Роскомнадзор в рамках прямой трансляции в виде чата отметил, что если есть фактическое поручение обработки, но нет подписанного поручения, то можно получить ч. 1 ст. 13.11 КоАП РФ (150 - 300 тыс. на юрлицо).
У Вас как, все обработчики подписались?
Если что, позиции "у нас нет доступа - мы не обработчик" или "давайте напишем, что у нас передача без поручения и поручения сразу не станет" - не рабочие. Вернее будут работать пока не пришел Роскомнадзор.
У Вас как, все обработчики подписались?
Если что, позиции "у нас нет доступа - мы не обработчик" или "давайте напишем, что у нас передача без поручения и поручения сразу не станет" - не рабочие. Вернее будут работать пока не пришел Роскомнадзор.
Telegram
Чат_Корпорация МСП, а не монстров
Здравствуйте! Ответ эксперта: Данная деятельность может образовывать состав административного правонарушения по ч. 1 ст. 13.11 КоАП РФ.
👍12❤4🤔1
Роскомнадзор проводит очный день открытых дверей. Открыта форма регистрации.
Заодно небольшой мастер-класс от РКН о возможности брать согласие на обработку персональных данных без чекбоксов. Я давно говорил, что они не нужны, если у Вас и так есть выраженное действие по отправке формы путем нажатия кнопки. А если нет желания давать согласие, то и форму незачем отправлять.
Заодно небольшой мастер-класс от РКН о возможности брать согласие на обработку персональных данных без чекбоксов. Я давно говорил, что они не нужны, если у Вас и так есть выраженное действие по отправке формы путем нажатия кнопки. А если нет желания давать согласие, то и форму незачем отправлять.
🔥30👍11❤4
О решении суда по ч. 10 ст. 13.11 КоАП РФ.
Ключевая мысль, которая не ложится в ранее сложившуюся практику применения ст. 22 152-ФЗ: Указанная в уведомлении дата начала обработки должна быть не раньше даты подачи уведомления.
Стоит обратить внимание: субъект ПД может по реестру операторов посмотреть дату регистрации и обратиться в Роскомнадзор с заявлением о возбуждении дела об административном правонарушении (как было в этом случае).
Подробнее о решении:
🔹Ранее заявитель подал обращение через сайт Роскомнадзора с требованием привлечь должностное лицо Жилищного кооператива (далее – Оператор) к административной ответственности по ч. 10 ст. 13.11 КоАП РФ в связи с тем, что на 04.06.2025 Оператор отсутствовал в реестре операторов персональных данных.
🔹Роскомнадзор отказал в возбуждении дела об административном правонарушении, предусмотренном ч. 10 ст. 13.11 КоАП РФ, в отношении должностного лица Оператора в связи с отсутствием состава административного правонарушения, ссылаясь на истечение сроков давности в соответствии со ст. 19.7 КоАП РФ, мотивируя это тем, что ч. 10 ст. 13.11 КоАП РФ введена с 30.05.2025 и на момент подачи жалобы Оператор был включен в реестр операторов, осуществляющих обработку персональных данных.
🔹Позиция Роскомнадзора также основывается на том, что в уведомлении о намерении осуществлять обработку персональных данных Оператор указал дату начала обработки персональных данных с 01.02.2025, соответственно срок давности привлечения к административной ответственности необходимо рассматривать по ст. 19.7 КоАП РФ, который в соответствии со ст. 4.5 КоАП РФ на 01.05.2025 истек.
🔹Заявитель обратился в суд с жалобой об отмене решения Роскомнадзора. В обоснование жалобы заявитель указывает, что обращался в административный орган в связи с тем, что уведомление о намерении осуществлять обработку персональных данных Оператор направил только 05.06.2025.
🔹Суд принял достаточно жесткую позицию по отношению к регулятору, указав следующее: обращение заявителя не рассмотрено по существу; виновное должностное лицо не установлено; выводы Роскомнадзора об отсутствии состава правонарушения по ч. 10 ст. 13.11 КоАП РФ в связи с истечением срока давности по ст. 19.7 КоАП РФ основаны на неверном толковании закона и в соответствии со ст. 4.5 КоАП РФ срок давности привлечения к административной ответственности по ч. 10 ст. 13.11 КоАП РФ не истек.
🔹Суд дополнительно обратил внимание, что согласно ч. 1 ст. 22 Закона персональных данных операторы обязаны заблаговременно информировать Роскомнадзор о предстоящей работе с персональными данными. Следовательно, при подаче уведомления необходимо указывать реальную предполагаемую дату начала обработки данных, причем данная дата не должна предшествовать дню направления уведомления. Однако в конкретном примере было допущено нарушение: в документе от 5 июня 2025 года оператором заявлено намерение начать обработку с 1 февраля 2025 года, что противоречит установленным требованиям.
🔹В итоге Суд удовлетворил жалобу заявителя и возвратил дело в Роскомнадзор на новое рассмотрение.
#практика
Ключевая мысль, которая не ложится в ранее сложившуюся практику применения ст. 22 152-ФЗ: Указанная в уведомлении дата начала обработки должна быть не раньше даты подачи уведомления.
