Минцифры РФ считает, что отпечатки пальцев (папиллярные узоры пальцев и (или) ладоней рук человека) могут использоваться частными компаниями в СКУД:
1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», так как распространяется только на госорганизации. Для полноты, Роскомнадзор писал, что 128-ФЗ распространяется на все организации.
2. Без соблюдения ФЗ от 29 декабря 2022 г. № 572-ФЗ (подключения к ЕБС), так как отпечатки пальцев в нем не упомянуты.
В экспертных сообществах есть позиции, что нельзя частным компаниям автоматизировано обрабатывать отпечатки, так как перечень видов биометрии наоборот ограничен 572-ФЗ (голос и фото). О последнем неоднозначно, но писал Роскомнадзор.
P.S, У автора запроса свой канал, комментарии автора здесь.
#биометрия
1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», так как распространяется только на госорганизации. Для полноты, Роскомнадзор писал, что 128-ФЗ распространяется на все организации.
2. Без соблюдения ФЗ от 29 декабря 2022 г. № 572-ФЗ (подключения к ЕБС), так как отпечатки пальцев в нем не упомянуты.
В экспертных сообществах есть позиции, что нельзя частным компаниям автоматизировано обрабатывать отпечатки, так как перечень видов биометрии наоборот ограничен 572-ФЗ (голос и фото). О последнем неоднозначно, но писал Роскомнадзор.
P.S, У автора запроса свой канал, комментарии автора здесь.
#биометрия
Telegram
Денис Лукаш | Privacy Expert
Ответ Роскомнадзора о сборе коммерческой медицинской организацией отпечатков пальцев сотрудников организации.
"Роскомнадзор …. сообщает, что положения ст. 14 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
"Роскомнадзор …. сообщает, что положения ст. 14 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
😁8❤4👍1
С 1 июля 2025 года действуют измененные требования к локализации баз персональных данных. У нас в Lukash & Partners накопился опыт правоприменения в новых условиях.
Если концептуально:
- Сначала нужно разобраться с организационно-правовой частью, затем переходить к технической. До 1 июля 2025 было больше возможностей правовую подтянуть к технической части.
- Появились новые сценарии выявления нарушений по нелокализации баз ПД. Те же административные расследования по "утечкам" (группа частей статьи 13.11 КоАП РФ) и ч. 1 ст. 13.11 КоАП РФ, где могут быть выявлены смежные нарушения с ответственностью за нелокализацию. Т.е. нужно пересмотреть такие сценарии.
Если раскрывать в деталях, то для пояснений нужно время, лучше голосом.
Именно по-этому 20 ноября вместе с Георгием Кюрджевым (Lukash & Partners) и Евгением Шмидтом (Selectel) выступлю на вебинаре на тему соответствия требованиям локализации баз персональных данных.
Как нам кажется, мы подготовили понятную и структурированную презентацию по локализации баз ПД, включив именно практические подходы из нашего опыта, учет рисков исходя из сценариев выявления нарушений, как юристы работают с ИТ-инженерами и многое другое.
В связи с длительностью проектов по локализации баз ПД, необходимостью планирования бюджетов на 2026 год, полагаем наш доклад будет полезен широкому кругу компаний, имеющих иностранное участие.
Орг. вопросы направляйте организатору мероприятия Selectel. Участие бесплатное.
Зарегистрироваться
Если концептуально:
- Сначала нужно разобраться с организационно-правовой частью, затем переходить к технической. До 1 июля 2025 было больше возможностей правовую подтянуть к технической части.
- Появились новые сценарии выявления нарушений по нелокализации баз ПД. Те же административные расследования по "утечкам" (группа частей статьи 13.11 КоАП РФ) и ч. 1 ст. 13.11 КоАП РФ, где могут быть выявлены смежные нарушения с ответственностью за нелокализацию. Т.е. нужно пересмотреть такие сценарии.
Если раскрывать в деталях, то для пояснений нужно время, лучше голосом.
Именно по-этому 20 ноября вместе с Георгием Кюрджевым (Lukash & Partners) и Евгением Шмидтом (Selectel) выступлю на вебинаре на тему соответствия требованиям локализации баз персональных данных.
Как нам кажется, мы подготовили понятную и структурированную презентацию по локализации баз ПД, включив именно практические подходы из нашего опыта, учет рисков исходя из сценариев выявления нарушений, как юристы работают с ИТ-инженерами и многое другое.
