После последних изменений по "отдельным" согласиям (в ч. 1 ст. 9 152-ФЗ) все чаще встречаю дискуссии о том, как брать согласие на передачу персональных данных работников.
В пользу этого довода всегда приводится ст. 88 ТК РФ. Но почему-то это норма многими читается не до конца. Как-будто кто-то провел незримую красную линию, и что бы читатель не делал, всегда внимание остается на первой части приведенного на скриншоте пункта. Условную красную линию отметил.
Если прочитать до конца, в рамках трудового законодательства есть возможности не брать согласия, в случая, предусмотренных этим же самым ТК РФ или иными федеральными законами. Если обратим внимание на эти самые случаи, то возможностей не брать согласия довольно много.
Здесь еще можно поднять и другие позиции, которые упоминались в судебной практике. Например, из известного дела с Аэрофлотом, где суд отметил, что работник выгодоприобретатель по ДМС, требования к согласию из 152-ФЗ не применяются к согласию в ТК РФ, и как основание передачи вместо согласия допустим коллективный договор (лучше прочитать решения всех трех инстанций).
Перед тем как задавать вопрос, а можно ли использовать модульные согласия и точно ли одна цель в согласии, стоит рассмотреть вопрос нужно ли конкретное согласие в принципе и может ли оно быть не основным основанием обработки ПД, а хотя бы основанием для подстраховки (если риск неясности правоприменения остается).
Современный DPO, среди прочего, должен владеть базовыми принципами трудового права и держать неподалеку хорошего юриста по трудовому праву (если сам не эксперт).
В пользу этого довода всегда приводится ст. 88 ТК РФ. Но почему-то это норма многими читается не до конца. Как-будто кто-то провел незримую красную линию, и что бы читатель не делал, всегда внимание остается на первой части приведенного на скриншоте пункта. Условную красную линию отметил.
Если прочитать до конца, в рамках трудового законодательства есть возможности не брать согласия, в случая, предусмотренных этим же самым ТК РФ или иными федеральными законами. Если обратим внимание на эти самые случаи, то возможностей не брать согласия довольно много.
Здесь еще можно поднять и другие позиции, которые упоминались в судебной практике. Например, из известного дела с Аэрофлотом, где суд отметил, что работник выгодоприобретатель по ДМС, требования к согласию из 152-ФЗ не применяются к согласию в ТК РФ, и как основание передачи вместо согласия допустим коллективный договор (лучше прочитать решения всех трех инстанций).
Перед тем как задавать вопрос, а можно ли использовать модульные согласия и точно ли одна цель в согласии, стоит рассмотреть вопрос нужно ли конкретное согласие в принципе и может ли оно быть не основным основанием обработки ПД, а хотя бы основанием для подстраховки (если риск неясности правоприменения остается).
Современный DPO, среди прочего, должен владеть базовыми принципами трудового права и держать неподалеку хорошего юриста по трудовому праву (если сам не эксперт).
👍27❤12💯8
Приглашаем на онлайн-встречу Privacy Club
Обсудим ключевые изменения в законодательстве о персональных данных за сентябрь 2025 и ответим на вопросы о новых требованиях к согласию на обработку персональных данных, вступивших в силу с 1 сентября 2025 года.
Дата и время: 9 октября (четверг), 16:00-17:00 по мск.
Формат: онлайн-трансляция, открытая дискуссия, Q&A.
Участие: бесплатно, по предварительной регистрации.
Программа вебинара:
🔹Обзор сентябрьских изменений в регулировании персональных данных: что уже действует и как это влияет на процессы в компаниях?
🔹Риски и ответственность: несоблюдение новых требований к согласиям может квалифицироваться как отсутствие согласия и влечет административную ответственность (штраф до 1 500 000 руб.).
🔹Возможности сбора согласий на обработку персональных данных при использовании сайтов.
🔹Возможны ли модульные согласия? Где начинается одно согласие и заканчивается другое?
🔹Практика: как учесть новые требования закона, не останавливая бизнес-процессы.
Спикеры:
Денис Лукаш - управляющий партнер “Lukash & Partners”, юрист в области информационного права, профессиональный DPO.
Эльшан Мамедов - ведущий юрист “Lukash & Partners”, к.ю.н.,Руководитель Центра компетенций
по кибербезопасности ИРНИТУ.
Илья Дубовцев - эксперт по защите данных и стратегии комплаенса, телеком, CIPP/E, CIPM
Зарегистрироваться можно здесь
*Мероприятие закрыто для представителей юридических фирм и частнопрактикующих юристов.
Обсудим ключевые изменения в законодательстве о персональных данных за сентябрь 2025 и ответим на вопросы о новых требованиях к согласию на обработку персональных данных, вступивших в силу с 1 сентября 2025 года.
Дата и время: 9 октября (четверг), 16:00-17:00 по мск.
Формат: онлайн-трансляция, открытая дискуссия, Q&A.
Участие: бесплатно, по предварительной регистрации.
Программа вебинара:
🔹Обзор сентябрьских изменений в регулировании персональных данных: что уже действует и как это влияет на процессы в компаниях?
🔹Риски и ответственность: несоблюдение новых требований к согласиям может квалифицироваться как отсутствие согласия и влечет административную ответственность (штраф до 1 500 000 руб.).
🔹Возможности сбора согласий на обработку персональных данных при использовании сайтов.
🔹Возможны ли модульные согласия? Где начинается одно согласие и заканчивается другое?
🔹Практика: как учесть новые требования закона, не останавливая бизнес-процессы.
Спикеры:
Денис Лукаш - управляющий партнер “Lukash & Partners”, юрист в области информационного права, профессиональный DPO.
Эльшан Мамедов - ведущий юрист “Lukash & Partners”, к.ю.н.,Руководитель Центра компетенций
по кибербезопасности ИРНИТУ.
Илья Дубовцев - эксперт по защите данных и стратегии комплаенса, телеком, CIPP/E, CIPM
Зарегистрироваться можно здесь
*Мероприятие закрыто для представителей юридических фирм и частнопрактикующих юристов.
🔥16👍6❤2
С увеличением штрафов, возникает много вопросов по ПД. Решил организовать периодические вебинары "Онлайн-встречи Privacy Club", где мы с экспертами будем дискутировать о правоприменении. Первый пройдет на следующей неделе.
