Обучение, согласованное со ФСТЭК РФ, ФСБ и УМО по ИБ России
Хотите быть уверены, что диплом переподготовки по информационной безопасности действительно легитимен при проверках?
Программа по обеспечению защиты информации криптографическими и некриптографическими методами — это официальный статус, который гарантирует признание документов всеми регуляторами.
По итогам вы получите:
- Диплом о переподготовке
- Сертификат от «Код Безопасности» по продукту «Континент 4»
- Сертификат от «Крипто-ПРО» по курсу «CSP».
Фокус:
- Усиленный практический модуль по криптографической защите информации от «Код Безопасности» и «Крипто-ПРО»
- Практика на лабораторных стендах
- Понимание современных методов защиты
- Онлайн-формат с преподавателями
💼 Обучение без отрыва от работы — дистанционно, 642 часа, с реальной практикой и доступом 24/7.
Запишитесь сейчас и учитесь по цене 2025 года!
👉 Оставить заявку на обучение
Хотите быть уверены, что диплом переподготовки по информационной безопасности действительно легитимен при проверках?
Программа по обеспечению защиты информации криптографическими и некриптографическими методами — это официальный статус, который гарантирует признание документов всеми регуляторами.
По итогам вы получите:
- Диплом о переподготовке
- Сертификат от «Код Безопасности» по продукту «Континент 4»
- Сертификат от «Крипто-ПРО» по курсу «CSP».
Фокус:
- Усиленный практический модуль по криптографической защите информации от «Код Безопасности» и «Крипто-ПРО»
- Практика на лабораторных стендах
- Понимание современных методов защиты
- Онлайн-формат с преподавателями
💼 Обучение без отрыва от работы — дистанционно, 642 часа, с реальной практикой и доступом 24/7.
Запишитесь сейчас и учитесь по цене 2025 года!
👉 Оставить заявку на обучение
😁5🤔1
РКН ТГП.pdf
183.3 KB
Вопрос для РКН:
Необходимо ли подавать уведомление о трансграничной передаче персональных данных при подписании договора с иностранным контрагентом в отношении данных подписанта - директора, содержащихся в выписке ЕГРЮЛ?
Ответ РКН: Да.
P.S. Напомню, что за неуведомление о ТГП уже наказывали по ч. 10 ст.13.11 КоАП РФ.
Необходимо ли подавать уведомление о трансграничной передаче персональных данных при подписании договора с иностранным контрагентом в отношении данных подписанта - директора, содержащихся в выписке ЕГРЮЛ?
Ответ РКН: Да.
P.S. Напомню, что за неуведомление о ТГП уже наказывали по ч. 10 ст.13.11 КоАП РФ.
😁28🤔15❤5👍5😢4
Канал @privacyexpert вошёл в рейтинг юридических телеграм‑каналов РЮТ’25 и занял сразу несколько достойных позиций в разных номинациях.
Цифровое право и блокчейн
🔹4‑е место среди самых крупных каналов в номинации.
🔹26‑е место среди самых вовлечённых каналов.
🔹33‑е место по индексу качества в этой категории.
Партнёрские каналы юрфирм
🔹10‑е место среди самых крупных каналов партнёров юридических фирм.
🔹63‑е место среди самых вовлечённых партнёрских каналов юрфирм.
🔹67‑е место по индексу качества в этой группе.
Личный канал
🔹60‑е место среди самых крупных личных юридических каналов.
Отмечен и @privacy_chat, который я поддерживаю, в номинации Телеграм-комьюнити (чаты)
🔹28-е место среди самых больших комьюнити для юристов.
Благодарю организаторов и кураторов номинаций за проделанную работу!
Цифровое право и блокчейн
🔹4‑е место среди самых крупных каналов в номинации.
🔹26‑е место среди самых вовлечённых каналов.
🔹33‑е место по индексу качества в этой категории.
Партнёрские каналы юрфирм
🔹10‑е место среди самых крупных каналов партнёров юридических фирм.
🔹63‑е место среди самых вовлечённых партнёрских каналов юрфирм.
🔹67‑е место по индексу качества в этой группе.
Личный канал
🔹60‑е место среди самых крупных личных юридических каналов.
Отмечен и @privacy_chat, который я поддерживаю, в номинации Телеграм-комьюнити (чаты)
🔹28-е место среди самых больших комьюнити для юристов.
Благодарю организаторов и кураторов номинаций за проделанную работу!
🔥48❤11👍3👌3
Небольшой срез по количеству утечек из СМИ. Данные из источников по состоянию на разные месяцы 2025 года, но для верхнеуровневого обзора не критично.
РКН:
2024 год: 135 фактов, 710 млн записей, 2025 год: 103 факта, 50 млн записей.
Минцифры:
2024 год: 135 крупных утечек, 2025 год: 65 крупных утечек.
ГК «Солар»:
2024 год: 3,5 млрд. строк, 2025 год: 13 млрд. строк.
Видим разночтения:
Роскомнадзор говорит о 135 фактах за 2024 год, Минцифры РФ говорит о 135 крупных утечках (т.е. + еще есть не крупные?).
ГК «Солар» указывает на совершенно другой уровень утечек: 50млн строк (РКН), против 13 млрд. строк (Солар) в 2025 г .
Что может быть не так в учете утечек писал выше,
Ниже подробнее: ссылки на источники и ключевые формулировки из них.
1. Недавно руководитель Роскомнадзора Андрей Липов сообщил о снижении числа утечек персональных данных в 14 раз в 2025 году относительно 2024 года: «Мы видим снижение выявляемых утечек. В 2024 году у нас было 135 фактов утечек, в этих утечках было 710 млн записей. А в 2025 году на сегодняшний день - 103 факта утечек и 50 млн записей. С 31 мая действует более высокая административная ответственность, и мы видим прямой эффект: с января по май 2025 года система нашла 6,5 тыс. нарушений в порядке сбора данных, а за следующие 5 месяцев - 3,5 тыс.»
