Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Хранение сканов согласий на обработку
С юристами возник спор:
Есть в компании клиентская программа лояльности (карточки с бонсами и скидками).
Естественно клиенты для ее получения заполняют анкеты с указанием паспортных данных. Согласие на обработку тоже берется.

Дальше идет обработка: перенос данных из анкеты в БД, сканирование анкеты.

Конечным пунктом цепочки становится ... уничтожение бумажных анкет с подписью клиента (месяца через 3).

Юристы компании обосновывают это тем, что в законе нет указания на обязательство хранения бумажных носителей с подписью и хранить согласия можно в отсканированном виде. Тем более это экономически выгоднее.
Я им утверждаю, что хранить надо в бумажном до достижения цели обработки.
ст.9. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
Является ли скан таким доказательством :?: В принципе - да, при условии, что уничтожение оригиналов осуществлялось комиссионно и составлен реестр уничтоженных документов, где указаны фамилии клиентов, давших согласие, и ссылка на то, что хранение сканов осуществляется в электронном виде.
Сергей, а для прокуратуры, суда и Роскомнадзора скан будет ли доказательством. Как проверить подлинность подписи?
И что вы вкладываете в понятие комиссионно? Уничтожение поручено третьему лицу, промышленным способом.
Кем поручено? Кто отбирал документы? Есть ли их опись? Члены комиссии, ставя подпись под актом уничтожения, подтверждают, что: 1. Согласие есть и подписано субъектом. 2. Скан согласия соответствует оригиналу. А вот возможность модификации скана - это другой вопрос, хотя решаемый:оргмеры, атрибут только чтение или шифрование. Да и экспертиза на крайний случай.
Цитата
nikodim пишет:
Уничтожение поручено третьему лицу, промышленным способом
У РКН будут вопросы по этому поводу. Если на основании договора, то существенным условием договора будет конфиденциальность ПДн. Если без договора - то есть ли основания для такой передачи?
Меня эта тема интересовала давно. Сформировали и отправили в РКН запрос примерно следующего содержания: можно мы будем сканировать согласие на обработку (и иные документы с ПДн), оригиналы уничтожать, а по факту уничтожения составлять акт, подписанный комиссией?
Получили гениальный ответ в стиле
"- Сан Саныч, а эти ягоды можно есть?
-Можно. Только отравишься."(с)
Нам популярно ответили, что мы можем организовать такую систему, но в случае возникновения вопросов как со стороны субъектов так и со стороны регуляторов мы не сможем ничего подтвердить нашими сканами, ибо юридической силы они не имеют. Наличие акта регуляторы как-то выпустили из виду и комментариев по этому вопросу не дали.
Время у нас сейчас такое. Гос структуры(суды, наши регуляторы и т.д.) пока ничерта не ладят с высокими(по их мнению очень высокими) технологиями. Они что-то слышали про сканы, видеозаписи, облачные вычисления и т.д., но также где-то слышали что их можно подделать и взломать. И так вот по умолчанию и стали считать, что взломать их очень легко не смотря ни на какие меры. И пошли судебные прецеденты, что видео- и аудиозаписи действительны только в течении получаса или часа, что сканы не действительны и т.д.

Иными словами регулятор дает понять, что так-то сканы конечно неплохая вещь, но мы(и суды) еще до них не доросли, так-что копите бумажки. Не то чтобы для регуляторов, а для спокойствия самих себя. Так надежнее..
Выдавать каждому субъекту электронную подпись и формировать согласия подписанные этой ЭП. Другого законного способа не существует.
Цитата
Сергей С. пишет:
Выдавать каждому субъекту электронную подпись и формировать согласия подписанные этой ЭП. Другого законного способа не существует.
Теоретически - да. Практически это невыполнимо.
Цитата
Ирина пишет:
Практически это невыполнимо.
Может когда-нибудь сделают УЭК с ЭП для всех, тогда и на практике станет возможным. 15 лет назад мобильник был предметом роскоши, а сейчас назвать ЭТО телефоном язык не поворачивается, возможность позвонить - одна из десятка функций, причем не так часто используемая :)
Сергей С.,
Немного оффтопа если позволите...
Если ответите буду рад, даже можно создать темку новую..

Собсно вопрос:
Давно заметил, что Вы ЗА УЭК. Почему? :)
Я за, только не в том виде, в каком ее планируют выпустить на текущий момент. УЭК должна быть документом, удостоверяющим личность + ЭП + транспортное + банковское (по желанию) приложения. Хранить на ней СНИЛС, ИНН, ФОМС, водительские права лишнее, только номер самой УЭК, а по нему уже вытаскивать все остальное. Проблема межведомственного взаимодействия не должна волновать владельца. У америкосов же фактически так и есть - права и номер страховки. Вся проблема в ридерах и связи, Россия велика и реализовать все это в Замкадье невозможно, по крайней мере в ближайшей перспективе.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)