Август был насыщен мероприятиями от Роскомнадзора по персональным данным. Сводная информация:

1. Чат в в телеграм с представителем УРКН по ЦФО. Управления работают "на земле", именно их представители составляют или не составляют протокол. На мой взгляд, позиции УРКН многими недооценены.

2. Запись семинара Ю.Е. Контемирова на площадке Гарант. Теперь доступ платный, 3000 рублей. Полагаю, большинство вопросов-ответов можно найти на бесплатной записи в п. 3 ниже.

3. Запись дня открытых дверей Роскомнадзора. Наиболее полная позиция ЦА Роскомнадзора. Презентации с дня открытых дверей во вложении.

В продолжение истории с банком. Субъект ПД взыскал с банка моральную компенсацию в размере 5 000 рублей (+ 2 500 потребительский штраф), было заявлено 100 000.

Кратко суть претензии цитатой из решения суда:

"...были предложены для ознакомления и подписания ряд документов, среди которых был договор комплексного банковского обслуживания, содержащий условие, согласно которому «Клиент дает согласие … на обработку его персональных данных, в том числе… иных его биометрических данных…», а также «на информирование его о новых продуктах и услугах банка путем осуществления прямых контактов с ним с помощью технических средств связи», «на разрешение банку делать запросы о его кредитной истории в бюро кредитных историй». Предложенная истцу форма договора не предусматривала возможности отказа от дачи таких согласий. Поскольку истец не был согласен на заключение договора с включением данных пунктов..."

Ссылка на дело, но мотивировочное решение пока на сайте не опубликовано. Мотивировку прислал истец (субъект ПД), откуда и взята информация.

В ходе обсуждения новых штрафов за нарушения в области персональных данных с 30 мая 2025 года в стороне остался вопрос права проведения административных расследований Роскомнадзором.

Мы в Lukash & Partners столкнулись с обращениями новых клиентов по сопровождению "утечек", произошедших после 30 мая, включая сопровождение административных расследований.

Основная суть по расследованиям:

1. Роскомнадзор придерживается методики проведения внеплановых проверок и нужно быть готовым передать информацию по базам данным и ИСПДН (помимо всей информации по системе из которой произошла утечка).
2. В отличии от внеплановой проверки будет запрос со сроком ответа 3 дня. За не ответ предусмотрены санкции по ст. 17.7 КоАП РФ с дисквалификацией должностного лица или административным приостановлением деятельности юрлица.

Возможная ответственность существенно выше чем за воспрепятствование госконтролю.

Теперь представьте волнение среднестатистического оператора, который получил запрос предоставить информацию по всем ИСПДн и базам данных с разбивкой по категориям субъектов и прочими сведениями в течение 3 дней. К слову не все понимают, что это такое и о чем. Даже если это указывали в уведомлении Роскомнадзора. Ведь за неточности в уведомлении ответственности по факту нет, а тут есть.

Мы одни из первых столкнулись с новой практикой Роскомнадзора и одни из первых добились прекращения административного расследования по ч. 12 ст. 13.11 КоАП РФ (штраф от 3 млн. рублей) в интересах клиента, в результате дело по данной статье не дойдет до суда. Погрузились в это глубоко, увидели нюансы и получили инсайты.

Решил упаковать эти знания в небольшой корпоративный курс на 2-3 часа, где расскажу об административных расследованиях Роскомнадзора, нашем опыте, пройдемся по процессуальным особенностям КоАП в целом. Командам DPO или ИБ это поможет взять под контроль новые риски, связанные с методикой проведения адм. расследований.

Если Вашей компании интересен такой семинар, пишите мне в личку или на info@lukash.partners. Платно, но стоимость адекватная.

Ранее писал про случай использования ПД работника другим работником для целей защиты своих прав перед работодателем. ВС РФ встал на сторону второго, т.е. работника, который использовал ПД другого.

Марина Юфа и Владислав Симоненко поделились своими выводами по этому делу (файл во вложении). Более полно в файле, ниже кратко цитатами, что мне показалось ключевым:

"Даже при несанкционированном использовании данных другого сотрудника такие действия могут быть правомерными, если они направлены на защиту своих трудовых прав"

"Решение ВС может стать важным аргументом в случаях, когда
регулятор пытается квалифицировать несанкционированную передачу данных сотрудника как утечку"

"Процессуальная тактика имеет важное значение"

"Факт несанкционированного использования данных другого работника не всегда означает нарушение его прав"

"Сотрудники смогут избежать как минимум административной ответственности за несанкционированную обработку ПД, что повлечет дополнительные негативные последствия для бизнеса"

РФ vs ОАЭ: Что нужно знать о трансграничной передаче данных в этих юрисдикциях?

