Фантастическая трилогия о рекламе.
Наверное, самое чудесное, что есть из согласий в нашем законодательстве - это про рекламу. В нашем прекрасном правовом поле желание одних людей рассказывать о себе и своих предложениях другим людям, причем в сетях электрической связи, регулируется не двумя, как я писал, законами. Их целых три! Настоящая трилогия. Жаль что автор у них разный.
1. Наш любимый ФЗ152. В ст.15 говорится, что обработка ПДн в целях продвижения товаров и услуг допускается с предварительного согласия субъекта.
2. Хорошо известный всем маркетологам ФЗ38 "О рекламе" и статья 18. Тут уже прямо говорится, что рекламу нельзя отправлять без предварительного согласия абонента или получателя.
3. Редкий зверь на поле оповещения населения о коммерции, хотя раньше встречался чаще - ФЗ126 "О связи" и его статья 44.1. Не смотря на то, что она самая молодая, 2014 года, авторы подошли к терминологии с выдумкой, применили рассылки. Но суть вся таже. Нельзя рассылать без предварительного согласия абонента. Я кстати раньше встречал переключатели про рассылки в ЛК сотовых операторов, сейчас куда-то делись.
Так что делать бизнесу, которому реклама физическим лицам приносит вполне реальные деньги? Собирать два согласия, на рекламу и на обработку ПДн в целях рекламы? Собирать третье, если рекламу отгружать смсками? Любой маркетолог скажет, что любой лишний чек-бокс рушит конверсию на десятки процентов. Так что количество не вариант, хоть и гарантирует защиту от разных надзорных органов (если конечно правильно хранить согласия). Но на DPO у таких компаний денег точно не будет.
Но если немного поразмышлять, станет чуть легче.
Все три требования объединяет две особенности - не указана форма, но однозначно прописано, что реклама "признается осуществленной без предварительного согласия" если отправитель "не докажет, что такое согласие было получено". Конструкция идентичная. Т.е. подойдет любое согласие, имеющее доказательную силу. Из всех трех самое сложное тут про ПДн, потому как есть целая описательная статья 9 ФЗ152. По этому, оно и будет минимальным и необходимым согласием на рекламу, пусть и взятым на обработку персональных данных в целях получения рекламы.
Потому как:
1. Брать 2 и более согласий странно - отзовешь согласие на рекламу, зачем обрабатывать ПДн для этого? Отзовешь согласие на обработку ПДн для рекламы, то и рекламу слать не получится без обработки.
2. Зачем брать согласие на обработку ПДн для получения рекламы, если не собираешься ее отправлять?
В общем, оформляем согласие на сайте как обычно, по ФЗ152 , цель - для рекламы. И спокойно живем. Проверено практикой.
P.S.: Есть смелое предложение - смотреть на основание обработки ПДн для рекламы как на требование закона, вон их три штуки, и брать единственное согласие именно на ее получение, а не на обработку.
P.P.S.: Да, есть судебная практика, где РКН и ФАС предъявляли претензии к совместному согласию на ПДн и рекламу. И суд вставал на сторону регуляторов. Но тут есть один нюанс - эти претензии были про вшитые в договора согласия.
Такие дела.
#Согласие_на_рекламу #ФЗ152 #ФЗ38 #ФЗ126
Наверное, самое чудесное, что есть из согласий в нашем законодательстве - это про рекламу. В нашем прекрасном правовом поле желание одних людей рассказывать о себе и своих предложениях другим людям, причем в сетях электрической связи, регулируется не двумя, как я писал, законами. Их целых три! Настоящая трилогия. Жаль что автор у них разный.
1. Наш любимый ФЗ152. В ст.15 говорится, что обработка ПДн в целях продвижения товаров и услуг допускается с предварительного согласия субъекта.
2. Хорошо известный всем маркетологам ФЗ38 "О рекламе" и статья 18. Тут уже прямо говорится, что рекламу нельзя отправлять без предварительного согласия абонента или получателя.
3. Редкий зверь на поле оповещения населения о коммерции, хотя раньше встречался чаще - ФЗ126 "О связи" и его статья 44.1. Не смотря на то, что она самая молодая, 2014 года, авторы подошли к терминологии с выдумкой, применили рассылки. Но суть вся таже. Нельзя рассылать без предварительного согласия абонента. Я кстати раньше встречал переключатели про рассылки в ЛК сотовых операторов, сейчас куда-то делись.
Так что делать бизнесу, которому реклама физическим лицам приносит вполне реальные деньги? Собирать два согласия, на рекламу и на обработку ПДн в целях рекламы? Собирать третье, если рекламу отгружать смсками? Любой маркетолог скажет, что любой лишний чек-бокс рушит конверсию на десятки процентов. Так что количество не вариант, хоть и гарантирует защиту от разных надзорных органов (если конечно правильно хранить согласия). Но на DPO у таких компаний денег точно не будет.
Но если немного поразмышлять, станет чуть легче.
Все три требования объединяет две особенности - не указана форма, но однозначно прописано, что реклама "признается осуществленной без предварительного согласия" если отправитель "не докажет, что такое согласие было получено". Конструкция идентичная. Т.е. подойдет любое согласие, имеющее доказательную силу. Из всех трех самое сложное тут про ПДн, потому как есть целая описательная статья 9 ФЗ152. По этому, оно и будет минимальным и необходимым согласием на рекламу, пусть и взятым на обработку персональных данных в целях получения рекламы.
Потому как:
1. Брать 2 и более согласий странно - отзовешь согласие на рекламу, зачем обрабатывать ПДн для этого? Отзовешь согласие на обработку ПДн для рекламы, то и рекламу слать не получится без обработки.
2. Зачем брать согласие на обработку ПДн для получения рекламы, если не собираешься ее отправлять?
В общем, оформляем согласие на сайте как обычно, по ФЗ152 , цель - для рекламы. И спокойно живем. Проверено практикой.
P.S.: Есть смелое предложение - смотреть на основание обработки ПДн для рекламы как на требование закона, вон их три штуки, и брать единственное согласие именно на ее получение, а не на обработку.
P.P.S.: Да, есть судебная практика, где РКН и ФАС предъявляли претензии к совместному согласию на ПДн и рекламу. И суд вставал на сторону регуляторов. Но тут есть один нюанс - эти претензии были про вшитые в договора согласия.
Такие дела.
#Согласие_на_рекламу #ФЗ152 #ФЗ38 #ФЗ126
17❤7🔥4💯1
Как не надо собирать согласия
В продолжение темы согласия на рекламу - подвернулся реальный пример нарушений и непониманий ФЗ152 и прочих ФЗ "О рекламе". Именно за такие фокусы штрафовал ФАС - отсутствие согласия на рекламу у клиентов. Пример реальный, конца октября 2025 года. Контрагент - очень крупная и достаточно известная страховая компания.
Итак:
0. В принципе неверный способ сбора согласий через включения в договор.
1. Два лишних согласия - на оформление договорных отношений.
2. Незаконный сбор согласия на рекламу. Причем они в рекламный пункт впихнули вполне легальные опросы о качестве услуг (если включить их в договор).
3. Отсутствие списка третьих лиц, кому передаются ПДн в рамках поручения.
4. Задвоение согласия - про третьих лиц и про аффилированных лиц.
5. Уточнение ПДн в общедоступных источниках (!!! как будто там они точнее), к которым почему то приравняли операторов связи.
6. Согласие на распространение - это меня вообще добило. В рамках договора страхования, распространение, да еще и через согласие не по форме ст.10.1
Посчитаем, по чем нынче такое писать.
Реклама тянет, по ч.4.1 ст.14.1 КоАП, на 300к-1млн. А рекламу я получил :)
Модификация моих ПДн, передача третьим лицам (посчитаем за одно нарушение), распространение - 3 раза по ч.1 ст.13.11 КоАП, 150 - 300 т.р. за случай. Причем я явно писал что не даю им никаких согласий.
Итого, минимум 300+450=750 т.р, максимум 1.9 млн.
Всего один абзац безграмотного текста и так много стоит.
Конечно, это все виртуальные подсчеты. И не учитывают гражданских исков, рвения органов (РКН тут весьма и весьма неэнергичен, в отличии от ФАС). Но все равно впечатляет.
Друзья, регулярно пересматривайте ваши контрактные документы с контрагентами, особенно с физлицами. Там могут быть сюрпризы! Даже если никто раньше не жаловался.
Такие дела.
P.S.: И вот что мне делать с этой страховой... Понять и простить?
#Согласие_на_обработку #ФЗ152 #ФЗ38
В продолжение темы согласия на рекламу - подвернулся реальный пример нарушений и непониманий ФЗ152 и прочих ФЗ "О рекламе". Именно за такие фокусы штрафовал ФАС - отсутствие согласия на рекламу у клиентов. Пример реальный, конца октября 2025 года. Контрагент - очень крупная и достаточно известная страховая компания.