2. Глава Минцифры Максут Шадаев отметил, что в 2025 году (на состояние 16 октября 2025 года) произошло 65 крупных утечек персональных данных (что заметно меньше, чем в 2024): «У нас есть данные Роскомнадзора – это официально зафиксированные крупные утечки персональных данных – по итогам прошлого года у нас было порядка 135. Я боюсь сглазить – сейчас у нас пока 65. Пока мы идем относительно прошлого года неплохо. Надеюсь, что за оставшееся время до конца года каких-то глобальных новых утечек не произойдет. В целом статистика у нас неплохая. Расходы на кибербезопасность, несмотря на непростую экономическую ситуацию, растут, а количество утечек уменьшается. Здесь мы цели достигли».
Так, по официальным данным, количество утечек снизилось. Можно ли говорить о меньших объёмах «слива» персональных данных относительно прошлого года?
3. Директор по развитию центра мониторинга внешних цифровых угроз Solar Aura (дочерняя компания «Ростелекома») Александр Вураско на пресс-конференции «Кибербезопасность отметил: вызовы и шаги по борьбе с угрозами» отметил, что за январь-август 2025 года в сеть было «слито» около 13 млрд. строк персональных данных россиян — в четыре раза больше, чем за весь 2024 год, в котором было зафиксировано 3,5 млрд утекших строк.
РКН:
2024 год: 135 фактов, 710 млн записей, 2025 год: 103 факта, 50 млн записей.
Минцифры:
2024 год: 135 крупных утечек, 2025 год: 65 крупных утечек.
ГК «Солар»:
2024 год: 3,5 млрд. строк, 2025 год: 13 млрд. строк.
Видим разночтения:
Роскомнадзор говорит о 135 фактах за 2024 год, Минцифры РФ говорит о 135 крупных утечках (т.е. + еще есть не крупные?).
ГК «Солар» указывает на совершенно другой уровень утечек: 50млн строк (РКН), против 13 млрд. строк (Солар) в 2025 г .
Что может быть не так в учете утечек писал выше,
Ниже подробнее: ссылки на источники и ключевые формулировки из них.
1. Недавно руководитель Роскомнадзора Андрей Липов сообщил о снижении числа утечек персональных данных в 14 раз в 2025 году относительно 2024 года: «Мы видим снижение выявляемых утечек. В 2024 году у нас было 135 фактов утечек, в этих утечках было 710 млн записей. А в 2025 году на сегодняшний день - 103 факта утечек и 50 млн записей. С 31 мая действует более высокая административная ответственность, и мы видим прямой эффект: с января по май 2025 года система нашла 6,5 тыс. нарушений в порядке сбора данных, а за следующие 5 месяцев - 3,5 тыс.»
2. Глава Минцифры Максут Шадаев отметил, что в 2025 году (на состояние 16 октября 2025 года) произошло 65 крупных утечек персональных данных (что заметно меньше, чем в 2024): «У нас есть данные Роскомнадзора – это официально зафиксированные крупные утечки персональных данных – по итогам прошлого года у нас было порядка 135. Я боюсь сглазить – сейчас у нас пока 65. Пока мы идем относительно прошлого года неплохо. Надеюсь, что за оставшееся время до конца года каких-то глобальных новых утечек не произойдет. В целом статистика у нас неплохая. Расходы на кибербезопасность, несмотря на непростую экономическую ситуацию, растут, а количество утечек уменьшается. Здесь мы цели достигли».
Так, по официальным данным, количество утечек снизилось. Можно ли говорить о меньших объёмах «слива» персональных данных относительно прошлого года?
3. Директор по развитию центра мониторинга внешних цифровых угроз Solar Aura (дочерняя компания «Ростелекома») Александр Вураско на пресс-конференции «Кибербезопасность отметил: вызовы и шаги по борьбе с угрозами» отметил, что за январь-август 2025 года в сеть было «слито» около 13 млрд. строк персональных данных россиян — в четыре раза больше, чем за весь 2024 год, в котором было зафиксировано 3,5 млрд утекших строк.
❤6👍3🤔3😢1
Увеличилось ли количество утечек в 2025 году или уменьшилось, это не будет иметь значения с точки зрения ослабления штрафов.
По моему мнению, у РКН/МЦ будет следующая логика:
🔹Если количество утечек будет уменьшаться в 2026-м:
Количество утечек уменьшается, значит повышенные от 3 млн. рублей штрафы работают, если нужно еще увеличим, так как это работает.
🔹Если количество утечек будет увеличиваться в 2026-м:
Количество утечек увеличивается, значит своевременно увеличили штрафы, посмотрим, может еще увеличим.
Реальных подходов по улучшению 152-ФЗ с позиции работы оператора ПД пока не видно. Из далеких планов - институт "спецоператоров ПД". Из понятных государству инструментов остаются штрафы.
Критикуешь? Предлагай!
Что можно сделать самое простое? Например, в ч. 3 ст. 6 152-ФЗ заменить термин "поручение на обработку" на "соглашение об обработке данных" или даже на "соглашение о защите данных". В обиходе DPO используют аббревиатуру DPA (data processing agreement), во всем мире так, Но приходится переводить/использовать "поручение", которое корреспондирует со ст. 971 ГК РФ.
Считаете это мелочью? Посмотрите дело Бургеркинг. Поручение на обработку (утекло на стороне обработчика) составили по 971 ГК РФ (договор поручения), а не по ч. 3 ст. 6 152-ФЗ. Если гиганты путают с их возможностями, что говорить о малом бизнесе, который должен разобраться, что "поручение на обработку" это по факту соглашение обработке и защите персональных данных.
Улучшить можно многое, Роскомнадзор по положению защитник прав субъектов, а не операторов ПД. Хотелось бы больше инициативы от Минцифры РФ.
По моему мнению, у РКН/МЦ будет следующая логика:
🔹Если количество утечек будет уменьшаться в 2026-м:
Количество утечек уменьшается, значит повышенные от 3 млн. рублей штрафы работают, если нужно еще увеличим, так как это работает.
🔹Если количество утечек будет увеличиваться в 2026-м:
Количество утечек увеличивается, значит своевременно увеличили штрафы, посмотрим, может еще увеличим.
Реальных подходов по улучшению 152-ФЗ с позиции работы оператора ПД пока не видно. Из далеких планов - институт "спецоператоров ПД". Из понятных государству инструментов остаются штрафы.
Критикуешь? Предлагай!