🔥31❤6💯5
Немного о следующей микро реформе законодательства о персональных данных. Законопроект.
"Реформа" направлена в основном на снижение случаев использования согласий на обработку персональных данных. Ниже ключевое по моему мнению.
Вводится дополнение в п. 1 ч. 1 ст. 6 152-ФЗ (выделено жирным):
"1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обязанность получения которого предусмотрена международным договором или федеральным законом"
Одновременно в ч. 1 ст. 9 152-ФЗ вносится следующее дополнение.
"Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в случаях и форме, предусмотренных международным договором Российской Федерации или федеральным законом. Если федеральным законом не предусмотрена возможность обработки персональных данных только с согласия субъекта персональных данных в письменной форме, то указанное согласие может быть дано в любой позволяющей подтвердить факт его получения форме."
Как будет проявляться?
Возможность использовать согласия на обработку персональных данных будут ограничивать, "подкручивая" НПА исполнительных органов власти, когда нужно через закон.
Операторы ПД - коммерческие организации будут вынуждены уходить в правовой анализ своих процессов и искать возможности привязать обработку к основаниям, отличным от согласий, если прямых отсылок к согласиям не найдется. Если оснований совсем не найти, то отказываться от обработки ПД или рисковать штрафом по ч. 1 ст. 13.11 КоАП РФ (от 150 000 на юрлицо) или по ч. 2 ст. 13.11 КоАП РФ (от 300 000 на юрлицо).
Среди ключевых дополнений можно отметить возможность отзывать согласия и обращаться к операторам ПД через Госуслуги. Если ответ не понравится субъекту ПД, может сразу отправить жалобу в Роскомнадзор. Здесь заложен фундамент и все будет уточняться подзаконными актами.
P.S. Есть и другие изменения, для полноты см. законопроект.
"Реформа" направлена в основном на снижение случаев использования согласий на обработку персональных данных. Ниже ключевое по моему мнению.
Вводится дополнение в п. 1 ч. 1 ст. 6 152-ФЗ (выделено жирным):
"1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обязанность получения которого предусмотрена международным договором или федеральным законом"
Одновременно в ч. 1 ст. 9 152-ФЗ вносится следующее дополнение.
"Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в случаях и форме, предусмотренных международным договором Российской Федерации или федеральным законом. Если федеральным законом не предусмотрена возможность обработки персональных данных только с согласия субъекта персональных данных в письменной форме, то указанное согласие может быть дано в любой позволяющей подтвердить факт его получения форме."
Как будет проявляться?
Возможность использовать согласия на обработку персональных данных будут ограничивать, "подкручивая" НПА исполнительных органов власти, когда нужно через закон.
Операторы ПД - коммерческие организации будут вынуждены уходить в правовой анализ своих процессов и искать возможности привязать обработку к основаниям, отличным от согласий, если прямых отсылок к согласиям не найдется. Если оснований совсем не найти, то отказываться от обработки ПД или рисковать штрафом по ч. 1 ст. 13.11 КоАП РФ (от 150 000 на юрлицо) или по ч. 2 ст. 13.11 КоАП РФ (от 300 000 на юрлицо).
Среди ключевых дополнений можно отметить возможность отзывать согласия и обращаться к операторам ПД через Госуслуги. Если ответ не понравится субъекту ПД, может сразу отправить жалобу в Роскомнадзор. Здесь заложен фундамент и все будет уточняться подзаконными актами.
P.S. Есть и другие изменения, для полноты см. законопроект.
🔥21❤11👍8
Мы в команде Lukash & Partners добились еще одного прекращения административного расследования по ч. 12 ст. 13.11 КоАП РФ не доведя до протокола. По данной статье предусмотрена ответственность за неправомерную передачу персональных данных от 3 млн рублей.
Первое административное расследование сопровождали в УРКН СЗФО, второе в УРКН ЦФО. Получили больше инсайтов и увидели общее.
Ранее писал, что на практике первого прекращения адм. расследования создали семинар. Этот курс уже прослушали несколько компаний, в которых были и группы DPO. Получили положительные отзывы. Сейчас еще его обогатим.
Для получения предложения по корпоративному семинару пишите на info@lukash.partners, вышлем в ответ программу.
Если столкнулись с письмом об "утечке" от НКЦКИ, напишите сразу нам. Как показала практика, включать нас лучше с этого этапа, что бы снизить штрафные последствия.
Первое административное расследование сопровождали в УРКН СЗФО, второе в УРКН ЦФО. Получили больше инсайтов и увидели общее.
Ранее писал, что на практике первого прекращения адм. расследования создали семинар. Этот курс уже прослушали несколько компаний, в которых были и группы DPO. Получили положительные отзывы. Сейчас еще его обогатим.
Для получения предложения по корпоративному семинару пишите на info@lukash.partners, вышлем в ответ программу.
Если столкнулись с письмом об "утечке" от НКЦКИ, напишите сразу нам. Как показала практика, включать нас лучше с этого этапа, что бы снизить штрафные последствия.
👍27👏4❤3🔥2😁2
100_позиций_РКН_и_МЦ_на_основании_письменных_ответов.pdf
330.7 KB
100 позиций Роскомнадзора и Минцифры РФ из письменных ответов.
Обновлена подборка письменных ответов по персональным данным. Присылайте имеющиеся у Вас письма, добавим.
Сразу отвечу на часто задаваемый вопрос: "Зачем нужны письма, это не НПА?"
В зависимости от своего понимания права Роскомнадзор либо составляет протокол об АП либо не составляет. Уже этого достаточно для учета их позиций в общей картине прайваси - рисков.
Оговорка. Не везде есть тексты запросов, а от это зависит полное понимание ответа.
Обновлена подборка письменных ответов по персональным данным. Присылайте имеющиеся у Вас письма, добавим.
Сразу отвечу на часто задаваемый вопрос: "Зачем нужны письма, это не НПА?"
В зависимости от своего понимания права Роскомнадзор либо составляет протокол об АП либо не составляет. Уже этого достаточно для учета их позиций в общей картине прайваси - рисков.