Итак:
0. В принципе неверный способ сбора согласий через включения в договор.
1. Два лишних согласия - на оформление договорных отношений.
2. Незаконный сбор согласия на рекламу. Причем они в рекламный пункт впихнули вполне легальные опросы о качестве услуг (если включить их в договор).
3. Отсутствие списка третьих лиц, кому передаются ПДн в рамках поручения.
4. Задвоение согласия - про третьих лиц и про аффилированных лиц.
5. Уточнение ПДн в общедоступных источниках (!!! как будто там они точнее), к которым почему то приравняли операторов связи.
6. Согласие на распространение - это меня вообще добило. В рамках договора страхования, распространение, да еще и через согласие не по форме ст.10.1
Посчитаем, по чем нынче такое писать.
Реклама тянет, по ч.4.1 ст.14.1 КоАП, на 300к-1млн. А рекламу я получил :)
Модификация моих ПДн, передача третьим лицам (посчитаем за одно нарушение), распространение - 3 раза по ч.1 ст.13.11 КоАП, 150 - 300 т.р. за случай. Причем я явно писал что не даю им никаких согласий.
Итого, минимум 300+450=750 т.р, максимум 1.9 млн.
Всего один абзац безграмотного текста и так много стоит.
Конечно, это все виртуальные подсчеты. И не учитывают гражданских исков, рвения органов (РКН тут весьма и весьма неэнергичен, в отличии от ФАС). Но все равно впечатляет.
Друзья, регулярно пересматривайте ваши контрактные документы с контрагентами, особенно с физлицами. Там могут быть сюрпризы! Даже если никто раньше не жаловался.
Такие дела.
P.S.: И вот что мне делать с этой страховой... Понять и простить?
#Согласие_на_обработку #ФЗ152 #ФЗ38
15🔥14😨2❤1
ТК РФ и его регуляция обработки ПДн
Наши законы бывают настолько хороши, что отдельные их нормы, как появляются, так и сохраняются неизменными десятилетия. Не исключение и большая часть положений ст. 88 ТК РФ. Они как вступили в силу в начале лета 2006го года, так и остались такими-же до сегодняшнего дня. И вроде нет планов их как-то менять под реалии современной жизни. Совершенство не требует изменений!
Итак, 30.06.2006 года ст.88 дополнилась некоторыми требованиями, чтобы синхронизировать их с вот-вот заработающим ФЗ152. С момента вступления норм в силу стало:
1. Нельзя передавать третьим лицам ПДн без письменного согласия работника.
2. Нужно требовать конфиденциальности ПДн у этих третьих лиц, а им в свою очередь ее обеспечивать
3. Возможно передавать ПДн внутри организации только по ЛНА, с которым всех работников следует ознакамливать под роспись.
Безусловно разумным тут является норма №2. Конфиденциальность это хорошо. А вот дальше начинаются вопросы. Третье требование, если его читать, вызывает смущение - почему только передавать нужно по ЛНА? Как себе представляли это авторы - многостраничный талмуд как перекладывать бумаги с ПДн из одного ящика в другой? Ну ок, в принципе все нашли решение - выпускают положение об обработке ПДн с копипастой из ФЗ152. Проверяющие не жалуются. Хотя смысл требования такой себе, тем более еще и знакомить под роспись людей, которые в используемом в ЛНА языке понимают только отдельные слова.
И, наконец, самое веселое, интересное и везде применимое - передача ПДн работников третьим лицам! Письменное согласие, да еще и в прочтении РКН - одна цель одно согласие. И если подходить дотошно и дословно, то количество согласий начинает зашкаливать. Причем, чем больше организация, тем больше поводов прислать на подпись очередную бумажку с согласием. Группа компаний с одной инфраструктурой? (да-да, по ФЗ152 это очень даже третьи лица) Техподдержка и доработки подрядчиками? Личные кабинеты и прочие внешние сервисы? Все туда. И надо ведь следить, чтобы все все подписали.
Но все таки, есть возможность чуть снизить этот вал бессмысленного документооборота. Воспользовавшись оговоркой из ст.88 ТК РФ "за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами" Конечно, ситуации с угрозой жизни из здоровью не тот инструмент облегчить DPO жизнь (хоть и недалеко от истины ;) ). Но вот про другие законы, очень даже.
Медосмотры? Охрана труда? Профобучение? Гостиницы и самолеты-поезда? Связь? Налоги и перечисления? Все это есть в обязанностях или самой организации, или вообще применимо для всех. По этому, тут согласия не берем. Важно только при регулярном пересмотре согласий работников (а это нужно делать) отличать оператора в силу закона (гостиницу, РЖД, поликлинику) от агрегатора услуг (сервисы командирования, например). Вот последним без согласия работника передавать нельзя, увы.
В общем, DPO, всегда задавай вопрос себе, а нет ли тут законного требования? И жить станет как минимум интереснее. Пока найдешь, пока поймешь...
Такие дела.
P.S.: Ну вот реально, почти 20 лет уже живем со статьей 88 в ее нынешнем виде. Ну страшно же, за прогресс то.
#ФЗ152 #Законное_основание #ТК_РФ #Письменное_согласие
Наши законы бывают настолько хороши, что отдельные их нормы, как появляются, так и сохраняются неизменными десятилетия. Не исключение и большая часть положений ст. 88 ТК РФ. Они как вступили в силу в начале лета 2006го года, так и остались такими-же до сегодняшнего дня. И вроде нет планов их как-то менять под реалии современной жизни. Совершенство не требует изменений!
Итак, 30.06.2006 года ст.88 дополнилась некоторыми требованиями, чтобы синхронизировать их с вот-вот заработающим ФЗ152. С момента вступления норм в силу стало:
1. Нельзя передавать третьим лицам ПДн без письменного согласия работника.
2. Нужно требовать конфиденциальности ПДн у этих третьих лиц, а им в свою очередь ее обеспечивать
3. Возможно передавать ПДн внутри организации только по ЛНА, с которым всех работников следует ознакамливать под роспись.
Безусловно разумным тут является норма №2. Конфиденциальность это хорошо. А вот дальше начинаются вопросы. Третье требование, если его читать, вызывает смущение - почему только передавать нужно по ЛНА? Как себе представляли это авторы - многостраничный талмуд как перекладывать бумаги с ПДн из одного ящика в другой? Ну ок, в принципе все нашли решение - выпускают положение об обработке ПДн с копипастой из ФЗ152. Проверяющие не жалуются. Хотя смысл требования такой себе, тем более еще и знакомить под роспись людей, которые в используемом в ЛНА языке понимают только отдельные слова.
И, наконец, самое веселое, интересное и везде применимое - передача ПДн работников третьим лицам! Письменное согласие, да еще и в прочтении РКН - одна цель одно согласие. И если подходить дотошно и дословно, то количество согласий начинает зашкаливать. Причем, чем больше организация, тем больше поводов прислать на подпись очередную бумажку с согласием. Группа компаний с одной инфраструктурой? (да-да, по ФЗ152 это очень даже третьи лица) Техподдержка и доработки подрядчиками? Личные кабинеты и прочие внешние сервисы? Все туда. И надо ведь следить, чтобы все все подписали.
Но все таки, есть возможность чуть снизить этот вал бессмысленного документооборота. Воспользовавшись оговоркой из ст.88 ТК РФ "за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами" Конечно, ситуации с угрозой жизни из здоровью не тот инструмент облегчить DPO жизнь (хоть и недалеко от истины ;) ). Но вот про другие законы, очень даже.
Медосмотры? Охрана труда? Профобучение? Гостиницы и самолеты-поезда? Связь? Налоги и перечисления? Все это есть в обязанностях или самой организации, или вообще применимо для всех. По этому, тут согласия не берем. Важно только при регулярном пересмотре согласий работников (а это нужно делать) отличать оператора в силу закона (гостиницу, РЖД, поликлинику) от агрегатора услуг (сервисы командирования, например). Вот последним без согласия работника передавать нельзя, увы.
В общем, DPO, всегда задавай вопрос себе, а нет ли тут законного требования? И жить станет как минимум интереснее. Пока найдешь, пока поймешь...
Такие дела.
P.S.: Ну вот реально, почти 20 лет уже живем со статьей 88 в ее нынешнем виде. Ну страшно же, за прогресс то.
#ФЗ152 #Законное_основание #ТК_РФ #Письменное_согласие
15🔥9💯6❤3
А вот и штрафы объявили за иностранную авторизацию на российских сайтах. Теперь войти через Google может стоить 500-700 тысяч юрлицу. Так же как и не рассказать пользователю о применении рекомендательных технологий.
И что должно мотивировать владельцев сайтов переходить на российские аутентификаторы - такое нарушение легко выявляется извне. РКН уже имеет обширный опыт дистанционного мониторинга нарушений на сайтах.
