Выше репост с канала Михаила Хохолкова, который посчитал полезным для этого.
От себя добавлю ниже.
Роскомнадзор давно считает метрические данные, собираемые Google Analytics, персональными c признаками трансграничной передачи.
Выше письмо РКН и сводка позиций РКН к GA.
Вроде бы уведомить, и проблема решится.
На самом деле РКН получит информацию, которая будет для оператора ПД миной замедленного действия. Если политическая ситуация измениться, можно будет сказать, что оператор собирает ПД через обработчика (GA) не на территории России (сейчас по отношению к пользователям GA таких претензий не встречается).
Еще могут быть сложности с проведенной оценкой трансграничной передачи (ч. 5 ст. 12 152-ФЗ). Достоверность таких оценок РКН пока не проверяет, но когда-то дойдет время и до них.
Вводимые с июня 2025 года штрафы за нарушения в области ПД (в ст.13.11 КоАП РФ) не затрагивают отсутствие уведомлений по трансграничной передаче. Но они тесно связаны с целями и перечнями ПД, которые включаются в уведомление о намерении осуществлять обработку ПД. Здесь с июня будет штраф от 100 000 на юрлиц.
От себя добавлю ниже.
Роскомнадзор давно считает метрические данные, собираемые Google Analytics, персональными c признаками трансграничной передачи.
Выше письмо РКН и сводка позиций РКН к GA.
Вроде бы уведомить, и проблема решится.
На самом деле РКН получит информацию, которая будет для оператора ПД миной замедленного действия. Если политическая ситуация измениться, можно будет сказать, что оператор собирает ПД через обработчика (GA) не на территории России (сейчас по отношению к пользователям GA таких претензий не встречается).
Еще могут быть сложности с проведенной оценкой трансграничной передачи (ч. 5 ст. 12 152-ФЗ). Достоверность таких оценок РКН пока не проверяет, но когда-то дойдет время и до них.
Вводимые с июня 2025 года штрафы за нарушения в области ПД (в ст.13.11 КоАП РФ) не затрагивают отсутствие уведомлений по трансграничной передаче. Но они тесно связаны с целями и перечнями ПД, которые включаются в уведомление о намерении осуществлять обработку ПД. Здесь с июня будет штраф от 100 000 на юрлиц.
Telegram
Денис Лукаш | Privacy Expert
Роскомнадзор:
"Использование функционала сервиса Google Analytics позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его персональных данных"
"Использование функционала сервиса Google Analytics позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его персональных данных"
👍10😁2❤1
Предпоследняя часть прошедшей конференции Privacy Forum 2025 доступна для просмотра.
В этой секции эксперты рассмотрели основные коллизии между нормами о персональных данных и привычными конструкциями гражданского законодательства, разобрали интересный судебный кейс, поговорили о проблемах несогласованной рекламной интеграции и излишних целях обработки персональных данных, а также о том, как эти вопросы влияют на рекламные рассылки.
Модератор - Кирилл Митягин, старший партнер Nevsky IP Law
Участники:
🔹 Марина Чурова, ведущий юрист"Lukash & Partners", экcперт в области информационного права
🔹Наталья Мирошниченко, партнер, руководитель практики Nevsky IP Law
🔹Герман Сабиров, руководитель направления правовой защиты данных и интеллектуальной собственности крупной финансовой организации
🔹Юлия Липатова, руководитель отдела правового сопровождения сервисов в IT-компании
VK video
Rutube
В этой секции эксперты рассмотрели основные коллизии между нормами о персональных данных и привычными конструкциями гражданского законодательства, разобрали интересный судебный кейс, поговорили о проблемах несогласованной рекламной интеграции и излишних целях обработки персональных данных, а также о том, как эти вопросы влияют на рекламные рассылки.
Модератор - Кирилл Митягин, старший партнер Nevsky IP Law
Участники:
🔹 Марина Чурова, ведущий юрист"Lukash & Partners", экcперт в области информационного права
🔹Наталья Мирошниченко, партнер, руководитель практики Nevsky IP Law
🔹Герман Сабиров, руководитель направления правовой защиты данных и интеллектуальной собственности крупной финансовой организации
🔹Юлия Липатова, руководитель отдела правового сопровождения сервисов в IT-компании
VK video
Rutube
🔥6👍3😁2🤔1
⚡️18-19 февраля "Безопасность 360" вместе с ведущими российскими экспертами в области Data Privacy приглашают на курс "Обработка персональных данных в организации".