В связи с длительностью проектов по локализации баз ПД, необходимостью планирования бюджетов на 2026 год, полагаем наш доклад будет полезен широкому кругу компаний, имеющих иностранное участие.
Орг. вопросы направляйте организатору мероприятия Selectel. Участие бесплатное.
Зарегистрироваться
Академия Selectel
Как соответствовать требованиям локализации персональных данных - Академия Selectel
Расскажем, как правильно работать с ПД и как выбрать инфраструктуру, которая будет отвечать всем параметрам.
🔥7😁2❤1
Денис Лукаш | Privacy Expert
Минцифры РФ считает, что отпечатки пальцев (папиллярные узоры пальцев и (или) ладоней рук человека) могут использоваться частными компаниями в СКУД: 1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
РКН Удмуртии.pdf
196 KB
В дополнение к ответу Минцифры России о возможности использования отпечатков пальцев для СКУД не возражает и Удмуртский Роскомнадзор.
Т.е. по их позиции это биометрия не по 128-ФЗ. Про 572-ФЗ не сказано.
Особо отмечено - не забыть альтернативный вариант работы СКУД, так как биометрия по (добровольному) согласию.
Т.е. по их позиции это биометрия не по 128-ФЗ. Про 572-ФЗ не сказано.
Особо отмечено - не забыть альтернативный вариант работы СКУД, так как биометрия по (добровольному) согласию.
❤6😁5
Процессуальные тонкости привлечения к ответственности за "утечки" на примере материалов дела РЖД.
В конце 24-го - начале 25-го года Роскомнадзор нашел признаки утечки 17 млн записей работников РЖД. РЖД не признало, Роскомнадзору пришлось проводить внеплановую проверку.
В июне 2025 Роскомнадзор проводит внеплановую проверку и составляет протокол. В это время (после 30 мая) уже действуют повышенные штрафы и новые составы по утечке.
Так как инцидент произошел до введения новых составов за утечки, протокол составили не по ч. 14 ст. 13.11 КоАП РФ (штраф на юрлицо 10 - 15 млн рублей), а по ч. 1 ст. 13.11 КоАП РФ (как и практиковали до 30 мая).
Но так как протокол составили уже после введения повышенных штрафов, судья оштрафовал не на 60 000 рублей, а на 150 000 рублей. Т.е. использовал повышенную с 30 мая вилку штрафов.
По логике судьи Роскомнадзору можно было закрыть вопрос не внеплановой проверкой, а административным расследованием, что менее затратно по ресурсам для РКН, Но по ст. 28.7 КоАП РФ, для этого нужен какой-то триггер по нарушению, а переписка РКН-РЖД в стиле "Вы нарушили - Нет, не нарушили" "замялась" еще в феврале. Было логичней закрыть вопрос именно внеплановой проверкой, а после нее в расследовании не было необходимости.
P.S. Выше описанное - мое мнение на основе материалов судебного дела.
В конце 24-го - начале 25-го года Роскомнадзор нашел признаки утечки 17 млн записей работников РЖД. РЖД не признало, Роскомнадзору пришлось проводить внеплановую проверку.
В июне 2025 Роскомнадзор проводит внеплановую проверку и составляет протокол. В это время (после 30 мая) уже действуют повышенные штрафы и новые составы по утечке.
Так как инцидент произошел до введения новых составов за утечки, протокол составили не по ч. 14 ст. 13.11 КоАП РФ (штраф на юрлицо 10 - 15 млн рублей), а по ч. 1 ст. 13.11 КоАП РФ (как и практиковали до 30 мая).
Но так как протокол составили уже после введения повышенных штрафов, судья оштрафовал не на 60 000 рублей, а на 150 000 рублей. Т.е. использовал повышенную с 30 мая вилку штрафов.
По логике судьи Роскомнадзору можно было закрыть вопрос не внеплановой проверкой, а административным расследованием, что менее затратно по ресурсам для РКН, Но по ст. 28.7 КоАП РФ, для этого нужен какой-то триггер по нарушению, а переписка РКН-РЖД в стиле "Вы нарушили - Нет, не нарушили" "замялась" еще в феврале. Было логичней закрыть вопрос именно внеплановой проверкой, а после нее в расследовании не было необходимости.
P.S. Выше описанное - мое мнение на основе материалов судебного дела.
