оператор будет ... и передавать такую информацию третьему лицу, с которым у физлица есть отношения. ...
    1. Должен ли оператор в таком случае брать согласие на обработку и передачу таких сведений?
    если лицо привлечено к сбору персональных данных контрагентом субъекта персональных данных (оператор) в порядке п.3 ст.6 152-фз, то в силу п.4 той же статьи оно не обязано получать согласие:

    Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных
    оператор в данном случае - контрагент налогоплательщика,
    а сборщик - третье лицо (в терминологии 153-фз)

    Прокомментировать:


  • df1
    Участник ответил
    История с самозанятыми. Оператор будет собирать только ИНН физлиц, получать сведения из ФНС о статусе самозанятого, его задолженностях и передавать такую информацию третьему лицу, с которым у физлица есть отношения. Т.е. цели обработки не укладываются в рамки исполнения закона «О самозанятых».
    1. Должен ли оператор в таком случае брать согласие на обработку и передачу таких сведений?
    2. Если брать согласие, то логично должны появиться избыточные данные,которые оператору не нужны, но для того чтобы это согласие стало соответствовать нормам 152-ФЗ их получать надо: фио, паспорт...
    3. Если брать согласие в электронной форме, то добавляется номер сотового, на который придет смс подтверждение. С ИНН и номером мобилы, полноценное соглашение об использовании простой ЭП мне кажется заключить не получиться, да и согласие не будет соответствовать 152-ФЗ.
    Как быть?)

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Господа теоретики, так мне на сайте нужно делать подтверждение при помощи ПЭП согласия на обработку ПДН или нет?
    Я про юриков, где руководитель отправляет сканы доков и паспортов некоторых сотрудников для рассмотрения возможности открытия счета. (потом к нему отправим менеджера за подписанием доков).
    не нужно

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Господа теоретики, так мне на сайте нужно делать подтверждение при помощи ПЭП согласия на обработку ПДН или нет?
    Я про юриков, где руководитель отправляет сканы доков и паспортов некоторых сотрудников для рассмотрения возможности открытия счета. (потом к нему отправим менеджера за подписанием доков).

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    клиент, когда наделяет своего работника такими полномочиями.
    а содержание полномочия какое?

    Прокомментировать:


  • Berckut
    Участник ответил
    В таких случаях почти всегда делается доверенность на представителя огранизации, которая передаётся в банк. Порядок использвания доверенности опредёл ст. 185 ГК.
    На мой взгляд можно сказать, что банк обрабатывает ПДн представителя клиента в рамках федерального законодательства - ГК. Равно как и клиент, когда наделяет своего работника такими полномочиями.

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от UserNick Посмотреть сообщение

    С "работниками" в общем случае не согласен. Думаю, что мы оба не совсем правы, а предмет уточнений лежит за рамками заданного вопроса.
    Предлагаю более точную и удобную для восприятия формулировку "Лиц связанных с юр. лицом или ИП, ПДн которых банк обязан обрабатывать для подтверждения их полномочий по распоряжению ДС или для исполнения возложенных на банк обязанностей".

    UserNick

    поддерживаю,
    категорически,

    ибо не всегда эти лица состоят с клиентом в трудовых правоотношениях,
    а для того, чтобы квалифицировать их в качестве представителя, нужны особые условия - договор поручения, доверенность,
    кроме того, факт наличия у этих лиц доверенности никак не связан с процедурой передачи оператору персональных данных этих лиц

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от UserNick Посмотреть сообщение
    ПДн их представителей обрабатываются для выполнения возложенных на банк обязанностей.
    Сообщение от solus rex Посмотреть сообщение
    ПДн работников контрагента оператора​​
    С "работниками" в общем случае не согласен. Думаю, что мы оба не совсем правы, а предмет уточнений лежит за рамками заданного вопроса.
    Предлагаю более точную и удобную для восприятия формулировку "Лиц связанных с юр. лицом или ИП, ПДн которых банк обязан обрабатывать для подтверждения их полномочий по распоряжению ДС или для исполнения возложенных на банк обязанностей".

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение

    даже если это не клиент банка, а просто директор левой фирмы, который только намеревается открыть у нас счет и прикрепляет к форме заявке сканы паспорта своего и главбуха?
    этот "просто директор левой фирмы" является оферентом оператора (кредитной организации), поэтому приведенное основание подходит к обсуждаемому случаю как нельзя лучше,

    оферта - предложение заключить ДБС,
    акцепт - заключение ДБС

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от UserNick Посмотреть сообщение
    ПДн их представителей
    ПДн работников контрагента оператора


    ​​​​​

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    поэтому нет оснований для вывода о том, что​​​​​​
    Да, согласен. По юр.лицам и ИП Вы правы. ПДн их представителей обрабатываются для выполнения возложенных на банк обязанностей.

