Требование.pdf
204.9 KB
Ключевое из прилагаемого требования РКН по Яндекс.Метрике (некоторые сведения сообщил подписчик, восполнил).
1. Данные, передаваемые в Яндекс.Метрику являются персональными.
Здесь Роскомнанадзор последователен (точно с 2019 года).
2. Указание на использование кукис не достаточно, нужно именно указание на Яндекс.Метрику.
Это логично, ключевое - это передача ПД, а кукис - это вторично.
3. Указание на Яндекс метрику было в Политике. Не помогло.
Здесь РКН тоже последователен, т.к. Политика - не основание обработки ПД по ч. 1 ст. 6 152-ФЗ. Сейчас еще прямо прописали, что согласия "отдельно" от иных документов.
P.S. Спасибо, что делитесь подобными материалами.
1. Данные, передаваемые в Яндекс.Метрику являются персональными.
Здесь Роскомнанадзор последователен (точно с 2019 года).
2. Указание на использование кукис не достаточно, нужно именно указание на Яндекс.Метрику.
Это логично, ключевое - это передача ПД, а кукис - это вторично.
3. Указание на Яндекс метрику было в Политике. Не помогло.
Здесь РКН тоже последователен, т.к. Политика - не основание обработки ПД по ч. 1 ст. 6 152-ФЗ. Сейчас еще прямо прописали, что согласия "отдельно" от иных документов.
P.S. Спасибо, что делитесь подобными материалами.
❤20👍4🤔2
Моральная компенсация 4000 рублей за нарушение в области персональных данных
🔹Между Истцом (физическое лицо) и Управляющей компанией был заключен агентский договор. Управляющая Компания без согласия Истца открыла счет в банке на имя последнего для осуществления оплаты по агентскому договору.
🔹Истец не давал согласия Управляющей компании на передачу своих персональных данных , не поручал представлять его интересы, в том числе не поручал открывать счета на его имя в финансовых организациях и подписывать от его имени юридически значимые документы.
🔹Истец подал жалобу в Роскомнадзор. В отношении действий Управляющей компании был составлен протокол об административном правонарушении.
🔹После назначения Управляющей компании административного наказания, Истец направил последней предложением заключить соглашение о добровольной компенсации морального вреда в размере 30 000 руб. Управляющая компания согласилась выплатить в счет компенсации морального вреда 1 000 руб.
🔹Решение по административному делу:
Мировой судья
Управляющая компания признана виновной по ч.1 ст.13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством). Суд ссылался на протокол об административном правонарушении. Управляющей компании было назначено административное наказание в виде предупреждения. Действия банка не оценивались.
🔹Гражданское дело:
Районный суд
Истец предъявил к Управляющей компании и банку требования о компенсации морального вреда за неправомерную обработку персональных данных и удалении его персональных данных.
Постановление мирового судьи по делу об административному правонарушениию использовалось как доказательство совершения противоправной обработки персональных данных Управляющей компанией.
Суд обязал Управляющую компанию удалить персональные данные Истца и признал полученную Истцом от Управляющей компании 1 000 руб. компенсацией морального вреда.
Касательно действий банка суд пришёл к следующему:
Согласно представленной в материалы дела справки банка, следует, что на имя Истца счет закрыт до обращения в суд с заявлением. Также указано, что досье клиентов, по которым не был оформлен договор на оказание банковских услуг, не подлежат хранению в банке (уничтожаются).
Исходя из изложенного, требования Истца в указанной части являются необоснованными и удовлетворению не подлежат.
При таких обстоятельствах, оснований для взыскания с банка в пользу Истца компенсации морального вреда, суд также не нашел.
Апелляция
Суд согласился с решением районного суда, кроме размера компенсации и понуждения Управляющей компании в удалении персональных данных.
Так, сумма компенсации была увеличена до 4 000 руб. (с учетом выплаченной 1 000 руб.).По вопросу удаления Управляющей компанией персональных данных Истца суд пришел к выводу, что оснований для понуждения Ответчика уничтожить персональные данные Истца у суда не имелось, поскольку указанное обстоятельство приведет к невозможности исполнения иных обязательств, связанных с обработкой персональных данных Истца: производить расчеты, а также начисления платежей за жилое помещение Истца (как собственника квартиры в многоквартирном доме, обслуживаемом данной Управляющей компанией), а также суд учел наличие между сторонами судебного спора по оплате услуг председателю Совета дома.
По действиям банка суд посчитал, что оснований для взыскания компенсации морального вреда не имелось, поскольку нарушений прав Истца со стороны банка не установлено, а из представленных в дело ответа банка и выписки по счету следует, что счет закрыт.
Кассация
Судебная коллегия по гражданским делам Восьмого кассационного суда общей юрисдикции поддержала определение апелляционной инстанции.
#практика
🔹Между Истцом (физическое лицо) и Управляющей компанией был заключен агентский договор. Управляющая Компания без согласия Истца открыла счет в банке на имя последнего для осуществления оплаты по агентскому договору.
🔹Истец не давал согласия Управляющей компании на передачу своих персональных данных , не поручал представлять его интересы, в том числе не поручал открывать счета на его имя в финансовых организациях и подписывать от его имени юридически значимые документы.
🔹Истец подал жалобу в Роскомнадзор. В отношении действий Управляющей компании был составлен протокол об административном правонарушении.