Стоит обратить внимание: субъект ПД может по реестру операторов посмотреть дату регистрации и обратиться в Роскомнадзор с заявлением о возбуждении дела об административном правонарушении (как было в этом случае).
Подробнее о решении:
🔹Ранее заявитель подал обращение через сайт Роскомнадзора с требованием привлечь должностное лицо Жилищного кооператива (далее – Оператор) к административной ответственности по ч. 10 ст. 13.11 КоАП РФ в связи с тем, что на 04.06.2025 Оператор отсутствовал в реестре операторов персональных данных.
🔹Роскомнадзор отказал в возбуждении дела об административном правонарушении, предусмотренном ч. 10 ст. 13.11 КоАП РФ, в отношении должностного лица Оператора в связи с отсутствием состава административного правонарушения, ссылаясь на истечение сроков давности в соответствии со ст. 19.7 КоАП РФ, мотивируя это тем, что ч. 10 ст. 13.11 КоАП РФ введена с 30.05.2025 и на момент подачи жалобы Оператор был включен в реестр операторов, осуществляющих обработку персональных данных.
🔹Позиция Роскомнадзора также основывается на том, что в уведомлении о намерении осуществлять обработку персональных данных Оператор указал дату начала обработки персональных данных с 01.02.2025, соответственно срок давности привлечения к административной ответственности необходимо рассматривать по ст. 19.7 КоАП РФ, который в соответствии со ст. 4.5 КоАП РФ на 01.05.2025 истек.
🔹Заявитель обратился в суд с жалобой об отмене решения Роскомнадзора. В обоснование жалобы заявитель указывает, что обращался в административный орган в связи с тем, что уведомление о намерении осуществлять обработку персональных данных Оператор направил только 05.06.2025.
🔹Суд принял достаточно жесткую позицию по отношению к регулятору, указав следующее: обращение заявителя не рассмотрено по существу; виновное должностное лицо не установлено; выводы Роскомнадзора об отсутствии состава правонарушения по ч. 10 ст. 13.11 КоАП РФ в связи с истечением срока давности по ст. 19.7 КоАП РФ основаны на неверном толковании закона и в соответствии со ст. 4.5 КоАП РФ срок давности привлечения к административной ответственности по ч. 10 ст. 13.11 КоАП РФ не истек.
🔹Суд дополнительно обратил внимание, что согласно ч. 1 ст. 22 Закона персональных данных операторы обязаны заблаговременно информировать Роскомнадзор о предстоящей работе с персональными данными. Следовательно, при подаче уведомления необходимо указывать реальную предполагаемую дату начала обработки данных, причем данная дата не должна предшествовать дню направления уведомления. Однако в конкретном примере было допущено нарушение: в документе от 5 июня 2025 года оператором заявлено намерение начать обработку с 1 февраля 2025 года, что противоречит установленным требованиям.
🔹В итоге Суд удовлетворил жалобу заявителя и возвратил дело в Роскомнадзор на новое рассмотрение.
#практика
судебныерешения.рф
Поиск решений судов общей юрисдикции
Ленинский районный суд г. Перми, 01.08.2025
😢13🔥7❤6🤔3😁2
УРКН по ПФО: переписка в телеграм с пользователем на территории РФ не трансграничная передача, использование телеграм - не поручение обработки. Подробнее в письме.
P.S. Письмо было опубликовано в чате канала, дублирую через канал для широкого круга интересующихся.
P.S. Письмо было опубликовано в чате канала, дублирую через канал для широкого круга интересующихся.
❤27👍20👏14😁6💯2
Применение 272.1 УК РФ становится нормой. В новости ниже уже интересен не сам факт закрытия сервиса по пробиву, сколько упоминание:
Проверяется информация о более чем двух тысячах пользователей сервиса.
Forwarded from Ирина Волк
Media is too big
VIEW IN TELEGRAM
По имеющимся данным, указанный сервис располагал большими массивами данных, которые были собраны по результатам утечек из различных структур, и незаконно использовался коммерческими организациями, детективными и коллекторскими агентствами.
Кроме того, зафиксированы факты получения конфиденциальной информации аферистами для последующего хищения денежных средств населения.
По поисковым запросам пользователям предоставлялись подробные досье на граждан, содержащие анкетные и паспортные данные, сведения об адресах проживания и местах работы, доходах, кредитной истории, а также большое количество других уникальных записей.
Доступ к ресурсу осуществлялся посредством специализированной программной оболочки через веб-форму или интерфейс АPI.
Стоимость дифференцировалась в зависимости от объема услуг и статуса клиента. Нередко она превышала один миллион рублей в месяц.
Из-за высокой цены подписки на сервис доступ к нему зачастую перепродавался клиентами через объявления в специализированных телеграмм-каналах и на форумах в даркнете. Это дополнительно создавало угрозу распространения персональных данных российских граждан неограниченному кругу лиц.
На основании собранных сотрудниками УБК МВД России материалов при процессуальном контроле Следственного департамента МВД России следователем ГСУ ГУ МВД России по г. Москве возбуждено уголовное дело по признакам преступления, предусмотренного статьей 272.1 Уголовного кодекса Российской Федерации.