❤23👍2
Data Privacy может стать элементом продвижения услуг (сервиса). Посмотрим, как это работает на примере Авито.
Авито на днях запустил проект "Дом для данных": обновили политику и начал снимать видеоролики, поясняющие принципы обработки ПД в понятной форме.
Написал в PR службу Авито вопросы по бизнес-ориентированности данной компании:
1. Какая бизнес-цель у Авито снимать ролики?
2. Считает ли Авито работу над распространением информации о бережном отношении к персональным данным своей маркетинговой стратегией?
И мне ответили. Не возражали если поделись в канале. Цитирую:
"Доверие — это то, что всегда лежало в основе работы Авито. Для нас очень важно создавать максимально прозрачные условия взаимодействия с платформой для наших пользователей.
Мы видим, что только 18% россиян всегда читают пользовательские соглашения, и наша задача — изменить этот подход, объясняя сложные вещи простым и понятным языком.
В новой кампании мы рассказываем, какие данные собираем, зачем это нужно и какую пользу это приносит лично пользователю. Такой диалог, основанный на открытости и партнерстве, является для нас стратегическим приоритетом."
В ответе Авито больше понравилась позиция, что Data Privacy будет преподноситься через выгоду, а не формальную обязанность. Посмотрим, как будет получаться.
Но в любом случае, это пример, когда подразделение DPO само делает себя частью бизнес-стратегии, соответственно, бизнес охотнее будет инвестировать в развитие этой службы.
Авито на днях запустил проект "Дом для данных": обновили политику и начал снимать видеоролики, поясняющие принципы обработки ПД в понятной форме.
Написал в PR службу Авито вопросы по бизнес-ориентированности данной компании:
1. Какая бизнес-цель у Авито снимать ролики?
2. Считает ли Авито работу над распространением информации о бережном отношении к персональным данным своей маркетинговой стратегией?
И мне ответили. Не возражали если поделись в канале. Цитирую:
"Доверие — это то, что всегда лежало в основе работы Авито. Для нас очень важно создавать максимально прозрачные условия взаимодействия с платформой для наших пользователей.
Мы видим, что только 18% россиян всегда читают пользовательские соглашения, и наша задача — изменить этот подход, объясняя сложные вещи простым и понятным языком.
В новой кампании мы рассказываем, какие данные собираем, зачем это нужно и какую пользу это приносит лично пользователю. Такой диалог, основанный на открытости и партнерстве, является для нас стратегическим приоритетом."
В ответе Авито больше понравилась позиция, что Data Privacy будет преподноситься через выгоду, а не формальную обязанность. Посмотрим, как будет получаться.
Но в любом случае, это пример, когда подразделение DPO само делает себя частью бизнес-стратегии, соответственно, бизнес охотнее будет инвестировать в развитие этой службы.
VK Видео
Дом для данных
Технологическая платформа Авито запустила новую кампанию «Дом для данных» (vk.cc/cRiJFo), чтобы объяснить пользователям, как компания работает с персональными данными. Это поможет людям лучше понимать, как Авито защищает личную информацию и укрепит доверие…
❤38😁3
Усиливаем команду lukash & Partners и ищем сразу двух специалистов по персональным данным: middle и junior.
После погружения кандидат будет работать на передовой Data Privacy, получит опыт работы c крупными компаниями, уже через год уровень заметно вырастит. Есть возможность удаленной/гибридной работы, но возможность без проблем быть в Мск. необходима.
Уровень зп обсуждается индивидуально, по мере роста зп пересматриваем.
Ключевые требования:
- Реальный опыт работы DPO/юристом по ПД для middle от 3 лет, для junior от 1 года. 70% работы правового характера, юрдиплом обязателен. Сразу будем искать это в резюме.
- Педантичность в работе с документами, уметь структурно, кратко и логично писать юридические тексты. Проверим через тестовое задание.
- Ясно видеть себя в Data Privacy в будущем. Увидим через собеседование.
Дополнительно.
С большим юридическим опытом, но хотя бы без года в ПД взять не сможем. Пару политик и типовые ЛНА для своей компании за опыт не примем. Здесь только стажировка, но на нее тоже можно податься по почте ниже.
С преимуществом рассмотрим:
1. Эксперта по ПД с сильным опытом в КоАП РФ, включая бывших инспекторов РКН.
2. Инхаус из групп DPO корпораций.
Резюме на talents@lukash.partners.