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от UserNick Посмотреть сообщение
    Мышкой двигал и кнопочки кто нажимал? Субъект. При этом он еще был и представителем юр.лица или ИП.
    речь о том, что инициатива субъекта персональных данных при заключении договора с юридическим лицом в формальном смысле отсутствует,

    поэтому нет оснований для вывода о том, что
    Вы получаете ПДн для обработки в соответствии с п. 5)
    ​​​​​​

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    субъект персональных данных - только физ лицо
    Мышкой двигал и кнопочки кто нажимал? Субъект. При этом он еще был и представителем юр.лица или ИП.

    Прокомментировать:


  • solus rex
    Участник ответил
    UserNick

    субъект персональных данных - только физ лицо

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    даже если это не клиент банка, а просто директор левой фирмы, который только намеревается открыть у нас счет и прикрепляет к форме заявке сканы паспорта своего и главбуха?
    Сообщение от 152-ФЗ
    Статья 6. Условия обработки персональных данных

    1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
    1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
    ...
    5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
    Это разные основания для обработки.

    Вы получаете ПДн для обработки в соответствии с п. 5)
    Если клиент юр.лицо или ИП, не взял со своих работников согласие на передачу вам для обработки ПДн своих работников , то это его проблемы.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    согласие не требуется,
    даже если это не клиент банка, а просто директор левой фирмы, который только намеревается открыть у нас счет и прикрепляет к форме заявке сканы паспорта своего и главбуха?

    Прокомментировать:


  • solus rex
    Участник ответил
    dnebyshe

    как получить согласия от сотрудников организации, чьи данные подает скажем юрист или директор фирмы?
    согласие не требуется,
    ибо оператор (кредитная организация) обрабатывает эти сведения в связи с исполнением своих функций:

    2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Коллеги, такой вопрос.
    При подачи юриком документов на открытие счета, он передает нас ПДн третих лиц (бенефицара, главбуха, еще может кого).
    Надо-ли брать и у них согласия на обработку?
    И как их брать, если первичные сканы доков подаются удаленно?

    У физиков мне понятно. С помощью ПЭП из СМС и афертой мы это согласия получим.
    А вот как получить согласия от сотрудников организации, чьи данные подает скажем юрист или директор фирмы?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Небольшая победа.
    РКН не стал оспаривать мои доводы, что отдельно взятый электронный адрес это не ПДн.
    Истек срок привлечения за административку.

    Прокомментировать:


  • Степанов В.В.
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    что не меняет сущности моего довода о том, что охрана персданных необоснованно ставится судом в зависимость от того, возможна ли с их помощью идентификация субъекта
    Ваша позиция понятна
    Согласен. Ссылку, данную Срх, необходимо рассмотреть чуть шире, иначе это будет фраза, вырванная из контекста
    С чего она начинается: Оценив собранные по делу доказательства, суд обосновано пришел к выводу, т.е рассматривались конкретные требования и конкретные доказательства
    Это в полномочиях ВС есть право рассматривать проблему со всех сторон, прежде чем сделать обобщения и выдать некие конкретные направляющие
    А апелляционная инстанция действует в весьма узком коридоре, ограниченном статьёй 327.1, посему к выводам апелляционного суда следует подходить весьма осторожно

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от Степанов В.В. Посмотреть сообщение
    итоговым документом апелляционной инстанции является определение
    да, так и есть,
    перемкнуло немного ))


    ...

    что не меняет сущности моего довода о том, что охрана персданных необоснованно ставится судом в зависимость от того, возможна ли с их помощью идентификация субъекта

    Прокомментировать:


  • Степанов В.В.
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    определение не является документом, которым завершается рассмотрение дела по существу,
    решение - да, является,
    поэтому нужный нам прецедент возникает только из решения суда,
    Немного дополню

    ГПК РФ, статья 194. Принятие решения суда
    1. Постановление суда первой инстанции, которым дело разрешается по существу, принимается именем Российской Федерации в форме
    решения суда

    Статья 329. Постановление суда апелляционной инстанции
    1. Постановление суда апелляционной инстанции выносится в форме апелляционного определения


    Таким образом, итоговым документом апелляционной инстанции является определение, так уж повелось
    посему, ссылка Срх на Апелляционное определение Московского городского суда - это нормально

    Прокомментировать:


  • Cpx
    Участник ответил
    Мне кажется основная проблема в том, что данные и причинный ущерб в РФ стоит меньше 25тр.
    Да и штрафы по КОАП не большие, даже с учетом обновления на счет БД за границей:
    http://cs.groteck.ru/IB_6_2019/19/index.html#zoom=z
    и про утечки
    http://cs.groteck.ru/IB_6_2019/28/index.html#zoom=z

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    обработка без согласия - это правонарушение с формальным составом
    Тут думаю все поддерживают. Мало кто любит получать спам звонки, рассылки, рекламные предложения.
    Молчу, про темных господ, которые занимаются темными не законными вещями.

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Отличная, мы двумя руками ЗА!

    Вопрос, возникает из не четкого толкования, а что такое ПДн?


    п.с. надеюсь донес сложную мысль
    чуть позже составлю ответ по существу


    ...

