Katarzyna W.

Katarzyna W. Biotechnolog w banku
tkanek

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Drodzy ABI,

czy możecie mi napisać, jak w Waszych firmach zostało praktycznie rozwiązana możliwość udzielenia informacji o pracowniku, kiedy bank chce go zweryfikować podczas wydawania decyzji o przyznaniu kredytu?

Wiadomo, że przez telefon nie możemy być pewni, komu tak naprawdę te dane podajemy. Czy u Was takie zapytanie musi mieć zawsze formę pisemną, np. fax?

Kadrowa zaproponowała, aby podczas wydawania zaświadczenia o zarobkach pracownik podpisywał oświadczenie, że wyraża zgodę na udostępnienie danych o osobie podczas telefonicznej weryfikacji + lista banków, które mogą się ubiegać o taką informację.

Czy może należałoby w ogóle odmówić bankowi udostępnienia takich danych?

Dla zainteresowanych stanowisko GIODO: http://www.giodo.gov.pl/332/id_art/2876/j/pl/

Będę wdzięczna za pomoc.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Proponuję wystawienie pracownikowi zaświadczenia o zarobkach.
Na telefon z banku odpowiadać: mogę potwierdzić tylko, że tego dnia wystawiłam zaświadczenie o tym numerze.
Katarzyna W.

Katarzyna W. Biotechnolog w banku
tkanek

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Zakładając, że po wydaniu zaświadczenia mogłoby ono zostać sfałszowane (numer się zgadza, ale kwota nie), zastanawiam się, że w grę wchodziłoby tylko potwierdzenie zgodności danych odczytanych przez pracownika banku. Czy to już podpada pod ujawnienie "nie wiadomo komu"?

Nigdy jeszcze nie brałam kredytu, ale wg tego, co przeczytałam, bank nie może uzależniać przyznania kredytu od uzyskania informacji od pracodawcy. Czyli odmawiając udzielenia informacji w zasadzie w żaden sposób nie przeszkadzamy pracownikowi w uzyskaniu kredytu, tak?
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Katarzyna W.:
w grę wchodziłoby tylko potwierdzenie zgodności danych odczytanych przez pracownika banku. Czy to już podpada pod ujawnienie "nie wiadomo komu"?

Podpada.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Tak moim zdaniem całkiem z boku. jest pieczęć firmowa, dane firmowe, podpis osoby. I to, ze bank nie wierzy w takie potwierdzenie, sorry, ale mnie osobiście to grzeje. Jak chcą potwierdzić zarobki i mieć pewność, to niech np wyślą pracownika banku, któremu wystawią upoważnienie.

Na rany... ile jeszcze warstw zabezpieczeń ma być?
Katarzyna W.

Katarzyna W. Biotechnolog w banku
tkanek

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Zgadzam się Panie Grzegorzu - zawsze istnieje szansa, że na którymś etapie ktoś zechce kogoś oszukać. Ale to w końcu osoba przynosząca "lewe" zaświadczenie jest przestępcą, więc to bez sensu, żeby ktoś postronny narażał się na odpowiedzialność.

W takim razie chciałabym potwierdzić : zalecane jest nieudzielanie informacji w każdej formie, a odmowa udzielenia informacji nie powinna mieć wpływu na przyznanie kredytu. Tak? :)
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

A ja nie wiem ;-)

Formalnie - sorry, ale co mnie jako pracodawcę obchodzi interes banku? Tak brutalnie pisząc, dlaczego JA mam się narażać (i moi pracownicy) na odpowiedzialność karną, bo bank sobie jakieś dziwne patenty wymyśla?

To jest ICH biznes, nie mój. Ja wystawiam zaświadczenie o zarobkach mojemu pracownikowi i na tym się mój kontakt powinien zakończyć.

A to niech bank, korzystając z dobrodziejstw rekomendacji D i M KNF-u sobie wymyśla WŁASNE zabezpieczenia. Bo ja jak pamiętam - sorry, nie brałem kredytu od ponad 10 lat, to nawet nie podpisywałem kwita o tym, że potwierdzam i że jeśli złożę fałszywkę, to doprowadzę do niekorzystego rozporządzenia majątkiem.

Więc z całym szacunkiem - jak bank chce potwierdzać zatrudnienie, zapraszam. Ze stosownym upoważnieniem.
Przemysław Siembida

Przemysław Siembida Pełnomocnik Zarządu
ds. Telekomunikacji,
Administrator B...

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Banki nie powinny w taki sposób potwierdzać zaświadczeń, to jedno, życie, to drugie. Nie powinny uzależniać przyznania kredytu od potwierdzenia przez pracodawcę, to jedno, a życie, to drugie.
Są szkolenia z wykrywania fałszerstw... Można zainwestować w pracowników...