И что должно мотивировать владельцев сайтов переходить на российские аутентификаторы - такое нарушение легко выявляется извне. РКН уже имеет обширный опыт дистанционного мониторинга нарушений на сайтах.
TACC
Сайты могут начать штрафовать за авторизацию людей через зарубежные сервисы
Штрафы могут достигнуть до 700 тыс. рублей
🙈3🔥1🤡1
Мошенники такие мошенники
Знакомые из одного крупного промышленного холдинга столкнулись с волной сообщений в мессенджерах.
Сценарий всегда идентичен - в личные сообщения пишет/пытается позвонить и даже присылает кружочки некто, представляясь руководителем высокого ранга. Сообщает что будет проверка, надо оказать содействие. Дальше подключается ещё один анонимус, представляется офицером ФСБ и начинает охмурять громкими словами, секретностью, приказом. Дада, вот этим самым приказом.
Самое главное, что тут надо знать - ФСБ не занимается проверками соблюдения требований законодательства по ПДн! Это поляна РКН. В части персональных данных ФСБ может только проверить криптографическую защиту (если вдруг появятся ресурсы на это). А технической защитой занимается вообще ФСТЭК (тоже полностью увязли в теме КИИ).
Я не буду говорить про остальные признаки мошенничества (способ отправления приказа, формат, объект проверки из другого региона и т.п.). DPO тут тоже важно делать оповещения и вести просветительскую работу.
Такие вот атаки псевдосиловиков прекрасный повод напомнить работникам к кому нужно обращаться при виде сочетания "приказ"+"персональные данные" и кто за что отвечает в органах и в их организации.
P.S.: Очень интересно, откуда они берут данные по работникам. Пишут даже уволенным, причем уволенным 5+ лет назад.
Такие дела
#Мошенники #ПДн
Знакомые из одного крупного промышленного холдинга столкнулись с волной сообщений в мессенджерах.
Сценарий всегда идентичен - в личные сообщения пишет/пытается позвонить и даже присылает кружочки некто, представляясь руководителем высокого ранга. Сообщает что будет проверка, надо оказать содействие. Дальше подключается ещё один анонимус, представляется офицером ФСБ и начинает охмурять громкими словами, секретностью, приказом. Дада, вот этим самым приказом.
Самое главное, что тут надо знать - ФСБ не занимается проверками соблюдения требований законодательства по ПДн! Это поляна РКН. В части персональных данных ФСБ может только проверить криптографическую защиту (если вдруг появятся ресурсы на это). А технической защитой занимается вообще ФСТЭК (тоже полностью увязли в теме КИИ).
Я не буду говорить про остальные признаки мошенничества (способ отправления приказа, формат, объект проверки из другого региона и т.п.). DPO тут тоже важно делать оповещения и вести просветительскую работу.
Такие вот атаки псевдосиловиков прекрасный повод напомнить работникам к кому нужно обращаться при виде сочетания "приказ"+"персональные данные" и кто за что отвечает в органах и в их организации.
P.S.: Очень интересно, откуда они берут данные по работникам. Пишут даже уволенным, причем уволенным 5+ лет назад.
Такие дела
#Мошенники #ПДн
👍8
Очень странное кино странный ответ РКН
Так и хочется процитировать незабвенный афоризм Виктора Степановича Черномырдина "Хотели как лучше, получилось как всегда". Я как-то писал свое мнение про ТГП в использовании сервисов Google. И вот вчера по профильным чатам и каналам начала гулять вот эта выдержка из ответа РКН. Что обращает на себя внимание:
1. Кто-то решил уведомить РКН о трансграничной передаче.
2. Кто-то уведомил не просто в отношении отправить куда-то данные, а про вполне понятный кейс работы с Google Таблицами. Т.е. про постоянные передачу и обработку ПДн в иностранном (как считал кто-то) сервисе.
И тут случилось невероятное. РКН ответил, что обработка ПДн в гуглотаблицах не есть трансграничная передача, если ведется в производственных целях и данные собраны в РФ. По этому уведомление не подлежит рассмотрению.
Переведя на русский: РКН в лице его эксперта заявило: Google не иностранный сервис, таблицы с ПДн вести в нем можно, главное чтобы локализация сбора была. И уведомлять не о чем.
Это как раз тот самый случай, когда не надо верить глазам своим. Google.Docs и все его варианты это классический SaaS. Ровно такие же сценарии использования внешних сервисов российского происхождения классифицируются как обработка третьим лицом по поручению. А значит для сервисов Google выполняется условия трансграничной передачи - на территорию иностранного государства (дата центров Google в РФ нет) и иностранному лицу (резидент США). Плюс ко всему, страна еще и не входит в перечень адекватных, значит нужно согласование РКН.
И кажется, в этом и кроется истинная причина такого ответа - кто-то не хотел работать.
Подождем новых комментариев от РКН. Наверняка они последуют, при такой то реакции общественности.
Я своего мнения не изменю - что Google, то ТГП.
Такие дела.
#Позиция_РКН #Трансграничная_Передача_ПДн
Так и хочется процитировать незабвенный афоризм Виктора Степановича Черномырдина "Хотели как лучше, получилось как всегда". Я как-то писал свое мнение про ТГП в использовании сервисов Google. И вот вчера по профильным чатам и каналам начала гулять вот эта выдержка из ответа РКН. Что обращает на себя внимание:
1. Кто-то решил уведомить РКН о трансграничной передаче.
2. Кто-то уведомил не просто в отношении отправить куда-то данные, а про вполне понятный кейс работы с Google Таблицами. Т.е. про постоянные передачу и обработку ПДн в иностранном (как считал кто-то) сервисе.
И тут случилось невероятное. РКН ответил, что обработка ПДн в гуглотаблицах не есть трансграничная передача, если ведется в производственных целях и данные собраны в РФ. По этому уведомление не подлежит рассмотрению.
Переведя на русский: РКН в лице его эксперта заявило: Google не иностранный сервис, таблицы с ПДн вести в нем можно, главное чтобы локализация сбора была. И уведомлять не о чем.
Это как раз тот самый случай, когда не надо верить глазам своим. Google.Docs и все его варианты это классический SaaS. Ровно такие же сценарии использования внешних сервисов российского происхождения классифицируются как обработка третьим лицом по поручению. А значит для сервисов Google выполняется условия трансграничной передачи - на территорию иностранного государства (дата центров Google в РФ нет) и иностранному лицу (резидент США). Плюс ко всему, страна еще и не входит в перечень адекватных, значит нужно согласование РКН.
И кажется, в этом и кроется истинная причина такого ответа - кто-то не хотел работать.
Подождем новых комментариев от РКН. Наверняка они последуют, при такой то реакции общественности.
Я своего мнения не изменю - что Google, то ТГП.
Такие дела.
#Позиция_РКН #Трансграничная_Передача_ПДн
🤯6💯5👀4🙈2❤1
Начала действовать ст. 10 ч.13.11 КоАП и самым неожиданным образом
Появилась информация о сентябрьском решении суда г. Уфы со штрафом за неуведомлении о намерении осуществлять обработку ПДн.
Итак, организация возила школьников в иностранные государства, в частности этим летом прокатила их в UK. Прокуратурой РБ "проверено исполнение
законодательства о противодействии экстремизму, персональных данных директором
общества". Что бы это ни значило, но в почте найдена отправка персональных данных с российской электронной почты на великобританскую. И суд признал директора нарушителем! Ведь он не уведомил о ТГП.
Итого: прокуратура проверила, возбудила административку, а суд признал виновным руководителя по ч.10 ст.13.11 за неуведомление о ТГП.
Конечно, случай единичный и организован не совсем уж профильным регулятором, но звоночек тревожный. Если раньше все думали, вот сейчас подадим какое-никакое уведомление, что начали обрабатывать ПДн, и можно спать спокойно. Но нет. Риск налететь на штрафы за неинформирование о ТГП, за отсутствие своевременной информации об изменениях в уведомлении (привет ч.7 ст.22 ФЗ152) - стал очень даже не виртуальным. А все поданные "на авось" уведомления стали немного бессмысленными. и даже
Такие дела
#КоАП_13.11 #Прокуратура #Уведомление_об_обработке #Штрафы
🔥6🤡1
Сравнительно честный способ обойти ст. 88 ТК РФ
Так и хочется написать «Не повторяйте! Данный трюк выполнен профессионалами!» Но как-то облегчить жизнь себе и снизить расходы на комплаенс работодателю надо, надо пробовать…
Итак, какие могут быть варианты обойтись без согласий при передаче ПДн третьим лицам? А их много, которые не влезают в «требования закона» (как те же аудиторы или мед организации). Ст. 88 не оставляет вариантов и просит углубиться в законы.