🔹После назначения Управляющей компании административного наказания, Истец направил последней предложением заключить соглашение о добровольной компенсации морального вреда в размере 30 000 руб. Управляющая компания согласилась выплатить в счет компенсации морального вреда 1 000 руб.
🔹Решение по административному делу:
Мировой судья
Управляющая компания признана виновной по ч.1 ст.13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством). Суд ссылался на протокол об административном правонарушении. Управляющей компании было назначено административное наказание в виде предупреждения. Действия банка не оценивались.
🔹Гражданское дело:
Районный суд
Истец предъявил к Управляющей компании и банку требования о компенсации морального вреда за неправомерную обработку персональных данных и удалении его персональных данных.
Постановление мирового судьи по делу об административному правонарушениию использовалось как доказательство совершения противоправной обработки персональных данных Управляющей компанией.
Суд обязал Управляющую компанию удалить персональные данные Истца и признал полученную Истцом от Управляющей компании 1 000 руб. компенсацией морального вреда.
Касательно действий банка суд пришёл к следующему:
Согласно представленной в материалы дела справки банка, следует, что на имя Истца счет закрыт до обращения в суд с заявлением. Также указано, что досье клиентов, по которым не был оформлен договор на оказание банковских услуг, не подлежат хранению в банке (уничтожаются).
Исходя из изложенного, требования Истца в указанной части являются необоснованными и удовлетворению не подлежат.
При таких обстоятельствах, оснований для взыскания с банка в пользу Истца компенсации морального вреда, суд также не нашел.
Апелляция
Суд согласился с решением районного суда, кроме размера компенсации и понуждения Управляющей компании в удалении персональных данных.
Так, сумма компенсации была увеличена до 4 000 руб. (с учетом выплаченной 1 000 руб.).По вопросу удаления Управляющей компанией персональных данных Истца суд пришел к выводу, что оснований для понуждения Ответчика уничтожить персональные данные Истца у суда не имелось, поскольку указанное обстоятельство приведет к невозможности исполнения иных обязательств, связанных с обработкой персональных данных Истца: производить расчеты, а также начисления платежей за жилое помещение Истца (как собственника квартиры в многоквартирном доме, обслуживаемом данной Управляющей компанией), а также суд учел наличие между сторонами судебного спора по оплате услуг председателю Совета дома.
По действиям банка суд посчитал, что оснований для взыскания компенсации морального вреда не имелось, поскольку нарушений прав Истца со стороны банка не установлено, а из представленных в дело ответа банка и выписки по счету следует, что счет закрыт.
Кассация
Судебная коллегия по гражданским делам Восьмого кассационного суда общей юрисдикции поддержала определение апелляционной инстанции.
#практика
❤11😁2🤔2
Усиление регулирования трансграничной передачи персональных данных - это международный тренд. Ниже заметка о предстоящих изменениях в Китае⬇️
Новые требования к трансграничной передаче ПДн в Китае с 1 января 2026 года
С 1 января 2026 года в Китае вступает в силу новый регламент — Меры по оценке безопасности передачи персональных данных за границу (далее – Меры), который завершает формирование системы регулирования трансграничных потоков данных в стране.
🔹Сертификация трансграничной передачи данных
Сертификация — это формальная оценка, осуществляемая аккредитованными органами сертификации, проверяющая, соответствует ли оператор/обработчик требованиям китайских стандартов безопасности и PIPL.
Этот механизм подходит для компаний, которые не являются операторами критической информационной инфраструктуры (CII) и которые с 1 января текущего года передали за рубеж персональные данные от 100 тысяч до 1 миллиона субъектов ПДн (не включая чувствительные данные) либо данные менее 10 тысяч субъектов ПДн, но включающие чувствительную информацию, при условии, что передача не затрагивает важные государственные данные (ст.5 Мер).
🔹Возможные преимущества
В отличие от разового подписания стандартной формы договора, сертификация представляет собой комплексный «пакет соответствия», который проходит постоянный контроль со стороны сертифицирующего органа.
🔹Сроки
Сертификат действует 3 года. Для его продления компания должна подать заявку не позднее чем за 6 месяцев до истечения срока действия (ст. 8 Мер).
🔹Согласие субъектов на трансграничную передачу персональных данных
Обязательные предварительные шаги: перед подачей заявления на сертификацию компания обязана проинформировать субъекта персональных данных, получить от него отдельное согласие, а также провести оценку воздействия на защиту персональных данных (ст. 6 Мер).
Сертификацию будут осуществлять аккредитованные государством органы.
🔹Сертификация в общей системе регулирования Китая
Новые правила сертификации дополняют уже действующие механизмы — оценку безопасности и стандартный договор, формируя целостную систему. Выбор конкретного механизма зависит от объема и типа передаваемых данных.
🔹Что это может значить для бизнеса
Для иностранных компаний: организации, не имеющие юридического лица в Китае, но обрабатывающие данные китайских граждан, также могут пройти сертификацию через своего местного представителя.
Стратегический выбор: для компаний, которые регулярно передают данные за рубеж, сертификация может стать более эффективным и экономичным решением по сравнению с многократным использованием стандартных договоров.
#ТГП
С 1 января 2026 года в Китае вступает в силу новый регламент — Меры по оценке безопасности передачи персональных данных за границу (далее – Меры), который завершает формирование системы регулирования трансграничных потоков данных в стране.
🔹Сертификация трансграничной передачи данных
Сертификация — это формальная оценка, осуществляемая аккредитованными органами сертификации, проверяющая, соответствует ли оператор/обработчик требованиям китайских стандартов безопасности и PIPL.