В личку можно написать, но все равно резюме попрошу на почту. Укажите уровень и вознаграждение, на которые претендуете.
После погружения кандидат будет работать на передовой Data Privacy, получит опыт работы c крупными компаниями, уже через год уровень заметно вырастит. Есть возможность удаленной/гибридной работы, но возможность без проблем быть в Мск. необходима.
Уровень зп обсуждается индивидуально, по мере роста зп пересматриваем.
Ключевые требования:
- Реальный опыт работы DPO/юристом по ПД для middle от 3 лет, для junior от 1 года. 70% работы правового характера, юрдиплом обязателен. Сразу будем искать это в резюме.
- Педантичность в работе с документами, уметь структурно, кратко и логично писать юридические тексты. Проверим через тестовое задание.
- Ясно видеть себя в Data Privacy в будущем. Увидим через собеседование.
Дополнительно.
С большим юридическим опытом, но хотя бы без года в ПД взять не сможем. Пару политик и типовые ЛНА для своей компании за опыт не примем. Здесь только стажировка, но на нее тоже можно податься по почте ниже.
С преимуществом рассмотрим:
1. Эксперта по ПД с сильным опытом в КоАП РФ, включая бывших инспекторов РКН.
2. Инхаус из групп DPO корпораций.
Резюме на talents@lukash.partners.
В личку можно написать, но все равно резюме попрошу на почту. Укажите уровень и вознаграждение, на которые претендуете.
😁16❤13👍1
Ответ_РКН_использование_Гугл_таблиц.docx
26.1 KB
Роскомнадзор о Гугл-таблицах:
"...деятельность по ведению в производственных целях Google-таблиц, содержащих персональные данные, ранее собранные с использованием баз данных, находящихся на территории Российской Федерации, не является деятельностью по осуществлению трансграничной передачи персональных данных."
P.S. Спасибо, что делитесь ответами.
"...деятельность по ведению в производственных целях Google-таблиц, содержащих персональные данные, ранее собранные с использованием баз данных, находящихся на территории Российской Федерации, не является деятельностью по осуществлению трансграничной передачи персональных данных."
P.S. Спасибо, что делитесь ответами.
❤45👍37😁28🔥11🤔9
Идет сезон деловых мероприятий.
Где меня можно увидеть в ближайшее время и задать вопросы.
Завтра (20.11.25 в 12:00) на совместном вебинаре с нашим партнером Selectel отвечаю на вопросы по локализации баз персональных данных в РФ, перед этим презентация. Вопросы принимаются заранее. За лучший вопрос Selectel подарит плюшевого Рекса. Вопросов правда уже много, а Рекс один.
28.11.25 с 14.10 до 16.00 на SecConf рассказываю про Персональные данные при проверках контрагентов и заключении договоров (для служб безопасности). С темами по ПД со мной выступят Екатерина Ефимова (ГРЧЦ/Роскомнадзор) и Алёна Геращенко (ТБанк).
01.12.25 на конференции Цифровой девелопмент 25 расскажу как на практике контрагенты переносят риски персональных данных на застройщиков и как от этого уходить. Здесь об интеграторах в регсегмент ЕБС, страховых, банках и т.д. (но без частностей и брендов).
P.S. Только первый вебинар бесплатный для посетителей.
Где меня можно увидеть в ближайшее время и задать вопросы.
Завтра (20.11.25 в 12:00) на совместном вебинаре с нашим партнером Selectel отвечаю на вопросы по локализации баз персональных данных в РФ, перед этим презентация. Вопросы принимаются заранее. За лучший вопрос Selectel подарит плюшевого Рекса. Вопросов правда уже много, а Рекс один.
28.11.25 с 14.10 до 16.00 на SecConf рассказываю про Персональные данные при проверках контрагентов и заключении договоров (для служб безопасности). С темами по ПД со мной выступят Екатерина Ефимова (ГРЧЦ/Роскомнадзор) и Алёна Геращенко (ТБанк).
01.12.25 на конференции Цифровой девелопмент 25 расскажу как на практике контрагенты переносят риски персональных данных на застройщиков и как от этого уходить. Здесь об интеграторах в регсегмент ЕБС, страховых, банках и т.д. (но без частностей и брендов).
P.S. Только первый вебинар бесплатный для посетителей.