1. Самые смелые DPO трактуют ч.1 ст.6 как требования закона, по-этому можно пользоваться всякими законными интересами, обязанностями, возложенными на оператора (п.2). Я не могу так широко трактовать. Для меня ч.1 ст.6 это условия, а не требования. Т.е. если есть какой-то еще закон, который говорит «надо то-то, передай ПДн» (образование по охране труда, например) – то можно. Да и тот же законный интерес слишком шаткая конструкция и непонятная, в первую очередь самому регулятору, чтобы ее применять. Сообщества прайвасистов аж целые плейбуки рисуют как этим пользоваться. И то без особой уверенности.
2. А если посмотреть на сам ТК? Вот тут и можно найти потенциальный выход. Ст.21 и 22 говорят, что работник обязан исполнять трудовые обязанности, а работодатель их излагать в ЛНА и знакомить работника под роспись с ними. И можно попробовать выстроить такую схему: оформить несколько ЛНА по направлениям, скажем про ИТ поддержку, про доп обучение, про командировки (хотя это чаще всего есть) и в них прямо прописать действия работодателя. Т.е. сообщить работнику о привлечении к задачам подрядчиков, о том что они будут обрабатывать его ПДн, а сам список этих третьих лиц вывешивать где-то внутри в общем доступе, чтобы работник самостоятельно его изучал.
3. Есть и третий вариант – все-таки миксовать законные требования и законный интерес в качестве оснований для передачи третьим лицам, привлекать подрядчиков по поручению и принимать риск долгих и нудных разборок в суде случись чего. Судебный прецедент есть, суд не признал виновным работодателя, который привлекал аутсорс-бухгалтерию и не получал согласия работников на передачу именно потому, что работодатель так выполнял свои обязанности по закону. Но тоже шатко, на мой взгляд.
Итого, вариант 2 кажется самым интересным в плане управляемости и простоты. Особенно если учесть, что в эту схему хорошо влезают все ГПХшники (кадровик на ГПХ тоже третье лицо, как ни странно). Надо только чтобы специалисты по трудовому праву подтвердили эту схему.
Такие дела.
#Согласие_на_обработку #ФЗ152 #ТК_РФ
Так и хочется написать «Не повторяйте! Данный трюк выполнен профессионалами!» Но как-то облегчить жизнь себе и снизить расходы на комплаенс работодателю надо, надо пробовать…
Итак, какие могут быть варианты обойтись без согласий при передаче ПДн третьим лицам? А их много, которые не влезают в «требования закона» (как те же аудиторы или мед организации). Ст. 88 не оставляет вариантов и просит углубиться в законы.
1. Самые смелые DPO трактуют ч.1 ст.6 как требования закона, по-этому можно пользоваться всякими законными интересами, обязанностями, возложенными на оператора (п.2). Я не могу так широко трактовать. Для меня ч.1 ст.6 это условия, а не требования. Т.е. если есть какой-то еще закон, который говорит «надо то-то, передай ПДн» (образование по охране труда, например) – то можно. Да и тот же законный интерес слишком шаткая конструкция и непонятная, в первую очередь самому регулятору, чтобы ее применять. Сообщества прайвасистов аж целые плейбуки рисуют как этим пользоваться. И то без особой уверенности.
2. А если посмотреть на сам ТК? Вот тут и можно найти потенциальный выход. Ст.21 и 22 говорят, что работник обязан исполнять трудовые обязанности, а работодатель их излагать в ЛНА и знакомить работника под роспись с ними. И можно попробовать выстроить такую схему: оформить несколько ЛНА по направлениям, скажем про ИТ поддержку, про доп обучение, про командировки (хотя это чаще всего есть) и в них прямо прописать действия работодателя. Т.е. сообщить работнику о привлечении к задачам подрядчиков, о том что они будут обрабатывать его ПДн, а сам список этих третьих лиц вывешивать где-то внутри в общем доступе, чтобы работник самостоятельно его изучал.
3. Есть и третий вариант – все-таки миксовать законные требования и законный интерес в качестве оснований для передачи третьим лицам, привлекать подрядчиков по поручению и принимать риск долгих и нудных разборок в суде случись чего. Судебный прецедент есть, суд не признал виновным работодателя, который привлекал аутсорс-бухгалтерию и не получал согласия работников на передачу именно потому, что работодатель так выполнял свои обязанности по закону. Но тоже шатко, на мой взгляд.
Итого, вариант 2 кажется самым интересным в плане управляемости и простоты. Особенно если учесть, что в эту схему хорошо влезают все ГПХшники (кадровик на ГПХ тоже третье лицо, как ни странно). Надо только чтобы специалисты по трудовому праву подтвердили эту схему.
Такие дела.
#Согласие_на_обработку #ФЗ152 #ТК_РФ
1❤6👍6
В ст.19, а так же в 21м приказе ФСТЭК есть очень интересные требования к оператору - он должен оценивать эффективность принимаемых мер по безопасности ПДн при их обработке. Правда есть отличия. В ФЗ152 говорится об оценке эффективности до ввода ИСПДн в эксплуатацию. В Приказе №21 ФСТЭК - про регулярную, не реже 1 раза в три года, оценку эффективности принятых мер.
И кажется, надо начать объяснять с Приказа 21, как более узкого по охвату.
Итак, Приказ 21 детализирует технические меры защиты в привязке к уровням защищенности по Постановлению Правительства №1119 от 01.11.2012. В нем много-много требований по различным аспектам. Меньше всего обязательных для 4го УЗ, и далее по возрастающей.
Что тут хотели сказать законодатели, если простым языком и в привязке к оценке эффективности? DPO должен регулярно и в отношении каждой ИСПДн проверять как выполняется применимый к ней набор мер. Результат оценки оформлять актом и далее организовывать устранение недостатков или планировать следующую дату проверки. И так для каждой ИСПДн. Естественно, это не обязательно должен делать сам DPO. Его главная задача организовать такие активности и получить положительный результат. Ну или добиться, чтобы все двигались в сторону его скорейшего получения.
Почему DPO? Привет статье 22.1 и ее ч.4 с обязанностями ответственного за организацию обработки.
Возникает вопрос - а кто все таки точно должен реализовывать всю технику? Конечно, все зависит от внутренней кухни организации. Но издревле, еще с начала нулевых (точно видел этот принцип в страшных СТР-К), реализацию мер по безопасности обеспечивает эксплуатирующее подразделение. Этой же логики придерживается и вся последующая нормативка, вплоть до КИИшных документов. Это и надо учитывать.
А про эффективность по ФЗ152 и вообще зачем это надо обязательно расскажу. Но чуть позже.
И кажется, надо начать объяснять с Приказа 21, как более узкого по охвату.
Итак, Приказ 21 детализирует технические меры защиты в привязке к уровням защищенности по Постановлению Правительства №1119 от 01.11.2012. В нем много-много требований по различным аспектам. Меньше всего обязательных для 4го УЗ, и далее по возрастающей.
Что тут хотели сказать законодатели, если простым языком и в привязке к оценке эффективности? DPO должен регулярно и в отношении каждой ИСПДн проверять как выполняется применимый к ней набор мер. Результат оценки оформлять актом и далее организовывать устранение недостатков или планировать следующую дату проверки. И так для каждой ИСПДн. Естественно, это не обязательно должен делать сам DPO. Его главная задача организовать такие активности и получить положительный результат. Ну или добиться, чтобы все двигались в сторону его скорейшего получения.
Почему DPO? Привет статье 22.1 и ее ч.4 с обязанностями ответственного за организацию обработки.
Возникает вопрос - а кто все таки точно должен реализовывать всю технику? Конечно, все зависит от внутренней кухни организации. Но издревле, еще с начала нулевых (точно видел этот принцип в страшных СТР-К), реализацию мер по безопасности обеспечивает эксплуатирующее подразделение. Этой же логики придерживается и вся последующая нормативка, вплоть до КИИшных документов. Это и надо учитывать.
А про эффективность по ФЗ152 и вообще зачем это надо обязательно расскажу. Но чуть позже.
👍8❤6👏2
Про эффективность и защиту ПДн. Часть 2.
Теперь поднимемся на уровень выше, п.4 ч.2 ст. 19 говорит нам, что обеспечение безопасности персональных данных достигается, в частности:
"оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных"
Если сделать разбор этого положения, то увидим:
1. Оценка проводится для ИСПДн.
2. Оценка проводится до ввода ИСПД в эксплуатацию.
3. Не уточняется какие именно меры должны быть оценены.
4. Не уточняется в какой форме должна быть проведена оценка.
Итак, требование ФЗ конечно же шире, чем приказа одного из ведомств. Но имеет и условия применения, а так же очень широкие, даже размытые границы определения этой самой эффективности. По этому сами и будем определять что и как.