Оперативниками УБК МВД России совместно с коллегами из столицы и ФСБ России на территории Московского региона задержаны предполагаемый организатор криминальной схемы и его сообщник, который отвечал за программную и техническую поддержку сервиса.
В ходе обысков изъяты средства связи и компьютерная техника, договорная и бухгалтерская документация, а также серверное оборудование с базами данных общим объемом более 25 терабайт.
В настоящее время владельцу сервиса и главному техническому администратору предъявлены обвинения и избрана мера пресечения в виде заключения под стражу. Функционирование информационно-аналитической системы полностью прекращено.
Задокументировано, что поступления денежных средств только по двум счетам подконтрольных злоумышленникам юридических лиц с декабря 2024 года превышают шестьдесят шесть миллионов рублей. Проверяется информация о более чем двух тысячах пользователей сервиса.
Cовместно с ФСБ России приняты меры к установлению возможных соучастников из числа иностранных граждан и спецслужб, а также устранению выявленных угроз разглашения охраняемых законом данных граждан Российской Федерации.
Проведение оперативно-розыскных мероприятий, направленных на пресечение противоправной деятельности иных крупных участников теневого рынка персональных данных, продолжается.
#РаботаетПолиция
Подписаться
Поддержать
Подписаться
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19❤1
Август был насыщен мероприятиями от Роскомнадзора по персональным данным. Сводная информация:
1. Чат в в телеграм с представителем УРКН по ЦФО. Управления работают "на земле", именно их представители составляют или не составляют протокол. На мой взгляд, позиции УРКН многими недооценены.
2. Запись семинара Ю.Е. Контемирова на площадке Гарант. Теперь доступ платный, 3000 рублей. Полагаю, большинство вопросов-ответов можно найти на бесплатной записи в п. 3 ниже.
3. Запись дня открытых дверей Роскомнадзора. Наиболее полная позиция ЦА Роскомнадзора. Презентации с дня открытых дверей во вложении.
1. Чат в в телеграм с представителем УРКН по ЦФО. Управления работают "на земле", именно их представители составляют или не составляют протокол. На мой взгляд, позиции УРКН многими недооценены.
2. Запись семинара Ю.Е. Контемирова на площадке Гарант. Теперь доступ платный, 3000 рублей. Полагаю, большинство вопросов-ответов можно найти на бесплатной записи в п. 3 ниже.
3. Запись дня открытых дверей Роскомнадзора. Наиболее полная позиция ЦА Роскомнадзора. Презентации с дня открытых дверей во вложении.
Telegram
Адиль М. in Чат_Корпорация МСП, а не монстров
Добрый день!
1. Прошу разъяснить, будет ли являться трансграничной передачей публикация фото клиентов и иных персональных данных на страницах оператора в иностранных социальных сетях, таких как Instagram, Telegram, WhatsApp, при наличии у оператора согласия…
1. Прошу разъяснить, будет ли являться трансграничной передачей публикация фото клиентов и иных персональных данных на страницах оператора в иностранных социальных сетях, таких как Instagram, Telegram, WhatsApp, при наличии у оператора согласия…
👍25🔥12❤7
Денис Лукаш | Privacy Expert
На сайте ФАС опубликовано предупреждение Банку о прекращении действий (бездействия), которые содержат признаки нарушения антимонопольного законодательства. Подписчик канала, выступивший заявителем по этому делу, также поделился сканом решения о нарушении…
В продолжение истории с банком. Субъект ПД взыскал с банка моральную компенсацию в размере 5 000 рублей (+ 2 500 потребительский штраф), было заявлено 100 000.
Кратко суть претензии цитатой из решения суда:
"...были предложены для ознакомления и подписания ряд документов, среди которых был договор комплексного банковского обслуживания, содержащий условие, согласно которому «Клиент дает согласие … на обработку его персональных данных, в том числе… иных его биометрических данных…», а также «на информирование его о новых продуктах и услугах банка путем осуществления прямых контактов с ним с помощью технических средств связи», «на разрешение банку делать запросы о его кредитной истории в бюро кредитных историй». Предложенная истцу форма договора не предусматривала возможности отказа от дачи таких согласий. Поскольку истец не был согласен на заключение договора с включением данных пунктов..."
Ссылка на дело, но мотивировочное решение пока на сайте не опубликовано. Мотивировку прислал истец (субъект ПД), откуда и взята информация.
Кратко суть претензии цитатой из решения суда:
"...были предложены для ознакомления и подписания ряд документов, среди которых был договор комплексного банковского обслуживания, содержащий условие, согласно которому «Клиент дает согласие … на обработку его персональных данных, в том числе… иных его биометрических данных…», а также «на информирование его о новых продуктах и услугах банка путем осуществления прямых контактов с ним с помощью технических средств связи», «на разрешение банку делать запросы о его кредитной истории в бюро кредитных историй». Предложенная истцу форма договора не предусматривала возможности отказа от дачи таких согласий. Поскольку истец не был согласен на заключение договора с включением данных пунктов..."
Ссылка на дело, но мотивировочное решение пока на сайте не опубликовано. Мотивировку прислал истец (субъект ПД), откуда и взята информация.