Оговорка. Не везде есть тексты запросов, а от это зависит полное понимание ответа.
🔥70❤27👏3
🕘 30-31 октября компания "Безопасность 360" приглашает на семинар "Обработка персональных данных в организации".
❗Мероприятие адресовано DPO, юристам, специалистам по защите данных, а также всем сотрудникам организаций, отвечающим за процессы обработки ПДн.
✅ Формат участия: очный или онлайн. Трансляция ведется на платформе МТС Линк с 10.00 до 17.30 Мск, с перерывом на обед.
Ведущие семинара:
⏺️ Денис Лукаш - основатель и управляющий юридической фирмы "Лукаш и партнеры", DPO и практикующий юрист в области ИТ-права;
⏺️ Алена Геращенко - к.ю.н., эксперт по правовой защите ПДн и биометрии, комплаенс менеджер АО "ТБанк";
⏺️ Екатерина Ефимова - руководитель направления персональных данных ФГУП ГРЧЦ (Роскомнадзор)
⏺️ Валерий Комаров - независимый эксперт по защите информации и КИИ, автор книги "Опасная профессия".
На семинаре рассматриваются следующие темы:
- основные понятия и определения, отношения заинтересованных лиц в области ПДн (операторы, обработчики, субъекты)
- обязанности и ответственность операторов и должностных лиц
- взаимодействие операторов и Роскомнадзора на разных этапах обработки ПДн
- анализ судебной практики по нарушениям прав субъектов
- защита персональных данных
- типовые ошибки при обработке ПДн
- приведение бизнес-процессов
в соответствие требованиям законодательства.
➡️ Зарегистрироваться
✅ По завершению слушателям предоставляются сертификаты, материалы и видеозапись курса.
Остались вопросы?
Обращайтесь к организаторам:
📩 general@360sec.ru
📲 +7 901 189-50-50
📱 t.me/bezopasnost_360
Реклама ООО "Безопасность 360", Erid 2Vtzqv9kdo4
❗Мероприятие адресовано DPO, юристам, специалистам по защите данных, а также всем сотрудникам организаций, отвечающим за процессы обработки ПДн.
✅ Формат участия: очный или онлайн. Трансляция ведется на платформе МТС Линк с 10.00 до 17.30 Мск, с перерывом на обед.
Ведущие семинара:
⏺️ Денис Лукаш - основатель и управляющий юридической фирмы "Лукаш и партнеры", DPO и практикующий юрист в области ИТ-права;
⏺️ Алена Геращенко - к.ю.н., эксперт по правовой защите ПДн и биометрии, комплаенс менеджер АО "ТБанк";
⏺️ Екатерина Ефимова - руководитель направления персональных данных ФГУП ГРЧЦ (Роскомнадзор)
⏺️ Валерий Комаров - независимый эксперт по защите информации и КИИ, автор книги "Опасная профессия".
На семинаре рассматриваются следующие темы:
- основные понятия и определения, отношения заинтересованных лиц в области ПДн (операторы, обработчики, субъекты)
- обязанности и ответственность операторов и должностных лиц
- взаимодействие операторов и Роскомнадзора на разных этапах обработки ПДн
- анализ судебной практики по нарушениям прав субъектов
- защита персональных данных
- типовые ошибки при обработке ПДн
- приведение бизнес-процессов
в соответствие требованиям законодательства.
➡️ Зарегистрироваться
✅ По завершению слушателям предоставляются сертификаты, материалы и видеозапись курса.
Остались вопросы?
Обращайтесь к организаторам:
📩 general@360sec.ru
📲 +7 901 189-50-50
Реклама ООО "Безопасность 360", Erid 2Vtzqv9kdo4
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥2
На прошлой неделе провели онлайн-встречу Privacy Club – обсудили новые требования к согласиям на обработку ПД и законопроект Минцифры.
Получили много вопросов про запись вебинара. Увидев высокий запрос к теме решили открыть к записи общий доступ.
Ссылки на просмотр VKvideo и Rutube.
Ключевые тезисы со встречи Privacy Club:
1. С сентября 2025 года согласие на обработку ПД по ч. 1 ст. 9 № 152-ФЗ должно оформляться отдельно от других документов или информации. Требование действует, если основанием обработки ПД выступает именно согласие. При этом указанные изменения не запрещают оформлять на одном физическом носителе разные документы или информацию.Ключевое - это дифференциация согласий по цели даже если не требуется обязательных письменных.
2. Предложенные в законопроекте Минцифры формулировки п. 1 ч. 1 ст. 6 и ч. 1 ст. 9 ФЗ-152 предполагают получение согласия только там, где это прямо установлено законом или международным договором. Законодатель планирует снизить случаи использования согласий в качестве единственного основания обработки ПД. Будем наблюдать за законопроектом, но лучше заранее провести аудит оснований обработки ПД и отказаться от лишних согласий. В «Lukash & Partners» мы регулярно оптимизируем основания обработки в бизнес-процессах наших клиентов.
3. Модульное согласие представляет собой продукт юридической техники и прямо в законе не описано. Легитимность использования подобного формата получения согласий зависит от его соответствия ч. 1 (новой редакции) и ч. 4 ст. 9 ФЗ-152. Но прежде чем задавать вопрос про модульные согласия, стоит рассмотреть риски, связанные с отзывом согласия по одному из модулей.
Получили много вопросов про запись вебинара. Увидев высокий запрос к теме решили открыть к записи общий доступ.
Ссылки на просмотр VKvideo и Rutube.
Ключевые тезисы со встречи Privacy Club:
1. С сентября 2025 года согласие на обработку ПД по ч. 1 ст. 9 № 152-ФЗ должно оформляться отдельно от других документов или информации. Требование действует, если основанием обработки ПД выступает именно согласие. При этом указанные изменения не запрещают оформлять на одном физическом носителе разные документы или информацию.Ключевое - это дифференциация согласий по цели даже если не требуется обязательных письменных.
2. Предложенные в законопроекте Минцифры формулировки п. 1 ч. 1 ст. 6 и ч. 1 ст. 9 ФЗ-152 предполагают получение согласия только там, где это прямо установлено законом или международным договором. Законодатель планирует снизить случаи использования согласий в качестве единственного основания обработки ПД. Будем наблюдать за законопроектом, но лучше заранее провести аудит оснований обработки ПД и отказаться от лишних согласий. В «Lukash & Partners» мы регулярно оптимизируем основания обработки в бизнес-процессах наших клиентов.
