Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Хранение сканов согласий на обработку
С юристами возник спор:
Есть в компании клиентская программа лояльности (карточки с бонсами и скидками).
Естественно клиенты для ее получения заполняют анкеты с указанием паспортных данных. Согласие на обработку тоже берется.

Дальше идет обработка: перенос данных из анкеты в БД, сканирование анкеты.

Конечным пунктом цепочки становится ... уничтожение бумажных анкет с подписью клиента (месяца через 3).

Юристы компании обосновывают это тем, что в законе нет указания на обязательство хранения бумажных носителей с подписью и хранить согласия можно в отсканированном виде. Тем более это экономически выгоднее.
Я им утверждаю, что хранить надо в бумажном до достижения цели обработки.
ст.9. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
Является ли скан таким доказательством :?: В принципе - да, при условии, что уничтожение оригиналов осуществлялось комиссионно и составлен реестр уничтоженных документов, где указаны фамилии клиентов, давших согласие, и ссылка на то, что хранение сканов осуществляется в электронном виде.
Сергей, а для прокуратуры, суда и Роскомнадзора скан будет ли доказательством. Как проверить подлинность подписи?
И что вы вкладываете в понятие комиссионно? Уничтожение поручено третьему лицу, промышленным способом.
Кем поручено? Кто отбирал документы? Есть ли их опись? Члены комиссии, ставя подпись под актом уничтожения, подтверждают, что: 1. Согласие есть и подписано субъектом. 2. Скан согласия соответствует оригиналу. А вот возможность модификации скана - это другой вопрос, хотя решаемый:оргмеры, атрибут только чтение или шифрование. Да и экспертиза на крайний случай.
Цитата
nikodim пишет:
Уничтожение поручено третьему лицу, промышленным способом
У РКН будут вопросы по этому поводу. Если на основании договора, то существенным условием договора будет конфиденциальность ПДн. Если без договора - то есть ли основания для такой передачи?
Меня эта тема интересовала давно. Сформировали и отправили в РКН запрос примерно следующего содержания: можно мы будем сканировать согласие на обработку (и иные документы с ПДн), оригиналы уничтожать, а по факту уничтожения составлять акт, подписанный комиссией?
Получили гениальный ответ в стиле
"- Сан Саныч, а эти ягоды можно есть?
-Можно. Только отравишься."(с)
Нам популярно ответили, что мы можем организовать такую систему, но в случае возникновения вопросов как со стороны субъектов так и со стороны регуляторов мы не сможем ничего подтвердить нашими сканами, ибо юридической силы они не имеют. Наличие акта регуляторы как-то выпустили из виду и комментариев по этому вопросу не дали.
Время у нас сейчас такое. Гос структуры(суды, наши регуляторы и т.д.) пока ничерта не ладят с высокими(по их мнению очень высокими) технологиями. Они что-то слышали про сканы, видеозаписи, облачные вычисления и т.д., но также где-то слышали что их можно подделать и взломать. И так вот по умолчанию и стали считать, что взломать их очень легко не смотря ни на какие меры. И пошли судебные прецеденты, что видео- и аудиозаписи действительны только в течении получаса или часа, что сканы не действительны и т.д.

Иными словами регулятор дает понять, что так-то сканы конечно неплохая вещь, но мы(и суды) еще до них не доросли, так-что копите бумажки. Не то чтобы для регуляторов, а для спокойствия самих себя. Так надежнее..
Выдавать каждому субъекту электронную подпись и формировать согласия подписанные этой ЭП. Другого законного способа не существует.
Цитата
Сергей С. пишет:
Выдавать каждому субъекту электронную подпись и формировать согласия подписанные этой ЭП. Другого законного способа не существует.
Теоретически - да. Практически это невыполнимо.
Цитата
Ирина пишет:
Практически это невыполнимо.
Может когда-нибудь сделают УЭК с ЭП для всех, тогда и на практике станет возможным. 15 лет назад мобильник был предметом роскоши, а сейчас назвать ЭТО телефоном язык не поворачивается, возможность позвонить - одна из десятка функций, причем не так часто используемая :)
Сергей С.,
Немного оффтопа если позволите...
Если ответите буду рад, даже можно создать темку новую..

Собсно вопрос:
Давно заметил, что Вы ЗА УЭК. Почему? :)
Я за, только не в том виде, в каком ее планируют выпустить на текущий момент. УЭК должна быть документом, удостоверяющим личность + ЭП + транспортное + банковское (по желанию) приложения. Хранить на ней СНИЛС, ИНН, ФОМС, водительские права лишнее, только номер самой УЭК, а по нему уже вытаскивать все остальное. Проблема межведомственного взаимодействия не должна волновать владельца. У америкосов же фактически так и есть - права и номер страховки. Вся проблема в ридерах и связи, Россия велика и реализовать все это в Замкадье невозможно, по крайней мере в ближайшей перспективе.
Страницы: 1
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)