Что можно сделать самое простое? Например, в ч. 3 ст. 6 152-ФЗ заменить термин "поручение на обработку" на "соглашение об обработке данных" или даже на "соглашение о защите данных". В обиходе DPO используют аббревиатуру DPA (data processing agreement), во всем мире так, Но приходится переводить/использовать "поручение", которое корреспондирует со ст. 971 ГК РФ.
Считаете это мелочью? Посмотрите дело Бургеркинг. Поручение на обработку (утекло на стороне обработчика) составили по 971 ГК РФ (договор поручения), а не по ч. 3 ст. 6 152-ФЗ. Если гиганты путают с их возможностями, что говорить о малом бизнесе, который должен разобраться, что "поручение на обработку" это по факту соглашение обработке и защите персональных данных.
Улучшить можно многое, Роскомнадзор по положению защитник прав субъектов, а не операторов ПД. Хотелось бы больше инициативы от Минцифры РФ.
👍8❤3😢2😁1🤔1
РКНКурск-Домен-Оператор.pdf
120.9 KB
УРКН по Курской области: владелец домена - оператор ПД.
Вопросы, заданные Роскомнадзору:
Согласно ст. 3 ФЗ‑152 «О персональных данных», оператор определяет цели и способы обработки персональных данных. При этом в законе не уточнено, должно ли доменное имя сайта находиться в собственности именно этого оператора. Прошу разъяснить:
считается ли владение доменом обязательным признаком оператора;
какие доказательства соответствия требованиям ФЗ‑152 принимаются, если домен зарегистрирован на иное лицо;
требуются ли дополнительные соглашения между владельцем домена и оператором.
P.S. Спасибо, что делитесь ответами.
Вопросы, заданные Роскомнадзору:
Согласно ст. 3 ФЗ‑152 «О персональных данных», оператор определяет цели и способы обработки персональных данных. При этом в законе не уточнено, должно ли доменное имя сайта находиться в собственности именно этого оператора. Прошу разъяснить:
считается ли владение доменом обязательным признаком оператора;
какие доказательства соответствия требованиям ФЗ‑152 принимаются, если домен зарегистрирован на иное лицо;
требуются ли дополнительные соглашения между владельцем домена и оператором.
P.S. Спасибо, что делитесь ответами.
🤔9👍2
Денис Лукаш | Privacy Expert
РКНКурск-Домен-Оператор.pdf
Решил отдельно прокомментировать.
Не смотря на подобный ответ Роскомнадзора, нужно понимать, что:
доменное имя - обозначение символами, предназначенное для адресации сайтов в сети "Интернет" в целях обеспечения доступа к информации, размещенной в сети "Интернет" (п. 15, ст. 2 149-ФЗ)
владелец сайта в сети "Интернет" - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети "Интернет", в том числе порядок размещения информации на таком сайте (п. 17 ст. 2 149-ФЗ)
149-ФЗ отличает владельца доменного имени от владельца сайта, тем более, от провайдера хостинга. Сам факт владения доменным именем еще не означает, что владелец доменного имени определяет и (или) организует обработку персональных данных (что является признаком оператора ПД по определению в 152-ФЗ).
Если в группе компаний регистрируете домены на одно лицо или выделяете поддомены для участников группы компаний, это по-прежнему можно делать. Но уже иметь ввиду, что может потребоваться документ о предоставлении домена и(или) правовая справка для РКН по совместному применению 149-ФЗ и 152-ФЗ.
Не смотря на подобный ответ Роскомнадзора, нужно понимать, что:
доменное имя - обозначение символами, предназначенное для адресации сайтов в сети "Интернет" в целях обеспечения доступа к информации, размещенной в сети "Интернет" (п. 15, ст. 2 149-ФЗ)
владелец сайта в сети "Интернет" - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети "Интернет", в том числе порядок размещения информации на таком сайте (п. 17 ст. 2 149-ФЗ)
149-ФЗ отличает владельца доменного имени от владельца сайта, тем более, от провайдера хостинга. Сам факт владения доменным именем еще не означает, что владелец доменного имени определяет и (или) организует обработку персональных данных (что является признаком оператора ПД по определению в 152-ФЗ).
Если в группе компаний регистрируете домены на одно лицо или выделяете поддомены для участников группы компаний, это по-прежнему можно делать. Но уже иметь ввиду, что может потребоваться документ о предоставлении домена и(или) правовая справка для РКН по совместному применению 149-ФЗ и 152-ФЗ.
www.consultant.ru
Статья 2. Основные понятия, используемые в настоящем Федеральном законе \ КонсультантПлюс
Статья 2. Основные понятия, используемые в настоящем Федеральном законе Перспективы и риски споров в суде общей юрисдикции. Ситуации, связанные со ст. 2 - Правообладатель (исключительный лицензиат) после временной блокировки сайта хочет взыскать...
❤14😁6
Суд: согласие на ПД - односторонняя сделка, а закон о ПД часть гражданского законодательства.
Судебная коллегия по гражданским делам Белгородского областного суда в деле 33-672/2025 от 06.03.2025 в апелляционном определении указала:
"Закон о персональных данных является частью гражданского законодательства - положения Закона о персональных данных должны соответствовать ГК РФ (п. 2 ст. 3 ГК РФ), являются продолжением регулирования нематериальных благ (ст. 150 ГК РФ), подчиняются ч. 1 ГК РФ. Следовательно, согласие на обработку персональных данных представляет собой сделку (ст. 153 ГК РФ), поскольку представляет собой установление прав и обязанностей в отношении персональных данных".
Определение по ссылке.
Ниже позиция Роскомнадзора по этому же вопросу.
P.S. Если ссылка не откроется, перейдите в поиск, введите номер дела 33-672/2025, выберете "Гражданские дела - апелляция".
Судебная коллегия по гражданским делам Белгородского областного суда в деле 33-672/2025 от 06.03.2025 в апелляционном определении указала:
"Закон о персональных данных является частью гражданского законодательства - положения Закона о персональных данных должны соответствовать ГК РФ (п. 2 ст. 3 ГК РФ), являются продолжением регулирования нематериальных благ (ст. 150 ГК РФ), подчиняются ч. 1 ГК РФ. Следовательно, согласие на обработку персональных данных представляет собой сделку (ст. 153 ГК РФ), поскольку представляет собой установление прав и обязанностей в отношении персональных данных".
Определение по ссылке.
Ниже позиция Роскомнадзора по этому же вопросу.