🔥12❤1
В интернете делятся фейковыми письмами от структур ФСБ, которые могут прислать даже на бумаге. За утечки сейчас наказания суровые, соответственно, цель письма - под страхом убедить принять звонок в MAX или Telegram. Это письмо выглядит правдоподобнее, чем прошлое.
❤2
Forwarded from Русский ИТ бизнес
Если вам (в бизнес или лично) прислали такую пугалку, то держите в уме - это липа. Не ведитесь. Могут послать на юр.адрес... В общем не верьте.
Русский ИТ бизнес
Русский ИТ бизнес
❤17😁11
Помимо Авито (пост выше), прозрачностью по ПД занимается Wildberries. Если не видели, компания еще раньше разработала отдельную страницу.
С точки зрения выполнения требований закона подробный отдельный портал не нужен, значит бизнес может рассматривать это как инвестицию.
Подготовил несколько релевантных вопросов для WB, заранее указал, что ответы планирую опубликовать:
1. Является ли инвестиция в разработку портала частью маркетинговой стратегии? В чем она заключается?
2.Вы нацелены на приобретение лояльности пользователей через прозрачность обработки персональных данных?
3. Снизила ли инвестиция в портал количество обращений субъектов персональных данных?
4. В сообществах портал был положительно оценен экспертами. Видите ли вы работу с экспертами в Data Privacy, как работу с амбасадорами бренда WB?
Ответы для канала направил CDPO Wildberries&Russ Кирилл Зюбанов, цитирую:
"Одними из ключевых принципов работы Wildberries & Russ являются соблюдение закона, обеспечение прав и свобод субъектов персональных данных, а также следование лучшим рыночным практикам — это одни из главных приоритетов компании.
Мы активно используем принципы обработки персональных данных при выстраивании своих процессов, поэтому считаем, что создание портала WB Privacy позволяет более эффективно обеспечивать соответствие нашей деятельности принципам обработки персональных данных, а также дает нашим клиентам больше прозрачности во взаимодействии с нами.
Ответ на первый вопрос. Инвестиция в разработку портала не является частью маркетинговой стратегии как таковой. Основная цель — повышение прозрачности наших процессов обработки данных для наших
пользователей, партнеров, иных субъектов персональных данных.
Ответ на второй вопрос. Диалог с субъектом персональных данных - не новый тренд, а наше стремление к открытости и честности по отношению к пользователям, партнерам, субъектам. С помощью WB Privacy мы можем рассказать про обработку персональных данных так, как если бы у нас была возможность провести беседу за чашкой чая с каждым пользователем, партнером, субъектом. В 2026 году мы планируем реализовать еще больше прозрачных интерфейсов и инструментов управления данными для субъектов.
Ответ на третий вопрос. В команде DPO выстроен эффективный процесс рассмотрения запросов и обращений по вопросам обработки персональных данных, в связи с чем большой нагрузки из-за высокого количества обращений команда не ощущала и раньше. На данный момент большого наплыва запросов также не наблюдается.
Ответ на четвёртый вопрос. Мы считаем, что долг любого крупного игрока — развивать профессиональные сообщества специалистов, работающих на благо рынка. В 2025 году мы уже устраивали WB Privacy Day, участвовали в самых разных публичных мероприятиях и обсуждениях, и мы продолжим инвестировать в развитие сообщества.
Мы надеемся, что со временем все больше компаний будут руководствоваться принципом открытости в диалоге с субъектом персональных данных, ориентируясь, в том числе, и на наш пример."
Что думаете, нужны ли такие порталы субъектам ПД и бизнесу?
С точки зрения выполнения требований закона подробный отдельный портал не нужен, значит бизнес может рассматривать это как инвестицию.
Подготовил несколько релевантных вопросов для WB, заранее указал, что ответы планирую опубликовать:
1. Является ли инвестиция в разработку портала частью маркетинговой стратегии? В чем она заключается?
2.Вы нацелены на приобретение лояльности пользователей через прозрачность обработки персональных данных?
3. Снизила ли инвестиция в портал количество обращений субъектов персональных данных?
4. В сообществах портал был положительно оценен экспертами. Видите ли вы работу с экспертами в Data Privacy, как работу с амбасадорами бренда WB?
Ответы для канала направил CDPO Wildberries&Russ Кирилл Зюбанов, цитирую:
"Одними из ключевых принципов работы Wildberries & Russ являются соблюдение закона, обеспечение прав и свобод субъектов персональных данных, а также следование лучшим рыночным практикам — это одни из главных приоритетов компании.