White Square приглашает вас на вебинар в новом формате: мы организуем панельную дискуссию с экспертами в области интеллектуальной собственности и защиты персональных данных, чтобы обсудить актуальные изменения и поделиться кейсами в области трансграничной передачи данных в РФ и ОАЭ.

Программа вебинара:

▫️Последние изменения в сфере персональных данных в РФ по 152-ФЗ за 2025 год: какие нововведения действуют для операторов персональных данных и как работать по-новому
▫️Основные особенности и требования к обработке и трансграничной передаче персональных данных в РФ и ОАЭ: в чем заключается отличие в регулировании в данных юрисдикциях
▫️Взгляд инхаус-юриста: практические аспекты по построению процесса передачи персональных данных изнутри

Спикеры:

▫️Никита Айрапетов, Лидер направления интеллектуальной собственности и защиты данных, White Square
▫️Денис Лукаш, Управляющий партнер “Lukash & Partners”
▫️Георгий Кюрджев, Юрист по информационному праву “Lukash & Partners”
▫️Герман Сабиров, Руководитель направления правовой защиты данных и интеллектуальной собственности крупной финансовой организации, Lead RPPA.pro Fintech Club

📍Вебинар «РФ vs ОАЭ: Трансграничная передача данных»

🗓 18 сентября, четверг
🕒 15:00–16:00 Мск

🔗 Переходите по ссылке для регистрации

Участие по предварительной регистрации. Места ограничены. Мероприятие закрыто для представителей юридических фирм и частнопрактикующих юристов.

Валерий Комаров написал книгу "Опасная профессия. Будни работы в сфере информационных технологий".

Книга на основе практики правоохранительных органов привлечения к уголовной ответственности за нарушения, связанные с ИБ, включая ИБ ПДн.

Поскольку DPO/юристы по персональным данным традиционно выступают и юристами по вопросам информационной безопасности, полезно ко чтению практикующим в ПД.

Из предисловия:

"Работая специалистом по защите информации, а затем и руководителем подразделения информационной безопасности, я получил определенный жизненный опыт по взаимодействию с правоохранительной и судебной системой при расследованиях компьютерных преступлений, который уже заставлял задуматься о существовании определенного «правового нигилизма» среди работников ИТ сферы."

"...Столкнувшись с десятками случаев обвинения специалистов информационных технологий, в том числе специалистов информационной безопасности (далее в книге — ИТ/ИБ специалисты), за поступки, которые они не осознавали в качестве незаконных и/или преступных."

Валерий, вместе со мной, Екатериной Ефимовой и Аленой Геращенко является лектором курса Обработка персональных данных в организации (следующий поток 30-31 октября).

О новых требованиях к согласиям, которые теперь "отдельно".

Этим нововведением законодатель усилил тренд на отказ от согласий, как оснований обработки персональных данных. Осознание на рынке приходит медленно, вероятно ждем штрафов.

Один из часто встречающихся запросов ко мне, это решить вопрос с контрагентом, когда согласия берет одна компания за другую.

Я не выступаю медиатором, но когда бизнес договорился, по коммерции все всех устраивает, остается "небольшой ок" по вопросу ПД. Даже работая в интересах заказчика нужно выступить в роли медиатора, найти решение. Все юристы в своих сферах с подобным сталкиваются и понимают о чем я.

Разработка согласия и последующая работа с ним внутри одной компании вызывает меньше вопросов (но вопросы тоже есть). Другое дело согласовать тексты согласий между различными компаниями.

На данный момент каждый юрист и даже DPO видит вопрос "отделимости" согласий по-разному.

Обработчику проще, он может попросить вписать текст согласия в договор, как инструкцию от оператора к обработчику. И даже здесь доходит до невероятного. За эти дни встречал, как оператор - контрагент, который просил определенные согласия не готов их помещать в договор, так как хочет риск его же решения переложить на обработчика.

В большинстве случаев решить задачу по согласиям можно только изменениями бизнес-процессов на стороне реального оператора ПД и/или обработчика ПД, работающего со множеством операторов ПД. Без таких решений разговоры скорее всего приведут к компромиссу в принятии рисков. Либо слабая сторона по договору примет все риски.

Решил, что нужно поднять тему согласий, как оснований обработки в новых реалиях. Выступлю с этой темой на конференции "IT. Право. Безопасность", донесу свой взгляд. Будут другие доклады по ПД. Регистрируйтесь.