Этот механизм подходит для компаний, которые не являются операторами критической информационной инфраструктуры (CII) и которые с 1 января текущего года передали за рубеж персональные данные от 100 тысяч до 1 миллиона субъектов ПДн (не включая чувствительные данные) либо данные менее 10 тысяч субъектов ПДн, но включающие чувствительную информацию, при условии, что передача не затрагивает важные государственные данные (ст.5 Мер).
🔹Возможные преимущества
В отличие от разового подписания стандартной формы договора, сертификация представляет собой комплексный «пакет соответствия», который проходит постоянный контроль со стороны сертифицирующего органа.
🔹Сроки
Сертификат действует 3 года. Для его продления компания должна подать заявку не позднее чем за 6 месяцев до истечения срока действия (ст. 8 Мер).
🔹Согласие субъектов на трансграничную передачу персональных данных
Обязательные предварительные шаги: перед подачей заявления на сертификацию компания обязана проинформировать субъекта персональных данных, получить от него отдельное согласие, а также провести оценку воздействия на защиту персональных данных (ст. 6 Мер).
Сертификацию будут осуществлять аккредитованные государством органы.
🔹Сертификация в общей системе регулирования Китая
Новые правила сертификации дополняют уже действующие механизмы — оценку безопасности и стандартный договор, формируя целостную систему. Выбор конкретного механизма зависит от объема и типа передаваемых данных.
🔹Что это может значить для бизнеса
Для иностранных компаний: организации, не имеющие юридического лица в Китае, но обрабатывающие данные китайских граждан, также могут пройти сертификацию через своего местного представителя.
Стратегический выбор: для компаний, которые регулярно передают данные за рубеж, сертификация может стать более эффективным и экономичным решением по сравнению с многократным использованием стандартных договоров.
#ТГП
🤔6👍5❤2
Роскомнадзор сообщил о снижении числа утечек персональных данных в 14 раз в 2025 году относительно 2024 года:
«Мы видим снижение выявляемых утечек. В 2024 году у нас было 135 фактов утечек, в этих утечках было 710 млн записей. А в 2025 году на сегодняшний день - 103 факта утечек и 50 млн записей. С 31 мая действует более высокая административная ответственность, и мы видим прямой эффект: с января по май 2025 года система нашла 6,5 тыс. нарушений в порядке сбора данных, а за следующие 5 месяцев - 3,5 тыс.»
Поскольку Роскомнадзор считает, что есть положительный эффект от увеличения размера штрафов за утечки, вероятно тенденция их увеличения продолжится.
Давайте предположим, могут ли быть иные причины приведенной статистики.
1️⃣ Множество утечек носит неосознанный характер: работники в компаниях могут не понимать, что в каких-то случаях происходит утечка. Например, работник ошибся электронным адресом или документом, в результате чего третьему лицу могли стать известны данные одного - двух субъектов ПДн.
В случаях выше срок начала уведомления может не наступать, как и не наступать ответственность за не уведомление Роскомнадзора об утечке.
В ч. 11 ст.13.11 КоАП РФ указан следующий признак, при котором наступает ответственность: «...в случае установления факта неправомерной или случайной передачи...», а в ст. 21 152-ФЗ упомянуто "В случае установления факта неправомерной или случайной передачи...с момента выявления такого инцидента оператором...уведомить...".
Получается "Никто не установил - нет вины"? Тогда, как следствие, даже более весомые утечки могут проходить мимо Роскомнадзора.
2️⃣ На данный момент, помимо прочего, компании уведомляют об утечках благодаря «НКЦКИ», которое инициативно ищет случаи распространения утекших баз данных в Интернете. Снижение выявленных фактов утечек может быть связано с усилением уголовной ответственности и повышением вероятности неизбежности уголовного наказания. А могло быть снижено только количество документированных случаев утечек, находимых «НКЦКИ», а сам нелегальный рынок мог уйти глубже в даркнет.
3️⃣ В дополнение. С сообщением Роскомнадзора контрастирует недавняя новость об увеличении на 30% числа атак на личные мобильные устройства сотрудников компаний.
С точки зрения операторов ПД хотелось бы более всесторонних комментариев Роскомнадзора.
#Утечка #Мнение
«Мы видим снижение выявляемых утечек. В 2024 году у нас было 135 фактов утечек, в этих утечках было 710 млн записей. А в 2025 году на сегодняшний день - 103 факта утечек и 50 млн записей. С 31 мая действует более высокая административная ответственность, и мы видим прямой эффект: с января по май 2025 года система нашла 6,5 тыс. нарушений в порядке сбора данных, а за следующие 5 месяцев - 3,5 тыс.»
Поскольку Роскомнадзор считает, что есть положительный эффект от увеличения размера штрафов за утечки, вероятно тенденция их увеличения продолжится.
Давайте предположим, могут ли быть иные причины приведенной статистики.
1️⃣ Множество утечек носит неосознанный характер: работники в компаниях могут не понимать, что в каких-то случаях происходит утечка. Например, работник ошибся электронным адресом или документом, в результате чего третьему лицу могли стать известны данные одного - двух субъектов ПДн.
В случаях выше срок начала уведомления может не наступать, как и не наступать ответственность за не уведомление Роскомнадзора об утечке.