3. Модульное согласие представляет собой продукт юридической техники и прямо в законе не описано. Легитимность использования подобного формата получения согласий зависит от его соответствия ч. 1 (новой редакции) и ч. 4 ст. 9 ФЗ-152. Но прежде чем задавать вопрос про модульные согласия, стоит рассмотреть риски, связанные с отзывом согласия по одному из модулей.
VK Видео
Онлайн-встреча Privacy Club: изменения сентября и новые требования к согласиям на обработку
9 октября прошла онлайн-встреча Privacy Club — юристы-практики коротко и по делу рассказали о ключевых изменениях в законодательстве о персональных данных за сентябрь 2025 и ответили на вопросы о новых требованиях к согласиям на обработку персональных данных…
👍10❤8🔥6
Что еще послушать по ПД?
15-го октября прошла одна из лучших конференций России по персональным данным с точки зрения контента и организации. Организатор форума ITSec подобрал экспертов, темы и сделал это все бесплатно для посетителей, дал доступ к записи. Запись доступна по ссылке https://www.itsecexpo.ru/2025/program/personal-data.
15-го октября прошла одна из лучших конференций России по персональным данным с точки зрения контента и организации. Организатор форума ITSec подобрал экспертов, темы и сделал это все бесплатно для посетителей, дал доступ к записи. Запись доступна по ссылке https://www.itsecexpo.ru/2025/program/personal-data.
www.itsecexpo.ru
Персональные данные в 2026 году: новые требования и инструменты
Конференция о защите персональных данных в 2026 году: актуальные ИБ-риски, требования регуляторов, меры защиты, аудит, логирование и контроль доступа.
🔥20👍16❤5
Требование.pdf
204.9 KB
Ключевое из прилагаемого требования РКН по Яндекс.Метрике (некоторые сведения сообщил подписчик, восполнил).
1. Данные, передаваемые в Яндекс.Метрику являются персональными.
Здесь Роскомнанадзор последователен (точно с 2019 года).
2. Указание на использование кукис не достаточно, нужно именно указание на Яндекс.Метрику.
Это логично, ключевое - это передача ПД, а кукис - это вторично.
3. Указание на Яндекс метрику было в Политике. Не помогло.
Здесь РКН тоже последователен, т.к. Политика - не основание обработки ПД по ч. 1 ст. 6 152-ФЗ. Сейчас еще прямо прописали, что согласия "отдельно" от иных документов.
P.S. Спасибо, что делитесь подобными материалами.
1. Данные, передаваемые в Яндекс.Метрику являются персональными.
Здесь Роскомнанадзор последователен (точно с 2019 года).
2. Указание на использование кукис не достаточно, нужно именно указание на Яндекс.Метрику.
Это логично, ключевое - это передача ПД, а кукис - это вторично.
3. Указание на Яндекс метрику было в Политике. Не помогло.
Здесь РКН тоже последователен, т.к. Политика - не основание обработки ПД по ч. 1 ст. 6 152-ФЗ. Сейчас еще прямо прописали, что согласия "отдельно" от иных документов.
P.S. Спасибо, что делитесь подобными материалами.
❤20👍4🤔2
Моральная компенсация 4000 рублей за нарушение в области персональных данных
🔹Между Истцом (физическое лицо) и Управляющей компанией был заключен агентский договор. Управляющая Компания без согласия Истца открыла счет в банке на имя последнего для осуществления оплаты по агентскому договору.
🔹Истец не давал согласия Управляющей компании на передачу своих персональных данных , не поручал представлять его интересы, в том числе не поручал открывать счета на его имя в финансовых организациях и подписывать от его имени юридически значимые документы.
🔹Истец подал жалобу в Роскомнадзор. В отношении действий Управляющей компании был составлен протокол об административном правонарушении.
🔹После назначения Управляющей компании административного наказания, Истец направил последней предложением заключить соглашение о добровольной компенсации морального вреда в размере 30 000 руб. Управляющая компания согласилась выплатить в счет компенсации морального вреда 1 000 руб.
🔹Решение по административному делу:
Мировой судья
Управляющая компания признана виновной по ч.1 ст.13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством). Суд ссылался на протокол об административном правонарушении. Управляющей компании было назначено административное наказание в виде предупреждения. Действия банка не оценивались.
🔹Гражданское дело:
Районный суд
Истец предъявил к Управляющей компании и банку требования о компенсации морального вреда за неправомерную обработку персональных данных и удалении его персональных данных.
Постановление мирового судьи по делу об административному правонарушениию использовалось как доказательство совершения противоправной обработки персональных данных Управляющей компанией.
Суд обязал Управляющую компанию удалить персональные данные Истца и признал полученную Истцом от Управляющей компании 1 000 руб. компенсацией морального вреда.
Касательно действий банка суд пришёл к следующему:
Согласно представленной в материалы дела справки банка, следует, что на имя Истца счет закрыт до обращения в суд с заявлением. Также указано, что досье клиентов, по которым не был оформлен договор на оказание банковских услуг, не подлежат хранению в банке (уничтожаются).
Исходя из изложенного, требования Истца в указанной части являются необоснованными и удовлетворению не подлежат.
При таких обстоятельствах, оснований для взыскания с банка в пользу Истца компенсации морального вреда, суд также не нашел.
Апелляция
Суд согласился с решением районного суда, кроме размера компенсации и понуждения Управляющей компании в удалении персональных данных.
Так, сумма компенсации была увеличена до 4 000 руб. (с учетом выплаченной 1 000 руб.).По вопросу удаления Управляющей компанией персональных данных Истца суд пришел к выводу, что оснований для понуждения Ответчика уничтожить персональные данные Истца у суда не имелось, поскольку указанное обстоятельство приведет к невозможности исполнения иных обязательств, связанных с обработкой персональных данных Истца: производить расчеты, а также начисления платежей за жилое помещение Истца (как собственника квартиры в многоквартирном доме, обслуживаемом данной Управляющей компанией), а также суд учел наличие между сторонами судебного спора по оплате услуг председателю Совета дома.