Telegram
Денис Лукаш | Privacy Expert
На сайте ФАС опубликовано предупреждение Банку о прекращении действий (бездействия), которые содержат признаки нарушения антимонопольного законодательства.
Подписчик канала, выступивший заявителем по этому делу, также поделился сканом решения о нарушении…
Подписчик канала, выступивший заявителем по этому делу, также поделился сканом решения о нарушении…
👍22❤2
В ходе обсуждения новых штрафов за нарушения в области персональных данных с 30 мая 2025 года в стороне остался вопрос права проведения административных расследований Роскомнадзором.
Мы в Lukash & Partners столкнулись с обращениями новых клиентов по сопровождению "утечек", произошедших после 30 мая, включая сопровождение административных расследований.
Основная суть по расследованиям:
1. Роскомнадзор придерживается методики проведения внеплановых проверок и нужно быть готовым передать информацию по базам данным и ИСПДН (помимо всей информации по системе из которой произошла утечка).
2. В отличии от внеплановой проверки будет запрос со сроком ответа 3 дня. За не ответ предусмотрены санкции по ст. 17.7 КоАП РФ с дисквалификацией должностного лица или административным приостановлением деятельности юрлица.
Возможная ответственность существенно выше чем за воспрепятствование госконтролю.
Теперь представьте волнение среднестатистического оператора, который получил запрос предоставить информацию по всем ИСПДн и базам данных с разбивкой по категориям субъектов и прочими сведениями в течение 3 дней. К слову не все понимают, что это такое и о чем. Даже если это указывали в уведомлении Роскомнадзора. Ведь за неточности в уведомлении ответственности по факту нет, а тут есть.
Мы одни из первых столкнулись с новой практикой Роскомнадзора и одни из первых добились прекращения административного расследования по ч. 12 ст. 13.11 КоАП РФ (штраф от 3 млн. рублей) в интересах клиента, в результате дело по данной статье не дойдет до суда. Погрузились в это глубоко, увидели нюансы и получили инсайты.
Решил упаковать эти знания в небольшой корпоративный курс на 2-3 часа, где расскажу об административных расследованиях Роскомнадзора, нашем опыте, пройдемся по процессуальным особенностям КоАП в целом. Командам DPO или ИБ это поможет взять под контроль новые риски, связанные с методикой проведения адм. расследований.
Если Вашей компании интересен такой семинар, пишите мне в личку или на info@lukash.partners. Платно, но стоимость адекватная.
Мы в Lukash & Partners столкнулись с обращениями новых клиентов по сопровождению "утечек", произошедших после 30 мая, включая сопровождение административных расследований.
Основная суть по расследованиям:
1. Роскомнадзор придерживается методики проведения внеплановых проверок и нужно быть готовым передать информацию по базам данным и ИСПДН (помимо всей информации по системе из которой произошла утечка).
2. В отличии от внеплановой проверки будет запрос со сроком ответа 3 дня. За не ответ предусмотрены санкции по ст. 17.7 КоАП РФ с дисквалификацией должностного лица или административным приостановлением деятельности юрлица.
Возможная ответственность существенно выше чем за воспрепятствование госконтролю.
Теперь представьте волнение среднестатистического оператора, который получил запрос предоставить информацию по всем ИСПДн и базам данных с разбивкой по категориям субъектов и прочими сведениями в течение 3 дней. К слову не все понимают, что это такое и о чем. Даже если это указывали в уведомлении Роскомнадзора. Ведь за неточности в уведомлении ответственности по факту нет, а тут есть.
Мы одни из первых столкнулись с новой практикой Роскомнадзора и одни из первых добились прекращения административного расследования по ч. 12 ст. 13.11 КоАП РФ (штраф от 3 млн. рублей) в интересах клиента, в результате дело по данной статье не дойдет до суда. Погрузились в это глубоко, увидели нюансы и получили инсайты.
Решил упаковать эти знания в небольшой корпоративный курс на 2-3 часа, где расскажу об административных расследованиях Роскомнадзора, нашем опыте, пройдемся по процессуальным особенностям КоАП в целом. Командам DPO или ИБ это поможет взять под контроль новые риски, связанные с методикой проведения адм. расследований.
Если Вашей компании интересен такой семинар, пишите мне в личку или на info@lukash.partners. Платно, но стоимость адекватная.
🔥25❤2👍2
Денис Лукаш | Privacy Expert
Должность начальника юридической службы ООО «ТРВ-Ахтубинск» Гражданки С. попала под сокращение. Работодателем были предоставлены вакантные должности, от которых Гражданка С. отказалась. В то же время, находясь на рабочем месте, Гражданка С. среди документов…
TS07_18-23.pdf
1.1 MB
Ранее писал про случай использования ПД работника другим работником для целей защиты своих прав перед работодателем. ВС РФ встал на сторону второго, т.е. работника, который использовал ПД другого.