Программа курса ориентирована на должностных лиц, являющихся ответственными за обработку ПДн, DPO, руководителей подразделений, занимающихся обработкой ПДн, юристов и комплаенс-менеджеров.
‼️ Как известно, в конце 2024 года в РФ были приняты поправки, усиливающие ответственность на нарушения требований обработки и утечки ПДн, а также введена уголовная ответственность за незаконное использование ПДн. Если раньше на организации, допустившие утечки ПДн налагались символические штрафы, то теперь в зависимости от количества пострадавших субъектов суммы штрафов будут составлять от 3 до 15 млн руб. для ИП и организаций и от 200 до 400 т.р. для должностных лиц.
Повторные нарушения влекут за собой оборотные штрафы на суммы не менее чем 20 млн руб.
⚠️ Такие наказания становятся серьезным риском для любого бизнеса. Но эти риски можно снизить, если организация соблюдала требования к защите данных и инвестировала в информационную безопасность.
Все законодательные новшества, наряду с устоявшимися положениями нормативно-правового регулирования в области ПДн рассматриваются на предлагаемом курсе. Обучение проводят известные эксперты-практики в области правовой защиты ПДн и технической защиты информации: Денис Лукаш, Алена Геращенко и Валерий Комаров.
✅ Особое внимание на курсе уделяется вопросам приведения бизнес-процессов в соответствие законодательным требованиям, легализации обработки ПДн для различных бизнес-целей, взаимоотношениям оператора, обработчика и надзорных органов, трансграничной передаче и анализу судебной практики в области защиты прав субъектов ПДн.
▶️ Зарегистрироваться
✅ При регистрации 2 и более человек от одной организации - скидки от 10%.
По всем вопросам обращайтесь в Безопасность 360:
📞 +7 (901) 189-50-50
📩 general@360sec.ru
ТГ: t.me/bezopasnost_360
ЕРИД 2Vtzqv5jz4c
Программа курса ориентирована на должностных лиц, являющихся ответственными за обработку ПДн, DPO, руководителей подразделений, занимающихся обработкой ПДн, юристов и комплаенс-менеджеров.
‼️ Как известно, в конце 2024 года в РФ были приняты поправки, усиливающие ответственность на нарушения требований обработки и утечки ПДн, а также введена уголовная ответственность за незаконное использование ПДн. Если раньше на организации, допустившие утечки ПДн налагались символические штрафы, то теперь в зависимости от количества пострадавших субъектов суммы штрафов будут составлять от 3 до 15 млн руб. для ИП и организаций и от 200 до 400 т.р. для должностных лиц.
Повторные нарушения влекут за собой оборотные штрафы на суммы не менее чем 20 млн руб.
⚠️ Такие наказания становятся серьезным риском для любого бизнеса. Но эти риски можно снизить, если организация соблюдала требования к защите данных и инвестировала в информационную безопасность.
Все законодательные новшества, наряду с устоявшимися положениями нормативно-правового регулирования в области ПДн рассматриваются на предлагаемом курсе. Обучение проводят известные эксперты-практики в области правовой защиты ПДн и технической защиты информации: Денис Лукаш, Алена Геращенко и Валерий Комаров.
✅ Особое внимание на курсе уделяется вопросам приведения бизнес-процессов в соответствие законодательным требованиям, легализации обработки ПДн для различных бизнес-целей, взаимоотношениям оператора, обработчика и надзорных органов, трансграничной передаче и анализу судебной практики в области защиты прав субъектов ПДн.
▶️ Зарегистрироваться
✅ При регистрации 2 и более человек от одной организации - скидки от 10%.
По всем вопросам обращайтесь в Безопасность 360:
📞 +7 (901) 189-50-50
📩 general@360sec.ru
ТГ: t.me/bezopasnost_360
ЕРИД 2Vtzqv5jz4c
👍6❤3
Ответ РКН по биометрии (2).docx
33.2 KB
В сообществах поделились ответом Роскомнадзора по Биометрии. Вроде все как всегда в ответе, но обратил внимание на этот нюанс:
"При этом, используя СКУД необходимо обрабатывать только те данные, которые определены в ч. 4 ст. 3 Закона № 572-ФЗ" (добавил ссылку для удобства).