По действиям банка суд посчитал, что оснований для взыскания компенсации морального вреда не имелось, поскольку нарушений прав Истца со стороны банка не установлено, а из представленных в дело ответа банка и выписки по счету следует, что счет закрыт.
Кассация
Судебная коллегия по гражданским делам Восьмого кассационного суда общей юрисдикции поддержала определение апелляционной инстанции.
#практика
🔹Между Истцом (физическое лицо) и Управляющей компанией был заключен агентский договор. Управляющая Компания без согласия Истца открыла счет в банке на имя последнего для осуществления оплаты по агентскому договору.
🔹Истец не давал согласия Управляющей компании на передачу своих персональных данных , не поручал представлять его интересы, в том числе не поручал открывать счета на его имя в финансовых организациях и подписывать от его имени юридически значимые документы.
🔹Истец подал жалобу в Роскомнадзор. В отношении действий Управляющей компании был составлен протокол об административном правонарушении.
🔹После назначения Управляющей компании административного наказания, Истец направил последней предложением заключить соглашение о добровольной компенсации морального вреда в размере 30 000 руб. Управляющая компания согласилась выплатить в счет компенсации морального вреда 1 000 руб.
🔹Решение по административному делу:
Мировой судья
Управляющая компания признана виновной по ч.1 ст.13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством). Суд ссылался на протокол об административном правонарушении. Управляющей компании было назначено административное наказание в виде предупреждения. Действия банка не оценивались.
🔹Гражданское дело:
Районный суд
Истец предъявил к Управляющей компании и банку требования о компенсации морального вреда за неправомерную обработку персональных данных и удалении его персональных данных.
Постановление мирового судьи по делу об административному правонарушениию использовалось как доказательство совершения противоправной обработки персональных данных Управляющей компанией.
Суд обязал Управляющую компанию удалить персональные данные Истца и признал полученную Истцом от Управляющей компании 1 000 руб. компенсацией морального вреда.
Касательно действий банка суд пришёл к следующему:
Согласно представленной в материалы дела справки банка, следует, что на имя Истца счет закрыт до обращения в суд с заявлением. Также указано, что досье клиентов, по которым не был оформлен договор на оказание банковских услуг, не подлежат хранению в банке (уничтожаются).
Исходя из изложенного, требования Истца в указанной части являются необоснованными и удовлетворению не подлежат.
При таких обстоятельствах, оснований для взыскания с банка в пользу Истца компенсации морального вреда, суд также не нашел.
Апелляция
Суд согласился с решением районного суда, кроме размера компенсации и понуждения Управляющей компании в удалении персональных данных.
Так, сумма компенсации была увеличена до 4 000 руб. (с учетом выплаченной 1 000 руб.).По вопросу удаления Управляющей компанией персональных данных Истца суд пришел к выводу, что оснований для понуждения Ответчика уничтожить персональные данные Истца у суда не имелось, поскольку указанное обстоятельство приведет к невозможности исполнения иных обязательств, связанных с обработкой персональных данных Истца: производить расчеты, а также начисления платежей за жилое помещение Истца (как собственника квартиры в многоквартирном доме, обслуживаемом данной Управляющей компанией), а также суд учел наличие между сторонами судебного спора по оплате услуг председателю Совета дома.
По действиям банка суд посчитал, что оснований для взыскания компенсации морального вреда не имелось, поскольку нарушений прав Истца со стороны банка не установлено, а из представленных в дело ответа банка и выписки по счету следует, что счет закрыт.
Кассация
Судебная коллегия по гражданским делам Восьмого кассационного суда общей юрисдикции поддержала определение апелляционной инстанции.
#практика
❤11😁2🤔2
Усиление регулирования трансграничной передачи персональных данных - это международный тренд. Ниже заметка о предстоящих изменениях в Китае⬇️
Новые требования к трансграничной передаче ПДн в Китае с 1 января 2026 года
С 1 января 2026 года в Китае вступает в силу новый регламент — Меры по оценке безопасности передачи персональных данных за границу (далее – Меры), который завершает формирование системы регулирования трансграничных потоков данных в стране.
🔹Сертификация трансграничной передачи данных
Сертификация — это формальная оценка, осуществляемая аккредитованными органами сертификации, проверяющая, соответствует ли оператор/обработчик требованиям китайских стандартов безопасности и PIPL.
Этот механизм подходит для компаний, которые не являются операторами критической информационной инфраструктуры (CII) и которые с 1 января текущего года передали за рубеж персональные данные от 100 тысяч до 1 миллиона субъектов ПДн (не включая чувствительные данные) либо данные менее 10 тысяч субъектов ПДн, но включающие чувствительную информацию, при условии, что передача не затрагивает важные государственные данные (ст.5 Мер).
🔹Возможные преимущества
В отличие от разового подписания стандартной формы договора, сертификация представляет собой комплексный «пакет соответствия», который проходит постоянный контроль со стороны сертифицирующего органа.
🔹Сроки
Сертификат действует 3 года. Для его продления компания должна подать заявку не позднее чем за 6 месяцев до истечения срока действия (ст. 8 Мер).
🔹Согласие субъектов на трансграничную передачу персональных данных
Обязательные предварительные шаги: перед подачей заявления на сертификацию компания обязана проинформировать субъекта персональных данных, получить от него отдельное согласие, а также провести оценку воздействия на защиту персональных данных (ст. 6 Мер).
Сертификацию будут осуществлять аккредитованные государством органы.
🔹Сертификация в общей системе регулирования Китая
Новые правила сертификации дополняют уже действующие механизмы — оценку безопасности и стандартный договор, формируя целостную систему. Выбор конкретного механизма зависит от объема и типа передаваемых данных.
🔹Что это может значить для бизнеса
Для иностранных компаний: организации, не имеющие юридического лица в Китае, но обрабатывающие данные китайских граждан, также могут пройти сертификацию через своего местного представителя.
Стратегический выбор: для компаний, которые регулярно передают данные за рубеж, сертификация может стать более эффективным и экономичным решением по сравнению с многократным использованием стандартных договоров.
