Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Есть фирма, ООО. Есть зарплатный проект. Есть договор с банком.

Клиент прошел проверку Роскомнадзора по части обработки персональных данных.

Было выдано предписание с нарушением: «отсутствие поручения об установлении обязанности Банка (в рамках зарплатного проекта) соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке».

Банк же утверждает, что договор не предусматривает наличие такого поручения.

В банке принята система безопасности в соответствии со стандартами Банка России.

Есть «ПРАВИЛА ВЫПУСКА, ОБСЛУЖИВАНИЯ И ПОЛЬЗОВАНИЯ БАНКОВСКИМИ КАРТАМИ ДЛЯ КЛИЕНТОВ - ФИЗИЧЕСКИХ ЛИЦ» в п.5.4.8. указана
обязанность банка «соблюдать тайну Счета Клиента, операций по его Счету и сведений о Клиенте. Информация о Клиенте, Счете и операциях по Счету может быть
предоставлена третьим лицам только в случаях и порядке, предусмотренном действующим законодательством Российской Федерации.».

Также в Банке издана ЧАСТНАЯ ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ПДН

Вопросы:

1. Кто прав? Должна ли обработка ПДн работников в рамках зарплатного проекта передаваться Банку на основании поручения на обработку (ч.3 ст.6 ФЗ-152 «О персональных данных») с указанием перечня действий (операций) с ПДн, целей обработки, обязанности соблюдать конфиденциальность и обеспечивать безопасность ПДн, требований к защите ПДн в соответствии со ст. 19 ФЗ-152?

2. Или прав Банк, и договор о зарплатном проекте отношения к обработке ПДн не имеет? Т.е. что для такого случая поручение в рамках ч.3 ст.6 ФЗ-152 «О персональных данных» не обязательно?

3. Как тогда обосновать Роскомнадзору то, что это не является нарушением?

Я разбираюсь в ситуации и представляю интересы от лица фирмы.
Буду благодарна за помощь.
Вся сложность в том, чтобы понять: имеет ли место в данном случае поручение на обработку ПДн банку или нет? По идее, оператор ООО, и обработку ведет тоже ООО. Банку обработка не поручается, банку ПДн передаются для перечисления зарплаты работникам ООО.

Как доказать сие Роскомнадзору - знает только Роскомнадзор. Если там вменяемые люди - докажете, если над положениями закона они особо не задумывались - то вряд ли.
Цитата
AlexG пишет:
Если там вменяемые люди - докажете

Как думаете - что написать РКНу в ответ на предписание?
Можно ли банку послать письменный запрос с просьбой подтвердить в письменном виде, что у них всё защищается как надо и потом этот ответ приложить в письмо РКНу? Ведь банк не будет переделывать договор и заключать доп. соглашение...
От банка любая бумажка пригодится: и то, что они там защищены, и бумажка, указывающая цель обработки ими ПДн (т.е. показывающая то, что банк является ОПЕРАТОРОМ, а не уполномоченным лицом.

В РКН я бы написал примерно то же, что уже сказал в комменте выше: ООО является оператором, цель обработки такая-то, ПДн передаются банку не для обработки, а для перечисления з/пл, поэтому банк тоже оператор и, как всякий оператор, обязан защищать ПДн, что он и делает.
Если от банка будет бумажка с указанием мер защиты - лишний аргумент в пользу того, что безопасность ПДн обеспечивается и там.
В договоре по обслуживанию в рамках зарплатного проекта с использованием банковских карт должна быть определена обязанность банка соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ 152.

Убедите банк заключить доп соглашение или шлите РНК письмо о том, что банк отказывается заключать доп. соглашение и приложите к нему письмо от банка. И ищите другой банк, который заключит договор с нужными обязанностями по конфиденциальности.

Вот еще решение суда, там есть пару слов про зарплатный проект и договор
http://shahti5.ros.msudrf.ru/modules.php?name=sud_delo&op=sd&number=27695078&case_number=5-104/2013&delo_id=1500001

Дайте знать, как решили вопрос.
Цитата
Владимир Путинков пишет:
Убедите банк заключить доп соглашение или шлитеРНК письмо о том, что банк отказывается заключать доп. соглашение и приложите к нему письмо от банка. И ищите другой банк, который заключит договор с нужными обязанностями по конфиденциальности.