Марина Юфа и Владислав Симоненко поделились своими выводами по этому делу (файл во вложении). Более полно в файле, ниже кратко цитатами, что мне показалось ключевым:
"Даже при несанкционированном использовании данных другого сотрудника такие действия могут быть правомерными, если они направлены на защиту своих трудовых прав"
"Решение ВС может стать важным аргументом в случаях, когда
регулятор пытается квалифицировать несанкционированную передачу данных сотрудника как утечку"
"Процессуальная тактика имеет важное значение"
"Факт несанкционированного использования данных другого работника не всегда означает нарушение его прав"
"Сотрудники смогут избежать как минимум административной ответственности за несанкционированную обработку ПД, что повлечет дополнительные негативные последствия для бизнеса"
Марина Юфа и Владислав Симоненко поделились своими выводами по этому делу (файл во вложении). Более полно в файле, ниже кратко цитатами, что мне показалось ключевым:
"Даже при несанкционированном использовании данных другого сотрудника такие действия могут быть правомерными, если они направлены на защиту своих трудовых прав"
"Решение ВС может стать важным аргументом в случаях, когда
регулятор пытается квалифицировать несанкционированную передачу данных сотрудника как утечку"
"Процессуальная тактика имеет важное значение"
"Факт несанкционированного использования данных другого работника не всегда означает нарушение его прав"
"Сотрудники смогут избежать как минимум административной ответственности за несанкционированную обработку ПД, что повлечет дополнительные негативные последствия для бизнеса"
👍13❤10
Forwarded from РУЛЬФЫ, ИЛЬФЫ И ИНХАУСЫ
РФ vs ОАЭ: Что нужно знать о трансграничной передаче данных в этих юрисдикциях?
White Square приглашает вас на вебинар в новом формате: мы организуем панельную дискуссию с экспертами в области интеллектуальной собственности и защиты персональных данных, чтобы обсудить актуальные изменения и поделиться кейсами в области трансграничной передачи данных в РФ и ОАЭ.
Программа вебинара:
▫️Последние изменения в сфере персональных данных в РФ по 152-ФЗ за 2025 год: какие нововведения действуют для операторов персональных данных и как работать по-новому
▫️Основные особенности и требования к обработке и трансграничной передаче персональных данных в РФ и ОАЭ: в чем заключается отличие в регулировании в данных юрисдикциях
▫️Взгляд инхаус-юриста: практические аспекты по построению процесса передачи персональных данных изнутри
Спикеры:
▫️Никита Айрапетов, Лидер направления интеллектуальной собственности и защиты данных, White Square
▫️Денис Лукаш, Управляющий партнер “Lukash & Partners”
▫️Георгий Кюрджев, Юрист по информационному праву “Lukash & Partners”
▫️Герман Сабиров, Руководитель направления правовой защиты данных и интеллектуальной собственности крупной финансовой организации, Lead RPPA.pro Fintech Club
📍Вебинар «РФ vs ОАЭ: Трансграничная передача данных»
🗓 18 сентября, четверг
🕒 15:00–16:00 Мск
🔗 Переходите по ссылке для регистрации
Участие по предварительной регистрации. Места ограничены. Мероприятие закрыто для представителей юридических фирм и частнопрактикующих юристов.
White Square приглашает вас на вебинар в новом формате: мы организуем панельную дискуссию с экспертами в области интеллектуальной собственности и защиты персональных данных, чтобы обсудить актуальные изменения и поделиться кейсами в области трансграничной передачи данных в РФ и ОАЭ.
Программа вебинара:
▫️Последние изменения в сфере персональных данных в РФ по 152-ФЗ за 2025 год: какие нововведения действуют для операторов персональных данных и как работать по-новому
▫️Основные особенности и требования к обработке и трансграничной передаче персональных данных в РФ и ОАЭ: в чем заключается отличие в регулировании в данных юрисдикциях
▫️Взгляд инхаус-юриста: практические аспекты по построению процесса передачи персональных данных изнутри
Спикеры:
▫️Никита Айрапетов, Лидер направления интеллектуальной собственности и защиты данных, White Square
▫️Денис Лукаш, Управляющий партнер “Lukash & Partners”
▫️Георгий Кюрджев, Юрист по информационному праву “Lukash & Partners”
▫️Герман Сабиров, Руководитель направления правовой защиты данных и интеллектуальной собственности крупной финансовой организации, Lead RPPA.pro Fintech Club
📍Вебинар «РФ vs ОАЭ: Трансграничная передача данных»
🗓 18 сентября, четверг
🕒 15:00–16:00 Мск
🔗 Переходите по ссылке для регистрации
Участие по предварительной регистрации. Места ограничены. Мероприятие закрыто для представителей юридических фирм и частнопрактикующих юристов.
👍16❤5
Валерий Комаров написал книгу "Опасная профессия. Будни работы в сфере информационных технологий".
Книга на основе практики правоохранительных органов привлечения к уголовной ответственности за нарушения, связанные с ИБ, включая ИБ ПДн.
Поскольку DPO/юристы по персональным данным традиционно выступают и юристами по вопросам информационной безопасности, полезно ко чтению практикующим в ПД.
Из предисловия:
"Работая специалистом по защите информации, а затем и руководителем подразделения информационной безопасности, я получил определенный жизненный опыт по взаимодействию с правоохранительной и судебной системой при расследованиях компьютерных преступлений, который уже заставлял задуматься о существовании определенного «правового нигилизма» среди работников ИТ сферы."