Мы активно используем принципы обработки персональных данных при выстраивании своих процессов, поэтому считаем, что создание портала WB Privacy позволяет более эффективно обеспечивать соответствие нашей деятельности принципам обработки персональных данных, а также дает нашим клиентам больше прозрачности во взаимодействии с нами.
Ответ на первый вопрос. Инвестиция в разработку портала не является частью маркетинговой стратегии как таковой. Основная цель — повышение прозрачности наших процессов обработки данных для наших
пользователей, партнеров, иных субъектов персональных данных.
Ответ на второй вопрос. Диалог с субъектом персональных данных - не новый тренд, а наше стремление к открытости и честности по отношению к пользователям, партнерам, субъектам. С помощью WB Privacy мы можем рассказать про обработку персональных данных так, как если бы у нас была возможность провести беседу за чашкой чая с каждым пользователем, партнером, субъектом. В 2026 году мы планируем реализовать еще больше прозрачных интерфейсов и инструментов управления данными для субъектов.
Ответ на третий вопрос. В команде DPO выстроен эффективный процесс рассмотрения запросов и обращений по вопросам обработки персональных данных, в связи с чем большой нагрузки из-за высокого количества обращений команда не ощущала и раньше. На данный момент большого наплыва запросов также не наблюдается.
Ответ на четвёртый вопрос. Мы считаем, что долг любого крупного игрока — развивать профессиональные сообщества специалистов, работающих на благо рынка. В 2025 году мы уже устраивали WB Privacy Day, участвовали в самых разных публичных мероприятиях и обсуждениях, и мы продолжим инвестировать в развитие сообщества.
Мы надеемся, что со временем все больше компаний будут руководствоваться принципом открытости в диалоге с субъектом персональных данных, ориентируясь, в том числе, и на наш пример."
Что думаете, нужны ли такие порталы субъектам ПД и бизнесу?
🔥28❤8🤔5👍3
Наказание по ч. 10 ст. 13.11 КоАП РФ за неуведомление о намерении осуществлять трансграничную передачу.
- Прокуратура привлекла директора,
- Суд заменил штраф на предупреждение.
- Нарушение установили путем изучения переписки электронных ящиков.
Ссылка на дело.
Для полноты:
- Статья работает с 30 мая 2025 г.
- Вилка штрафов: на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
- До уведомления нужно еще произвести соответствующую оценку трансграничной передачи.
- Неправильная работа с трансграничной передачей может стать доказательством нарушения требований к локализации баз ПД (штрафы по ч. 8,9 ст. 13.11 КоАП РФ от 1 млн. руб.).
Если не видели последний эфир Selectel и Lukash & Partners о локализации и как она связана с ТГП, постом ниже ссылка.
- Прокуратура привлекла директора,
- Суд заменил штраф на предупреждение.
- Нарушение установили путем изучения переписки электронных ящиков.
Ссылка на дело.
Для полноты:
- Статья работает с 30 мая 2025 г.
- Вилка штрафов: на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
- До уведомления нужно еще произвести соответствующую оценку трансграничной передачи.
- Неправильная работа с трансграничной передачей может стать доказательством нарушения требований к локализации баз ПД (штрафы по ч. 8,9 ст. 13.11 КоАП РФ от 1 млн. руб.).
Если не видели последний эфир Selectel и Lukash & Partners о локализации и как она связана с ТГП, постом ниже ссылка.
❤6👍4🤔3😁1
Вебинар Selectel и L&P о локализации баз персональных данных от 20.11.2025. Слайд с содержанием во вложении.
https://vkvideo.ru/video-11462611_456239921
https://vkvideo.ru/video-11462611_456239921
👍11❤2
Денис Лукаш | Privacy Expert
Вебинар Selectel и L&P о локализации баз персональных данных от 20.11.2025. Слайд с содержанием во вложении. https://vkvideo.ru/video-11462611_456239921
В комментариях к каналу много обсуждали есть ли ТГП при использовании сервисов Гугл (аналитика, таблицы, шрифты и т.п.) и Телеграм. На вебинаре было много подобных вопросов и на второй половине записи я даю свои ответы на все эти вопросы. Может позже опишу их в текстах.