Данную фразу можно понять двояко, но если в строгой интерпритации, то по мнению РКН в биометрических СКУД может быть только фото или голос, никаких там отпечатков ладошек и другой биометрии. Т.е. если хотим обойти 572-ФЗ, используя не голос и не фото, то РКН будет не согласен.
P.S. Спасибо, что делитесь ответами.
"При этом, используя СКУД необходимо обрабатывать только те данные, которые определены в ч. 4 ст. 3 Закона № 572-ФЗ" (добавил ссылку для удобства).
Данную фразу можно понять двояко, но если в строгой интерпритации, то по мнению РКН в биометрических СКУД может быть только фото или голос, никаких там отпечатков ладошек и другой биометрии. Т.е. если хотим обойти 572-ФЗ, используя не голос и не фото, то РКН будет не согласен.
P.S. Спасибо, что делитесь ответами.
👍22😢5❤3🔥3🤔2
Опубликовали сегодня завершающую секцию Privacy Forum 2025 "Персональные данные в IT-компаниях".
В рамках темы эксперты поделились своими рассуждениями о том, как создать баланс взаимоотношений в поручениях на обработку, обсудили вопрос последующей обработки, а также много дискутировали о разграничении ответственности за утечки ПДн.
Модератор - Денис Лукаш, управляющий партнёр "Lukash & Partners"
Участники:
🔹Михаил Кравцов, главный юрист по персональным данным, ГК "Иннотех"
🔹Анастасия Котенева, руководитель юридического направления по странам Евразии группы компаний "Infobip"
🔹Станислав Румянцев, старший юрист, "Городисский и партнеры"
🔹Кристина Боровикова, CDPO в международной финтех компании, соучредитель RPPA.pro
🔹Евгений Царев, руководитель RTM Group, эксперт в области персональных данных
Запись доступна на платформах:
VK video
Rutube
В рамках темы эксперты поделились своими рассуждениями о том, как создать баланс взаимоотношений в поручениях на обработку, обсудили вопрос последующей обработки, а также много дискутировали о разграничении ответственности за утечки ПДн.
Модератор - Денис Лукаш, управляющий партнёр "Lukash & Partners"
Участники:
🔹Михаил Кравцов, главный юрист по персональным данным, ГК "Иннотех"
🔹Анастасия Котенева, руководитель юридического направления по странам Евразии группы компаний "Infobip"
🔹Станислав Румянцев, старший юрист, "Городисский и партнеры"
🔹Кристина Боровикова, CDPO в международной финтех компании, соучредитель RPPA.pro
🔹Евгений Царев, руководитель RTM Group, эксперт в области персональных данных
Запись доступна на платформах:
VK video
Rutube
👍11😢2❤1🔥1😁1
трудовые споры январь 2025.pdf
679.7 KB
Зачастую работники используют ошибки работодателя в работе с ПДн в качестве аргументов в трудовых спорах, осведомленность граждан о правах в области защиты личной информации растет.
В статье январского номера журнала "Трудовые споры" эксперты разобрали, против чего выступают сотрудники в спорах, касающихся персональных данных, и рассказали, как компаниям защититься от внутренних privacy-активистов.
В статье январского номера журнала "Трудовые споры" эксперты разобрали, против чего выступают сотрудники в спорах, касающихся персональных данных, и рассказали, как компаниям защититься от внутренних privacy-активистов.
👍21🔥3👏3
дисциплинарный_бонус_Заключение_Шавин.pdf
143 KB
Напомню, что мы помогаем с легализацией обработки персональных в рекрутинговых и кадровых процессах. Партнером этого трека выступает Василий Шавин, к.ю.н, адвокат, эксперт по трудовому праву. Ссылка на нашу презентацию.
Сегодня Василий решил поделиться небольшой справкой по вопросу применения «дисциплинарного бонуса». Хотя это не совсем про ПД, решил опубликовать. Если Вы "кадровик", будет полезно. Ее можно обсудить в комментариях.