*См. последнюю редакцию ч. 1 ст. 9 152-ФЗ

Депутат Госдумы Сергей Миронов предложил ввести оборотный штраф от 25 млн. рублей за первую утечку персональных данных.

Экспертный комментарий по поводу этой инициативы для журнала RSpectr дал ведущий юрист “Lukash & Partners” Эльшан Мамедов, к.ю.н., специалист по защите персональных данных и информационной безопасности.

Делимся с вами ключевыми тезисами:

Инициатива Сергея Миронова о введении оборотных штрафов за первую утечку персональных данных может серьёзно ударить по бизнесу.

Сейчас штрафы за утечки начинаются от 3 млн. рублей и одинаковы для небольших и крупных компаний. Новый порог — от 25 млн. — несоизмерим для малого и среднего бизнеса и в ряде случаев грозит банкротством.

Опасность в том, что даже при вложениях в лицензированные системы защиты и работе с подрядчиками по ИБ вся ответственность ляжет на самого оператора.

Возникает вопрос, будет ли Роскомнадзор учитывать такие вложения при смягчении санкций. В противном случае пострадать могут даже добросовестные компании, столкнувшиеся с единичными ошибками или форс‑мажором.

Отдельный риск — рост числа жалоб граждан. Это способно вызвать волну внеплановых проверок и огромную нагрузку на надзорные органы и их IT‑системы, как уже было с реестром операторов персональных данных, который не выдержал потока уведомлений весной этого года.

Все что не вошло по формату в статью Рспектр положили в статью на сайте "Lukash & Partners".

Имя и Фамилия в рассылке не ПД по решению суда (кассация).

Выводы из решения: использование имени и фамилии в рассылке без дополнительных сведений не позволяет идентифицировать лицо, в связи с чем такое использование не может быть признано противоправным действием.

🔹Гражданин З. получил на свою рабочую почту письмо от компании ООО "Сварка и Контроль НАКС", в котором увидел свои имя и фамилию и критические замечания по работе некоей организации, профиль деятельности которой был схож с той, в которой работал гражданин. Усмотрев в данном письме незаконное распространение своих персональных данных, гражданин обратился в суд с иском, в котором просил:
- признать действия общества по распространению персональных данных, а именно фамилии и имени, и сведений, порочащих честь, достоинство и деловую репутацию незаконными, влекущими нарушение прав истца;
- запретить указывать его имя и фамилию;
- обязать удалить спорные письма.

🔹Текст спорного письма:
«На территории Ивановской области активно действует организация, выдающая себя за аттестационный центр НАКС. Обращения чаще всего поступают от (имя и фамилия истца). Будьте особо внимательны. Данная организация выдает добровольную сертификацию за аттестацию. Прошу ознакомится с письмом Ростехнадзора по данной ситуации. Прохождение добровольной сертификации не освобождает организацию от требований по прохождению аттестации. Данные о добровольной сертификации НЕ попадают в реестр Ростехнадзора. Кто уже столкнулся с подобной ситуацией, просьба связаться с Егором Александровичем №. Уже подано несколько исковых заявлений на данную компанию, организации пытаются вернуть потраченные деньги. Поделимся опытом данной процедуры и контактами других пострадавших организаций».

🔹Суд первой инстанции отказал истцу в удовлетворении всех требований, апелляция и кассация поддержали решение.

🔹Позиция судов и мотивировка отказа:

🔹В части отсутствия распространения персональных данных:
Письма, направленные от имени общества, содержали фамилию и имя, совпадающие с фамилией и именем истца, каких-либо других дополнительных сведений письма не содержали, иные персональные данные в спорных текстах отсутствуют, связь между лицом, указанным в спорных текстах, с истцом, установить однозначно не представляется возможным, безусловно идентифицировать истца по указанным сведениям невозможно.

Само по себе размещение писем с указанием фамилии и имени, совпадающих с фамилией и именем истца, без указания иной информации, относящейся прямо или косвенно к истцу, не может являться противоправным действием, повлекшим причинение истцу нравственных страданий.
Оператором в контексте Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» ответчик не является, сбором, записью, систематизацией, накоплением, хранением и другими действиями с персональными данными общество не занимается.