"...Столкнувшись с десятками случаев обвинения специалистов информационных технологий, в том числе специалистов информационной безопасности (далее в книге — ИТ/ИБ специалисты), за поступки, которые они не осознавали в качестве незаконных и/или преступных."
Валерий, вместе со мной, Екатериной Ефимовой и Аленой Геращенко является лектором курса Обработка персональных данных в организации (следующий поток 30-31 октября).
Книга на основе практики правоохранительных органов привлечения к уголовной ответственности за нарушения, связанные с ИБ, включая ИБ ПДн.
Поскольку DPO/юристы по персональным данным традиционно выступают и юристами по вопросам информационной безопасности, полезно ко чтению практикующим в ПД.
Из предисловия:
"Работая специалистом по защите информации, а затем и руководителем подразделения информационной безопасности, я получил определенный жизненный опыт по взаимодействию с правоохранительной и судебной системой при расследованиях компьютерных преступлений, который уже заставлял задуматься о существовании определенного «правового нигилизма» среди работников ИТ сферы."
"...Столкнувшись с десятками случаев обвинения специалистов информационных технологий, в том числе специалистов информационной безопасности (далее в книге — ИТ/ИБ специалисты), за поступки, которые они не осознавали в качестве незаконных и/или преступных."
Валерий, вместе со мной, Екатериной Ефимовой и Аленой Геращенко является лектором курса Обработка персональных данных в организации (следующий поток 30-31 октября).
ridero.ru
Опасная профессия
Книга "Опасная профессия". "Будни работы в сфере информационных технологий" - Валерий Комаров - печатная, электронная: epub, fb2, pdfRead, mobi - Издание адресовано широкому кругу читателей.
В первой части вы найдете примеры жизненных ситуаций, приведших…
В первой части вы найдете примеры жизненных ситуаций, приведших…
🔥24👍6❤2
О новых требованиях к согласиям, которые теперь "отдельно".
Этим нововведением законодатель усилил тренд на отказ от согласий, как оснований обработки персональных данных. Осознание на рынке приходит медленно, вероятно ждем штрафов.
Один из часто встречающихся запросов ко мне, это решить вопрос с контрагентом, когда согласия берет одна компания за другую.
Я не выступаю медиатором, но когда бизнес договорился, по коммерции все всех устраивает, остается "небольшой ок" по вопросу ПД. Даже работая в интересах заказчика нужно выступить в роли медиатора, найти решение. Все юристы в своих сферах с подобным сталкиваются и понимают о чем я.
Разработка согласия и последующая работа с ним внутри одной компании вызывает меньше вопросов (но вопросы тоже есть). Другое дело согласовать тексты согласий между различными компаниями.
На данный момент каждый юрист и даже DPO видит вопрос "отделимости" согласий по-разному.
Обработчику проще, он может попросить вписать текст согласия в договор, как инструкцию от оператора к обработчику. И даже здесь доходит до невероятного. За эти дни встречал, как оператор - контрагент, который просил определенные согласия не готов их помещать в договор, так как хочет риск его же решения переложить на обработчика.
В большинстве случаев решить задачу по согласиям можно только изменениями бизнес-процессов на стороне реального оператора ПД и/или обработчика ПД, работающего со множеством операторов ПД. Без таких решений разговоры скорее всего приведут к компромиссу в принятии рисков. Либо слабая сторона по договору примет все риски.
Решил, что нужно поднять тему согласий, как оснований обработки в новых реалиях. Выступлю с этой темой на конференции "IT. Право. Безопасность", донесу свой взгляд. Будут другие доклады по ПД. Регистрируйтесь.
*См. последнюю редакцию ч. 1 ст. 9 152-ФЗ
Этим нововведением законодатель усилил тренд на отказ от согласий, как оснований обработки персональных данных. Осознание на рынке приходит медленно, вероятно ждем штрафов.
Один из часто встречающихся запросов ко мне, это решить вопрос с контрагентом, когда согласия берет одна компания за другую.
Я не выступаю медиатором, но когда бизнес договорился, по коммерции все всех устраивает, остается "небольшой ок" по вопросу ПД. Даже работая в интересах заказчика нужно выступить в роли медиатора, найти решение. Все юристы в своих сферах с подобным сталкиваются и понимают о чем я.
Разработка согласия и последующая работа с ним внутри одной компании вызывает меньше вопросов (но вопросы тоже есть). Другое дело согласовать тексты согласий между различными компаниями.
На данный момент каждый юрист и даже DPO видит вопрос "отделимости" согласий по-разному.
Обработчику проще, он может попросить вписать текст согласия в договор, как инструкцию от оператора к обработчику. И даже здесь доходит до невероятного. За эти дни встречал, как оператор - контрагент, который просил определенные согласия не готов их помещать в договор, так как хочет риск его же решения переложить на обработчика.
В большинстве случаев решить задачу по согласиям можно только изменениями бизнес-процессов на стороне реального оператора ПД и/или обработчика ПД, работающего со множеством операторов ПД. Без таких решений разговоры скорее всего приведут к компромиссу в принятии рисков. Либо слабая сторона по договору примет все риски.