Сегодня Василий решил поделиться небольшой справкой по вопросу применения «дисциплинарного бонуса». Хотя это не совсем про ПД, решил опубликовать. Если Вы "кадровик", будет полезно. Ее можно обсудить в комментариях.
👍9
Справка штрафы 13.12 КоАП.pdf
151.6 KB
В начале февраля в Государственную Думу поступил законопроект о внесении изменений в КоАП РФ в части увеличения административных штрафов и срока давности привлечения к ответственности до 1 года за нарушения правил защиты информации (статья 13.12 КоАП РФ).
Разработчик законопроекта - ФСТЭК России.
Для наглядности подготовил сравнительную таблицу текущих и планируемых штрафов.
Разработчик законопроекта - ФСТЭК России.
Для наглядности подготовил сравнительную таблицу текущих и планируемых штрафов.
😢7👍6👏1
Ключевые тезисы 1-й секции конференции PrivacyForum, проведенной 28 января 2025 года.
Полная запись секции доступна здесь.
Полная запись секции доступна здесь.
👍22🔥1
❗️Завтра последний день подачи изменений по обработке ПД в Роскомнадзор.
Тем, кто ранее уведомлял Роскомнадзор о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 152-ФЗ), нужно не забыть уведомить об изменениях, произошедших в январе 2025 года (относительно направленных ранее сведений).
Основание: ч. 7 ст. 22 152-ФЗ.
Форма уведомления об изменениях на сайте Роскомнадзора: ссылка.
У Вас же есть процессы по ежемесячной оценке необходимости подачи изменений?
Тем, кто ранее уведомлял Роскомнадзор о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 152-ФЗ), нужно не забыть уведомить об изменениях, произошедших в январе 2025 года (относительно направленных ранее сведений).
Основание: ч. 7 ст. 22 152-ФЗ.
Форма уведомления об изменениях на сайте Роскомнадзора: ссылка.
У Вас же есть процессы по ежемесячной оценке необходимости подачи изменений?
😁12
О последствиях планируемых изменений по систематическим наблюдениям Роскомнадзора в области персональных данных (далее СН ПД). Если не видели, ссылка на Проект приказа Минцифры РФ.
3 момента через субъективный взгляд:
1. Можно будет проводить СН ПД оператора по жалобе субъекта ПД.
Например, субъект персональных данных может сообщить, что сведения в размещенной политике не соответствуют сведениям в уведомлении Роскомнадзора. РКН издаст приказ на СН ПД, подтвердит. А раз это официальный СН ПД, еще и трансграничку с не уведомлением может найти (если есть Гугл Аналитика, например).
2. Будут требования об удалении незаконно собранных ПД.
Теоретически возможный пример. Вместо согласия на Яндекс.Метрику использовали безальтернативное информирование, значит согласия, как основания обработки, не было, данные собраны незаконно. Вот кейс: информирование не является согласием.
Придется удалить все собранные данные по метрике и сообщить о выполнении.
3. С удалением незаконно собранных данных на стороне "обработчика" будет работать поручивший оператор ПД.
Например, кадровое агентство, действующее по поручению оператора-работодателя, не удалило резюме кандидатов после завершения проекта. Роскомнадзор может направить требование работодателю, работодатель будет разбираться не только у себя (если не удалил), но и с кадровым агентством. Узнать Роскомнадзор может из жалобы кандидата.
3 момента через субъективный взгляд:
1. Можно будет проводить СН ПД оператора по жалобе субъекта ПД.
Например, субъект персональных данных может сообщить, что сведения в размещенной политике не соответствуют сведениям в уведомлении Роскомнадзора. РКН издаст приказ на СН ПД, подтвердит. А раз это официальный СН ПД, еще и трансграничку с не уведомлением может найти (если есть Гугл Аналитика, например).
2. Будут требования об удалении незаконно собранных ПД.
Теоретически возможный пример. Вместо согласия на Яндекс.Метрику использовали безальтернативное информирование, значит согласия, как основания обработки, не было, данные собраны незаконно. Вот кейс: информирование не является согласием.
Придется удалить все собранные данные по метрике и сообщить о выполнении.
3. С удалением незаконно собранных данных на стороне "обработчика" будет работать поручивший оператор ПД.