В ч. 11 ст.13.11 КоАП РФ указан следующий признак, при котором наступает ответственность: «...в случае установления факта неправомерной или случайной передачи...», а в ст. 21 152-ФЗ упомянуто "В случае установления факта неправомерной или случайной передачи...с момента выявления такого инцидента оператором...уведомить...".
Получается "Никто не установил - нет вины"? Тогда, как следствие, даже более весомые утечки могут проходить мимо Роскомнадзора.
2️⃣ На данный момент, помимо прочего, компании уведомляют об утечках благодаря «НКЦКИ», которое инициативно ищет случаи распространения утекших баз данных в Интернете. Снижение выявленных фактов утечек может быть связано с усилением уголовной ответственности и повышением вероятности неизбежности уголовного наказания. А могло быть снижено только количество документированных случаев утечек, находимых «НКЦКИ», а сам нелегальный рынок мог уйти глубже в даркнет.
3️⃣ В дополнение. С сообщением Роскомнадзора контрастирует недавняя новость об увеличении на 30% числа атак на личные мобильные устройства сотрудников компаний.
С точки зрения операторов ПД хотелось бы более всесторонних комментариев Роскомнадзора.
#Утечка #Мнение
😁12❤6
Минцифры РФ считает, что отпечатки пальцев (папиллярные узоры пальцев и (или) ладоней рук человека) могут использоваться частными компаниями в СКУД:
1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», так как распространяется только на госорганизации. Для полноты, Роскомнадзор писал, что 128-ФЗ распространяется на все организации.
2. Без соблюдения ФЗ от 29 декабря 2022 г. № 572-ФЗ (подключения к ЕБС), так как отпечатки пальцев в нем не упомянуты.
В экспертных сообществах есть позиции, что нельзя частным компаниям автоматизировано обрабатывать отпечатки, так как перечень видов биометрии наоборот ограничен 572-ФЗ (голос и фото). О последнем неоднозначно, но писал Роскомнадзор.
P.S, У автора запроса свой канал, комментарии автора здесь.
#биометрия
1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», так как распространяется только на госорганизации. Для полноты, Роскомнадзор писал, что 128-ФЗ распространяется на все организации.
2. Без соблюдения ФЗ от 29 декабря 2022 г. № 572-ФЗ (подключения к ЕБС), так как отпечатки пальцев в нем не упомянуты.
В экспертных сообществах есть позиции, что нельзя частным компаниям автоматизировано обрабатывать отпечатки, так как перечень видов биометрии наоборот ограничен 572-ФЗ (голос и фото). О последнем неоднозначно, но писал Роскомнадзор.
P.S, У автора запроса свой канал, комментарии автора здесь.
#биометрия
Telegram
Денис Лукаш | Privacy Expert
Ответ Роскомнадзора о сборе коммерческой медицинской организацией отпечатков пальцев сотрудников организации.
"Роскомнадзор …. сообщает, что положения ст. 14 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
"Роскомнадзор …. сообщает, что положения ст. 14 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
😁8❤4👍1
С 1 июля 2025 года действуют измененные требования к локализации баз персональных данных. У нас в Lukash & Partners накопился опыт правоприменения в новых условиях.
Если концептуально:
- Сначала нужно разобраться с организационно-правовой частью, затем переходить к технической. До 1 июля 2025 было больше возможностей правовую подтянуть к технической части.
- Появились новые сценарии выявления нарушений по нелокализации баз ПД. Те же административные расследования по "утечкам" (группа частей статьи 13.11 КоАП РФ) и ч. 1 ст. 13.11 КоАП РФ, где могут быть выявлены смежные нарушения с ответственностью за нелокализацию. Т.е. нужно пересмотреть такие сценарии.
Если раскрывать в деталях, то для пояснений нужно время, лучше голосом.
Именно по-этому 20 ноября вместе с Георгием Кюрджевым (Lukash & Partners) и Евгением Шмидтом (Selectel) выступлю на вебинаре на тему соответствия требованиям локализации баз персональных данных.
Как нам кажется, мы подготовили понятную и структурированную презентацию по локализации баз ПД, включив именно практические подходы из нашего опыта, учет рисков исходя из сценариев выявления нарушений, как юристы работают с ИТ-инженерами и многое другое.
В связи с длительностью проектов по локализации баз ПД, необходимостью планирования бюджетов на 2026 год, полагаем наш доклад будет полезен широкому кругу компаний, имеющих иностранное участие.
Орг. вопросы направляйте организатору мероприятия Selectel. Участие бесплатное.
Зарегистрироваться
Если концептуально:
- Сначала нужно разобраться с организационно-правовой частью, затем переходить к технической. До 1 июля 2025 было больше возможностей правовую подтянуть к технической части.
- Появились новые сценарии выявления нарушений по нелокализации баз ПД. Те же административные расследования по "утечкам" (группа частей статьи 13.11 КоАП РФ) и ч. 1 ст. 13.11 КоАП РФ, где могут быть выявлены смежные нарушения с ответственностью за нелокализацию. Т.е. нужно пересмотреть такие сценарии.
Если раскрывать в деталях, то для пояснений нужно время, лучше голосом.
Именно по-этому 20 ноября вместе с Георгием Кюрджевым (Lukash & Partners) и Евгением Шмидтом (Selectel) выступлю на вебинаре на тему соответствия требованиям локализации баз персональных данных.
Как нам кажется, мы подготовили понятную и структурированную презентацию по локализации баз ПД, включив именно практические подходы из нашего опыта, учет рисков исходя из сценариев выявления нарушений, как юристы работают с ИТ-инженерами и многое другое.