Przede wszystkim, szkoda biednego pracownika, więc "nie bo nie" nie jest według mnie optymalnym rozwiązaniem.

Rozważcie takie rozwiązanie: podczas rozmowy z bankiem prosimy o przesłanie oficjalnego zapytania mailem lub faxem na papierze firmowym, z pieczątkami - w celu uwierzytelnienia rozmówcy. Po rozmowie kadrowa dzwoni do pracownika, z informacją o tym, że taki czy inny bank prosi o takie czy inne informacje. Uzyskuje zgodę na ich udzielenie i prosi o przesłanie jej choćby na maila.
Mając jedno i drugie nie widzę już problemu.
Katarzyna W.

Katarzyna W. Biotechnolog w banku
tkanek

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Przemysław S.:
Banki nie powinny w taki sposób potwierdzać zaświadczeń, to jedno, życie, to drugie. Nie powinny uzależniać przyznania kredytu od potwierdzenia przez pracodawcę, to jedno, a życie, to drugie.
Są szkolenia z wykrywania fałszerstw... Można zainwestować w pracowników...

Przede wszystkim, szkoda biednego pracownika, więc "nie bo nie" nie jest według mnie optymalnym rozwiązaniem.

Rozważcie takie rozwiązanie: podczas rozmowy z bankiem prosimy o przesłanie oficjalnego zapytania mailem lub faxem na papierze firmowym, z pieczątkami - w celu uwierzytelnienia rozmówcy. Po rozmowie kadrowa dzwoni do pracownika, z informacją o tym, że taki czy inny bank prosi o takie czy inne informacje. Uzyskuje zgodę na ich udzielenie i prosi o przesłanie jej choćby na maila.
Mając jedno i drugie nie widzę już problemu.

Właśnie myślałam o podobnym rozwiązaniu. Tylko wymyśliłam, że kadrowa zamiast prosić o przesłanie zgody mailem sporządzałaby notatkę służbową z rozmowy z pracownikiem, którą on by potwierdzał podpisem przy najbliższej okazji.

Chciałabym wiedzieć, czy wg obecnych tu ekspertów takie rozwiązanie byłoby dopuszczalne, czy najlepiej wydać zarządzenie, że nie udzielamy takich informacji w dowolny sposób i koniec.

Z jednej strony nie chcę nadmiernie utrudniać działań banku, skoro mają taką strategię, ale z drugiej strony muszę bronić interesu moich współpracowników.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Będzie ok, dopóki ktoś nie zakwestionuje. Ale ponawiam - to jest sprawa BANKU, jak to rozwiąże. Bo to jest jego problem.

Nieco się sprzeciwiam wykorzystywaniem pozycji. Tak samo jak jakiś czas temu hostingi. Też wielu ABI odpuszczało, bo...

Szanujmy się. Bank zarabia kasę na kredycie. To nie jest działalność charytatywna.
Krzysztof Kranc

Krzysztof Kranc OCHRONA DANYCH I
DORADZTWO
GOSPODARCZE

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Oj te banki ... z doświadczenia z pracy kadr w dużej firmie: pracownik prosi o stosowne zaświadczenie lub przychodzi do kadr z jedynie słusznym druczkiem z banku, dostaje zaświadczenie lub wypełnia się dla niego ten przyniesiony kwit. Potem telefon z banku i ... NIE PODAJEMY IM ŻADNYCH INFORMACJI, poza potwierdzeniem lub negacją w odpowiedzi na przeczytane nam dane z zaświadczenia. Dla tych co lubią e-maile, zasada ta sama - jeśli chcą potwierdzić, to niech wklepią dane przyszłego klienta, a naszego pracownika, a my w odpowiedzi na taką wiadomość jedynie odpisujemy co jest prawdą, a co nie i uwaga: jeśli coś się nie zgadza, to nie uszczegóławiamy pisząc jak jest na prawdę!
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Krzysztof K.:
Potem telefon z banku i ... NIE PODAJEMY IM ŻADNYCH INFORMACJI, poza potwierdzeniem lub negacją w odpowiedzi na przeczytane nam dane

Sprzeciw. To też jest udostępnienie informacji.
Poza tym istnieje poważne ryzyko udostępnienia danych osobie nieuprawnionej.
Dla tych co lubią e-maile

Dane osobowe przesyłać mailem bez szyfrowania?
jeśli chcą potwierdzić, to niech wklepią dane przyszłego klienta, a naszego pracownika, a my w odpowiedzi na taką wiadomość jedynie odpisujemy co jest prawdą, a co nie

Sprzeciw. To też jest udostępnienie informacji.
Poza tym istnieje poważne ryzyko udostępnienia danych osobie nieuprawnionej.
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Katarzyna W.:
Przemysław S.:
Banki nie powinny w taki sposób potwierdzać zaświadczeń, to jedno, życie, to drugie. Nie powinny uzależniać przyznania kredytu od potwierdzenia przez pracodawcę, to jedno, a życie, to drugie.
Są szkolenia z wykrywania fałszerstw... Można zainwestować w pracowników...

