Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Обучение

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
24 - 28 июня 2019 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
15 - 17 июля 2019 года

003. Тестирование на проникновение: технологии хакеров для аудита информационной безопасности.
5 - 7 августа 2019 года

006. Разработка безопасного ПО в соответствии с требованиями ГОСТ Р 56939­-2016.
5 - 7 августа 2019 года

039. Межсетевое экранирование и обнаружение сетевых атак. Администрирование ПАК «РУБИКОН».
12 - 13 августа 2019 года

010. Администрирование SIEM-системы КОМРАД.
14 - 15 августа 2019 года

016.1. Основы администрирования Astra Linux SE 1.6.
19 - 21 августа 2019 года

016.2. Системное администрирование, сервисы и сетевые приложения в Astra Linux SE 1.6.
22 - 26 августа 2019 года

016.3. Администрирование комплекса средств защиты и Astra Linux Directory в Astra Linux SE 1.6.
27 - 29 августа 2019 года

016.4. Администрирование Astra Linux SE 1.6: работа в смешанных сетях.
2 - 4 сентября 2019 года 

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
RSS
Передача ПДн в банк без согласия владельца ПДн
У меня произошла интересная ситуация. Наша организация решила сменить банк для ведения зарплатного проекта. В то время когда раздавались анкеты для оформления банковских карт меня не было на работе. Приехав на работу я обнаружил на своем столе анкету из нового банка у себя на столе и что меня очень поразило, что анкета была уже полностью заполнена на компьютере. Мне оставалось только сверить данные, поставить подпись и передать ее сотрудникам нашей организации, которые должны были отвезти анкеты в банк. Я не подписал данную анкету и как результат я ее не передал. А через несколько дней к нам в офис приехали сотрудники банка и начали выдавать карточки. Я не буду отвлекаться на то, что карточки выдавались без предъявления паспорта или каких либо других документов, их просто свалили кучей на стол, каждый сам подходил, находил карту и забирал ее. правда был листок, в котором просили расписываться в получении карты, что я и сделал.
Теперь у меня возникает вопрос, на каком основании банк сделал мне карту, если я не давал ему заявления на ее изготовление и конечно же не давал согласие на обработку моих ПДн.
Что и как я могу сделать в данной ситуации?
Обратиться в ближайший территориальный Роскомнадзор. Уверен - там с удовольствием покарают этот банк :)
2Володя:
Вероятно ваша же кадровая служба и передала ваши данные новому банку. Вам надо сначала с вашими кадровиками разобраться - имели ли они право на передачу ваших данных банку без вашего согласия.
То, что передать ПДн без согласия владельца этих ПДн нельзя и так понятно, но я хочу понять, могу ли я наехать на банк и чем ему это грозит. в идеале еще бы понять как это сделать грамотнее.
Володя, если в директор или прочее начальство, или как минимум незаменимый сотрудник, то вы можете много чего сделать, а если вы простой сотрудник, то думаю, Вам лучше не связываться с банком, а следовательно и Вашим начальством (которое, как я думаю и выбрало этот банк). А то попросят искать другой банк, с соответственно другим местом работы :))
Читаем №152-ФЗ 3.глава в т.ч.
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
Статья 17. Право на обжалование действий или бездействия оператора
=) читаем закон сначала=)
все что пытаемся узнать или обжаловать, обязательно в письменном виде и т.п.
ПС: кстати Simon дело говорит=)
Изменено: Александр - 15.01.2010 11:34:59
ИМХО
Банк в данном случае "третье лицо".
А оператором выступает кадровая служба предприятия, где работает Володя. Банк посмеется над Володиными претензиями и отправит его качать права к своему руководству.
Цитата
Андрей пишет:
Банк в данном случае "третье лицо".
А оператором выступает кадровая служба предприятия, где работает Володя. Банк посмеется над Володиными претензиями и отправит его качать права к своему руководству.
Нуууу, так то точно не будет. Нужно обратиться в Роскомнадзор с письменной жалобой, в которой указать на то, что "банком *таким-то* были оказаны услуги с использованием ПДн без согласия субъекта". РКН на основании этой жалобы придет в этот банк. И выкручиваться придется именно банку, а не Организации, где Володя работет. Хотя, если есть желание, можно и на собственную организацию написать что-то типа "использование ПДн при осуществлении действий не предусмотренных Трудовым законодательством". И тоже на основании жалобы Роскомнадзор придет с проверкой. И Субъект будет уведомлен о ее результатах.
Цитата
Simon
Нуууу, так то точно не будет. Нужно обратиться в Роскомнадзор с письменной жалобой, в которой указать на то, что "банком *таким-то* были оказаны услуги с использованием ПДн без согласия субъекта". РКН на основании этой жалобы придет в этот банк. И выкручиваться придется именно банку, а не Организации, где Володя работет. Хотя, если есть желание, можно и на собственную организацию написать что-то типа "использование ПДн при осуществлении действий не предусмотренных Трудовым законодательством". И тоже на основании жалобы Роскомнадзор придет с проверкой. И Субъект будет уведомлен о ее результатах.