В связи с длительностью проектов по локализации баз ПД, необходимостью планирования бюджетов на 2026 год, полагаем наш доклад будет полезен широкому кругу компаний, имеющих иностранное участие.
Орг. вопросы направляйте организатору мероприятия Selectel. Участие бесплатное.
Зарегистрироваться
Академия Selectel
Как соответствовать требованиям локализации персональных данных - Академия Selectel
Расскажем, как правильно работать с ПД и как выбрать инфраструктуру, которая будет отвечать всем параметрам.
🔥7😁2❤1
Денис Лукаш | Privacy Expert
Минцифры РФ считает, что отпечатки пальцев (папиллярные узоры пальцев и (или) ладоней рук человека) могут использоваться частными компаниями в СКУД: 1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
РКН Удмуртии.pdf
196 KB
В дополнение к ответу Минцифры России о возможности использования отпечатков пальцев для СКУД не возражает и Удмуртский Роскомнадзор.
Т.е. по их позиции это биометрия не по 128-ФЗ. Про 572-ФЗ не сказано.
Особо отмечено - не забыть альтернативный вариант работы СКУД, так как биометрия по (добровольному) согласию.
Т.е. по их позиции это биометрия не по 128-ФЗ. Про 572-ФЗ не сказано.
Особо отмечено - не забыть альтернативный вариант работы СКУД, так как биометрия по (добровольному) согласию.
❤6😁5
Процессуальные тонкости привлечения к ответственности за "утечки" на примере материалов дела РЖД.
В конце 24-го - начале 25-го года Роскомнадзор нашел признаки утечки 17 млн записей работников РЖД. РЖД не признало, Роскомнадзору пришлось проводить внеплановую проверку.
В июне 2025 Роскомнадзор проводит внеплановую проверку и составляет протокол. В это время (после 30 мая) уже действуют повышенные штрафы и новые составы по утечке.
Так как инцидент произошел до введения новых составов за утечки, протокол составили не по ч. 14 ст. 13.11 КоАП РФ (штраф на юрлицо 10 - 15 млн рублей), а по ч. 1 ст. 13.11 КоАП РФ (как и практиковали до 30 мая).
Но так как протокол составили уже после введения повышенных штрафов, судья оштрафовал не на 60 000 рублей, а на 150 000 рублей. Т.е. использовал повышенную с 30 мая вилку штрафов.
По логике судьи Роскомнадзору можно было закрыть вопрос не внеплановой проверкой, а административным расследованием, что менее затратно по ресурсам для РКН, Но по ст. 28.7 КоАП РФ, для этого нужен какой-то триггер по нарушению, а переписка РКН-РЖД в стиле "Вы нарушили - Нет, не нарушили" "замялась" еще в феврале. Было логичней закрыть вопрос именно внеплановой проверкой, а после нее в расследовании не было необходимости.
P.S. Выше описанное - мое мнение на основе материалов судебного дела.
В конце 24-го - начале 25-го года Роскомнадзор нашел признаки утечки 17 млн записей работников РЖД. РЖД не признало, Роскомнадзору пришлось проводить внеплановую проверку.
В июне 2025 Роскомнадзор проводит внеплановую проверку и составляет протокол. В это время (после 30 мая) уже действуют повышенные штрафы и новые составы по утечке.
Так как инцидент произошел до введения новых составов за утечки, протокол составили не по ч. 14 ст. 13.11 КоАП РФ (штраф на юрлицо 10 - 15 млн рублей), а по ч. 1 ст. 13.11 КоАП РФ (как и практиковали до 30 мая).
Но так как протокол составили уже после введения повышенных штрафов, судья оштрафовал не на 60 000 рублей, а на 150 000 рублей. Т.е. использовал повышенную с 30 мая вилку штрафов.
По логике судьи Роскомнадзору можно было закрыть вопрос не внеплановой проверкой, а административным расследованием, что менее затратно по ресурсам для РКН, Но по ст. 28.7 КоАП РФ, для этого нужен какой-то триггер по нарушению, а переписка РКН-РЖД в стиле "Вы нарушили - Нет, не нарушили" "замялась" еще в феврале. Было логичней закрыть вопрос именно внеплановой проверкой, а после нее в расследовании не было необходимости.
P.S. Выше описанное - мое мнение на основе материалов судебного дела.
❤23👍2
Data Privacy может стать элементом продвижения услуг (сервиса). Посмотрим, как это работает на примере Авито.
Авито на днях запустил проект "Дом для данных": обновили политику и начал снимать видеоролики, поясняющие принципы обработки ПД в понятной форме.
Написал в PR службу Авито вопросы по бизнес-ориентированности данной компании:
1. Какая бизнес-цель у Авито снимать ролики?
2. Считает ли Авито работу над распространением информации о бережном отношении к персональным данным своей маркетинговой стратегией?
И мне ответили. Не возражали если поделись в канале. Цитирую:
"Доверие — это то, что всегда лежало в основе работы Авито. Для нас очень важно создавать максимально прозрачные условия взаимодействия с платформой для наших пользователей.
Мы видим, что только 18% россиян всегда читают пользовательские соглашения, и наша задача — изменить этот подход, объясняя сложные вещи простым и понятным языком.
В новой кампании мы рассказываем, какие данные собираем, зачем это нужно и какую пользу это приносит лично пользователю. Такой диалог, основанный на открытости и партнерстве, является для нас стратегическим приоритетом."