А чем установлена обязанность банка заключать такой договор? Банк сам вправе решать, какой договор заключать и с кем. Не нравятся условия договора - не заключает. И никакой РКН здесь не при чем. И вообще, имеет ли здесь место поручение банку обработки ПДн? Или это передача ПДн для реализации определенной цели (выплата зарплаты)?

Более того, если в договоре о поручении обработки не указано то, о чем вы написали, наказывать будут оператора, а не уполномоченное лицо.
Цитата
Владимир Путинков пишет:
В договоре по обслуживанию в рамках зарплатного проекта с использованием банковских карт должна быть определена обязанность банка соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ 152.

Владимир, аргументируйте.

Цитата
AlexG пишет:
И вообще, имеет ли здесь место поручение банку обработки ПДн? Или это передача ПДн для реализации определенной цели (выплата зарплаты)?

Правильно, мы должны разобрать цепочку.

Банк - оператор. Банк определяет цель - "выплата з/п", состав ПДн для реализации услуги "выплата з/п"
и действия с ними.
А ещё банк определяет угрозы и параметры безопасности ПДн клиентов в своей ИСПДн.

Фирма - оператор. Фирма берёт у работников ПДн и передаёт их в банк для реализации цели "выплата з/п".

По закону, оператор поручает обработку другому лицу, а не другому оператору.
Значит, передача ПДн другому оператору не будет поручением.

Другое лицо не является оператором и не определяет цели, состав и действия с ПДн...

Верно я рассуждаю? :)
Цитата
Анастасия пишет:
Верно я рассуждаю?

На мой взгляд, верно. Интересно послушать мнение тов. Путинкова. Что-то он растерялся ;)
Я немного тронут :oops: , что Вам интересно мое мнение. Для меня нет разницы в поручении и передаче ПДн, видимо я еще зеленый в защите ПДн. Передача или поручение, главное - закон требует включить в договоры с компаниями особые положения. Например, о неразглашении переданных персональных данных. Я так понял, что у Насти такого особого пункта нет в договоре с банком и из-за этого появилось предписание Роскомнадзора.
Сегодня на вебинаре Емельянникова задала ему этот вопрос.
Ответ:
обработка ПДн работников в рамках зарплатного проекта не является поручением на обработку, это договор на оказание услуг.
Цитата
Анастасия пишет:
Сегодня на вебинаре Емельянникова задала ему этот вопрос.

Ответ:

обработка ПДн работников в рамках зарплатного проекта не является поручением на обработку, это договор на оказание услуг.

Вот если бы это сказал Роскомнадзор....
Анастасия, послушайте и меня.
1. ООО - оператор, без сомнения, т.к., он формирует цель, определяет состав ПДн и т.д.
2.Банк тоже оператор, но другой ИСПДн, с другими целями, сотавом ПДн и прочее. Банк защищает ПДн клиентов =физических лиц по своим также узаконенным требованиям по соответствующему стандарту.
3. ООО заключает договор с банком об указании обычной для банка услуги, т.е. банк
не является обработчиком в терминах 152 ФЗ
4.ООО не должен требовать у банка соблюдения безопасности по 2-м причинам: банк не обработчик по отношению к ООО, банк защитил ПДн клиентов (работников ООО) по своему стандарту.
Итог: Роскомнадзор не прав!
И тут наспамили. :evil:
Что-то, как-то, не очень согласен.
152-ФЗ распространяется почти на всех кто связан с ПДн за исключением указанного в п.2 ст.1.
Обработка - любое действие с ПДн. Главное это ЛЮБОЕ.
Оператор - лицо, осуществляющее обработку ПДн.
п.4 ст.5 152-ФЗ Обработке подлежат только ПДн, которые отвечают целям их обработки.

Если лицо, совершает любое действие с ПДн (взял в руки и читает или пришло по почте в адрес организации для работы), то он оператор и обязан указать, что он обрабатывает ПДн и указать с какой целью.

Таким образом, если ООО передает банку ПДн, то банк обрабатывает ПДн по поручению ООО, таким образом заключайте доп. соглашение с указанием необходимых пунктов указанных в п.3 ст.6 и др. требований, предъявляемых 152-ФЗ
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)