Не будет? Банк ответит РКНу, что данные получены от отдела кадров предприятия в составе списка сотрудников при заключении договора с этим предприятием о зарплатном обслуживании. В договоре даже возможно будут пункты о конфиденциальности и неразглашении.
И всё - стрелки переведены на предприятие.

И как вы полагаете сложится дальнейшая карьера Володи на этом предприятии после таких заяв? :)
Поэтому я и советую, прежде чем в РКН стучать, задать вопросы в своем отделе кадров. А то как бы не оказалось, что в кадрах лежит бумажка с Володиной подписью с согласием на полную обработку его ПДн.
Изменено: Андрей - 15.01.2010 15:56:06
Цитата
Андрей пишет:
Не будет? Банк ответит РКНу, что данные получены от отдела кадров предприятия в составе списка сотрудников при заключении договора с этим предприятием о зарплатном обслуживании. В договоре даже возможно будут пункты о конфиденциальности и неразглашении.
И всё - стрелки переведены на предприятие.
А имел ли банк право получать такие данные? Это уже сбор и систематизация. А если они проведены с нарушением законодательства, то нарушает не только оператор, но и банк, который также уже оператором является. А значит РКН и их натянуть правомерно может. Согласие субъекта должно быть, а банк обязан убедиться, что такое согласие имеется. Если не убедились то нарушители.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Цитата
Андрей пишет:
Банк ответит РКНу, что данные получены от отдела кадров предприятия в составе списка сотрудников при заключении договора с этим предприятием о зарплатном обслуживании. В договоре даже возможно будут пункты о конфиденциальности и неразглашении.
И всё - стрелки переведены на предприятие.
Не имеет НИКАКОГО значения наличие такого договора: должен быть договор одной стороной которого является СУБЪЕКТ, а в данном случае стороны договора банк и организация.

Цитата
И как вы полагаете сложится дальнейшая карьера Володи на этом предприятии после таких заяв?
Поэтому я и советую, прежде чем в РКН стучать, задать вопросы в своем отделе кадров. А то как бы не оказалось, что в кадрах лежит бумажка с Володиной подписью с согласием на полную обработку его ПДн.
Да на работу организации это заявление никак и не повлияет - РКН "вцепиться" в банк. Если только после банка...
А что такое "полная" обработка? Согласия с сотрудников не требуется если отношения складываются в рамках трудового кодекса: например, на передачу ПДн в ПФР согласия не надо, а вот во всякие банки - согласие на передачу требуется.
2 Simon, Анатолий М.
В целом-то я согласен с вашими доводами. Про про перевод банком стрелок я не подумал...
В любом случае, даже если банк и получил какие-то списки от отдела кадров предприятия, он должен заключать договороа с каждым сотрудником на открытие и ведения зарплатного карточного счета. А тут уже и карта выпущена, а договора Клиент-Банк нет.

Просто не вижу смысла сразу пытаться нагибать банк, если на предприятии кадровая служба работает с нарушениями. Если только чисто теоретически рассмотреть этот вопрос - как составить заявление в РКН...
Изменено: Андрей - 18.01.2010 10:00:00
Цитата
Володя пишет:
У меня произошла интересная ситуация. Наша организация решила сменить банк для ведения зарплатного проекта.