В ответе Авито больше понравилась позиция, что Data Privacy будет преподноситься через выгоду, а не формальную обязанность. Посмотрим, как будет получаться.
Но в любом случае, это пример, когда подразделение DPO само делает себя частью бизнес-стратегии, соответственно, бизнес охотнее будет инвестировать в развитие этой службы.
Авито на днях запустил проект "Дом для данных": обновили политику и начал снимать видеоролики, поясняющие принципы обработки ПД в понятной форме.
Написал в PR службу Авито вопросы по бизнес-ориентированности данной компании:
1. Какая бизнес-цель у Авито снимать ролики?
2. Считает ли Авито работу над распространением информации о бережном отношении к персональным данным своей маркетинговой стратегией?
И мне ответили. Не возражали если поделись в канале. Цитирую:
"Доверие — это то, что всегда лежало в основе работы Авито. Для нас очень важно создавать максимально прозрачные условия взаимодействия с платформой для наших пользователей.
Мы видим, что только 18% россиян всегда читают пользовательские соглашения, и наша задача — изменить этот подход, объясняя сложные вещи простым и понятным языком.
В новой кампании мы рассказываем, какие данные собираем, зачем это нужно и какую пользу это приносит лично пользователю. Такой диалог, основанный на открытости и партнерстве, является для нас стратегическим приоритетом."
В ответе Авито больше понравилась позиция, что Data Privacy будет преподноситься через выгоду, а не формальную обязанность. Посмотрим, как будет получаться.
Но в любом случае, это пример, когда подразделение DPO само делает себя частью бизнес-стратегии, соответственно, бизнес охотнее будет инвестировать в развитие этой службы.
VK Видео
Дом для данных
Технологическая платформа Авито запустила новую кампанию «Дом для данных» (vk.cc/cRiJFo), чтобы объяснить пользователям, как компания работает с персональными данными. Это поможет людям лучше понимать, как Авито защищает личную информацию и укрепит доверие…
❤38😁3
Усиливаем команду lukash & Partners и ищем сразу двух специалистов по персональным данным: middle и junior.
После погружения кандидат будет работать на передовой Data Privacy, получит опыт работы c крупными компаниями, уже через год уровень заметно вырастит. Есть возможность удаленной/гибридной работы, но возможность без проблем быть в Мск. необходима.
Уровень зп обсуждается индивидуально, по мере роста зп пересматриваем.
Ключевые требования:
- Реальный опыт работы DPO/юристом по ПД для middle от 3 лет, для junior от 1 года. 70% работы правового характера, юрдиплом обязателен. Сразу будем искать это в резюме.
- Педантичность в работе с документами, уметь структурно, кратко и логично писать юридические тексты. Проверим через тестовое задание.
- Ясно видеть себя в Data Privacy в будущем. Увидим через собеседование.
Дополнительно.
С большим юридическим опытом, но хотя бы без года в ПД взять не сможем. Пару политик и типовые ЛНА для своей компании за опыт не примем. Здесь только стажировка, но на нее тоже можно податься по почте ниже.
С преимуществом рассмотрим:
1. Эксперта по ПД с сильным опытом в КоАП РФ, включая бывших инспекторов РКН.
2. Инхаус из групп DPO корпораций.
Резюме на talents@lukash.partners.
В личку можно написать, но все равно резюме попрошу на почту. Укажите уровень и вознаграждение, на которые претендуете.
После погружения кандидат будет работать на передовой Data Privacy, получит опыт работы c крупными компаниями, уже через год уровень заметно вырастит. Есть возможность удаленной/гибридной работы, но возможность без проблем быть в Мск. необходима.
Уровень зп обсуждается индивидуально, по мере роста зп пересматриваем.
Ключевые требования:
- Реальный опыт работы DPO/юристом по ПД для middle от 3 лет, для junior от 1 года. 70% работы правового характера, юрдиплом обязателен. Сразу будем искать это в резюме.
- Педантичность в работе с документами, уметь структурно, кратко и логично писать юридические тексты. Проверим через тестовое задание.
- Ясно видеть себя в Data Privacy в будущем. Увидим через собеседование.
Дополнительно.
С большим юридическим опытом, но хотя бы без года в ПД взять не сможем. Пару политик и типовые ЛНА для своей компании за опыт не примем. Здесь только стажировка, но на нее тоже можно податься по почте ниже.
С преимуществом рассмотрим:
1. Эксперта по ПД с сильным опытом в КоАП РФ, включая бывших инспекторов РКН.
2. Инхаус из групп DPO корпораций.
Резюме на talents@lukash.partners.
В личку можно написать, но все равно резюме попрошу на почту. Укажите уровень и вознаграждение, на которые претендуете.
😁16❤13👍1
Ответ_РКН_использование_Гугл_таблиц.docx
26.1 KB
Роскомнадзор о Гугл-таблицах:
"...деятельность по ведению в производственных целях Google-таблиц, содержащих персональные данные, ранее собранные с использованием баз данных, находящихся на территории Российской Федерации, не является деятельностью по осуществлению трансграничной передачи персональных данных."
P.S. Спасибо, что делитесь ответами.
"...деятельность по ведению в производственных целях Google-таблиц, содержащих персональные данные, ранее собранные с использованием баз данных, находящихся на территории Российской Федерации, не является деятельностью по осуществлению трансграничной передачи персональных данных."