P.S. Если ссылка не откроется, перейдите в поиск, введите номер дела 33-672/2025, выберете "Гражданские дела - апелляция".
🤔37🔥13❤1💯1
РКН-Согласие-Не сделка.pdf
183.5 KB
Роскомнадзор: согласие на ПД - НЕ односторонняя сделка.
Ответ Роскомнадзора контрастирует с выводами судебной коллегии по гражданским делам.
"С учетом правовой конструкции Гражданского кодекса Российской Федерации, предоставление согласия на обработку персональных данных не устанавливает гражданских прав и обязанностей между участниками гражданских правоотношений, а служит правовым основанием на обработку персональных данных, предусмотренным п. 1 ч. 1 ст. 6 Федеральным законом № 152-ФЗ"
Ответ Роскомнадзора контрастирует с выводами судебной коллегии по гражданским делам.
"С учетом правовой конструкции Гражданского кодекса Российской Федерации, предоставление согласия на обработку персональных данных не устанавливает гражданских прав и обязанностей между участниками гражданских правоотношений, а служит правовым основанием на обработку персональных данных, предусмотренным п. 1 ч. 1 ст. 6 Федеральным законом № 152-ФЗ"
😁35🤔12💯4❤2
СМИ вправе публиковать персональные данные без согласия в случаях информирования по вопросам, представляющим общественный интерес
🔹Апелляционный суд оставил в силе отказ в привлечении к административной ответственности СМИ за публикацию персональных данных гражданина.
🔹Суть спора:
Истец обратился в Роскомнадзор, требуя привлечь СМИ к ответственности по ч.1 ст. 13.11 КоАП РФ.
Поводом стал новостной сюжет, где без его письменного согласия были показаны его ФИО, номер телефона и видеоизображение Истца. Сюжет «Мастер вымогатель, чистивший от вирусов телефон бабушки, перевёл все её деньги и сбежал» был размещён на площадках VK и YouTube.
Роскомнадзор отказал в возбуждении дела в связи с отсутствием события административного правонарушения.
Истец в суде дополнительно пожаловался на неправомерную обработку его биометрических персональных данных, включая трансграничную передачу, поскольку сервера YouTube находятся в США.
Суды поддержали позицию Роскомнадзора об отсутствии события административного правонарушения.
🔹Суды первой и апелляционной инстанции указали следующее:
1. Роскомнадзор обоснованно не усмотрел в действиях СМИ признаков административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, поскольку в рассматриваемом случае получение согласия на обработку персональных данных от Истца не требовалось ввиду информирования граждан по вопросам, представляющим общественный интерес (прим. - п. 5 ч. 1 ст. 49 Закона «О средствах массовой информации»), и обработки персональных данных в связи с законной деятельностью СМИ. Согласие субъекта на обработку персональных данных не требуется, если она необходима для осуществления профессиональной деятельности журналиста (п. 8 ч. 1 ст. 6 152-ФЗ).
2. Установлено, что Истец самостоятельно представился под запись на видеокамеру и в ходе интервью не возражал против съемки.
3. Видеосюжет касается профессиональной деятельности Истца и не затрагивает его частную жизнь, поскольку номер телефона, показанный в сюжете, получен из рекламной листовки об услугах мастеров.
4. Доводы о трансграничной передаче данных (хранение на серверах в США) не были изложены Истцом в заявлении при обращении в Роскомнадзор и не были предметом рассмотрения должностного лица, следовательно, не относятся к оспариваемому определению об отказе в возбуждении дела об административном правонарушении, поскольку суд не в праве подменять собой административный орган.
#практика
🔹Апелляционный суд оставил в силе отказ в привлечении к административной ответственности СМИ за публикацию персональных данных гражданина.
🔹Суть спора:
Истец обратился в Роскомнадзор, требуя привлечь СМИ к ответственности по ч.1 ст. 13.11 КоАП РФ.
Поводом стал новостной сюжет, где без его письменного согласия были показаны его ФИО, номер телефона и видеоизображение Истца. Сюжет «Мастер вымогатель, чистивший от вирусов телефон бабушки, перевёл все её деньги и сбежал» был размещён на площадках VK и YouTube.
Роскомнадзор отказал в возбуждении дела в связи с отсутствием события административного правонарушения.
Истец в суде дополнительно пожаловался на неправомерную обработку его биометрических персональных данных, включая трансграничную передачу, поскольку сервера YouTube находятся в США.
Суды поддержали позицию Роскомнадзора об отсутствии события административного правонарушения.
🔹Суды первой и апелляционной инстанции указали следующее:
1. Роскомнадзор обоснованно не усмотрел в действиях СМИ признаков административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, поскольку в рассматриваемом случае получение согласия на обработку персональных данных от Истца не требовалось ввиду информирования граждан по вопросам, представляющим общественный интерес (прим. - п. 5 ч. 1 ст. 49 Закона «О средствах массовой информации»), и обработки персональных данных в связи с законной деятельностью СМИ. Согласие субъекта на обработку персональных данных не требуется, если она необходима для осуществления профессиональной деятельности журналиста (п. 8 ч. 1 ст. 6 152-ФЗ).
2. Установлено, что Истец самостоятельно представился под запись на видеокамеру и в ходе интервью не возражал против съемки.
3. Видеосюжет касается профессиональной деятельности Истца и не затрагивает его частную жизнь, поскольку номер телефона, показанный в сюжете, получен из рекламной листовки об услугах мастеров.
4. Доводы о трансграничной передаче данных (хранение на серверах в США) не были изложены Истцом в заявлении при обращении в Роскомнадзор и не были предметом рассмотрения должностного лица, следовательно, не относятся к оспариваемому определению об отказе в возбуждении дела об административном правонарушении, поскольку суд не в праве подменять собой административный орган.
#практика
🔥7❤3
Вы могли видеть новость о компании "Камспартс". По материалам дела Роскомнадзор зафиксировал утечку менее 1000 субъектов персональных данных, возбудил дело по ч. 1 ст. 13.11 КоАП РФ, суд заменил штраф предупреждением. Вроде ничего серьезного.