🔹В части недоказанности распространения сведений, порочащих честь, достоинство и деловую репутацию:

Как следует из дословного прочтения текста оспариваемых писем, информация о том, что организация выдает себя за аттестационный центр НАКС, выдает добровольную сертификацию за аттестацию, в отношении организации подано несколько исковых заявлений, относится к деятельности неопределенной организации, указание на которую в письмах отсутствует, а также отсутствует и упоминание в письмах на то, что в этой организации работает истец.
Фамилия и имя, совпадающие с фамилией и именем истца, упоминается в тексте оспариваемых писем только в контексте указания на лицо, от имени которого поступают сообщения. Данная информация не может расцениваться как порочащая честь, достоинство и деловую репутацию истца.

#практика

После последних изменений по "отдельным" согласиям (в ч. 1 ст. 9 152-ФЗ) все чаще встречаю дискуссии о том, как брать согласие на передачу персональных данных работников.

В пользу этого довода всегда приводится ст. 88 ТК РФ. Но почему-то это норма многими читается не до конца. Как-будто кто-то провел незримую красную линию, и что бы читатель не делал, всегда внимание остается на первой части приведенного на скриншоте пункта. Условную красную линию отметил.

Если прочитать до конца, в рамках трудового законодательства есть возможности не брать согласия, в случая, предусмотренных этим же самым ТК РФ или иными федеральными законами. Если обратим внимание на эти самые случаи, то возможностей не брать согласия довольно много.

Здесь еще можно поднять и другие позиции, которые упоминались в судебной практике. Например, из известного дела с Аэрофлотом, где суд отметил, что работник выгодоприобретатель по ДМС, требования к согласию из 152-ФЗ не применяются к согласию в ТК РФ, и как основание передачи вместо согласия допустим коллективный договор (лучше прочитать решения всех трех инстанций).

Перед тем как задавать вопрос, а можно ли использовать модульные согласия и точно ли одна цель в согласии, стоит рассмотреть вопрос нужно ли конкретное согласие в принципе и может ли оно быть не основным основанием обработки ПД, а хотя бы основанием для подстраховки (если риск неясности правоприменения остается).

Современный DPO, среди прочего, должен владеть базовыми принципами трудового права и держать неподалеку хорошего юриста по трудовому праву (если сам не эксперт).

Приглашаем на онлайн-встречу Privacy Club

Обсудим ключевые изменения в законодательстве о персональных данных за сентябрь 2025 и ответим на вопросы о новых требованиях к согласию на обработку персональных данных, вступивших в силу с 1 сентября 2025 года.

Дата и время: 9 октября (четверг), 16:00-17:00 по мск.
Формат: онлайн-трансляция, открытая дискуссия, Q&A.
Участие: бесплатно, по предварительной регистрации.

Программа вебинара:
🔹Обзор сентябрьских изменений в регулировании персональных данных: что уже действует и как это влияет на процессы в компаниях?
🔹Риски и ответственность: несоблюдение новых требований к согласиям может квалифицироваться как отсутствие согласия и влечет административную ответственность (штраф до 1 500 000 руб.).
🔹Возможности сбора согласий на обработку персональных данных при использовании сайтов.
🔹Возможны ли модульные согласия? Где начинается одно согласие и заканчивается другое?
🔹Практика: как учесть новые требования закона, не останавливая бизнес-процессы.

Спикеры:

Денис Лукаш - управляющий партнер “Lukash & Partners”, юрист в области информационного права, профессиональный DPO.
Эльшан Мамедов - ведущий юрист “Lukash & Partners”, к.ю.н.,Руководитель Центра компетенций
по кибербезопасности ИРНИТУ.
Илья Дубовцев - эксперт по защите данных и стратегии комплаенса, телеком, CIPP/E, CIPM

Зарегистрироваться можно здесь

*Мероприятие закрыто для представителей юридических фирм и частнопрактикующих юристов.

С увеличением штрафов, возникает много вопросов по ПД. Решил организовать периодические вебинары "Онлайн-встречи Privacy Club", где мы с экспертами будем дискутировать о правоприменении. Первый пройдет на следующей неделе.

Немного о следующей микро реформе законодательства о персональных данных. Законопроект.

"Реформа" направлена в основном на снижение случаев использования согласий на обработку персональных данных. Ниже ключевое по моему мнению.

Вводится дополнение в п. 1 ч. 1 ст. 6 152-ФЗ (выделено жирным):

"1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обязанность получения которого предусмотрена международным договором или федеральным законом"

Одновременно в ч. 1 ст. 9 152-ФЗ вносится следующее дополнение.

"Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в случаях и форме, предусмотренных международным договором Российской Федерации или федеральным законом. Если федеральным законом не предусмотрена возможность обработки персональных данных только с согласия субъекта персональных данных в письменной форме, то указанное согласие может быть дано в любой позволяющей подтвердить факт его получения форме."