Начнем от триггера - ввод ИСПДн в эксплуатацию. Т.е. внедряется некая система, где будут обрабатываться ПДн. И мы должны оценить, как хорошо защищены в ней ПДн. Причем не только технически, но и организационно. Меры бывают разные, да. Я могу тут выделить три уровня:
1. Общий организационный. Проверить, есть ли достаточный комплект ЛНА для целей обработки в ней. Например, учтены ли цели, сроки обработки. Это все можно выписать в блок требований №1
2. Локальный организационный. Оформить все документы, что от нас просят в ПП1119, ФСТЭК21 и т.п. На выходе будет акт оценки уровня защищенности, перечень допущенных к обработке лиц, приказ о назначении ответственного за безопасность в ИСПДн (для УЗ3+). И так далее. Будет блок требований №2
3. И в конце проверить, как реализуются технические меры защиты. Может и не самому DPO это проверять, но точно надо организовать. Сам не сделаешь,. никто не сделает. Тут смотрим в первую очередь на приказ ФСТЭК №21, на модель угроз и выписываем что получилось. Есть артефакты по технике и в самом ФЗ (те же требования применять для уничтожения сертифицированные средства защиты информации). Вот и самый большой блок требований, №3
Логично, что весь результат нужно будет оформить в некий акт оценки эффективности. Чтобы он был под рукой, на него можно было любоваться и восхищаться собственными достижениями.
Ну а какая в этом практическая польза? Попробую рассказать в следующем посте.
Такие дела.
#ФЗ152 #Оценка_эффективности #СЗИ
Теперь поднимемся на уровень выше, п.4 ч.2 ст. 19 говорит нам, что обеспечение безопасности персональных данных достигается, в частности:
"оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных"
Если сделать разбор этого положения, то увидим:
1. Оценка проводится для ИСПДн.
2. Оценка проводится до ввода ИСПД в эксплуатацию.
3. Не уточняется какие именно меры должны быть оценены.
4. Не уточняется в какой форме должна быть проведена оценка.
Итак, требование ФЗ конечно же шире, чем приказа одного из ведомств. Но имеет и условия применения, а так же очень широкие, даже размытые границы определения этой самой эффективности. По этому сами и будем определять что и как.
Начнем от триггера - ввод ИСПДн в эксплуатацию. Т.е. внедряется некая система, где будут обрабатываться ПДн. И мы должны оценить, как хорошо защищены в ней ПДн. Причем не только технически, но и организационно. Меры бывают разные, да. Я могу тут выделить три уровня:
1. Общий организационный. Проверить, есть ли достаточный комплект ЛНА для целей обработки в ней. Например, учтены ли цели, сроки обработки. Это все можно выписать в блок требований №1
2. Локальный организационный. Оформить все документы, что от нас просят в ПП1119, ФСТЭК21 и т.п. На выходе будет акт оценки уровня защищенности, перечень допущенных к обработке лиц, приказ о назначении ответственного за безопасность в ИСПДн (для УЗ3+). И так далее. Будет блок требований №2
3. И в конце проверить, как реализуются технические меры защиты. Может и не самому DPO это проверять, но точно надо организовать. Сам не сделаешь,. никто не сделает. Тут смотрим в первую очередь на приказ ФСТЭК №21, на модель угроз и выписываем что получилось. Есть артефакты по технике и в самом ФЗ (те же требования применять для уничтожения сертифицированные средства защиты информации). Вот и самый большой блок требований, №3
Логично, что весь результат нужно будет оформить в некий акт оценки эффективности. Чтобы он был под рукой, на него можно было любоваться и восхищаться собственными достижениями.
Ну а какая в этом практическая польза? Попробую рассказать в следующем посте.
Такие дела.
#ФЗ152 #Оценка_эффективности #СЗИ
👍9🔥3❤2
Про эффективность и защиту ПДн. Часть 3. Возвращение короля.
Итак, все ЛНА утверждены, оценка проведена, акты подписаны, планы намечены, KPI поставлены. Все при деле. Осталось только понять, “зачем все это, зачем?”
Все достаточно просто и очевидно.
Во-первых, это очень хороший повод распределить ответственность по мерам защиты ИСПДн. Что делает DPO, что делает ИБ, ИТ и, самое главное, кто в ответе за сделанное. Это важно, сразу распределить тяжесть гордости за работу. DPO же не сможет проверить, что там устроили ИТ. Зато сможет спросить у аудиторов потом, все ли так, как сказали? Спросить и порадоваться за коллег, что все так.
Во-вторых, это точки контроля DPO за деятельностью организации в ИТ сфере. Тоже абсолютно легальные и правильные. Помним же, про оценить до введения в эксплуатацию? Вот тут и административный ресурс DPO появляется, так как его мнение нужно учитывать. Можно, даже нужно, трактовать «до введения ИСПДн в эксплуатацию» несколько шире. Ведь может внедряться не ИСПДн целиком, а некая модификация, касающаяся обработки. Тоже повод проверить, как на самом деле доработали. И учесть изменения ИСПДн.
И в-третьих, очень важно, такие акты и вся оценка эффективности - полноценное свидетельство работы Компании и ее усилий по защите ПДн. И есть мнение, что они могут послужить смягчением наказаний за утечку, как минимум по чч.15 и 18 ст.13.11 КоАП. Которые про повторные утечки. Основание – п.2 ч.3.4-2 ст.4.1 КоАП (сам удивился, что такая нумерация есть): «оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта проведенного в течение двенадцати месяцев, предшествующих моменту выявления административного правонарушения»
В общем, благодаря этой норме DPO может стать весьма уважаемым и полезным работником.
Такие дела.
P.S.: Да, по сути оценка эффективности это финал всех работ по защите ПДн. Когда угрозы смоделированы, ЛНА выпущены, СЗИ внедрены и оценены на соответствие. Долго, сложно, особенно с моделями и оценкой соответствия СЗИ, с уничтожением. Но можно и нужно.
#ФЗ152 #Оценка_эффективности #СЗИ
Итак, все ЛНА утверждены, оценка проведена, акты подписаны, планы намечены, KPI поставлены. Все при деле. Осталось только понять, “зачем все это, зачем?”
Все достаточно просто и очевидно.
Во-первых, это очень хороший повод распределить ответственность по мерам защиты ИСПДн. Что делает DPO, что делает ИБ, ИТ и, самое главное, кто в ответе за сделанное. Это важно, сразу распределить тяжесть гордости за работу. DPO же не сможет проверить, что там устроили ИТ. Зато сможет спросить у аудиторов потом, все ли так, как сказали? Спросить и порадоваться за коллег, что все так.
Во-вторых, это точки контроля DPO за деятельностью организации в ИТ сфере. Тоже абсолютно легальные и правильные. Помним же, про оценить до введения в эксплуатацию? Вот тут и административный ресурс DPO появляется, так как его мнение нужно учитывать. Можно, даже нужно, трактовать «до введения ИСПДн в эксплуатацию» несколько шире. Ведь может внедряться не ИСПДн целиком, а некая модификация, касающаяся обработки. Тоже повод проверить, как на самом деле доработали. И учесть изменения ИСПДн.
И в-третьих, очень важно, такие акты и вся оценка эффективности - полноценное свидетельство работы Компании и ее усилий по защите ПДн. И есть мнение, что они могут послужить смягчением наказаний за утечку, как минимум по чч.15 и 18 ст.13.11 КоАП. Которые про повторные утечки. Основание – п.2 ч.3.4-2 ст.4.1 КоАП (сам удивился, что такая нумерация есть): «оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта проведенного в течение двенадцати месяцев, предшествующих моменту выявления административного правонарушения»
В общем, благодаря этой норме DPO может стать весьма уважаемым и полезным работником.
Такие дела.
P.S.: Да, по сути оценка эффективности это финал всех работ по защите ПДн. Когда угрозы смоделированы, ЛНА выпущены, СЗИ внедрены и оценены на соответствие. Долго, сложно, особенно с моделями и оценкой соответствия СЗИ, с уничтожением. Но можно и нужно.
#ФЗ152 #Оценка_эффективности #СЗИ
👍4❤2🔥2
«Мероприятие без взаимодействия с проверяемым лицом» и его результаты.
Да, есть такое явление в природе, и РКН в условиях запретов на проверки очень их полюбил. Основная тема – поисследовать сайт Оператора в поисках ошибок. Вдруг политики нет, согласия не собираются, правовые основания для обработки ПДн отсутствуют. По проверке, если что-то нашли, то обязательно пришлют предписание. И самое удивительное, что они считают нарушением отсутствие в опубликованной политики сведений о целях обработки, составе ПДн, сроках и т.п. См. скрин.
На самом деле нет. Это не нарушение и РКН не может выдвигать такие требования, потому как в п.2 ч.1 ст.18.1 ясно и русским языком отделена политика от ЛНА с целями обработки. И даже руководство РКН на дне открытых дверей говорила про это как про рекомендацию. Не требование. Рекомендация. И я писал про это.