#ТГП
С 1 января 2026 года в Китае вступает в силу новый регламент — Меры по оценке безопасности передачи персональных данных за границу (далее – Меры), который завершает формирование системы регулирования трансграничных потоков данных в стране.
🔹Сертификация трансграничной передачи данных
Сертификация — это формальная оценка, осуществляемая аккредитованными органами сертификации, проверяющая, соответствует ли оператор/обработчик требованиям китайских стандартов безопасности и PIPL.
Этот механизм подходит для компаний, которые не являются операторами критической информационной инфраструктуры (CII) и которые с 1 января текущего года передали за рубеж персональные данные от 100 тысяч до 1 миллиона субъектов ПДн (не включая чувствительные данные) либо данные менее 10 тысяч субъектов ПДн, но включающие чувствительную информацию, при условии, что передача не затрагивает важные государственные данные (ст.5 Мер).
🔹Возможные преимущества
В отличие от разового подписания стандартной формы договора, сертификация представляет собой комплексный «пакет соответствия», который проходит постоянный контроль со стороны сертифицирующего органа.
🔹Сроки
Сертификат действует 3 года. Для его продления компания должна подать заявку не позднее чем за 6 месяцев до истечения срока действия (ст. 8 Мер).
🔹Согласие субъектов на трансграничную передачу персональных данных
Обязательные предварительные шаги: перед подачей заявления на сертификацию компания обязана проинформировать субъекта персональных данных, получить от него отдельное согласие, а также провести оценку воздействия на защиту персональных данных (ст. 6 Мер).
Сертификацию будут осуществлять аккредитованные государством органы.
🔹Сертификация в общей системе регулирования Китая
Новые правила сертификации дополняют уже действующие механизмы — оценку безопасности и стандартный договор, формируя целостную систему. Выбор конкретного механизма зависит от объема и типа передаваемых данных.
🔹Что это может значить для бизнеса
Для иностранных компаний: организации, не имеющие юридического лица в Китае, но обрабатывающие данные китайских граждан, также могут пройти сертификацию через своего местного представителя.
Стратегический выбор: для компаний, которые регулярно передают данные за рубеж, сертификация может стать более эффективным и экономичным решением по сравнению с многократным использованием стандартных договоров.
#ТГП
🤔6👍5❤2
Роскомнадзор сообщил о снижении числа утечек персональных данных в 14 раз в 2025 году относительно 2024 года:
«Мы видим снижение выявляемых утечек. В 2024 году у нас было 135 фактов утечек, в этих утечках было 710 млн записей. А в 2025 году на сегодняшний день - 103 факта утечек и 50 млн записей. С 31 мая действует более высокая административная ответственность, и мы видим прямой эффект: с января по май 2025 года система нашла 6,5 тыс. нарушений в порядке сбора данных, а за следующие 5 месяцев - 3,5 тыс.»
Поскольку Роскомнадзор считает, что есть положительный эффект от увеличения размера штрафов за утечки, вероятно тенденция их увеличения продолжится.
Давайте предположим, могут ли быть иные причины приведенной статистики.
1️⃣ Множество утечек носит неосознанный характер: работники в компаниях могут не понимать, что в каких-то случаях происходит утечка. Например, работник ошибся электронным адресом или документом, в результате чего третьему лицу могли стать известны данные одного - двух субъектов ПДн.
В случаях выше срок начала уведомления может не наступать, как и не наступать ответственность за не уведомление Роскомнадзора об утечке.
В ч. 11 ст.13.11 КоАП РФ указан следующий признак, при котором наступает ответственность: «...в случае установления факта неправомерной или случайной передачи...», а в ст. 21 152-ФЗ упомянуто "В случае установления факта неправомерной или случайной передачи...с момента выявления такого инцидента оператором...уведомить...".
Получается "Никто не установил - нет вины"? Тогда, как следствие, даже более весомые утечки могут проходить мимо Роскомнадзора.
2️⃣ На данный момент, помимо прочего, компании уведомляют об утечках благодаря «НКЦКИ», которое инициативно ищет случаи распространения утекших баз данных в Интернете. Снижение выявленных фактов утечек может быть связано с усилением уголовной ответственности и повышением вероятности неизбежности уголовного наказания. А могло быть снижено только количество документированных случаев утечек, находимых «НКЦКИ», а сам нелегальный рынок мог уйти глубже в даркнет.
3️⃣ В дополнение. С сообщением Роскомнадзора контрастирует недавняя новость об увеличении на 30% числа атак на личные мобильные устройства сотрудников компаний.
С точки зрения операторов ПД хотелось бы более всесторонних комментариев Роскомнадзора.
#Утечка #Мнение
«Мы видим снижение выявляемых утечек. В 2024 году у нас было 135 фактов утечек, в этих утечках было 710 млн записей. А в 2025 году на сегодняшний день - 103 факта утечек и 50 млн записей. С 31 мая действует более высокая административная ответственность, и мы видим прямой эффект: с января по май 2025 года система нашла 6,5 тыс. нарушений в порядке сбора данных, а за следующие 5 месяцев - 3,5 тыс.»
Поскольку Роскомнадзор считает, что есть положительный эффект от увеличения размера штрафов за утечки, вероятно тенденция их увеличения продолжится.
Давайте предположим, могут ли быть иные причины приведенной статистики.
1️⃣ Множество утечек носит неосознанный характер: работники в компаниях могут не понимать, что в каких-то случаях происходит утечка. Например, работник ошибся электронным адресом или документом, в результате чего третьему лицу могли стать известны данные одного - двух субъектов ПДн.
В случаях выше срок начала уведомления может не наступать, как и не наступать ответственность за не уведомление Роскомнадзора об утечке.
В ч. 11 ст.13.11 КоАП РФ указан следующий признак, при котором наступает ответственность: «...в случае установления факта неправомерной или случайной передачи...», а в ст. 21 152-ФЗ упомянуто "В случае установления факта неправомерной или случайной передачи...с момента выявления такого инцидента оператором...уведомить...".
Получается "Никто не установил - нет вины"? Тогда, как следствие, даже более весомые утечки могут проходить мимо Роскомнадзора.