Решил, что нужно поднять тему согласий, как оснований обработки в новых реалиях. Выступлю с этой темой на конференции "IT. Право. Безопасность", донесу свой взгляд. Будут другие доклады по ПД. Регистрируйтесь.
*См. последнюю редакцию ч. 1 ст. 9 152-ФЗ
itlawsec.ru
Онлайн-конференция IT. Право. Безопасность. Online. 25 сентября 2025
Объединим ИТ, право и безопасность на онлайн-конференции, которая состоится 25 сентября 2025 г.
👍23❤11🔥1
Депутат Госдумы Сергей Миронов предложил ввести оборотный штраф от 25 млн. рублей за первую утечку персональных данных.
Экспертный комментарий по поводу этой инициативы для журнала RSpectr дал ведущий юрист “Lukash & Partners” Эльшан Мамедов, к.ю.н., специалист по защите персональных данных и информационной безопасности.
Делимся с вами ключевыми тезисами:
Инициатива Сергея Миронова о введении оборотных штрафов за первую утечку персональных данных может серьёзно ударить по бизнесу.
Сейчас штрафы за утечки начинаются от 3 млн. рублей и одинаковы для небольших и крупных компаний. Новый порог — от 25 млн. — несоизмерим для малого и среднего бизнеса и в ряде случаев грозит банкротством.
Опасность в том, что даже при вложениях в лицензированные системы защиты и работе с подрядчиками по ИБ вся ответственность ляжет на самого оператора.
Возникает вопрос, будет ли Роскомнадзор учитывать такие вложения при смягчении санкций. В противном случае пострадать могут даже добросовестные компании, столкнувшиеся с единичными ошибками или форс‑мажором.
Отдельный риск — рост числа жалоб граждан. Это способно вызвать волну внеплановых проверок и огромную нагрузку на надзорные органы и их IT‑системы, как уже было с реестром операторов персональных данных, который не выдержал потока уведомлений весной этого года.
Все что не вошло по формату в статью Рспектр положили в статью на сайте "Lukash & Partners".
Экспертный комментарий по поводу этой инициативы для журнала RSpectr дал ведущий юрист “Lukash & Partners” Эльшан Мамедов, к.ю.н., специалист по защите персональных данных и информационной безопасности.
Делимся с вами ключевыми тезисами:
Инициатива Сергея Миронова о введении оборотных штрафов за первую утечку персональных данных может серьёзно ударить по бизнесу.
Сейчас штрафы за утечки начинаются от 3 млн. рублей и одинаковы для небольших и крупных компаний. Новый порог — от 25 млн. — несоизмерим для малого и среднего бизнеса и в ряде случаев грозит банкротством.
Опасность в том, что даже при вложениях в лицензированные системы защиты и работе с подрядчиками по ИБ вся ответственность ляжет на самого оператора.
Возникает вопрос, будет ли Роскомнадзор учитывать такие вложения при смягчении санкций. В противном случае пострадать могут даже добросовестные компании, столкнувшиеся с единичными ошибками или форс‑мажором.
Отдельный риск — рост числа жалоб граждан. Это способно вызвать волну внеплановых проверок и огромную нагрузку на надзорные органы и их IT‑системы, как уже было с реестром операторов персональных данных, который не выдержал потока уведомлений весной этого года.
Все что не вошло по формату в статью Рспектр положили в статью на сайте "Lukash & Partners".
Rspectr
Персданные и наказание - RSpectr
Поможет ли увеличение штрафов снизить число утечек личной информации граждан
👍10😁6❤4😢1
Имя и Фамилия в рассылке не ПД по решению суда (кассация).
Выводы из решения: использование имени и фамилии в рассылке без дополнительных сведений не позволяет идентифицировать лицо, в связи с чем такое использование не может быть признано противоправным действием.
🔹Гражданин З. получил на свою рабочую почту письмо от компании ООО "Сварка и Контроль НАКС", в котором увидел свои имя и фамилию и критические замечания по работе некоей организации, профиль деятельности которой был схож с той, в которой работал гражданин. Усмотрев в данном письме незаконное распространение своих персональных данных, гражданин обратился в суд с иском, в котором просил:
- признать действия общества по распространению персональных данных, а именно фамилии и имени, и сведений, порочащих честь, достоинство и деловую репутацию незаконными, влекущими нарушение прав истца;
- запретить указывать его имя и фамилию;
- обязать удалить спорные письма.
🔹Текст спорного письма:
«На территории Ивановской области активно действует организация, выдающая себя за аттестационный центр НАКС. Обращения чаще всего поступают от (имя и фамилия истца). Будьте особо внимательны. Данная организация выдает добровольную сертификацию за аттестацию. Прошу ознакомится с письмом Ростехнадзора по данной ситуации. Прохождение добровольной сертификации не освобождает организацию от требований по прохождению аттестации. Данные о добровольной сертификации НЕ попадают в реестр Ростехнадзора. Кто уже столкнулся с подобной ситуацией, просьба связаться с Егором Александровичем №. Уже подано несколько исковых заявлений на данную компанию, организации пытаются вернуть потраченные деньги. Поделимся опытом данной процедуры и контактами других пострадавших организаций».