👍15🔥11❤3
Слайд презентации с конференции secconf.ru, прошедшей на прошлой неделе. Краткое описание по планируемым отраслевым стандартам обработки персональных данных, которые курирует Роскомнадзор.
Первая отрасль, которую обещают покрыт такими стандартами - туризм.
Как я вижу, особенность работы Роскомнадзора будет в полном погружении в бизнес-процессы отраслевых компаний, далее - регламентация их работы на уровне отрасли. Здесь есть большие отличия от контрольно-надзорной деятельности, в которой Роскомнадзор набил руку.
В следующей очереди обещают сферу ЖКХ (и некоторые другие сферы). Там могут потребоваться и изменения в жилищный кодекс. В этом плане туризм кажется проще.
Будем наблюдать.
Первая отрасль, которую обещают покрыт такими стандартами - туризм.
Как я вижу, особенность работы Роскомнадзора будет в полном погружении в бизнес-процессы отраслевых компаний, далее - регламентация их работы на уровне отрасли. Здесь есть большие отличия от контрольно-надзорной деятельности, в которой Роскомнадзор набил руку.
В следующей очереди обещают сферу ЖКХ (и некоторые другие сферы). Там могут потребоваться и изменения в жилищный кодекс. В этом плане туризм кажется проще.
Будем наблюдать.
👍7😁2🤔2
Ничего не смущает на скриншоте? Ошибка в размере штрафов, но если Вы не работаете плотно с ПД, можете и не заметить.
Это результат тестового задания кандидата, который рассматривался на уровень мидл с з.п. 170 тыс. рублей. Привел для примера. Разные варианты ошибок встречаются повсеместно. Кандидаты, не обладая опытом, используют ИИ, стараясь поднять свой уровень. Но ИИ по 152-ФЗ можно использовать максимум как копилот.
Мы периодически подбираем себе и часто помогаем определить компетенцию кандидатов для наших клиентов. Возможно, Вам будут полезны выводы ниже.
🔹95% кандидатов, используют ИИ для выполнения тестового задания, что просто видно. Если раньше мы в первую очередь смотрели на тех, кто не использовал ИИ, то сейчас, на тех, кто проверил за ИИ. Иначе смотреть будет некого. Тестовые предпочитаем давать до уровня мидл, но они теряют свою эффективность из-за культуры повсеместного использования ИИ.
🔹Для уровня мидл+ и выше мы чаще проводим интервью, а не даем тестовые задачи. Для интервью достаточно до 30 минут (у нас есть 2 альтернативных процесса для этого).
Почему интервью, а не тестовые?
В большую компанию нужен уже DPO уровнем от мидл+. С учетом многоэтапности отбора в большую компанию, сложное тестовое может стать негативным фактором в воронке. Сейчас рынок кандидата и хорошего DPO скорее всего нужно забирать из другой компании. А для оценки мидл+ или старшего DPO задачи сложные и нужно потратить время (старшие уже понимают, что через ИИ не решишь).
Для таких тестовых нужна высокая мотивация для кандидата, даже можно сказать, что продавать необходимость выполнения. Если рекрутер и условия позволяют это продать, тогда можно идти через тестовое.
🔹Почему вообще нужно интервью по компетенциям?
ПД специфичная сфера, спрос большой, кандидаты, которые занимались ПД смежно, представляют себя мидл+ и старшими. И что интересно, если в компании не было DPO, у кандидата получается убедить компанию в высоком уровне своей компетентности.
В реальности не имеют устоявшегося отношения к вопросам управления информационной приватностью, не знают ключевую и последнюю судебную практику, мыслят позициями со дня открытых дверей РКН и т.д. Интервьюер может это понять, если сам практикует.
Если не провести оценку компетенций, компания рискует переплатить DPO или первый год DPO будет учиться за счет работодателя, хотя работодатель это не планировал и ожидает максимальную эффективность. Возможно, даже в какой-то момент придется расстаться и искать заново.
🔹Для интервью + отзыва (или разработки + проверки тестового задания) потребуется в среднем час-полтора на каждого кандидата (с учетом написания отзыва). Если рекрутер предварительно отфильтрует по резюме и софтскилс, то это 5 - 10 встреч. Минимальные затраты, которые помогут нанять человека, способного строить систему управления информационной приватностью с первого месяца.
Если необходимо помочь с проверкой компетентности кандидатов, это не большие трудозатраты от нас (Lukash & Partners), значит не дорого, пишите в личку, организуем.