Однако, на стороне компании велась большая работа, так как этому делу предшествовало административное расследование, возбужденное по ч. 12 ст. 13.11 КоАП РФ с риском штрафа 3-5 млн. рублей,
Роскомнадзор разбирался в утечке более 1000 субъектов персональных данных, потому что работали от количества записей, зафиксированных НКЦКИ. Была проведена большая работа, в ходе которой удалось доказать, что количество записей, определенных НКЦКИ, содержало меньшее количество субъектов ПД.
Откуда знаю? Правовым сопровождением "утечки" занимались в Lukash & Partners.
Закрыть расследование по ч. 12 ст. 13.11 КоАП РФ нужно было любой ценой. Если этого не сделать, компания бы находилось год под риском оборотного штрафа за повторную утечку (всякое бывает). Сейчас этого риска нет. В итоге нет и реального штрафа. Обосновывали замену штрафа предупреждением тоже мы.
Генеральный директор компании оставил отзыв и разрешил поделиться публично:
"Денис, Марина большое, вам спасибо, за то, что на первом этапе (в июне) быстро включились в ситуацию, своевременно готовили письма, документы, а также все время были на связи!".
Текущие административные расследования проводятся по методологии внеплановых проверок. Это значит нужно готовить информацию по всем ИСПДн и базам ПД, помимо затронутой базы данных. При этом если компания все пояснит в первом запросе, Роскомнадзор может не поверить и запросить файл утечки.
По моему опыту, перспективнее сопровождать утечки с момента получения "письма счастья" от НКЦКИ, чем включаться в середине процесса. Мы успешно включались и в середине процесса, но рисков будет больше если придется менять позицию.
Несколько моментов с которыми столкнетесь:
1. ИСПДн и базы данных ПД не одно и то же. Нужно иметь перечни баз ПД наряду с перечнем ИСПДн.
2. Быть готовым дать РКН экземпляр утечки или обосновано отказать.
3. Не имеет значение какое количество записей укажите в уведомлении об утечке, значение будет иметь информация, определенная НКЦКИ. Дальше доказывает оператор.
4. Если утечку нашел НКЦКИ (хоть 1 запись), повисает риск еще одного штрафа 1 млн. по ч. 11 ст. 13.11 КоАП РФ за не уведомление об утечке. Кстати, за заведомо неверные сведения в уведомлении в теории тоже можно получить ч. 11 ст. 13.11 КоАП РФ. Пока штрафов не видел, но первым быть никому не хочется.
Подобных моментов много.
В ходе правового клиентского сопровождения вменяемых "утечек" я подготовил 3-часовой корпоративный семинар по административным расследованиям, который на протяжении 4 месяцев прочитал ряду крупнейших компаний. Семинар позволяет расширить картину рисков, своевременно принять необходимые меры вплоть до изменения подходов к управлению data privacy (например, внедрить учет БД, если не велся).
Один из таких семинаров я провел для ТБанка, отзыв опубликовал здесь.
Стоимость адекватная, Запросить КП и записать свою компанию можно написав запрос по электронной почте info@lukash.partners.
Однако, на стороне компании велась большая работа, так как этому делу предшествовало административное расследование, возбужденное по ч. 12 ст. 13.11 КоАП РФ с риском штрафа 3-5 млн. рублей,
Роскомнадзор разбирался в утечке более 1000 субъектов персональных данных, потому что работали от количества записей, зафиксированных НКЦКИ. Была проведена большая работа, в ходе которой удалось доказать, что количество записей, определенных НКЦКИ, содержало меньшее количество субъектов ПД.
Откуда знаю? Правовым сопровождением "утечки" занимались в Lukash & Partners.
Закрыть расследование по ч. 12 ст. 13.11 КоАП РФ нужно было любой ценой. Если этого не сделать, компания бы находилось год под риском оборотного штрафа за повторную утечку (всякое бывает). Сейчас этого риска нет. В итоге нет и реального штрафа. Обосновывали замену штрафа предупреждением тоже мы.
Генеральный директор компании оставил отзыв и разрешил поделиться публично:
"Денис, Марина большое, вам спасибо, за то, что на первом этапе (в июне) быстро включились в ситуацию, своевременно готовили письма, документы, а также все время были на связи!".
Текущие административные расследования проводятся по методологии внеплановых проверок. Это значит нужно готовить информацию по всем ИСПДн и базам ПД, помимо затронутой базы данных. При этом если компания все пояснит в первом запросе, Роскомнадзор может не поверить и запросить файл утечки.
По моему опыту, перспективнее сопровождать утечки с момента получения "письма счастья" от НКЦКИ, чем включаться в середине процесса. Мы успешно включались и в середине процесса, но рисков будет больше если придется менять позицию.
Несколько моментов с которыми столкнетесь:
1. ИСПДн и базы данных ПД не одно и то же. Нужно иметь перечни баз ПД наряду с перечнем ИСПДн.
2. Быть готовым дать РКН экземпляр утечки или обосновано отказать.
3. Не имеет значение какое количество записей укажите в уведомлении об утечке, значение будет иметь информация, определенная НКЦКИ. Дальше доказывает оператор.
4. Если утечку нашел НКЦКИ (хоть 1 запись), повисает риск еще одного штрафа 1 млн. по ч. 11 ст. 13.11 КоАП РФ за не уведомление об утечке. Кстати, за заведомо неверные сведения в уведомлении в теории тоже можно получить ч. 11 ст. 13.11 КоАП РФ. Пока штрафов не видел, но первым быть никому не хочется.
Подобных моментов много.
В ходе правового клиентского сопровождения вменяемых "утечек" я подготовил 3-часовой корпоративный семинар по административным расследованиям, который на протяжении 4 месяцев прочитал ряду крупнейших компаний. Семинар позволяет расширить картину рисков, своевременно принять необходимые меры вплоть до изменения подходов к управлению data privacy (например, внедрить учет БД, если не велся).
Один из таких семинаров я провел для ТБанка, отзыв опубликовал здесь.
Стоимость адекватная, Запросить КП и записать свою компанию можно написав запрос по электронной почте info@lukash.partners.
🔥27❤11😁3
Ответ_Роструд БПДн.pdf
671.7 KB
Роструд: биометрическая идентификация/аутентификация удаленных работников только по добровольному согласию работника.
