Страницы

Администрация Сочи собирает ПДн банковских работников


Прислали краснодарские друзья. Если б не проверенный источник, подумал бы, что фишинг: обезличенные адресаты, содержимое не связано с темой, ящики на Яндекс и Мылору... жуть.
 

Мой ответ гражданке Гандалоевой:

===========================================

Уважаемая Л.Б.,

В соответствии с ст.7 Федерального закона от 27 июля 2006г. N 152-ФЗ "О персональных данных" (далее 152-ФЗ) оператор персональных данных обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом под оператором понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Прошу вас указать цели сбора запрошенных персональных данных, а также федеральный закон, предусматривающий порядок передачи вам персональных данных, либо представить необходимые сведения, требуемые в п.4 ст. 9 152-ФЗ для организации сбора согласий субъектов персональных данных.

//только федеральный закон, в котором подробно расписана процедура сбора персональных данных граждан, может служить основанием для подобных запросов.

В соответствии с ст. 19 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Перечень необходимых организационных и технических мер при этом детализирован в приказе ФСБ России от 10.07.2014 N 378, а также в приказе ФСТЭК России от 18.02.2013 N 21. К таким мерам, в частности, относится использование средств криптографической защиты информации для обеспечения конфиденциальности персональных данных при их передаче по каналам связи общего пользования (в т.ч. по сети Интернет). В соответствии с вашим запросом, использование каких-либо средств защиты конфиденциальности персональных данных не предусматривается, что влечёт за собой нарушение обязательств оператора, указанных в ст. 19 152-ФЗ.

//они требуют пересылки сведений в открытом виде, что является нарушением закона. Почту нельзя назвать доверенным каналом, даже если отбросить требования Регуляторов

Кроме того, передача персональных данных третьим лицам, в частности, компании Яндекс (головная компания Yandex N.V., Нидерланды), на серверах которой расположен указанный вами почтовый ящик, возможна только при наличии согласия субъекта персональных данных, для чего прошу вас также представить необходимую для сбора согласий информацию, указанную в п.4 ст.9 152-ФЗ, и сведения, подтверждающие выполнение условий передачи персональных данных третьему лицу, установленные п.3 ст.6 152-ФЗ.

//официальный ящик на яндексе или маил.ру - это, конечно, очень очень грустно.

Учитывая вышесказанное, вынужден отказать вам в предоставлении запрошенных сведений до поступления необходимых разъяснений с вашей стороны.
===========================================

Если ваш работодатель слил ваши данные без вашего согласия в администрацию/УВД и Яндекс - можете смело писать на него жалобу в Роскомнадзор. Это нарушение ваших прав и норм 152-ФЗ. За это положен суд и статья КоАП.

Примечателен ещё и сам факт составления регистра занятого населения УВД и Администрацией города Сочи. У меня вот есть уверенность, что это не возложенная на них законом функция, и надо бы попросить Генеральную Прокуратуру дать свою оценку происходящему. Думаю, это лучше сделать тем, чьи интересы эта бумага затрагивает непосредственно.

PS а если кто зашлёт им на ящик макро-малварь в офисном файле? Что-то мне подсказывает, что с ИБ у них там плохо всё.

PPS любят у нас любую ерунду прикрывать "борьбой с терроризмом". Вот в Робоцыпе это классно показали

3 комментария:

  1. Аххаа, робоцып в тему :D а в целом, грустно..

    ОтветитьУдалить
  2. Артём, Саня, а не может ли это быть банальным разводом? Ну, например, просто слив нужной для каких-то своих целей инфы от такого масштабного агрегатора данных как банк? Или банк имеют подтверждение легитимности данных писулек?

    ОтветитьУдалить
    Ответы
    1. Ну так информация не о всех клиентах Банка они хотят, а только о сотрудниках (в офисе может их вообще 2-20 человек). А вот насчет претендующих на трудоустройство тут вообще неясность и неразбериха. Если человек претендует на трудоустройство он может просто отправить в организацию свое резюме где из ПДн будет только ФИО(и то это спорно, что это ПДн без дополнительной информации вроде даты рождения). И что они хотят? ну отправят им инфу о трех Ивановых и двух Петровых (только ФИО) и до свидания. Так же если уже идет конкретное рассмотрение кандидата, и он не проходит, то его ПДн должны быть уничтожены(обезличены) в течении трех дней, на основании представленной писульки хранить дольше данные сведения нельзя.

      Удалить