Ключевые слова - ОРГАНИЗАЦИЯ - БАНК - ЗАРПЛАТНЫЙ ПРОЕКТ. Значит был договор межу банком и организацией, где было прописано - организация передает ПД своих сотрудников для выдачи карточек и прочее, то банк для выполнения условий договора берет эти данные и использует по прямому назначению... (вроде как согласия не требуется), Вот если бы вы с коллегами пошли сами и вам выдали бы уже заполненные договора тогда да - где они их взяли??? а тут в любом случае ваша кадровая служба распечатала еще один экземпляр вашего заявления и отдали его без подписи, или сами закорючку поставили, и даже если банкиры поставили вашу подпись (в чем я очень сомневаюсь, вот где где а в банках юристы знаюшие сидят и подстраховываются сто раз), то банк не обязан знать авша подпись стоит под заявлением или не ваша, вы заполняли лично это заявление или за вас это сделали ваши коллеги. Банку без разницы - 100 карточек выдать или 99 (без вашей), раз получили 100 заявлений - 100 карточек и выдали.
Кстати, а где Володя, что то молчит, неужто правда заяву на банк кинул, и сейчас ему не до форума, новое место работы ищет???:)))
Цитата
Алексей Сафронов пишет:
Ключевые слова - ОРГАНИЗАЦИЯ - БАНК - ЗАРПЛАТНЫЙ ПРОЕКТ. Значит был договор межу банком и организацией, где было прописано - организация передает ПД своих сотрудников для выдачи карточек и прочее, то банк для выполнения условий договора берет эти данные и использует по прямому назначению... (вроде как согласия не требуется), Вот если бы вы с коллегами пошли сами и вам выдали бы уже заполненные договора тогда да - где они их взяли???
Согласия не требуется, если выполняются условия договора, одной из сторон которого является субъект. То, что организация и банк между собой договорились не дает им права распоряжаться ПД субъекта без его согласия/

Цитата
а тут в любом случае ваша кадровая служба распечатала еще один экземпляр вашего заявления и отдали его без подписи, или сами закорючку поставили, и даже если банкиры поставили вашу подпись (в чем я очень сомневаюсь, вот где где а в банках юристы знаюшие сидят и подстраховываются сто раз),
Вот тут бы я так не утверждал по поводу юристов. Некоторые банки до сих пор не принимают никаких мер по защите ПД по требованиям 152-ФЗ. Ссылаются на своих юристов, которые считают это все шуткой. И такое еще случается.


Цитата
то банк не обязан знать авша подпись стоит под заявлением или не ваша, вы заполняли лично это заявление или за вас это сделали ваши коллеги. Банку без разницы - 100 карточек выдать или 99 (без вашей), раз получили 100 заявлений - 100 карточек и выдали.
Дело в том, что это даже в целях безопасности самого банка необходимо убедиться, что подпись именно того субъекта. Сейчас объясню почему. Кто-то выдал одну лишнюю карточку, на нее капают какие-то деньги. Субъект их не получает, но если будут выявлены утечки денежных средств, банк их вернуть себе не сможет. Ведь карточку может получить не тот субъект, на кого она зарегистрирована. Конечно в этом случае опасность не только для банка, но и для организации, и для самого субъекта.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Цитата
Алексей Сафронов пишет:
Ключевые слова - ОРГАНИЗАЦИЯ - БАНК - ЗАРПЛАТНЫЙ ПРОЕКТ. Значит был договор межу банком и организацией, где было прописано - организация передает ПД своих сотрудников для выдачи карточек и прочее, то банк для выполнения условий договора берет эти данные и использует по прямому назначению... (вроде как согласия не требуется), Вот если бы вы с коллегами пошли сами и вам выдали бы уже заполненные договора тогда да - где они их взяли???
Согласия не требуется, если выполняются условия договора, одной из сторон которого является субъект. То, что организация и банк между собой договорились не дает им права распоряжаться ПД субъекта без его согласия.