Вопросы, заданные Роструду:
1. Является ли правомерным вывод о том, что в целях обеспечения дополнительных и компенсирующих мер информационной безопасности при удаленном доступе к информационным системам и обрабатываемой в ней информации, в т.ч. охраняемой законом тайны, допустимо ставить в зависимость изменение условий трудового договора с работником от получения согласия действующего работника на обработку его биометрических персональных данных. В случае правомерности, какие мероприятия следует провести работодателю, чтобы корректно выстроить правоотношения с работником, давшим согласие на обработку его биометрических персональных данных.
2. Допустимо ли при приеме новых работников (до подписания трудового договора) предъявлять одним из требований для возможности удаленной работы – предоставление согласия на обработку биометрических персональных данных в обозначенных выше целях.
P.S. Спасибо, что делитесь ответами
Вопросы, заданные Роструду:
1. Является ли правомерным вывод о том, что в целях обеспечения дополнительных и компенсирующих мер информационной безопасности при удаленном доступе к информационным системам и обрабатываемой в ней информации, в т.ч. охраняемой законом тайны, допустимо ставить в зависимость изменение условий трудового договора с работником от получения согласия действующего работника на обработку его биометрических персональных данных. В случае правомерности, какие мероприятия следует провести работодателю, чтобы корректно выстроить правоотношения с работником, давшим согласие на обработку его биометрических персональных данных.
2. Допустимо ли при приеме новых работников (до подписания трудового договора) предъявлять одним из требований для возможности удаленной работы – предоставление согласия на обработку биометрических персональных данных в обозначенных выше целях.
P.S. Спасибо, что делитесь ответами
❤11
С 1 января 2026 года дела об административных правонарушениях по ст. 13.11 КоАП РФ передают обратно в систему судов общей юрисдикции (с 30 мая рассматривали арбитражные суды). Закон опубликован.
- На возможность замены штрафов предупреждениями не повлияет, зависит от защитника в деле.
- При наличии процессуальных оснований мировые суды также возвращали в РКН протоколы на доработку (и будут возвращать), как и арбитражные суды.
- Была надежда на более глубокое вникание арбитражных судей, но и судах общей юрисдикции ранее встречали принципиальные решения в пользу операторов, многое зависит от защитника в деле.
- Короткая практика "арбитражной" подсудности не показала принципиально иного подхода к правоприменению. а нюансы в разной степени встречались и раньше в СОЮ.
- На возможность замены штрафов предупреждениями не повлияет, зависит от защитника в деле.
- При наличии процессуальных оснований мировые суды также возвращали в РКН протоколы на доработку (и будут возвращать), как и арбитражные суды.
- Была надежда на более глубокое вникание арбитражных судей, но и судах общей юрисдикции ранее встречали принципиальные решения в пользу операторов, многое зависит от защитника в деле.
- Короткая практика "арбитражной" подсудности не показала принципиально иного подхода к правоприменению. а нюансы в разной степени встречались и раньше в СОЮ.
publication.pravo.gov.ru
Федеральный закон от 28.12.2025 № 508-ФЗ ∙ Официальное опубликование правовых актов
Федеральный закон от 28.12.2025 № 508-ФЗ
"О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
"О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
👍5😢5❤4
Команда Lukash & Partners в преддверии Нового года подобрала главное о персональных данных за 2025 год:
🔹Резюме 9-ти наиболее значимых изменений в законодательстве о персональных данных, вступивших в силу в 2025 году
🔹Обзор 3-х нормативно-правовых актов, вступающих в силу уже в 2026 году
🔹5 ключевых законодательных инициатив, изменения по которым стоит отслеживать
Читать обзор
🔹15 ключевых судебных решений по вопросам обработки персональных данных, опубликованных в уходящем году
Читать обзор
🔹24 официальных позиции Роскомнадзора и Минцифры России по вопросам правоприменения за 2025 год
Читать обзор
🔹Список полезных материалов Роскомнадзора и Lukash & Partners
Читать обзор
Поздравляем всех с Наступающим Новым годом!
Лучшим новогодним поздравлением от Вас будет голос за буст канала https://xn--r1a.website/boost/privacyexpert
🔹Резюме 9-ти наиболее значимых изменений в законодательстве о персональных данных, вступивших в силу в 2025 году
🔹Обзор 3-х нормативно-правовых актов, вступающих в силу уже в 2026 году
🔹5 ключевых законодательных инициатив, изменения по которым стоит отслеживать
Читать обзор
🔹15 ключевых судебных решений по вопросам обработки персональных данных, опубликованных в уходящем году
Читать обзор
🔹24 официальных позиции Роскомнадзора и Минцифры России по вопросам правоприменения за 2025 год
Читать обзор
🔹Список полезных материалов Роскомнадзора и Lukash & Partners
Читать обзор
Поздравляем всех с Наступающим Новым годом!
Лучшим новогодним поздравлением от Вас будет голос за буст канала https://xn--r1a.website/boost/privacyexpert
❤24👍14🔥9
Денис Лукаш | Privacy Expert
Ответ_РКН_использование_Гугл_таблиц.docx
РКН_Гугл_Таблицы_локализация_баз_ПД.pdf
183 KB
Дополнение к позиции РКН по Гугл-таблицам: использование Гугл-таблиц является нарушением требований к локализации баз персональных данных.
Т.е. согласно совокупной позиции из двух писем Роскомнадзора уведомлять о трансграничной передаче персональных данных при использовании Гугл-таблиц не нужно (нет ТГП), но использование Гугл-таблиц при внесении в них ПД граждан РФ нарушает требования к локализации баз персональных данных.
ТГП и локализация баз ПД регулируются различными положениями 152-ФЗ (ст. 12 и ч. 5 ст.18). Можно нарушить одно из требований не нарушая другого. Ответственность тоже предусмотрена различная. В то же время уведомление о ТГП может стать доказательством не выполнения требования о локализации баз ПД.
Например, по использованию Гугл-аналитики Роскомнадзор принимает уведомления о трансграничной передаче и вносит в свою базу данных. Все кто уведомил о Гугл - аналитике тоже могут получить требования об устранении нарушений. А кто-то может сразу и дело об АП по ч. 8 ст. 13.11 КоАП РФ. Пока таких случаев не было, но и по Гугл-таблицам требований раньше не видел, а теперь такое точно есть.
Об этих аспектах ТГП и локализации баз ПД "Lukash & Partners" рассказывали на вебинаре с Selectel 2 месяца назад. Ссылка на видео, если не смотрели.