Что отвечать на такие претензии? Именно так и отвечать, что согласно положению ФЗ152 такому-то оператор должен иметь и политику в области обработки ПДн (где он описывает свои задачи по исполнению законов РФ при обработке ПДн), и локально-нормативные акты по целям (где он и описывает как он их обрабатывает). Которые мы вам с удовольствием направляем.
Да, публиковать цели обработки в отрыве от сопроводительных правовых оснований (в согласии, например), оператор тоже не обязан. А все эти телодвижения РКН, кажется, что следствие желания закрыть план по выявленным нарушениям.
P.S.: Но Оператор все равно должен иметь ЛНА, сугубо внутренние, где он утверждает цели обработки, сроки, условия, правила уничтожения, меры по защите и т.п. И предоставлять их по запросам того же РКН. А с учетом последних трендов в судебной практике, лучше чтобы цели в ЛНА совпадали с целями в РКН и с реальными процессами.
Такие дела.
#РКН #Политика_конфиденциальности #Цели_обработки
Да, есть такое явление в природе, и РКН в условиях запретов на проверки очень их полюбил. Основная тема – поисследовать сайт Оператора в поисках ошибок. Вдруг политики нет, согласия не собираются, правовые основания для обработки ПДн отсутствуют. По проверке, если что-то нашли, то обязательно пришлют предписание. И самое удивительное, что они считают нарушением отсутствие в опубликованной политики сведений о целях обработки, составе ПДн, сроках и т.п. См. скрин.
На самом деле нет. Это не нарушение и РКН не может выдвигать такие требования, потому как в п.2 ч.1 ст.18.1 ясно и русским языком отделена политика от ЛНА с целями обработки. И даже руководство РКН на дне открытых дверей говорила про это как про рекомендацию. Не требование. Рекомендация. И я писал про это.
Что отвечать на такие претензии? Именно так и отвечать, что согласно положению ФЗ152 такому-то оператор должен иметь и политику в области обработки ПДн (где он описывает свои задачи по исполнению законов РФ при обработке ПДн), и локально-нормативные акты по целям (где он и описывает как он их обрабатывает). Которые мы вам с удовольствием направляем.
Да, публиковать цели обработки в отрыве от сопроводительных правовых оснований (в согласии, например), оператор тоже не обязан. А все эти телодвижения РКН, кажется, что следствие желания закрыть план по выявленным нарушениям.
P.S.: Но Оператор все равно должен иметь ЛНА, сугубо внутренние, где он утверждает цели обработки, сроки, условия, правила уничтожения, меры по защите и т.п. И предоставлять их по запросам того же РКН. А с учетом последних трендов в судебной практике, лучше чтобы цели в ЛНА совпадали с целями в РКН и с реальными процессами.
Такие дела.
#РКН #Политика_конфиденциальности #Цели_обработки
1👍11🔥4👏4❤2🤨1
Немного о птичках.
Исторически сложилось, что в веб-технологиях чаще всего любое подтверждение собирается через чек-боксы. Они же птички, галки, иногда даже чайки или вообще кресты. Особый шик последнее время - сделать переключатель вкл/выкл.
В получении ПДн на обработку через сайты и формы этот механизм тоже используется очень, очень часто. Но всегда ли оправдано?
Итак, когда чек-боксы все таки необходимы? Очевидно, что когда предполагается несколько ответов. Например, согласие на обработку, согласие на рекламу, согласие на поздравление Дедом Морозом принятие условий правил сайта.
Хотя чем меньше вариантов проставления отметок, тем лучше пользовательский путь. Любой грамотный маркетолог подтвердит.
Что нужно делать в этом случае? Главная задача оператора - зафиксировать в логах (у себя на сайте) с чем согласились, когда и кто. Под кто подразумевается любая полезная информация, прямо или косвенно... - IP адрес, например, или какой то уникальный идентификатор-поле из формы.
Что лучше не делать? Проставлять галочки за пользователя. В случае с согласиями очень нарушает принцип добровольности. Не знаю о практике наказаний, но если можно не решать за клиента, то лучше не решать. В теории тут маячат ч.1 ст.13.11 КоАП или ч.4.1 ст. 14.3 про рекламу без согласия.
А если сбор и обработка ПДн основаны на однозначном решении субъекта, согласие, договор, закон, то тут окошки и птички не нужны. Достаточно большой и красивой кнопки. Главное не забывать фиксировать в логах ее работу. РКН на запрос о основаниях обработки ПДн спокойно принимает описание пользовательского пути, где ПДн не попадают к Оператору до момента отжатия кнопки.
Такие дела.
P.S.: Самое мощное что я видел - согласие на распространение в электронном виде, где условия можно было определять через чек-боксы. Кажется, их было как на картинке...
P.P.S.: Про предпроставленные галочки самое впечатляющее, что видел - поставленная галка в тексте согласия на рекламу и все это в нередактируемом PDF.
#Согласие
Исторически сложилось, что в веб-технологиях чаще всего любое подтверждение собирается через чек-боксы. Они же птички, галки, иногда даже чайки или вообще кресты. Особый шик последнее время - сделать переключатель вкл/выкл.
В получении ПДн на обработку через сайты и формы этот механизм тоже используется очень, очень часто. Но всегда ли оправдано?
Итак, когда чек-боксы все таки необходимы? Очевидно, что когда предполагается несколько ответов. Например, согласие на обработку, согласие на рекламу, согласие на поздравление Дедом Морозом принятие условий правил сайта.
Хотя чем меньше вариантов проставления отметок, тем лучше пользовательский путь. Любой грамотный маркетолог подтвердит.
Что нужно делать в этом случае? Главная задача оператора - зафиксировать в логах (у себя на сайте) с чем согласились, когда и кто. Под кто подразумевается любая полезная информация, прямо или косвенно... - IP адрес, например, или какой то уникальный идентификатор-поле из формы.
Что лучше не делать? Проставлять галочки за пользователя. В случае с согласиями очень нарушает принцип добровольности. Не знаю о практике наказаний, но если можно не решать за клиента, то лучше не решать. В теории тут маячат ч.1 ст.13.11 КоАП или ч.4.1 ст. 14.3 про рекламу без согласия.
А если сбор и обработка ПДн основаны на однозначном решении субъекта, согласие, договор, закон, то тут окошки и птички не нужны. Достаточно большой и красивой кнопки. Главное не забывать фиксировать в логах ее работу. РКН на запрос о основаниях обработки ПДн спокойно принимает описание пользовательского пути, где ПДн не попадают к Оператору до момента отжатия кнопки.
Такие дела.
P.S.: Самое мощное что я видел - согласие на распространение в электронном виде, где условия можно было определять через чек-боксы. Кажется, их было как на картинке...
P.P.S.: Про предпроставленные галочки самое впечатляющее, что видел - поставленная галка в тексте согласия на рекламу и все это в нередактируемом PDF.
#Согласие
🔥10👍5❤2👏2
101 Cookies.pdf
1.3 MB
Все, что вы хотели узнать о кукисах, но боялись спросить.
Год подходит к концу, напряжение сил для закрытия задач на максимуме, но всегда находятся силы сделать что-то приятное и полезное. Совместно с каналом project 101 подготовили подробный гайд по этой технологи. В нем вы найдете:
- основания сбора cookies (стр. 3)
- требования к cookie-баннеру (стр. 4)
- рекомендации к Пользовательскому соглашению (стр. 6)
- формулировки для внесения в Политику и Уведомление РКН
В конце самое важное – чек-лист для самопроверки.
Настоятельно рекомендую подписаться на канал моих соавторов - новости России и мира из ИТ, ИБ, комплаенса, аналитика и гайды - польза в каждом посте. Мое знакомство с каналом началось с полезнейшего поста с аналитикой дела по коммерческой тайне (я много чем интересуюсь, да :) ). Оказывается, есть вариант не маркировать каждый документ грифом КТ, он не перестанет быть ею если про это заявлено в ЛНА. Ну, суд так решил.
UP: Напряжение сил сказывается, сначала добавил старую версию файла. Теперь она та, над которой трудились долгими вечерами.
#Гайд #Кукис #Cookie #ФЗ152
Год подходит к концу, напряжение сил для закрытия задач на максимуме, но всегда находятся силы сделать что-то приятное и полезное. Совместно с каналом project 101 подготовили подробный гайд по этой технологи. В нем вы найдете:
- основания сбора cookies (стр. 3)
- требования к cookie-баннеру (стр. 4)
- рекомендации к Пользовательскому соглашению (стр. 6)
- формулировки для внесения в Политику и Уведомление РКН
В конце самое важное – чек-лист для самопроверки.
Настоятельно рекомендую подписаться на канал моих соавторов - новости России и мира из ИТ, ИБ, комплаенса, аналитика и гайды - польза в каждом посте. Мое знакомство с каналом началось с полезнейшего поста с аналитикой дела по коммерческой тайне (я много чем интересуюсь, да :) ). Оказывается, есть вариант не маркировать каждый документ грифом КТ, он не перестанет быть ею если про это заявлено в ЛНА. Ну, суд так решил.
