Вопросы к Юристу

Запрет сбербаку предоставлять персональные данные

| next entry »
Apr. 13th, 2016 | 02:56 pm

Чтобы долго не писать предисловие, я просто выкладываю здесь свою переписку со "специалистами" Сбербанк.
Выводы каждый сделает сам.

Вчера я обнаружил серьезную уязвимость в работе интернет-сервиса Сбербанк Онлайн при осуществлении обязательных платежей в фонд капитального ремонта многоквартирных домов региональному оператору - xxxxx. В Вашей базе данных получателей платежей они значатся как - "xxx".
Данная организация обслуживается в Сбербанке и на её счет в Вашем банке ежедневно поступают платежи (речь о миллионных суммах за год) в виде обязательных (установленных ст. 169 Жилищного кодекса РФ) взносов в республиканский фонд капитального ремонта от минимум нескольких тысяч собственников многоквартирных домов в xxxx.
К сожалению, технические специалисты данной некоммерческой организации, являющейся оператором обработки персональных данных, грубейше нарушают Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015) по следующим моментам:

1) лицевые счета абонентов-участников данной организации состоят всего из шести не уникально генеририеумых цифр, причем сотрудники организации сообщают такой номер лицевого счета прямо по любому телефонному звонку абсолютно посторонним людям, не каким образом не идентифицировавшим себя как их реальные собственники. Достаточно только назвать адрес любой квартиры и будет тут же сообщен номер лицевого счета любого собственника квартиры!

2) из-за полной неуникальности алгоритма генерации номеров лицевых счетов в базе данных при приращении или убавлении всего 1-2 последних цифр в номере лицевого счета абонента при простой попытке начать формирование платежа, любой пользователь Сбербанк Онлайн, зная лишь один валидный номер лицевого счета (например, свой!) может практически моментально получить исключительно конфиденциальные данные о тысячах других абонентов - плательщиков обязательных взносов в фонд капитального ремонта и причём в таких данных содержатся:

а) полные Ф.И.О тысяч абонентов-плательщиков взносов Некоммерческой организации «xxx»
б) полный адрес этих абонентов.
в) сумма задолженности по взносам в капитальных фонд данных абонентов с точностью до копейки.

В частности, для демонстрации реальности эксплуатации уязвимости, зная лишь один валидный номер лицевого счета в одном 22-х квартирном доме я за несколько минут получил все вышеописанные данные по собственникам всех этих 22-квартир, лицевые счета которых отличались всего на одну цифру. Точно таким же образом можно получить данные и на множество других плательщиков, а точнее на всех!

Сегодня, 3 апреля 2016 года, около 9 утра по московскому времени, я незамедлительно обратился с официальным телефонным звонком в Службу поддержки пользователей системы Сбербанк Онлайн с просьбой о предоставлении для меня возможности связи с сотрудниками службы безопасности Сбербанка, для того чтобы как можно быстрее сообщить о технических деталях исключительно легкой эксплуатации вышеозвученной уязвимости раскрытия персональных данных абсолютно любыми злоумышленниками и мошенниками, но специалисты службы поддержки Сбербанка фактически проигнорировали исключительную важность проблемы и предложили мне просто письменно обратиться в ближайшее отделение Сбербанка.

Так как Сбербанк в данной ситуации также является оператором обработки персональных данных и именно при использовании системы Сбербанк Онлайн и происходит (может происходить) несанкционированное раскрытие строго конфиденциальных данных, несомненным фактом можно считать то, что Сбербанк в данной ситуации, в случае длящегося бездействия в разрешении данной проблемы, будет нести солидарную ответственность с xxxx за нарушение как минимум целого ряда статей Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015).

Надеюсь, что после моего обращения, Ваши специалисты, наконец, поймут серьезность и опасность сложившейся ситуации и немедленно примут все меры к решению сложившейся ситуации.
Со своей стороны готов к любому сотрудничеству с Вашими специалистами, позволившему бы как можно быстрее решить данную проблему.

Всего наилучшего,
клиент Сбербанка
xxxxxxx

Уважаемый xxxx! Благодарю Вас за обращение. Ваше обращение зарегистрировано за номером xxx. Сроки рассмотрения обращения от 5 до 30 календарных дней. Банк сделает все возможное, чтобы решить вопрос в кратчайшие сроки. После решения данного вопроса ответ поступит по телефону. С уважением, xxx.
Специалист ПАО Сбербанк. Круглосуточные телефоны Контактного центра: 900 (с мобильных телефонов), 8 (800) 555-5550, 8 (495)500-5550, E-mail: [email protected] Подробная информация по правилам набора телефонов Контактного центра на www.sberbank.ru

Здравствуйте!
С момента присвоения моему обращению официального статуса прошло 10 дней, но компания Сбербанк продолжает совершать длящиеся нарушения Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015). На текущий момент персональные данные, в объеме указанном в мной в первоначальном обращении, продолжают быть публично доступными любым злоумышленникам. Полагаю, что компания Сбербанк должна немедленно ограничить подобный доступ к персональным данным и уже потом, целенаправленно изучать возможности закрытия уязвимости в Сбербанк Онлайн.
Прошу специалистов Сбербанка максимально ускорить решение вопроса, так как назревает ситуация обоснованности принятия решения о передачи сведений о проблеме в Роскомнадзор.
Всего наилучшего!