Т.е. согласно совокупной позиции из двух писем Роскомнадзора уведомлять о трансграничной передаче персональных данных при использовании Гугл-таблиц не нужно (нет ТГП), но использование Гугл-таблиц при внесении в них ПД граждан РФ нарушает требования к локализации баз персональных данных.
ТГП и локализация баз ПД регулируются различными положениями 152-ФЗ (ст. 12 и ч. 5 ст.18). Можно нарушить одно из требований не нарушая другого. Ответственность тоже предусмотрена различная. В то же время уведомление о ТГП может стать доказательством не выполнения требования о локализации баз ПД.
Например, по использованию Гугл-аналитики Роскомнадзор принимает уведомления о трансграничной передаче и вносит в свою базу данных. Все кто уведомил о Гугл - аналитике тоже могут получить требования об устранении нарушений. А кто-то может сразу и дело об АП по ч. 8 ст. 13.11 КоАП РФ. Пока таких случаев не было, но и по Гугл-таблицам требований раньше не видел, а теперь такое точно есть.
Об этих аспектах ТГП и локализации баз ПД "Lukash & Partners" рассказывали на вебинаре с Selectel 2 месяца назад. Ссылка на видео, если не смотрели.
🔥20❤18🤔10😁8👍1
🔹Управление Роскомнадзора по ЦФО:
- Обработка ПДн в Word, Exel без использования макросов и сложных формул для автоматических решений - обработка персональных данных без использования средств автоматизации.
- Отправка e-mail с ПДн является автоматизированной обработкой.
- Обработка персональных данных без использования средств автоматизации - обработка, при которой человек принимает решения, используя бумажные носители или простые файлы.
- Ключевые признаки и примеры автоматизированной обработки персональных данных: поиск и фильтрация, сортировка и категоризация, принятие решений в программе, рассылка (email, смс), аналитика и профилирование.
🔹Минцифры РФ:
- Обработка, в том числе внесение, хранение, корректировка ПДн в электронных документах, исходя из законного определения автоматизированной обработки персональных данных, является автоматизированной обработкой.
- Пересылка email, содержащих ПДн, является автоматизированной обработкой.
🔹Вопросы, поставленные в РКН и МЦ:
• Значение критериев «поиск по заданному алгоритму» применительно к неавтоматизированной обработке ПДн и «непосредственное участие человека»;
• Является ли алгоритмический поиск обязательным условием, при котором на обработку без использования автоматизации распространяет свое действие 152-ФЗ;
• Будет ли обработка считаться автоматизированной, если выполняется хотя бы одно из условий:
а) ПДн собираются и хранятся в электронных файлах документов;
б) запись, корректировка и поиск данных осуществляются человеком вручную;
в) электронные файлы используются только как средство хранения, без применения автоматизированных функций поиска или обработки;
• Является ли отправка e-mail с ПДн автоматизированной обработкой;
• Применение Постановления Правительства РФ № 687 к документам, которые созданы электронно, но хранятся на бумаге.
P.S. Ответами поделились в профильных чатах ⬇️
- Обработка ПДн в Word, Exel без использования макросов и сложных формул для автоматических решений - обработка персональных данных без использования средств автоматизации.
- Отправка e-mail с ПДн является автоматизированной обработкой.
- Обработка персональных данных без использования средств автоматизации - обработка, при которой человек принимает решения, используя бумажные носители или простые файлы.
- Ключевые признаки и примеры автоматизированной обработки персональных данных: поиск и фильтрация, сортировка и категоризация, принятие решений в программе, рассылка (email, смс), аналитика и профилирование.
🔹Минцифры РФ:
- Обработка, в том числе внесение, хранение, корректировка ПДн в электронных документах, исходя из законного определения автоматизированной обработки персональных данных, является автоматизированной обработкой.
- Пересылка email, содержащих ПДн, является автоматизированной обработкой.
🔹Вопросы, поставленные в РКН и МЦ:
• Значение критериев «поиск по заданному алгоритму» применительно к неавтоматизированной обработке ПДн и «непосредственное участие человека»;
• Является ли алгоритмический поиск обязательным условием, при котором на обработку без использования автоматизации распространяет свое действие 152-ФЗ;
• Будет ли обработка считаться автоматизированной, если выполняется хотя бы одно из условий:
а) ПДн собираются и хранятся в электронных файлах документов;
б) запись, корректировка и поиск данных осуществляются человеком вручную;
в) электронные файлы используются только как средство хранения, без применения автоматизированных функций поиска или обработки;
• Является ли отправка e-mail с ПДн автоматизированной обработкой;
• Применение Постановления Правительства РФ № 687 к документам, которые созданы электронно, но хранятся на бумаге.
P.S. Ответами поделились в профильных чатах ⬇️
🤔13❤8👌5😁3😢2
Отказ в возбуждении дела об административном правонарушении не может быть дан в простой форме письменного ответа
🔹Арбитражный суд Московского округа отменил судебные акты нижестоящих инстанций и признал незаконным отказ Роскомнадзора в возбуждении дела об административном правонарушении, оформленный в виде письма.
🔹Суть спора:
Гражданин обратился в Роскомнадзор с заявлением по вопросу нарушения Банком законодательства о персональных данных, связанного с обработкой его биометрических персональных данных без письменной формы согласия, через банкомат.
По результатам рассмотрения заявления Роскомнадзор направил заявителю письмо, в котором сообщил об отсутствии оснований для проведения внеплановой проверки.
Гражданин обратился в арбитражный суд, полагая, что данное письмо по своей сути является определением об отказе в возбуждении дела об административном правонарушении, оформленным ненадлежащим образом.
🔹Суд первой инстанции отметил, что для возбуждения дела об административном правонарушении отсутствует состав правонарушения, а также счёл ответ Роскомнадзора Гражданину в виде письма определением, оформленным надлежащим образом.
🔹Апелляционный суд указал, что Роскомнадзором не принималось процессуальное решение в порядке главы 30 КоАП РФ, по существу жалоба не рассматривалась, письмо Роскомнадзора ни по форме, ни по содержанию процессуальным решением, содержащим отказ в удовлетворении жалобы, не является. И, таким образом, письмо Роскомнадзора оформлено надлежащим образом, является обоснованным, мотивированным, и вынесено в соответствии с нормами КоАП РФ.