UP: Напряжение сил сказывается, сначала добавил старую версию файла. Теперь она та, над которой трудились долгими вечерами.
#Гайд #Кукис #Cookie #ФЗ152
1🔥20❤5👍5🤔2
Forwarded from Privacy Advocates
253256920-262500835.pdf
1.8 MB
🏛 В Госдуму внесен законопроект о втором пакете мер
противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий («Антифрод-2»)
🔸Статья 5 законопроекта про изменения в 152-ФЗ «О персональных данных»:
- Точечная правка ст. 10 (про специальные категории ПД): в ч. 3 уточняется формулировка — речь прямо про «обработку специальных категорий».
- Добавляется новая ч. 3¹ ст. 10: допускается обработка спецкатегорий ПД об участии граждан РФ в СВО и/или КТО, а также о принадлежности к их семьям — гос/муниципальными органами в пределах полномочий и иными лицами в случаях и порядке, определяемых федеральными законами.
🔸Статья 4 законопроекта про изменения в 149-ФЗ «Об информации, ИТ и о защите информации»:
- Добавляется норма, что Правительство РФ может установить случаи, когда при авторизации по адресу электронной почты такой адрес должен быть создан с использованием доменных имён, входящих в группы доменных имён, составляющих российскую национальную доменную зону.
- Вводится требование подтверждать совершение в интернете «значимых действий» (перечень утверждает Правительство): подтверждение идёт кодом из SMS + кодом/сообщением через MAX, отправляемыми владельцем ресурса (российское ЮЛ/гражданин РФ, деятельность в РФ). Для банков/финрынка перечень дополнительно согласуется с ЦБ.
- Запрет на распространение «вводящей в заблуждение» информации: под видом достоверных сообщений, создающей угрозу имущественного ущерба и/или неправомерного доступа к ПД/иной информации пользователя (вводится как отдельная категория).
🔸Статья 8 законопроекта про изменения в 572-ФЗ (про идентификацию/аутентификацию с биометрией, ЕБС и др.):
- В ст. 4 добавляются ч. 18–19: если доступ к учётной записи в ЕСИА ограничен (в т.ч. из-за выявленного несанкционированного доступа), восстановить доступ можно одним из перечисленных способов: ЕБС; сайт/мобильное приложение банка; УКЭП; MAX; МФЦ; органы/организации, имеющие право выдавать ключи ПЭП для гос/мунуслуг.
противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий («Антифрод-2»)
🔸Статья 5 законопроекта про изменения в 152-ФЗ «О персональных данных»:
- Точечная правка ст. 10 (про специальные категории ПД): в ч. 3 уточняется формулировка — речь прямо про «обработку специальных категорий».
- Добавляется новая ч. 3¹ ст. 10: допускается обработка спецкатегорий ПД об участии граждан РФ в СВО и/или КТО, а также о принадлежности к их семьям — гос/муниципальными органами в пределах полномочий и иными лицами в случаях и порядке, определяемых федеральными законами.
🔸Статья 4 законопроекта про изменения в 149-ФЗ «Об информации, ИТ и о защите информации»:
- Добавляется норма, что Правительство РФ может установить случаи, когда при авторизации по адресу электронной почты такой адрес должен быть создан с использованием доменных имён, входящих в группы доменных имён, составляющих российскую национальную доменную зону.
- Вводится требование подтверждать совершение в интернете «значимых действий» (перечень утверждает Правительство): подтверждение идёт кодом из SMS + кодом/сообщением через MAX, отправляемыми владельцем ресурса (российское ЮЛ/гражданин РФ, деятельность в РФ). Для банков/финрынка перечень дополнительно согласуется с ЦБ.
- Запрет на распространение «вводящей в заблуждение» информации: под видом достоверных сообщений, создающей угрозу имущественного ущерба и/или неправомерного доступа к ПД/иной информации пользователя (вводится как отдельная категория).
🔸Статья 8 законопроекта про изменения в 572-ФЗ (про идентификацию/аутентификацию с биометрией, ЕБС и др.):
- В ст. 4 добавляются ч. 18–19: если доступ к учётной записи в ЕСИА ограничен (в т.ч. из-за выявленного несанкционированного доступа), восстановить доступ можно одним из перечисленных способов: ЕБС; сайт/мобильное приложение банка; УКЭП; MAX; МФЦ; органы/организации, имеющие право выдавать ключи ПЭП для гос/мунуслуг.
🔥4✍2❤1
С наступающим Новым Годом, уважаемые подписчики!
Очень хочу пожелать, чтобы ваши (во всех смыслах) персональные данные были в безопасности, как подарки этого Деда Мороза! И уверен, так и будет!
До новых встреч в 2026!🍾 🎉
Очень хочу пожелать, чтобы ваши (во всех смыслах) персональные данные были в безопасности, как подарки этого Деда Мороза! И уверен, так и будет!
До новых встреч в 2026!
Please open Telegram to view this post
VIEW IN TELEGRAM
🍾10🔥5👏3
РКН Шрёдингера
Все таки РКН как квантовая частица - непостижим до конца. И его позиция зависит ... непонятно от чего. Денис Лукаш опубликовал на своем канале предписание, где РКН заявляет - Google Таблицы нарушают локализацию сбора по ч.5 ст.18 ФЗ152 и нарушитель подлежит административной ответственности по ч.8 ст.13.11 КоАП (выдержка из этого заключения). Вот так вот. ТГП как бы нет, но оно как бы есть. Иначе как можно нарушить требование к сбору?
Но в очередной раз подтверждено - использовать зарубежные сервисы для обработки ПДн не стоит. Дорого может обойтись. Не считая ненулевой вероятности блокировки самого гуглоресурса РКН. Или со стороны Google. Те тоже могут ограничить нас в использовании.
UP: Зная боль в использовании таблиц Google (очень удобны и сопоставимых аналогов так и не появилось), дам пару советов как их лучше защитить:
1. Сделать объем данных в таблицах минимальным. Все что можно обезличить или маскировать.
2. Никаких доступов по ссылке. Только авторизация по аккаунтам и прямое назначение прав. Ссылка не защищает ни от чего и не ограничивает доступ к данным.
3. Немедленная блокировка уволенных, регулярная (чем чаще, тем лучше) проверка учеток - блокировать тех, кто уволился и не заблокирован, кто давно не заходил. Большая часть утечек происходит по вине внутренних пользователей. А что может быть приятнее обиженному и вредному работнику подставить бывшего работодателя на несколько миллионов (в лучшем случае)?
Такие дела.
#Позиция_РКН #ТГП
Все таки РКН как квантовая частица - непостижим до конца. И его позиция зависит ... непонятно от чего. Денис Лукаш опубликовал на своем канале предписание, где РКН заявляет - Google Таблицы нарушают локализацию сбора по ч.5 ст.18 ФЗ152 и нарушитель подлежит административной ответственности по ч.8 ст.13.11 КоАП (выдержка из этого заключения). Вот так вот. ТГП как бы нет, но оно как бы есть. Иначе как можно нарушить требование к сбору?
Но в очередной раз подтверждено - использовать зарубежные сервисы для обработки ПДн не стоит. Дорого может обойтись. Не считая ненулевой вероятности блокировки самого гуглоресурса РКН. Или со стороны Google. Те тоже могут ограничить нас в использовании.
UP: Зная боль в использовании таблиц Google (очень удобны и сопоставимых аналогов так и не появилось), дам пару советов как их лучше защитить:
1. Сделать объем данных в таблицах минимальным. Все что можно обезличить или маскировать.
2. Никаких доступов по ссылке. Только авторизация по аккаунтам и прямое назначение прав. Ссылка не защищает ни от чего и не ограничивает доступ к данным.
3. Немедленная блокировка уволенных, регулярная (чем чаще, тем лучше) проверка учеток - блокировать тех, кто уволился и не заблокирован, кто давно не заходил. Большая часть утечек происходит по вине внутренних пользователей. А что может быть приятнее обиженному и вредному работнику подставить бывшего работодателя на несколько миллионов (в лучшем случае)?
Такие дела.
#Позиция_РКН #ТГП
👍14🙈8❤2👎1
«Не виноватая я, он сам пришел!»
Есть один интересный вопрос, связанный с поручением на обработку ПДн. А если быть точным, то с потенциально возможным нарушением закона или вообще утечкой (ттт) и не у оператора, а очень даже у обработчика. Начинается то все хорошо, оператор выбирает подрядчика по услуге, проверяет его по требованиям ч.3 ст. 6 ФЗ152, подписывает поручение, передает данные и… Бац, нарушение. У обработчика. Конечно, такого не хочется никому, но никто и не застрахован.
А интересный вопрос заключается в том, кто будет нести ответственность за него? И ответ тут простой – оператор. Хотя вроде прямого указания на это нет, кроме ч.5 ст.6, где говорится что за обработчика отвечает оператор, но перед субъектом.