Przede wszystkim, szkoda biednego pracownika, więc "nie bo nie" nie jest według mnie optymalnym rozwiązaniem.

Rozważcie takie rozwiązanie: podczas rozmowy z bankiem prosimy o przesłanie oficjalnego zapytania mailem lub faxem na papierze firmowym, z pieczątkami - w celu uwierzytelnienia rozmówcy. Po rozmowie kadrowa dzwoni do pracownika, z informacją o tym, że taki czy inny bank prosi o takie czy inne informacje. Uzyskuje zgodę na ich udzielenie i prosi o przesłanie jej choćby na maila.
Mając jedno i drugie nie widzę już problemu.

Właśnie myślałam o podobnym rozwiązaniu. Tylko wymyśliłam, że kadrowa zamiast prosić o przesłanie zgody mailem sporządzałaby notatkę służbową z rozmowy z pracownikiem, którą on by potwierdzał podpisem przy najbliższej okazji.

Chciałabym wiedzieć, czy wg obecnych tu ekspertów takie rozwiązanie byłoby dopuszczalne, czy najlepiej wydać zarządzenie, że nie udzielamy takich informacji w dowolny sposób i koniec.

Z jednej strony nie chcę nadmiernie utrudniać działań banku, skoro mają taką strategię, ale z drugiej strony muszę bronić interesu moich współpracowników.

Papier firmowy łatwo jest podrobić. Co do faksu - skąd wiesz, że numer należy do banku? Bo jest pieczątka, którą każdy może wyrobić za 20 zł?

Nie sorry, najlepszym rozwiązaniem (moim zdaniem) jest wypisanie zaświadczenia o numerze XXXX i jeżeli bank chce je weryfikować, to niech wysunie prośbę o jego weryfikacje u nas na podstawie numeru zaświadczenia. Dopiero wtedy mamy w miarę dużą pewność, że dzwoni osoba upoważniona, jednak nadal nie przekażemy jej danych przez telefon.

Tak jak Grzegorz powiedział to bank zarabia i on musi się dostosować. Nie można dla nich naginać prawa. Oni muszą opracować odpowiednie procedury.

@Krzysztof Kranc - tak jak mój imiennik napisał wcześniej udostępniasz w ten sposób dane pracownika. Co do maili to nawet jak znasz masz adres nadawcy ze skrzynki to sam mogę podać tuzin przykładów jak przesłać wiadomość do odbiorcy podszywając się pod nadawcę wysyłając z identycznego adresu jak oryginalny nadawcy (np banku) na twoją skrzynkę e-mail. I nie wszystkie sposoby wymagają włamu lub użycia socjotechniki... Bez szyfrowania i potwierdzenia skrzynki odbiorcy nie wysyłaj żadnych danych.
Krzysztof Kranc

Krzysztof Kranc OCHRONA DANYCH I
DORADZTWO
GOSPODARCZE

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Udostępnienie danych osobowych co do zasadny polega na przekazaniu okreslonych danych osobowych odbiorcy. Tutaj zainteresowany (odbiorca) dane juz posiada, zatem żadnych nowych mu nie przekazujemy. Jeśli odpisujemy na e-mail, to w tresci naszej odpowiedzi nie ma żadnych danych osobowych, jest jedynie potwierdzenie lub zaprzeczenie ich prawidłowości (nawet nie kompletności, bo odnosimy się do danych wskazanych). Co mielibysmy np. w takiej sytuacji wpisać do rejestru udostepnianych danych informacji? Naszą odpowiedź? "Tak / Nie" udzieloną w rozmowie, czy tez wpisaną w odpowiedź e-mail? Jakie dane udostepniliśmy, skoro odbiorca jest już w ich posiadaniu? Druga sprawa, to czy osoba, która weryfikuje dane jest uprawniona do ich posiadania. Jeśli juz chcemy być bardzo ostrożni, to piszącego lub dzwoniącego delikwenta można poprosić o podanie miejsca pracy, stanowiska i kontaktu do jego przełożonego, a nawet informacji skąd dane posiada (nazwa wniosku, data i cel jego sporządzenia), a nastepnie zweryfikować prawdziwość tych informacji i dopiero wtedy potwierdzić lub zaprzeczyć (w kolejnej rozmowie lub wiadomości) otrzymanie od niego dane osobowe. Reasumując pracownik udostępnia bankowi swoje dane osobowe, na które zreszta zgoda pracownika nie jest z reguły wymagana, bo dane te sa niezbędne dla banku w celu zawarcia umowy kredytu / pożyczki. Pracodawca nie ujawniając żadnych nowych danych jest jedynie weryfikatorem tego, co pracownik - klient banku sam bankowi przekazał. Jeśli jest leopsze rozwiązanie problemu, to chętnie skorzystam z rady :)
Krzysztof Kranc