2️⃣ На данный момент, помимо прочего, компании уведомляют об утечках благодаря «НКЦКИ», которое инициативно ищет случаи распространения утекших баз данных в Интернете. Снижение выявленных фактов утечек может быть связано с усилением уголовной ответственности и повышением вероятности неизбежности уголовного наказания. А могло быть снижено только количество документированных случаев утечек, находимых «НКЦКИ», а сам нелегальный рынок мог уйти глубже в даркнет.
3️⃣ В дополнение. С сообщением Роскомнадзора контрастирует недавняя новость об увеличении на 30% числа атак на личные мобильные устройства сотрудников компаний.
С точки зрения операторов ПД хотелось бы более всесторонних комментариев Роскомнадзора.
#Утечка #Мнение
😁12❤6
Минцифры РФ считает, что отпечатки пальцев (папиллярные узоры пальцев и (или) ладоней рук человека) могут использоваться частными компаниями в СКУД:
1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», так как распространяется только на госорганизации. Для полноты, Роскомнадзор писал, что 128-ФЗ распространяется на все организации.
2. Без соблюдения ФЗ от 29 декабря 2022 г. № 572-ФЗ (подключения к ЕБС), так как отпечатки пальцев в нем не упомянуты.
В экспертных сообществах есть позиции, что нельзя частным компаниям автоматизировано обрабатывать отпечатки, так как перечень видов биометрии наоборот ограничен 572-ФЗ (голос и фото). О последнем неоднозначно, но писал Роскомнадзор.
P.S, У автора запроса свой канал, комментарии автора здесь.
#биометрия
1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», так как распространяется только на госорганизации. Для полноты, Роскомнадзор писал, что 128-ФЗ распространяется на все организации.
2. Без соблюдения ФЗ от 29 декабря 2022 г. № 572-ФЗ (подключения к ЕБС), так как отпечатки пальцев в нем не упомянуты.
В экспертных сообществах есть позиции, что нельзя частным компаниям автоматизировано обрабатывать отпечатки, так как перечень видов биометрии наоборот ограничен 572-ФЗ (голос и фото). О последнем неоднозначно, но писал Роскомнадзор.
P.S, У автора запроса свой канал, комментарии автора здесь.
#биометрия
Telegram
Денис Лукаш | Privacy Expert
Ответ Роскомнадзора о сборе коммерческой медицинской организацией отпечатков пальцев сотрудников организации.
"Роскомнадзор …. сообщает, что положения ст. 14 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
"Роскомнадзор …. сообщает, что положения ст. 14 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
😁8❤4👍1
С 1 июля 2025 года действуют измененные требования к локализации баз персональных данных. У нас в Lukash & Partners накопился опыт правоприменения в новых условиях.
Если концептуально:
- Сначала нужно разобраться с организационно-правовой частью, затем переходить к технической. До 1 июля 2025 было больше возможностей правовую подтянуть к технической части.
- Появились новые сценарии выявления нарушений по нелокализации баз ПД. Те же административные расследования по "утечкам" (группа частей статьи 13.11 КоАП РФ) и ч. 1 ст. 13.11 КоАП РФ, где могут быть выявлены смежные нарушения с ответственностью за нелокализацию. Т.е. нужно пересмотреть такие сценарии.
Если раскрывать в деталях, то для пояснений нужно время, лучше голосом.
Именно по-этому 20 ноября вместе с Георгием Кюрджевым (Lukash & Partners) и Евгением Шмидтом (Selectel) выступлю на вебинаре на тему соответствия требованиям локализации баз персональных данных.
Как нам кажется, мы подготовили понятную и структурированную презентацию по локализации баз ПД, включив именно практические подходы из нашего опыта, учет рисков исходя из сценариев выявления нарушений, как юристы работают с ИТ-инженерами и многое другое.
В связи с длительностью проектов по локализации баз ПД, необходимостью планирования бюджетов на 2026 год, полагаем наш доклад будет полезен широкому кругу компаний, имеющих иностранное участие.
Орг. вопросы направляйте организатору мероприятия Selectel. Участие бесплатное.
Зарегистрироваться
Если концептуально:
- Сначала нужно разобраться с организационно-правовой частью, затем переходить к технической. До 1 июля 2025 было больше возможностей правовую подтянуть к технической части.
- Появились новые сценарии выявления нарушений по нелокализации баз ПД. Те же административные расследования по "утечкам" (группа частей статьи 13.11 КоАП РФ) и ч. 1 ст. 13.11 КоАП РФ, где могут быть выявлены смежные нарушения с ответственностью за нелокализацию. Т.е. нужно пересмотреть такие сценарии.
Если раскрывать в деталях, то для пояснений нужно время, лучше голосом.
Именно по-этому 20 ноября вместе с Георгием Кюрджевым (Lukash & Partners) и Евгением Шмидтом (Selectel) выступлю на вебинаре на тему соответствия требованиям локализации баз персональных данных.
Как нам кажется, мы подготовили понятную и структурированную презентацию по локализации баз ПД, включив именно практические подходы из нашего опыта, учет рисков исходя из сценариев выявления нарушений, как юристы работают с ИТ-инженерами и многое другое.
В связи с длительностью проектов по локализации баз ПД, необходимостью планирования бюджетов на 2026 год, полагаем наш доклад будет полезен широкому кругу компаний, имеющих иностранное участие.
Орг. вопросы направляйте организатору мероприятия Selectel. Участие бесплатное.
Зарегистрироваться
Академия Selectel
Как соответствовать требованиям локализации персональных данных - Академия Selectel
Расскажем, как правильно работать с ПД и как выбрать инфраструктуру, которая будет отвечать всем параметрам.
🔥7😁2❤1
Денис Лукаш | Privacy Expert
Минцифры РФ считает, что отпечатки пальцев (папиллярные узоры пальцев и (или) ладоней рук человека) могут использоваться частными компаниями в СКУД: 1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
РКН Удмуртии.pdf
196 KB
В дополнение к ответу Минцифры России о возможности использования отпечатков пальцев для СКУД не возражает и Удмуртский Роскомнадзор.
Т.е. по их позиции это биометрия не по 128-ФЗ. Про 572-ФЗ не сказано.
Особо отмечено - не забыть альтернативный вариант работы СКУД, так как биометрия по (добровольному) согласию.