В конце декабря 2025 было вынесено решение по делу №А40-316609/2025: Т2 Мобайл получили штраф по ч.1 ст.13.11 КоАП за то, что агент «Почта России» не очень законно оформила симку на гражданку.
И вот как быть честному и ответственному оператору? Конечно, надо включать в поручение компенсацию как минимум штрафов, полученных по вине обработчика. И в полном размере. Вроде просто? Но многие организации стараются ограничить свою ответственность суммой контракта. И если начало ст. 13.11 КоАП в большинстве случаев может пролезть в эту цифру, то вторая половина вряд ли.
Что делать? Из опыта могу посоветовать такие вот хитрые и коварные шаги:
1. Вписать сверх компенсации штрафов от органов еще и собственные штрафы, для дисциплинирования. Часто обработчик видя прямо прописанные персональные санкции утыкается в них и начинает торговаться об их исключении. А вот основную часть для государства пропускают.
2. Если это не помогло, то включается эльфинг – вы же надежно защищаетесь, вам нечего переживать, формальность и не более, мы уверены в вас больше чем в себе (и так далее по списку).
Ну а если и после п.2 обработчик стоит на своем, то стоит задуматься – а надо ли сотрудничать с организацией, которая заранее уверена в том, что облажается и не хочет отвечать за это?
Такие дела.
#Поручение_на_обработку #КоАП #Штраф #ФЗ152
Есть один интересный вопрос, связанный с поручением на обработку ПДн. А если быть точным, то с потенциально возможным нарушением закона или вообще утечкой (ттт) и не у оператора, а очень даже у обработчика. Начинается то все хорошо, оператор выбирает подрядчика по услуге, проверяет его по требованиям ч.3 ст. 6 ФЗ152, подписывает поручение, передает данные и… Бац, нарушение. У обработчика. Конечно, такого не хочется никому, но никто и не застрахован.
А интересный вопрос заключается в том, кто будет нести ответственность за него? И ответ тут простой – оператор. Хотя вроде прямого указания на это нет, кроме ч.5 ст.6, где говорится что за обработчика отвечает оператор, но перед субъектом.
В конце декабря 2025 было вынесено решение по делу №А40-316609/2025: Т2 Мобайл получили штраф по ч.1 ст.13.11 КоАП за то, что агент «Почта России» не очень законно оформила симку на гражданку.
И вот как быть честному и ответственному оператору? Конечно, надо включать в поручение компенсацию как минимум штрафов, полученных по вине обработчика. И в полном размере. Вроде просто? Но многие организации стараются ограничить свою ответственность суммой контракта. И если начало ст. 13.11 КоАП в большинстве случаев может пролезть в эту цифру, то вторая половина вряд ли.
Что делать? Из опыта могу посоветовать такие вот хитрые и коварные шаги:
1. Вписать сверх компенсации штрафов от органов еще и собственные штрафы, для дисциплинирования. Часто обработчик видя прямо прописанные персональные санкции утыкается в них и начинает торговаться об их исключении. А вот основную часть для государства пропускают.
2. Если это не помогло, то включается эльфинг – вы же надежно защищаетесь, вам нечего переживать, формальность и не более, мы уверены в вас больше чем в себе (и так далее по списку).
Ну а если и после п.2 обработчик стоит на своем, то стоит задуматься – а надо ли сотрудничать с организацией, которая заранее уверена в том, что облажается и не хочет отвечать за это?
Такие дела.
#Поручение_на_обработку #КоАП #Штраф #ФЗ152
🔥15❤6🥴6
Увидел в одном чате интересный вопрос: зачем вносить в согласия действия, которые от нас требует закон – блокирование, уничтожение? По идее, оператор же выполнит их в любом случае, просто потому что ФЗ152 так предписывает?
На досуге моя мысль пошла несколько дальше – по логике вещей и на сбор не надо получать? Обработка без сбора невозможна. А если оператор получает от кого-то ПДн, то это как называется? Не сбор же, сбор это то, что происходит по инициативе самого оператора, а тут ему передают, он получает. Но получение в ФЗ152 не определено. Видимо, сбор все-таки нужно трактовать более широко, как я уже писал.
Стоп, выходит, что получение не единственный применяемый в жизни, но не описанный нигде термин. Есть еще более интересная вещь… Создание! Практически все операторы создают ПДн не сильно реже, чем их собирают. Работодатель создает почтовые адреса, должности, номера телефонов своим работникам. Продавец – бонусные счета клиентам, поставщик – идентификатор представителя контрагента и т.п.
Посмотрел в реестре операторов РКН: почти никто не разделяет рабочие ПДн и личные, и уж точно никто не использует «создание». Оно банально отсутствует в форме уведомления. Получается как в анекдоте про Вовочку «попа есть, а слова нет.» Чисто формально, очень применима ч.1 ст.13.11 КоАП. Но так, очень сильно формально.
Получается почти 20 лет (скоро юбилей, кстати) есть серьезный описательный недостаток в этой уведомительной обвязке, но никому нет дела, все прекрасно живут и работают. Может, и в остальном смысла ровно столько же?
Такие дела.
P.S.: Чуть не забыл про изначальный вопрос – про блокирование и уничтожение. Формально (слово дня получилось) не зачем это вписывать в согласия. Нет логически обоснованной нужды. По факту - пусть будет, больше бумаги, чище то, что не существует.
#Уведомление_РКН #Согласие
На досуге моя мысль пошла несколько дальше – по логике вещей и на сбор не надо получать? Обработка без сбора невозможна. А если оператор получает от кого-то ПДн, то это как называется? Не сбор же, сбор это то, что происходит по инициативе самого оператора, а тут ему передают, он получает. Но получение в ФЗ152 не определено. Видимо, сбор все-таки нужно трактовать более широко, как я уже писал.
Стоп, выходит, что получение не единственный применяемый в жизни, но не описанный нигде термин. Есть еще более интересная вещь… Создание! Практически все операторы создают ПДн не сильно реже, чем их собирают. Работодатель создает почтовые адреса, должности, номера телефонов своим работникам. Продавец – бонусные счета клиентам, поставщик – идентификатор представителя контрагента и т.п.
Посмотрел в реестре операторов РКН: почти никто не разделяет рабочие ПДн и личные, и уж точно никто не использует «создание». Оно банально отсутствует в форме уведомления. Получается как в анекдоте про Вовочку «попа есть, а слова нет.» Чисто формально, очень применима ч.1 ст.13.11 КоАП. Но так, очень сильно формально.
Получается почти 20 лет (скоро юбилей, кстати) есть серьезный описательный недостаток в этой уведомительной обвязке, но никому нет дела, все прекрасно живут и работают. Может, и в остальном смысла ровно столько же?
Такие дела.
P.S.: Чуть не забыл про изначальный вопрос – про блокирование и уничтожение. Формально (слово дня получилось) не зачем это вписывать в согласия. Нет логически обоснованной нужды. По факту - пусть будет, больше бумаги, чище то, что не существует.
#Уведомление_РКН #Согласие
🔥16👍8❤3
Как то все привыкли, что персональные данные регулируются ФЗ152. Ну может еще отраслевыми регуляторами и стандартами (есть отдельные моменты в ФЗ "О связи", в документах ЦБ).
Хорошо, не все, но я точно привык так думать.
Но вот занесло меня поизучать детально ФЗ149 "Об информации..." И дойдя до середины статьи 16 (из 18) очень сильно удивился. Оказывается, что еще в 2014м году, похоже что в рамках "пакета Яровой" появилась такая затейливая норма:
Никаких компромиссных вариантов типа "При сборе персональных данных ... ", только множественное число, только хардкор.
Единственное, что не делает локализацию полной и бесповоротной по этой норме, так это маленькая оговорка в начале, про случаи предусмотренные законами. Но долго ли ее заменить? Придется и тут следить за законодательными инициативами. Эх...
Снова нет повода не выпить в пятницу.
Такие дела.
#ФЗ152 #ФЗ149 #Локализация
Хорошо, не все, но я точно привык так думать.
Но вот занесло меня поизучать детально ФЗ149 "Об информации..." И дойдя до середины статьи 16 (из 18) очень сильно удивился. Оказывается, что еще в 2014м году, похоже что в рамках "пакета Яровой" появилась такая затейливая норма:
"4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
...
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации."
Никаких компромиссных вариантов типа "При сборе персональных данных ... ", только множественное число, только хардкор.
Единственное, что не делает локализацию полной и бесповоротной по этой норме, так это маленькая оговорка в начале, про случаи предусмотренные законами. Но долго ли ее заменить? Придется и тут следить за законодательными инициативами. Эх...
Снова нет повода не выпить в пятницу.
Такие дела.
#ФЗ152 #ФЗ149 #Локализация
🤝7🔥3