Как будет проявляться?

Возможность использовать согласия на обработку персональных данных будут ограничивать, "подкручивая" НПА исполнительных органов власти, когда нужно через закон.

Операторы ПД - коммерческие организации будут вынуждены уходить в правовой анализ своих процессов и искать возможности привязать обработку к основаниям, отличным от согласий, если прямых отсылок к согласиям не найдется. Если оснований совсем не найти, то отказываться от обработки ПД или рисковать штрафом по ч. 1 ст. 13.11 КоАП РФ (от 150 000 на юрлицо) или по ч. 2 ст. 13.11 КоАП РФ (от 300 000 на юрлицо).

Среди ключевых дополнений можно отметить возможность отзывать согласия и обращаться к операторам ПД через Госуслуги. Если ответ не понравится субъекту ПД, может сразу отправить жалобу в Роскомнадзор. Здесь заложен фундамент и все будет уточняться подзаконными актами.

P.S. Есть и другие изменения, для полноты см. законопроект.

Мы в команде Lukash & Partners добились еще одного прекращения административного расследования по ч. 12 ст. 13.11 КоАП РФ не доведя до протокола. По данной статье предусмотрена ответственность за неправомерную передачу персональных данных от 3 млн рублей.

Первое административное расследование сопровождали в УРКН СЗФО, второе в УРКН ЦФО. Получили больше инсайтов и увидели общее.

Ранее писал, что на практике первого прекращения адм. расследования создали семинар. Этот курс уже прослушали несколько компаний, в которых были и группы DPO. Получили положительные отзывы. Сейчас еще его обогатим.

Для получения предложения по корпоративному семинару пишите на info@lukash.partners, вышлем в ответ программу.

Если столкнулись с письмом об "утечке" от НКЦКИ, напишите сразу нам. Как показала практика, включать нас лучше с этого этапа, что бы снизить штрафные последствия.

100 позиций Роскомнадзора и Минцифры РФ из письменных ответов.

Обновлена подборка письменных ответов по персональным данным. Присылайте имеющиеся у Вас письма, добавим.

Сразу отвечу на часто задаваемый вопрос: "Зачем нужны письма, это не НПА?"

В зависимости от своего понимания права Роскомнадзор либо составляет протокол об АП либо не составляет. Уже этого достаточно для учета их позиций в общей картине прайваси - рисков.

Оговорка. Не везде есть тексты запросов, а от это зависит полное понимание ответа.

На прошлой неделе провели онлайн-встречу Privacy Club – обсудили новые требования к согласиям на обработку ПД и законопроект Минцифры.

Получили много вопросов про запись вебинара. Увидев высокий запрос к теме решили открыть к записи общий доступ.

Ссылки на просмотр VKvideo и Rutube.

Ключевые тезисы со встречи Privacy Club:

1. С сентября 2025 года согласие на обработку ПД по ч. 1 ст. 9 № 152-ФЗ должно оформляться отдельно от других документов или информации. Требование действует, если основанием обработки ПД выступает именно согласие. При этом указанные изменения не запрещают оформлять на одном физическом носителе разные документы или информацию.Ключевое - это дифференциация согласий по цели даже если не требуется обязательных письменных.

2. Предложенные в законопроекте Минцифры формулировки п. 1 ч. 1 ст. 6 и ч. 1 ст. 9 ФЗ-152 предполагают получение согласия только там, где это прямо установлено законом или международным договором. Законодатель планирует снизить случаи использования согласий в качестве единственного основания обработки ПД. Будем наблюдать за законопроектом, но лучше заранее провести аудит оснований обработки ПД и отказаться от лишних согласий. В «Lukash & Partners» мы регулярно оптимизируем основания обработки в бизнес-процессах наших клиентов.

3. Модульное согласие представляет собой продукт юридической техники и прямо в законе не описано. Легитимность использования подобного формата получения согласий зависит от его соответствия ч. 1 (новой редакции) и ч. 4 ст. 9 ФЗ-152. Но прежде чем задавать вопрос про модульные согласия, стоит рассмотреть риски, связанные с отзывом согласия по одному из модулей.

Что еще послушать по ПД?

15-го октября прошла одна из лучших конференций России по персональным данным с точки зрения контента и организации. Организатор форума ITSec подобрал экспертов, темы и сделал это все бесплатно для посетителей, дал доступ к записи. Запись доступна по ссылке https://www.itsecexpo.ru/2025/program/personal-data.