Т.е. по их позиции это биометрия не по 128-ФЗ. Про 572-ФЗ не сказано.
Особо отмечено - не забыть альтернативный вариант работы СКУД, так как биометрия по (добровольному) согласию.
❤6😁5
Процессуальные тонкости привлечения к ответственности за "утечки" на примере материалов дела РЖД.
В конце 24-го - начале 25-го года Роскомнадзор нашел признаки утечки 17 млн записей работников РЖД. РЖД не признало, Роскомнадзору пришлось проводить внеплановую проверку.
В июне 2025 Роскомнадзор проводит внеплановую проверку и составляет протокол. В это время (после 30 мая) уже действуют повышенные штрафы и новые составы по утечке.
Так как инцидент произошел до введения новых составов за утечки, протокол составили не по ч. 14 ст. 13.11 КоАП РФ (штраф на юрлицо 10 - 15 млн рублей), а по ч. 1 ст. 13.11 КоАП РФ (как и практиковали до 30 мая).
Но так как протокол составили уже после введения повышенных штрафов, судья оштрафовал не на 60 000 рублей, а на 150 000 рублей. Т.е. использовал повышенную с 30 мая вилку штрафов.
По логике судьи Роскомнадзору можно было закрыть вопрос не внеплановой проверкой, а административным расследованием, что менее затратно по ресурсам для РКН, Но по ст. 28.7 КоАП РФ, для этого нужен какой-то триггер по нарушению, а переписка РКН-РЖД в стиле "Вы нарушили - Нет, не нарушили" "замялась" еще в феврале. Было логичней закрыть вопрос именно внеплановой проверкой, а после нее в расследовании не было необходимости.
P.S. Выше описанное - мое мнение на основе материалов судебного дела.
В конце 24-го - начале 25-го года Роскомнадзор нашел признаки утечки 17 млн записей работников РЖД. РЖД не признало, Роскомнадзору пришлось проводить внеплановую проверку.
В июне 2025 Роскомнадзор проводит внеплановую проверку и составляет протокол. В это время (после 30 мая) уже действуют повышенные штрафы и новые составы по утечке.
Так как инцидент произошел до введения новых составов за утечки, протокол составили не по ч. 14 ст. 13.11 КоАП РФ (штраф на юрлицо 10 - 15 млн рублей), а по ч. 1 ст. 13.11 КоАП РФ (как и практиковали до 30 мая).
Но так как протокол составили уже после введения повышенных штрафов, судья оштрафовал не на 60 000 рублей, а на 150 000 рублей. Т.е. использовал повышенную с 30 мая вилку штрафов.
По логике судьи Роскомнадзору можно было закрыть вопрос не внеплановой проверкой, а административным расследованием, что менее затратно по ресурсам для РКН, Но по ст. 28.7 КоАП РФ, для этого нужен какой-то триггер по нарушению, а переписка РКН-РЖД в стиле "Вы нарушили - Нет, не нарушили" "замялась" еще в феврале. Было логичней закрыть вопрос именно внеплановой проверкой, а после нее в расследовании не было необходимости.
P.S. Выше описанное - мое мнение на основе материалов судебного дела.
❤23👍2
Data Privacy может стать элементом продвижения услуг (сервиса). Посмотрим, как это работает на примере Авито.
Авито на днях запустил проект "Дом для данных": обновили политику и начал снимать видеоролики, поясняющие принципы обработки ПД в понятной форме.
Написал в PR службу Авито вопросы по бизнес-ориентированности данной компании:
1. Какая бизнес-цель у Авито снимать ролики?
2. Считает ли Авито работу над распространением информации о бережном отношении к персональным данным своей маркетинговой стратегией?
И мне ответили. Не возражали если поделись в канале. Цитирую:
"Доверие — это то, что всегда лежало в основе работы Авито. Для нас очень важно создавать максимально прозрачные условия взаимодействия с платформой для наших пользователей.
Мы видим, что только 18% россиян всегда читают пользовательские соглашения, и наша задача — изменить этот подход, объясняя сложные вещи простым и понятным языком.
В новой кампании мы рассказываем, какие данные собираем, зачем это нужно и какую пользу это приносит лично пользователю. Такой диалог, основанный на открытости и партнерстве, является для нас стратегическим приоритетом."
В ответе Авито больше понравилась позиция, что Data Privacy будет преподноситься через выгоду, а не формальную обязанность. Посмотрим, как будет получаться.
Но в любом случае, это пример, когда подразделение DPO само делает себя частью бизнес-стратегии, соответственно, бизнес охотнее будет инвестировать в развитие этой службы.
Авито на днях запустил проект "Дом для данных": обновили политику и начал снимать видеоролики, поясняющие принципы обработки ПД в понятной форме.
Написал в PR службу Авито вопросы по бизнес-ориентированности данной компании:
1. Какая бизнес-цель у Авито снимать ролики?
2. Считает ли Авито работу над распространением информации о бережном отношении к персональным данным своей маркетинговой стратегией?
И мне ответили. Не возражали если поделись в канале. Цитирую:
"Доверие — это то, что всегда лежало в основе работы Авито. Для нас очень важно создавать максимально прозрачные условия взаимодействия с платформой для наших пользователей.
Мы видим, что только 18% россиян всегда читают пользовательские соглашения, и наша задача — изменить этот подход, объясняя сложные вещи простым и понятным языком.
В новой кампании мы рассказываем, какие данные собираем, зачем это нужно и какую пользу это приносит лично пользователю. Такой диалог, основанный на открытости и партнерстве, является для нас стратегическим приоритетом."
В ответе Авито больше понравилась позиция, что Data Privacy будет преподноситься через выгоду, а не формальную обязанность. Посмотрим, как будет получаться.
Но в любом случае, это пример, когда подразделение DPO само делает себя частью бизнес-стратегии, соответственно, бизнес охотнее будет инвестировать в развитие этой службы.
VK Видео
Дом для данных
Технологическая платформа Авито запустила новую кампанию «Дом для данных» (vk.cc/cRiJFo), чтобы объяснить пользователям, как компания работает с персональными данными. Это поможет людям лучше понимать, как Авито защищает личную информацию и укрепит доверие…
❤38😁3