1 Августа, 2013

Защита прав субъекта ПДн глазами субъекта. Компании готовы увольнять сотрудников за разглашение и использование ПДн клиентов в личных целях.

Andrey Prozorov
Довольно интересную историю рассказал мой хороший друг. Будет полезно для понимания практики защиты ПДн в российских компаниях.

Мой друг работает в Москве, а его девушка живет в Казани. Она на днях пошла в один крупный сетевой магазин спортивной одежды купить себе новые кроссовки. Кроссовки купила, а еще и заполнила анкету покупателя. Через какое-то время ей пришло смс с незнакомого номера типа "ты мне очень понравились, давай встретимся, это я, продавец из этого магазина". Девушка рассказывает эту историю моему другу, он из Москвы звонит менеджерам магазина в Казань. Говорит, что продавцы нарушают 152-ФЗ, используют ПДн в личных целях, приводит в пример смс. В магазине начинают внутреннюю проверку, поднимают "на уши" все руководство и, особенно, руководителя отдела кадров, смотрят видеозаписи, вызывают продавца и устраивают конференц связь между всеми участниками. В общем, разбираются с текущей ситуацией. Что было дальше? Все просто, 2 человека (продавец и его коллега, который пытался его покрывать) были уволены одним днем по статье (к сожалению какой именно не знаю, полагаю, что за разглашение охраняемой законом информации). 

Что мы можем вынести для себя из этой истории?
  1. Некоторые операторы ПДн в России готовы быстро и довольно жестко реагировать на инциденты, связанные с разглашением и использованием ПДн.
  2. Операторы готовы решать проблемы своими силами и без угроз со стороны регуляторов.  В данной истории мой друг не обращался ни в РКН (нарушение по ПДн), ни в ФАС (нарушение закона о рекламе). Если бы он это сделал, то у магазина могли бы быть некоторые проблемы (внеплановая проверка, предписания и штрафы). 
  3. Субъекты ПДн, далекие от ИТ, ИБ и юридической практики (мой друг именно такой), уже знают о 152-ФЗ и о своих основных правах, а также готовы эти права отстаивать.
  4. Если у нас возникают проблемы с какой-то компанией, которая обрабатывает наши ПДн, то вопрос вполне можно решить "полюбовно", пообщавшись с руководством компании (например с руководителем отдела кадров).

P.S. История не о том "хорошо или плохо поступили", не о том "что наказание слишком сурово", а о том, что защита ПДн, а точнее реагирование на инциденты, в некоторых компаниях в РФ существует и работает.


А вы уже читали отчет о деятельности РКН по направлению ПДн? Я писал про него тут - http://www.securitylab.ru/blog/personal/80na20/31770.php

или введите имя

CAPTCHA
MFS
1 Августа, 2013
Хороший пример. Подобным же образом гонял не в меру ретивых их какого-то банка. Прислали тёще и её подруге конверты с рекламой кредитов и т.п. Вопросил - откель у них персональные данные и по какому праву они их используют. Отправил формой обратной связи с головного сайта банка. Через несколько дней звонил взволнованный манагер и усиленно извинялся. По его словам данные они взяли из форм, которые заполнялись при получении зарплатных карт ДРУГОГО банка! Больше никаких писем/звонков не было.
0 |
Павел
2 Августа, 2013
Внимательнее надо быть
Надо было читать договор с банком, где оформлялись зарплатные карты. Сейчас во многих договорах с банками есть пункт (что-то вроде): Банк имеет право передавать ПДн третьим лицам для достижения своих целей.
0 |
2 Августа, 2013
По 152-фз с субъектом должен быть согласован (получено согласие) перечень 3х лиц, кому ПДн передаются. Должно быть указано конкретно, кому именно передаются.
0 |
MFS
2 Августа, 2013
Я думаю всё было гораздо проще - данные из первого банка (а это был сбер) были просто скопипастены. Вот и вся загадка.
0 |
Илья
2 Августа, 2013
В любом случае надо предъявлять претензии к Сберу, ибо в первую очередь он несет ответственность в т.ч. и за неавторизованный доступ к данным
0 |
MFS
2 Августа, 2013
Занятие малоперспективное, однако:) Полный бардак в организации как работы, так и безопасности - не способствует сохранности. И виноватых никогда не найти.
0 |
doc
5 Августа, 2013
xxx
со следующего года в любой поликлинике страны можно будет получить доступ к электронной амбулаторной карте любого пациента из другого города (планы минздрава) - вот это будет полный П.....Ц!!!
0 |
6 Августа, 2013
ага .есть такая вероятность. Кстати, сейчас этим вопросом занимаюсь, будет несколько постов на эту тему, как побочный результат моей работы)))
0 |
faikler
29 Августа, 2013
Пример конечно же интересный только к чему вы тут притянули законодательство о рекламе, мне как юристу не понятно....
0 |
Pele
4 Сентября, 2013
Жестоко наказали:| - если, конечно, вежливой SMS-кой дело и ограничилось. Возникает вопрос: имела ли компания право увольнять его друга этого сотрудника?
0 |
booookki
26 Сентября, 2013
http://abookz.net/
Здравствуйте! Нашел аудиокниги тут - http://abookz.net мне хватает, они молодцы обновляются каждый день, вот решил с Вами поделиться. А кто и откуда еще литературу скачивает?
0 |