Например, кадровое агентство, действующее по поручению оператора-работодателя, не удалило резюме кандидатов после завершения проекта. Роскомнадзор может направить требование работодателю, работодатель будет разбираться не только у себя (если не удалил), но и с кадровым агентством. Узнать Роскомнадзор может из жалобы кандидата.
Telegram
Денис Лукаш | Privacy Expert
Информирование не является фактом получения согласия
🔹Образовательным учреждением при зачислении несовершеннолетнего на обучение были переданы персональные данные субъекта и его законного представителя третьему лицу без полученного на это согласия.
🔹Роскомнадзор…
🔹Образовательным учреждением при зачислении несовершеннолетнего на обучение были переданы персональные данные субъекта и его законного представителя третьему лицу без полученного на это согласия.
🔹Роскомнадзор…
👍9❤5
Справка_по_планируемым_требованиям_к_локализации_баз_ПДн_Lukash.pdf
171.9 KB
Сегодня в СФ РФ рассматривают поправки по ужесточению требований к локализации баз персональных данных (ч. 5 ст. 18 152-ФЗ).
Направляю для свободного использования мнение о применении новых требований к локализации баз персональных данных.
В справке приведены примеры различий правоприменения до 01.07.2025 и после. В том числе, упомянута локализация первичным вводом и локализация «транспортными» каналами.
Направляю для свободного использования мнение о применении новых требований к локализации баз персональных данных.
В справке приведены примеры различий правоприменения до 01.07.2025 и после. В том числе, упомянута локализация первичным вводом и локализация «транспортными» каналами.
👍21🤔3
Не забываем про отношение Роспотребнадзора к перечню третьих лиц в договоре.
Общество включило в договор страхования (Полис) с потребителем согласие на передачу персональных данных в сторонние организации, при этом не указав конкретный перечень третьих лиц, которым оно вправе передать персональные данные потребителя.
Управление Роспотребнадзора по Республике Татарстан установило, что включение таких условий ущемляет права потребителя, и вынесло постановление о привлечении Общества к административной ответственности по части 2 статьи 14.8 КоАП РФ.
Суды согласились с позицией регулятора, отметив, что перечень третьих лиц, кому в дальнейшем будут переданы персональные данные по поручению страховой компании, установить невозможно. У третьих лиц, получивших доступ к персональным данным потребителя, не возникает обязанности сохранять конфиденциальность таких данных. Таким образом, подписав данные условия, потребитель фактически согласился с возможностью обработки его персональных данных третьими лицами. При этом обществом не были учтены установленные законом специальные требования к письменному согласию субъекта персональных данных (ч.4 ст. 9 Закона о персональных данных).
Кроме того, суды отметили, что включение в договор страхования вышеуказанного условия не охвачено самостоятельной волей и интересом потребителя, лишает возможности согласия или отказа в согласии на обработку персональных данных и не соответствует требованиям статьи 16 Закона о защите прав потребителей.
#практика
Общество включило в договор страхования (Полис) с потребителем согласие на передачу персональных данных в сторонние организации, при этом не указав конкретный перечень третьих лиц, которым оно вправе передать персональные данные потребителя.
Управление Роспотребнадзора по Республике Татарстан установило, что включение таких условий ущемляет права потребителя, и вынесло постановление о привлечении Общества к административной ответственности по части 2 статьи 14.8 КоАП РФ.
Суды согласились с позицией регулятора, отметив, что перечень третьих лиц, кому в дальнейшем будут переданы персональные данные по поручению страховой компании, установить невозможно. У третьих лиц, получивших доступ к персональным данным потребителя, не возникает обязанности сохранять конфиденциальность таких данных. Таким образом, подписав данные условия, потребитель фактически согласился с возможностью обработки его персональных данных третьими лицами. При этом обществом не были учтены установленные законом специальные требования к письменному согласию субъекта персональных данных (ч.4 ст. 9 Закона о персональных данных).
Кроме того, суды отметили, что включение в договор страхования вышеуказанного условия не охвачено самостоятельной волей и интересом потребителя, лишает возможности согласия или отказа в согласии на обработку персональных данных и не соответствует требованиям статьи 16 Закона о защите прав потребителей.
#практика
👍23🔥9🤔1👌1