🔹Суд кассационной инстанции не согласился с выводами нижестоящих судов и указал следующее:
1. В случае отказа в возбуждении дела об административном правонарушении, в том числе и при проверке сообщений, заявлений, должностным лицом выносится мотивированное определение об отказе в возбуждении дела об административном правонарушении (ч. 5 ст. 28.1 КоАП РФ). Иная форма отказа законом не предусмотрена.
2. Согласно разъяснениям Конституционного Суда РФ в Постановлении от 30.03.2021 № 9-П отказ в возбуждении дела, вынесенный в иной форме (не в виде определения об отказе в возбуждении дела об административном правонарушении), может быть оспорен и признан незаконным по мотиву несоответствия его формы требованию ч. 5 ст. 28.1 КоАП РФ и предполагает удовлетворение требования о признании его незаконным в случае, если будет установлено несоблюдение формы отказа.
3. Кассационный суд постановил:
- судебные акты первой и апелляционной инстанций отменить;
- выраженный в письме Роскомнадзора отказ в возбуждении дела об административном правонарушении признать незаконным;
- обязать Роскомнадзор рассмотреть заявление в установленном порядке.
#практика
🔹Арбитражный суд Московского округа отменил судебные акты нижестоящих инстанций и признал незаконным отказ Роскомнадзора в возбуждении дела об административном правонарушении, оформленный в виде письма.
🔹Суть спора:
Гражданин обратился в Роскомнадзор с заявлением по вопросу нарушения Банком законодательства о персональных данных, связанного с обработкой его биометрических персональных данных без письменной формы согласия, через банкомат.
По результатам рассмотрения заявления Роскомнадзор направил заявителю письмо, в котором сообщил об отсутствии оснований для проведения внеплановой проверки.
Гражданин обратился в арбитражный суд, полагая, что данное письмо по своей сути является определением об отказе в возбуждении дела об административном правонарушении, оформленным ненадлежащим образом.
🔹Суд первой инстанции отметил, что для возбуждения дела об административном правонарушении отсутствует состав правонарушения, а также счёл ответ Роскомнадзора Гражданину в виде письма определением, оформленным надлежащим образом.
🔹Апелляционный суд указал, что Роскомнадзором не принималось процессуальное решение в порядке главы 30 КоАП РФ, по существу жалоба не рассматривалась, письмо Роскомнадзора ни по форме, ни по содержанию процессуальным решением, содержащим отказ в удовлетворении жалобы, не является. И, таким образом, письмо Роскомнадзора оформлено надлежащим образом, является обоснованным, мотивированным, и вынесено в соответствии с нормами КоАП РФ.
🔹Суд кассационной инстанции не согласился с выводами нижестоящих судов и указал следующее:
1. В случае отказа в возбуждении дела об административном правонарушении, в том числе и при проверке сообщений, заявлений, должностным лицом выносится мотивированное определение об отказе в возбуждении дела об административном правонарушении (ч. 5 ст. 28.1 КоАП РФ). Иная форма отказа законом не предусмотрена.
2. Согласно разъяснениям Конституционного Суда РФ в Постановлении от 30.03.2021 № 9-П отказ в возбуждении дела, вынесенный в иной форме (не в виде определения об отказе в возбуждении дела об административном правонарушении), может быть оспорен и признан незаконным по мотиву несоответствия его формы требованию ч. 5 ст. 28.1 КоАП РФ и предполагает удовлетворение требования о признании его незаконным в случае, если будет установлено несоблюдение формы отказа.
3. Кассационный суд постановил:
- судебные акты первой и апелляционной инстанций отменить;
- выраженный в письме Роскомнадзора отказ в возбуждении дела об административном правонарушении признать незаконным;
- обязать Роскомнадзор рассмотреть заявление в установленном порядке.
#практика
👍21❤10
28 января в день защиты персональных данных проведем онлайн-конференцию Privacy Forum 2026.
Что ждёт участников:
🔹Выступление представителя ФГУП "ГРЧЦ" Екатерины Ефимовой
🔹Панельные дискуссии с инхаус экспертами из крупных компаний и внешними консультантами
🔹Секции по актуальным темам:
1. Изменения в законодательстве о персональных данных
2. Биометрия в системе персональных данных
3. Персональные данные в маркетинге и продажах
4. Обработка персональных данных в кадровых процессах
5. Легализация персональных данных в службах безопасности
6. Разделение функций DPO и отдела ИБ
Среди спикеров Privacy Forum 2026 представители
ФГУП ГРЧЦ, Управления ИБ ДИТ г. Москвы, ЦБТ, Сбера, Авито, ГК «ГАРДА», Wildberries, ТБанка, Городисский и партнеры, АЛРУД, RTM Group и других крупных компаний.
Формат: онлайн
Дата и время: 28.01 с 10:00 - 16:00 по мск
Организатор: юридическая компания Lukash & Partners
Участие бесплатно, необходима регистрация
📧 Если вы эксперт в сфере data privacy и хотите поделиться своим опытом со слушателями и коллегами, напишите нам на электронную почту info@lukash.partners.
Что ждёт участников:
🔹Выступление представителя ФГУП "ГРЧЦ" Екатерины Ефимовой
🔹Панельные дискуссии с инхаус экспертами из крупных компаний и внешними консультантами
🔹Секции по актуальным темам:
1. Изменения в законодательстве о персональных данных
2. Биометрия в системе персональных данных
3. Персональные данные в маркетинге и продажах
4. Обработка персональных данных в кадровых процессах
5. Легализация персональных данных в службах безопасности
6. Разделение функций DPO и отдела ИБ
Среди спикеров Privacy Forum 2026 представители
ФГУП ГРЧЦ, Управления ИБ ДИТ г. Москвы, ЦБТ, Сбера, Авито, ГК «ГАРДА», Wildberries, ТБанка, Городисский и партнеры, АЛРУД, RTM Group и других крупных компаний.
Формат: онлайн
Дата и время: 28.01 с 10:00 - 16:00 по мск
Организатор: юридическая компания Lukash & Partners
Участие бесплатно, необходима регистрация
📧 Если вы эксперт в сфере data privacy и хотите поделиться своим опытом со слушателями и коллегами, напишите нам на электронную почту info@lukash.partners.
🔥20❤10👌1