P.S. Спасибо, что делитесь ответами.
❤45👍37😁28🔥11🤔9
Идет сезон деловых мероприятий.
Где меня можно увидеть в ближайшее время и задать вопросы.
Завтра (20.11.25 в 12:00) на совместном вебинаре с нашим партнером Selectel отвечаю на вопросы по локализации баз персональных данных в РФ, перед этим презентация. Вопросы принимаются заранее. За лучший вопрос Selectel подарит плюшевого Рекса. Вопросов правда уже много, а Рекс один.
28.11.25 с 14.10 до 16.00 на SecConf рассказываю про Персональные данные при проверках контрагентов и заключении договоров (для служб безопасности). С темами по ПД со мной выступят Екатерина Ефимова (ГРЧЦ/Роскомнадзор) и Алёна Геращенко (ТБанк).
01.12.25 на конференции Цифровой девелопмент 25 расскажу как на практике контрагенты переносят риски персональных данных на застройщиков и как от этого уходить. Здесь об интеграторах в регсегмент ЕБС, страховых, банках и т.д. (но без частностей и брендов).
P.S. Только первый вебинар бесплатный для посетителей.
Где меня можно увидеть в ближайшее время и задать вопросы.
Завтра (20.11.25 в 12:00) на совместном вебинаре с нашим партнером Selectel отвечаю на вопросы по локализации баз персональных данных в РФ, перед этим презентация. Вопросы принимаются заранее. За лучший вопрос Selectel подарит плюшевого Рекса. Вопросов правда уже много, а Рекс один.
28.11.25 с 14.10 до 16.00 на SecConf рассказываю про Персональные данные при проверках контрагентов и заключении договоров (для служб безопасности). С темами по ПД со мной выступят Екатерина Ефимова (ГРЧЦ/Роскомнадзор) и Алёна Геращенко (ТБанк).
01.12.25 на конференции Цифровой девелопмент 25 расскажу как на практике контрагенты переносят риски персональных данных на застройщиков и как от этого уходить. Здесь об интеграторах в регсегмент ЕБС, страховых, банках и т.д. (но без частностей и брендов).
P.S. Только первый вебинар бесплатный для посетителей.
🔥12❤1
В интернете делятся фейковыми письмами от структур ФСБ, которые могут прислать даже на бумаге. За утечки сейчас наказания суровые, соответственно, цель письма - под страхом убедить принять звонок в MAX или Telegram. Это письмо выглядит правдоподобнее, чем прошлое.
❤2
Forwarded from Русский ИТ бизнес
Если вам (в бизнес или лично) прислали такую пугалку, то держите в уме - это липа. Не ведитесь. Могут послать на юр.адрес... В общем не верьте.
Русский ИТ бизнес
Русский ИТ бизнес
❤17😁11
Помимо Авито (пост выше), прозрачностью по ПД занимается Wildberries. Если не видели, компания еще раньше разработала отдельную страницу.
С точки зрения выполнения требований закона подробный отдельный портал не нужен, значит бизнес может рассматривать это как инвестицию.
Подготовил несколько релевантных вопросов для WB, заранее указал, что ответы планирую опубликовать:
1. Является ли инвестиция в разработку портала частью маркетинговой стратегии? В чем она заключается?
2.Вы нацелены на приобретение лояльности пользователей через прозрачность обработки персональных данных?
3. Снизила ли инвестиция в портал количество обращений субъектов персональных данных?
4. В сообществах портал был положительно оценен экспертами. Видите ли вы работу с экспертами в Data Privacy, как работу с амбасадорами бренда WB?
Ответы для канала направил CDPO Wildberries&Russ Кирилл Зюбанов, цитирую:
"Одними из ключевых принципов работы Wildberries & Russ являются соблюдение закона, обеспечение прав и свобод субъектов персональных данных, а также следование лучшим рыночным практикам — это одни из главных приоритетов компании.
Мы активно используем принципы обработки персональных данных при выстраивании своих процессов, поэтому считаем, что создание портала WB Privacy позволяет более эффективно обеспечивать соответствие нашей деятельности принципам обработки персональных данных, а также дает нашим клиентам больше прозрачности во взаимодействии с нами.
Ответ на первый вопрос. Инвестиция в разработку портала не является частью маркетинговой стратегии как таковой. Основная цель — повышение прозрачности наших процессов обработки данных для наших
пользователей, партнеров, иных субъектов персональных данных.
Ответ на второй вопрос. Диалог с субъектом персональных данных - не новый тренд, а наше стремление к открытости и честности по отношению к пользователям, партнерам, субъектам. С помощью WB Privacy мы можем рассказать про обработку персональных данных так, как если бы у нас была возможность провести беседу за чашкой чая с каждым пользователем, партнером, субъектом. В 2026 году мы планируем реализовать еще больше прозрачных интерфейсов и инструментов управления данными для субъектов.
Ответ на третий вопрос. В команде DPO выстроен эффективный процесс рассмотрения запросов и обращений по вопросам обработки персональных данных, в связи с чем большой нагрузки из-за высокого количества обращений команда не ощущала и раньше. На данный момент большого наплыва запросов также не наблюдается.
Ответ на четвёртый вопрос. Мы считаем, что долг любого крупного игрока — развивать профессиональные сообщества специалистов, работающих на благо рынка. В 2025 году мы уже устраивали WB Privacy Day, участвовали в самых разных публичных мероприятиях и обсуждениях, и мы продолжим инвестировать в развитие сообщества.