    ранее приведённую аргументацию дополню следующим штрихом: обработка без согласия - это правонарушение с формальным составом, факт нарушения которой состоит уже в том, что обработка совершается без согласия,

    в отличие от норм с материальным составом, когда условием квалификации деяния в качестве правонарушения является наступление неблагоприятных для потерпевшего последствий в виде вреда, убытков и т.п. результатов (это к вопросу о том, что будет, если персданные внезапно станут известны третьи лицам)

    ))

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от solus rex Посмотреть сообщение
    согласитесь, само по себе это намерение закона оч благое, оно лежит в основе признания интересов личности высшей ценностью государства, декларативно, но такова идея,
    Отличная, мы двумя руками ЗА!

    Вопрос, возникает из не четкого толкования, а что такое ПДн?
    В первой редакции была идентификация, но ее убрали.
    Сейчас, это все, что угодно прямо или косвенно и по своему настроению РКН и Суд ее трактует в ту или иную пользу.
    Для гос органов создали свои условия обработки теж же ПДн с возможностью обезличивания (по методички) и есть специальное определение обезличенных Пдн, в которых проскакивает старая фраза "не позволяет идентифицировать без использования доп информации".
    Выходит у одних по гражданину Иванову - все данные = Пдн, а у Госов только часть. Где же тут тая самая идея демократии, равенства и ценности?
    Вот и коллеги переживают и не понимают (:

    На мой взгляд, нужно всеже определение ПДн доработать:
    1. вернуть категории Пдн (критичности).
    - Где критичные - все документы и св-ва (паспорта, права, биоемтрия и т.п.);
    - специальные - медицинские;
    - контактные (визитки, телефоны, адреса);
    - статусы - работы, должности и т.п.
    2. В какой-то форме вернуть признак идентификация субъекта путём использования его критичных или специальных данных и завязка их на единственные способы идентификации гражданина (паспорт или биометрия ЕБС), которая используется гос органами, нотариусами, банка ми пр..
    3 Сделать четкое понимание, кто идентифицирует и кто владеет ПДн (частью, всеми и доп информацией). А то выходит, что mail.ru владеет именем (псевдонимом), и е-майлом + оператор связи IP, паспортными данными, и адресом размещения оборудования + Банк ПДн по договору.
    И Варианты использования совокупности или в отдельности этих Пдн и не Пдн - море и в текущем виде, все они могут быть отнесены прямо или косвенно к субьекту, а могут и не отнесены. Главный вопрос кем отнесены (это 3 юр лица указанных Ваше, или это 4 юр лицо владеющие каким то составом данных, которое владеет одно из 3 юр лиц?).

    п.с. надеюсь донес сложную мысль

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    нашел решение суда "МОСКОВСКИЙ ГОРОДСКОЙ СУД АПЕЛЛЯЦИОННОЕ ОПРЕДЕЛЕНИЕ от 12 декабря 2016 г. по делу N 33-42101"
    Оценив собранные по делу доказательства, суд обосновано пришел к выводу об отказе в удовлетворении исковых требований, поскольку в нарушении ст. 56 ГПК РФ стороной истца не было представлено достоверных доказательств нарушения ответчиком положений Федерального закона "О персональных данных". Кроме того, судом верно было отмечено, что адрес электронной почты не относится к персональным данным, поскольку не позволяет идентифицировать субъект персональных данных, а является лишь средством передачи данных.
    определение не является документом, которым завершается рассмотрение дела по существу,
    решение - да, является,
    поэтому нужный нам прецедент возникает только из решения суда,

    кроме того, в этом определении суд доверчиво переписал в мотивировочную часть, обосновывающую отказ в удовлетворении апелляционной жалобы, не подтвержденный законом вывод о том, что функцией персданных является идентификация носителя (субъекта персональных данных),

    приведу пример с оформлением сделки без получения предварительного согласия лиц в случаях, предусмотренных законом: такая сделка может быть признана судом недействительной, поскольку совершена в ситуации игнорирования воли заинтересованного лица, несёт риск нарушения его имущественных прав,

    отсутствие согласия нарушает не режим тайны, а порядок распоряжения имуществом,

    отсутствие согласия на обработку персональных данных нарушает не режим тайны, а порядок распоряжения субъектом личными неимущественными правами (ст.150 ГК),
    это и есть нарушенный интерес, который можно защищать путем запрета обработки,

    красной нитью в обсуждении проходит мысль "мол, а чё такова", ну увидят адрес, телефон и т.п.,
    помнится, на семинаре Витрянского обсуждали порядок передачи в залог права аренды,
    для легальности сделки арендатор обязан письменно уведомить арендодателя,
    слушатели горячо интересуются, а чем чревато несоблюдение этого правила?
    Витрянский, слегка выходя из себя, восклицает: если есть требование уведомить, что мешает его выполнить?
    немая пауза

    ...

    я к тому, что непонимание цивилистической сущности и ценности нормы (предупреждение собственника о передаче прав на его имущество в залог; функция швейцара, который докладывает господину о нарушителе покоя) обусловлено нашим отечественным менталитетом

    Прокомментировать:

Обработка...
X