Цитата
а тут в любом случае ваша кадровая служба распечатала еще один экземпляр вашего заявления и отдали его без подписи, или сами закорючку поставили, и даже если банкиры поставили вашу подпись (в чем я очень сомневаюсь, вот где где а в банках юристы знаюшие сидят и подстраховываются сто раз),
Вот тут бы я так не утверждал по поводу юристов. Некоторые банки до сих пор не принимают никаких мер по защите ПД по требованиям 152-ФЗ. Ссылаются на своих юристов, которые считают это все шуткой. И такое еще случается.


Цитата
то банк не обязан знать авша подпись стоит под заявлением или не ваша, вы заполняли лично это заявление или за вас это сделали ваши коллеги. Банку без разницы - 100 карточек выдать или 99 (без вашей), раз получили 100 заявлений - 100 карточек и выдали.
Дело в том, что это даже в целях безопасности самого банка необходимо убедиться, что подпись именно того субъекта. Сейчас объясню почему. Кто-то выдал одну лишнюю карточку, на нее капают какие-то деньги. Субъект их не получает, но если будут выявлены утечки денежных средств, банк их вернуть себе не сможет. Ведь карточку может получить не тот субъект, на кого она зарегистрирована. Конечно в этом случае опасность не только для банка, но и для организации, и для самого субъекта.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Я вернулся.
Нет заявление пока на ни на кого я не писал, на самом деле мне бы не хотелось нагибать свою организацию, поэтому хочу немного подстраховаться и получить поддержку своего директора (кстати благодаря вашим советам).
Из в всего вышесказанного мне не совсем понятно, если организация и банк заключили договор и для выполнения договора им нужны персональные данные, то что меня можно даже не спрашивать? А значит мои персональные данные могут гулять по всему миру без моего ведома?
Цитата
Володя пишет:
...Из в всего вышесказанного мне не совсем понятно, если организация и банк заключили договор и для выполнения договора им нужны персональные данные, то что меня можно даже не спрашивать?
Да не имеет никакого значения что там за договора м/у Организацие и Банком. Банк может обрабатывать Ваши ПДн только в случае, если есть письменное согласие (Ваше, а не Организации) или заключен договор м/у Вами (!!!) и Банком. Федерального закона, обязующего банки обрабатывать ПДн, я не знаю.
Изменено: Simon - 18.01.2010 12:24:27
Цитата
Володя пишет:
Нет заявление пока на ни на кого я не писал, на самом деле мне бы не хотелось нагибать свою организацию, поэтому хочу немного подстраховаться и получить поддержку своего директора (кстати благодаря вашим советам).
Из в всего вышесказанного мне не совсем понятно, если организация и банк заключили договор и для выполнения договора им нужны персональные данные, то что меня можно даже не спрашивать? А значит мои персональные данные могут гулять по всему миру без моего ведома?

Надо бы не поддержку директора получить, а объяснение произошедшего - на основании чего банк открыл счета вам и вашим коллегам.
Даже если кадры и передают некие списки в банк, то эта передача имеет технологический характер, а сотрудники все-равно должны собственноручно написать/подписать/заполнить заявления в банк на открытие счетов.
Директор должен быть в курсе этих событий, он же подпись свою ставит. Впрочем, подписи могут ставить и его заместители, тогда все произошло действительно в обход директора.
В общем в любом случае надо начать с разборок у себя на предприятии, разобраться со своими нарушениями, а потом уже гнуть банк.
Изменено: Андрей - 18.01.2010 13:01:40
Ещё одному захотелось деньжат на халяву срубить
Коллеги!
Все достаточно просто:
1. Банк не выполнил требование по индентификации по 115-ФЗ и 115-Т -
открыл счет без личной явки физлица и его идентификации банковским сотрудником - это вопрос ЦБ
2. поскольку договора на обслуживание счета нет (заявление+ договор оферты есть договор согласно ГК РФ, то нет оснований для обработки персональных данных - РКН
3. поскольку от работника нет заявления на добровольное!!!! перечисление зарплаты на данный расчетный (пластиковый) счет - можно говорить о невыполнении ТК РФ работодателем в части своевременной оплаты труда - прокуратура
в данном случае нарушители:
директор работадателя
начальник кадровой службы
бухгалтер работодателя
менеджер банка
оператор банка
сотрудник финмониторинга банка
сотрудник СВК
Страницы: 1 2 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)