12.04.16 г.
-----------
Уважаемый xxxx! Благодарю Вас за обращение. Ваше обращение xxx еще находится в работе. Сроки рассмотрения обращения от 5 до 30 календарных дней. Банк сделает все возможное, чтобы решить вопрос в кратчайшие сроки. После решения данного вопроса ответ поступит по телефону. Приносим извинения за временные неудобства. С уважением, xxx.
Специалист ПАО Сбербанк. Круглосуточные телефоны Контактного центра: 900 (с мобильных телефонов), 8 (800) 555-5550, 8 (495)500-5550, E-mail: [email protected] Подробная информация по правилам набора телефонов Контактного центра на www.sberbank.ru

Добрый вечер!
Судя по всему, к сожалению, соответствующие специалисты Сбербанка категорически не хотят (не могут) понять очевидности алгоритма действий:
1) сначала немедленно блокируется возможность несанкционированного доступа к персональным данным клиентов Сбербанка.
2) затем специалисты спокойно и целенаправленно изучают все возможные методы и средства решения проблемы и исключения возможности несанкционированного получения доступа к персональным данным в будущем.

В данной же ситуации, специалисты Сбербанка бездействуют по пункту 1, тем самым продолжая совершать грубейшие нарушения законодательства РФ.

Проблема не стоит и выеденного яйца с учетом того, что, например, в при платежах с одной карты Сбербанка на другую, мы, клиенты видишь лишь свои имя и отчество (или имя и отчество получателя платежа), совершенно четко и информативно идентифицируя и себя, и плательщика для избежания ошибок в платеже. И при этом никакая персональная информация не раскрывается!
Кто мешает Вашим специалистам реализовать точно такую же систему идентификации и в описанных мной платежах в фонд капитального ремонта?!
Просто поразительная неспособность специалистов крупнейшего и авторитетнейшего банка в нашей стране решать элементарные проблемы.

Ваш вопрос передан в претензионную службу Банка. На данный момент Ваше обращение находится в работе. Банк сделает все возможное, чтобы Ваше обращение было рассмотрено в кратчайшие сроки. Ответ по обращению будет предоставлен по телефону.

С уважением, xxx
Специалист ПАО Сбербанк.
Круглосуточные телефоны Контактного центра:
900 (с мобильных телефонов), 8 (800) 555-5550, 8 (495)500-5550,
E-mail: [email protected]
Подробная информация по правилам набора телефонов Контактного центра на www.sberbank.ru

Выводы очевидны. В Сбербанке работают абсолютно некомпетентные, ленивые, никчемные "специалисты" службы безопасности (программисты), либо бюрократизм в этой конторе зашкаливает со страшной силой.
Ну а наши с Вами данные, между тем, доступны кому угодно.

UPD 25.04.16
Вчера мне пришло SMS-сообщение из Сбербанка с предложением позвонить в службу поддержки, указать номер моей претензии, и мне будет сообщен ответ по претензии. Сегодня утром я позвонил в Сбербанк и мне зачитали ответ, в котором сказано, что Сбербанк не считает что в данной ситуации нарушено законодательство о персональных данных, никакие данные, являющиеся персональными не раскрываются и ничего в работе сервиса Сбербанк Онлайн менять не будут. В ответ на это я предупредил специалиста службы поддержки Сбербанка, что как я и обещал ранее, в случае подобного ответа я обращусь с жалобой в Роскомнадзор, на что мне было сказано, что это мое право.
Сказано - сделано! Этим же утром я направил жалобу в Роскомнадзор, она уже официально принята в рассмотрению и ей присвоен номер.
О результатах рассмотрения жалобы я обязательно сообщу.

Роскомнадзор: как банку не нарушать закон «О персональных данных»

При этом большинство жалующихся читает, что банки неправомерно передают их данные коллекторам, и что коллекторы обязаны прекратить обработку их данных в случае отзыва гражданином разрешения на обработку его данных у банка. Но сложившееся общественное мнение в подавляющем большинстве случаев не соответствует законодательству, уверена представитель Роскомнадзора. Но нередко к работе коллекторские агентства привлекают третьих лиц, не состоящих в штате этих агентств. И передача персональных данных о должниках этим лицам уже не соответствует законодательству России о персональных данных.

Роскомнадзор встает на защиту прав граждан, которые подвергаются неправомерному интересу со стороны коллекторов. Роскомнадзор сталкивается с недобросовестностью самих заемщиков, которые при заключении кредитных договоров оставляют в банках данные третьих лиц – телефоны, почту, адреса и так далее.

Часто при участии в тендере контрагент запрашивает информацию по цепочке собственников (в том числе включая конечных бенефициаров).

Зачастую данная информация может содержать персональные данные (фамилию и имя) гражданина РФ или иностранного гражданина. Необходимо ли в соответствии с требованиями законодательства о персональных данных запрашивать согласие на обработку (передачу) персональных данных у физических лиц?