Мы надеемся, что со временем все больше компаний будут руководствоваться принципом открытости в диалоге с субъектом персональных данных, ориентируясь, в том числе, и на наш пример."
Что думаете, нужны ли такие порталы субъектам ПД и бизнесу?
С точки зрения выполнения требований закона подробный отдельный портал не нужен, значит бизнес может рассматривать это как инвестицию.
Подготовил несколько релевантных вопросов для WB, заранее указал, что ответы планирую опубликовать:
1. Является ли инвестиция в разработку портала частью маркетинговой стратегии? В чем она заключается?
2.Вы нацелены на приобретение лояльности пользователей через прозрачность обработки персональных данных?
3. Снизила ли инвестиция в портал количество обращений субъектов персональных данных?
4. В сообществах портал был положительно оценен экспертами. Видите ли вы работу с экспертами в Data Privacy, как работу с амбасадорами бренда WB?
Ответы для канала направил CDPO Wildberries&Russ Кирилл Зюбанов, цитирую:
"Одними из ключевых принципов работы Wildberries & Russ являются соблюдение закона, обеспечение прав и свобод субъектов персональных данных, а также следование лучшим рыночным практикам — это одни из главных приоритетов компании.
Мы активно используем принципы обработки персональных данных при выстраивании своих процессов, поэтому считаем, что создание портала WB Privacy позволяет более эффективно обеспечивать соответствие нашей деятельности принципам обработки персональных данных, а также дает нашим клиентам больше прозрачности во взаимодействии с нами.
Ответ на первый вопрос. Инвестиция в разработку портала не является частью маркетинговой стратегии как таковой. Основная цель — повышение прозрачности наших процессов обработки данных для наших
пользователей, партнеров, иных субъектов персональных данных.
Ответ на второй вопрос. Диалог с субъектом персональных данных - не новый тренд, а наше стремление к открытости и честности по отношению к пользователям, партнерам, субъектам. С помощью WB Privacy мы можем рассказать про обработку персональных данных так, как если бы у нас была возможность провести беседу за чашкой чая с каждым пользователем, партнером, субъектом. В 2026 году мы планируем реализовать еще больше прозрачных интерфейсов и инструментов управления данными для субъектов.
Ответ на третий вопрос. В команде DPO выстроен эффективный процесс рассмотрения запросов и обращений по вопросам обработки персональных данных, в связи с чем большой нагрузки из-за высокого количества обращений команда не ощущала и раньше. На данный момент большого наплыва запросов также не наблюдается.
Ответ на четвёртый вопрос. Мы считаем, что долг любого крупного игрока — развивать профессиональные сообщества специалистов, работающих на благо рынка. В 2025 году мы уже устраивали WB Privacy Day, участвовали в самых разных публичных мероприятиях и обсуждениях, и мы продолжим инвестировать в развитие сообщества.
Мы надеемся, что со временем все больше компаний будут руководствоваться принципом открытости в диалоге с субъектом персональных данных, ориентируясь, в том числе, и на наш пример."
Что думаете, нужны ли такие порталы субъектам ПД и бизнесу?
🔥28❤8🤔5👍3
Наказание по ч. 10 ст. 13.11 КоАП РФ за неуведомление о намерении осуществлять трансграничную передачу.
- Прокуратура привлекла директора,
- Суд заменил штраф на предупреждение.
- Нарушение установили путем изучения переписки электронных ящиков.
Ссылка на дело.
Для полноты:
- Статья работает с 30 мая 2025 г.
- Вилка штрафов: на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
- До уведомления нужно еще произвести соответствующую оценку трансграничной передачи.
- Неправильная работа с трансграничной передачей может стать доказательством нарушения требований к локализации баз ПД (штрафы по ч. 8,9 ст. 13.11 КоАП РФ от 1 млн. руб.).
Если не видели последний эфир Selectel и Lukash & Partners о локализации и как она связана с ТГП, постом ниже ссылка.
- Прокуратура привлекла директора,
- Суд заменил штраф на предупреждение.
- Нарушение установили путем изучения переписки электронных ящиков.
Ссылка на дело.
Для полноты:
- Статья работает с 30 мая 2025 г.
- Вилка штрафов: на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
- До уведомления нужно еще произвести соответствующую оценку трансграничной передачи.
- Неправильная работа с трансграничной передачей может стать доказательством нарушения требований к локализации баз ПД (штрафы по ч. 8,9 ст. 13.11 КоАП РФ от 1 млн. руб.).
Если не видели последний эфир Selectel и Lukash & Partners о локализации и как она связана с ТГП, постом ниже ссылка.
❤6👍4🤔3😁1
Вебинар Selectel и L&P о локализации баз персональных данных от 20.11.2025. Слайд с содержанием во вложении.
https://vkvideo.ru/video-11462611_456239921
https://vkvideo.ru/video-11462611_456239921
👍11❤2
Денис Лукаш | Privacy Expert
Вебинар Selectel и L&P о локализации баз персональных данных от 20.11.2025. Слайд с содержанием во вложении. https://vkvideo.ru/video-11462611_456239921
В комментариях к каналу много обсуждали есть ли ТГП при использовании сервисов Гугл (аналитика, таблицы, шрифты и т.п.) и Телеграм. На вебинаре было много подобных вопросов и на второй половине записи я даю свои ответы на все эти вопросы. Может позже опишу их в текстах.
👍15🔥11❤3