🔹Суд первой инстанции отказал истцу в удовлетворении всех требований, апелляция и кассация поддержали решение.
🔹Позиция судов и мотивировка отказа:
🔹В части отсутствия распространения персональных данных:
Письма, направленные от имени общества, содержали фамилию и имя, совпадающие с фамилией и именем истца, каких-либо других дополнительных сведений письма не содержали, иные персональные данные в спорных текстах отсутствуют, связь между лицом, указанным в спорных текстах, с истцом, установить однозначно не представляется возможным, безусловно идентифицировать истца по указанным сведениям невозможно.
Само по себе размещение писем с указанием фамилии и имени, совпадающих с фамилией и именем истца, без указания иной информации, относящейся прямо или косвенно к истцу, не может являться противоправным действием, повлекшим причинение истцу нравственных страданий.
Оператором в контексте Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» ответчик не является, сбором, записью, систематизацией, накоплением, хранением и другими действиями с персональными данными общество не занимается.
🔹В части недоказанности распространения сведений, порочащих честь, достоинство и деловую репутацию:
Как следует из дословного прочтения текста оспариваемых писем, информация о том, что организация выдает себя за аттестационный центр НАКС, выдает добровольную сертификацию за аттестацию, в отношении организации подано несколько исковых заявлений, относится к деятельности неопределенной организации, указание на которую в письмах отсутствует, а также отсутствует и упоминание в письмах на то, что в этой организации работает истец.
Фамилия и имя, совпадающие с фамилией и именем истца, упоминается в тексте оспариваемых писем только в контексте указания на лицо, от имени которого поступают сообщения. Данная информация не может расцениваться как порочащая честь, достоинство и деловую репутацию истца.
#практика
Выводы из решения: использование имени и фамилии в рассылке без дополнительных сведений не позволяет идентифицировать лицо, в связи с чем такое использование не может быть признано противоправным действием.
🔹Гражданин З. получил на свою рабочую почту письмо от компании ООО "Сварка и Контроль НАКС", в котором увидел свои имя и фамилию и критические замечания по работе некоей организации, профиль деятельности которой был схож с той, в которой работал гражданин. Усмотрев в данном письме незаконное распространение своих персональных данных, гражданин обратился в суд с иском, в котором просил:
- признать действия общества по распространению персональных данных, а именно фамилии и имени, и сведений, порочащих честь, достоинство и деловую репутацию незаконными, влекущими нарушение прав истца;
- запретить указывать его имя и фамилию;
- обязать удалить спорные письма.
🔹Текст спорного письма:
«На территории Ивановской области активно действует организация, выдающая себя за аттестационный центр НАКС. Обращения чаще всего поступают от (имя и фамилия истца). Будьте особо внимательны. Данная организация выдает добровольную сертификацию за аттестацию. Прошу ознакомится с письмом Ростехнадзора по данной ситуации. Прохождение добровольной сертификации не освобождает организацию от требований по прохождению аттестации. Данные о добровольной сертификации НЕ попадают в реестр Ростехнадзора. Кто уже столкнулся с подобной ситуацией, просьба связаться с Егором Александровичем №. Уже подано несколько исковых заявлений на данную компанию, организации пытаются вернуть потраченные деньги. Поделимся опытом данной процедуры и контактами других пострадавших организаций».
🔹Суд первой инстанции отказал истцу в удовлетворении всех требований, апелляция и кассация поддержали решение.
🔹Позиция судов и мотивировка отказа:
🔹В части отсутствия распространения персональных данных:
Письма, направленные от имени общества, содержали фамилию и имя, совпадающие с фамилией и именем истца, каких-либо других дополнительных сведений письма не содержали, иные персональные данные в спорных текстах отсутствуют, связь между лицом, указанным в спорных текстах, с истцом, установить однозначно не представляется возможным, безусловно идентифицировать истца по указанным сведениям невозможно.
Само по себе размещение писем с указанием фамилии и имени, совпадающих с фамилией и именем истца, без указания иной информации, относящейся прямо или косвенно к истцу, не может являться противоправным действием, повлекшим причинение истцу нравственных страданий.
Оператором в контексте Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» ответчик не является, сбором, записью, систематизацией, накоплением, хранением и другими действиями с персональными данными общество не занимается.
🔹В части недоказанности распространения сведений, порочащих честь, достоинство и деловую репутацию:
Как следует из дословного прочтения текста оспариваемых писем, информация о том, что организация выдает себя за аттестационный центр НАКС, выдает добровольную сертификацию за аттестацию, в отношении организации подано несколько исковых заявлений, относится к деятельности неопределенной организации, указание на которую в письмах отсутствует, а также отсутствует и упоминание в письмах на то, что в этой организации работает истец.
Фамилия и имя, совпадающие с фамилией и именем истца, упоминается в тексте оспариваемых писем только в контексте указания на лицо, от имени которого поступают сообщения. Данная информация не может расцениваться как порочащая честь, достоинство и деловую репутацию истца.
#практика
🤔20❤14😁11👍3