С учетом изложенного полагаем, что требование заказчика о предоставлении участником закупки сведений о его выгодоприобретателях не соответствует положениям N 44-ФЗ.

«О закупках товаров, работ, услуг отдельными видами юридических лиц»

(далее — Закон N 223-ФЗ) не предусматривает подтверждение участниками закупки отсутствия конфликта интересов*(1).

Вместе с тем требование об отсутствии конфликта интересов, а также порядок подтверждения участниками закупки соответствия этому требованию могут быть предусмотрены утвержденным заказчиком положением о закупке и разработанной на его основе документацией о закупке.

Ответственность за нарушение закона о персональных данных

на юридических лиц – от 15 тыс.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных Предупреждение или административный штраф:

  1. на граждан – от 1 тыс. до 2 тыс. руб.,
  2. на должностных лиц – от 4 тыс. до 6 тыс. руб.,
  3. на юридических лиц – от 20 тыс. до 40 тыс. руб.
  4. на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.,

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки) Предупреждение или административный штраф:

Как банки и коллекторы нарушают закон о персональных данных

Да, их ребенок виноват, но мы должны помнить, что от финансовых проблем никто не застрахован.

А такие звонки родителям – это правовой беспредел.

Пойдем сначала. Приходя в кредитную организацию за кредитом, первым делом (почти во всех случаях) человек заполняет анкету-заявление на получение кредита.

В этом заявлении будущий клиент как можно более правдиво заполняет каждый пункт. От полноты ответов зачастую зависит решение кредитной организации. Пользуясь, так называемым, «пороком воли» (пусть кинут в нас камень те, кто внес большой объем своих данных в эту анкету по собственному желанию), кредитные организации вносят в эти заявления самые разнообразные вопросы.

Заявление на отзыв персональных данных из банка

Иногда не очень добросовестные банки могут проигнорировать полученное заявление. В этом случае они продолжают использовать личные сведения клиента, что является нарушением закона о персональных данных. Правда, некоторые учреждения доказывают правомерность своих действий, ссылаясь на наличие непогашенного кредита.

Наши юристы знают ответ на ваш вопрос

Если вы хотите узнать, как решить именно вашу проблему, то об этом нашего дежурного . Это быстро, удобно и бесплатно!

или по телефону:

Москва и область: +7-499-938-54-25

Санкт-Петербург и область: +7-812-467-37-54

Отсылка к Федеральному закону о персональных данных правомерна во всех случаях, кроме одного.

SavePearlHarbor

Достаточно только назвать адрес любой квартиры и будет тут же сообщен номер лицевого счета любого собственника квартиры! 2) из-за полной неуникальности алгоритма генерации номеров лицевых счетов в базе данных при приращении или убавлении всего 1-2 последних цифр в номере лицевого счета абонента при простой попытке начать формирование платежа, любой пользователь Сбербанк Онлайн, зная лишь один валидный номер лицевого счета (например, свой!) может практически моментально получить исключительно конфиденциальные данные о тысячах других абонентов — плательщиков обязательных взносов в фонд капитального ремонта и причём в таких данных содержатся:

  1. сумма задолженности по взносам в капитальных фонд данных абонентов с точностью до копейки
  2. полный адрес этих абонентов
  3. полные Ф.И.О тысяч абонентов-плательщиков взносов Некоммерческой организации «xxx»

В частности, для демонстрации реальности эксплуатации уязвимости, зная лишь один валидный номер лицевого счета в одном 22-х квартирном доме я за несколько минут получил все вышеописанные данные по собственникам всех этих 22-квартир, лицевые счета которых отличались всего на одну цифру.

Письмо о запрете обработки персональных данных

контактные данные телефон дата, подпись, Ф.И.О.

Если есть задолженность по кредиту Не каждый заемщик в состоянии погасить вовремя и в полном объеме кредитные обязательства, и тогда появляется огромный риск того, что дело будет передано коллекторам. В этом случае следует внимательно перечитать договор.

Понятное дело, что банк не вправе разглашать полученную персональную информацию своих клиентов, однако наверняка прописано в договоре, что на протяжении его действия он может ее обрабатывать. Оформить отзыв своего согласия в такой ситуации не получится, однако есть другой выход.

Внимание Заемщик вправе обратиться в финансовое учреждение с просьбой о запрете передавать его персональную информацию коллекторам.

При составлении прошения о запрете можно воспользоваться бланком отзыва согласия на обработку персональных данных, слегка подкорректировав его.

Запрет на использование персональных данных (как образец)

Провести проверку, возбудить административное производство и привлечь должностных и юридических лиц ООО «.» к административной ответственности, предусмотренной статьёй 13.11 КоАП за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).2.

от 13.07.2015). И уж в догонку и Закон о санитарно — эпидемиологическом благополучии населения(Федеральный закон от 30.03.1999 N 52-ФЗ (ред.

Смотрите видео: Как входящие звонки из банков сделать незаконными, нелегетимными, пример запроса в Русский Стандарт (September 2020).