Krzysztof Kranc OCHRONA DANYCH I
DORADZTWO
GOSPODARCZE

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Zanim odpowiedziałem, info zdążył zamieścić kolega Paweł :) Na cyber przestepców cieżko coś poradzić, a banki też z rezerwa podchodzą do dostarczanych im zaświadczeń, bo boją się byc wkręcone w wyłudzenia ... Tak, na pewno się zgadzam z tym, że to im bardziej zależy, ale przerzucaja ciężar dowodowy na tego, któremu zalezy najbardziej, czyli na pracownika i kółko się zamyka. .... Nie wspominałem nic o szyfrowaniu e-mail, bo to oczywiste. Zakończę tak: najlepiej byłoby w ogóle nic nie potwierdzać wtórnie, bo skoro bank chciał zaświadczenia, to je pracownik dostarczył i tyle. I faktycznie nie mamy interesu w narażaniu się i zatrudnionych na jakies wypływy danych :). Popytam w moich JST jak do tego podchodza i dam Wam znac.
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

A co z weryfikacją osoby, która chce pozyskać dane? Skąd wiesz, że to pracownik banku? Dzwonić może też osoba z innej firmy, która otrzymała te dane np z ankiety, którą uzupełnił pracownik. Odpowiadając tak/nie udostępniasz tej osobie kolejne dane lub je weryfikujesz. Tak jak wszędzie w życiu należy stosować zasadę ograniczonego zaufania.

Co do weryfikacji osoby dzwoniącej to życzę powodzenia. Tworzysz całą procedurę która utrudnia życie i tobie i bankowi.

To bank ma zapewnić odpowiednie procedury, które będą zgodne z prawem jeżeli chce otrzymać potwierdzenie. Telefonicznie nie udostępniamy i nie weryfikujemy danych tylko potwierdzamy, że wystawiliśmy zaświadczenie. Z tego co wiem, to część banków już nie żąda potwierdzenia konkretnych danych telefonicznie tylko całego zaświadczenia.
Krzysztof Kranc

Krzysztof Kranc OCHRONA DANYCH I
DORADZTWO
GOSPODARCZE

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Tak, nie ma co utrudniać sobie zycia, fakt. Właśnie jestem po krótkich konsultacjach z tymi co zmagają się z tym na co dzień i rzeczywiście dla dobra wszystkich odbijaja bankowców i wszelkie inne instytucje, bez jakiejkolwiek informacji. Prosta zasada: udzielenie jakiejkolwiek informacji = udostepnienie, a zatem piemnie i z podaniem podstawy prawnej żądania informacji o charakterze osobowym. I tyle. Podobno wystarcza już większości banków fakt ustalenia rzeczywistego istnienia danego pracodawcy i jakoś konsumuja odmowy potwierdzeń :) No, to jestem bogatszy o nowa wiedzę i ... bezpieczniejszy :) Reczywiście nie ma co nadstawiać się i ryzykować - niech się martkią bankowcy i im podobni. Dzieki Pawle za ukierunkowanie.
Krzysztof Kranc

Krzysztof Kranc OCHRONA DANYCH I
DORADZTWO
GOSPODARCZE

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Jakby nie te wymiany informacji .... Aż się prosi o założenia jakiegoś stowarzyszenia ABI, gdzie można byłoby przynajmniej realnie (jak tu) pomagac sobie w rozstrzyganiu problemów z ODO. Na GIODO raczej nie ma co liczyć. Nawet inforlinie skasowali :)
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Stowarzyszenie Administratorów Bezpieczeństwa Informacji od dawna już działa :) http://sabi.org.pl
Katarzyna W.

Katarzyna W. Biotechnolog w banku
tkanek

Temat: Udostępnienie bankowi danych o pracowniku - praktycznie...

Cieszę się, że dyskusja tak się rozwinęła :) Po konsultacjach z jeszcze jednym specem od ODO spoza forum również zdecydowałam, że nie będziemy udzielać żadnych informacji przez telefon poza potwierdzeniem wydania zaświadczenia o danym numerze.



Wyślij zaproszenie do