Это результат тестового задания кандидата, который рассматривался на уровень мидл с з.п. 170 тыс. рублей. Привел для примера. Разные варианты ошибок встречаются повсеместно. Кандидаты, не обладая опытом, используют ИИ, стараясь поднять свой уровень. Но ИИ по 152-ФЗ можно использовать максимум как копилот.
Мы периодически подбираем себе и часто помогаем определить компетенцию кандидатов для наших клиентов. Возможно, Вам будут полезны выводы ниже.
🔹95% кандидатов, используют ИИ для выполнения тестового задания, что просто видно. Если раньше мы в первую очередь смотрели на тех, кто не использовал ИИ, то сейчас, на тех, кто проверил за ИИ. Иначе смотреть будет некого. Тестовые предпочитаем давать до уровня мидл, но они теряют свою эффективность из-за культуры повсеместного использования ИИ.
🔹Для уровня мидл+ и выше мы чаще проводим интервью, а не даем тестовые задачи. Для интервью достаточно до 30 минут (у нас есть 2 альтернативных процесса для этого).
Почему интервью, а не тестовые?
В большую компанию нужен уже DPO уровнем от мидл+. С учетом многоэтапности отбора в большую компанию, сложное тестовое может стать негативным фактором в воронке. Сейчас рынок кандидата и хорошего DPO скорее всего нужно забирать из другой компании. А для оценки мидл+ или старшего DPO задачи сложные и нужно потратить время (старшие уже понимают, что через ИИ не решишь).
Для таких тестовых нужна высокая мотивация для кандидата, даже можно сказать, что продавать необходимость выполнения. Если рекрутер и условия позволяют это продать, тогда можно идти через тестовое.
🔹Почему вообще нужно интервью по компетенциям?
ПД специфичная сфера, спрос большой, кандидаты, которые занимались ПД смежно, представляют себя мидл+ и старшими. И что интересно, если в компании не было DPO, у кандидата получается убедить компанию в высоком уровне своей компетентности.
В реальности не имеют устоявшегося отношения к вопросам управления информационной приватностью, не знают ключевую и последнюю судебную практику, мыслят позициями со дня открытых дверей РКН и т.д. Интервьюер может это понять, если сам практикует.
Если не провести оценку компетенций, компания рискует переплатить DPO или первый год DPO будет учиться за счет работодателя, хотя работодатель это не планировал и ожидает максимальную эффективность. Возможно, даже в какой-то момент придется расстаться и искать заново.
🔹Для интервью + отзыва (или разработки + проверки тестового задания) потребуется в среднем час-полтора на каждого кандидата (с учетом написания отзыва). Если рекрутер предварительно отфильтрует по резюме и софтскилс, то это 5 - 10 встреч. Минимальные затраты, которые помогут нанять человека, способного строить систему управления информационной приватностью с первого месяца.
Если необходимо помочь с проверкой компетентности кандидатов, это не большие трудозатраты от нас (Lukash & Partners), значит не дорого, пишите в личку, организуем.
👍17❤10😁8🤔1
136 экспертных позиций по ПД и смежным вопросам, размеченных по ключевым словам и источникам.
В ленте этого канала собрано много экспертных позиций по вопросам персональных данных и информационного права в целом. Решил систематизировать все экспертные позиции разметив их по источнику и ключевым словам, сделать удобный поиск.
Пока тестируем сервис, но пользоваться можно. База позиций будет пополняться, есть идеи по улучшению поиска, страницу можно занести в закладки. Еще раз ссылка.
В ленте этого канала собрано много экспертных позиций по вопросам персональных данных и информационного права в целом. Решил систематизировать все экспертные позиции разметив их по источнику и ключевым словам, сделать удобный поиск.
Пока тестируем сервис, но пользоваться можно. База позиций будет пополняться, есть идеи по улучшению поиска, страницу можно занести в закладки. Еще раз ссылка.
👍38🔥25❤14😁4🤔2
Обучение, согласованное со ФСТЭК РФ, ФСБ и УМО по ИБ России
Хотите быть уверены, что диплом переподготовки по информационной безопасности действительно легитимен при проверках?
Программа по обеспечению защиты информации криптографическими и некриптографическими методами — это официальный статус, который гарантирует признание документов всеми регуляторами.
По итогам вы получите:
- Диплом о переподготовке
- Сертификат от «Код Безопасности» по продукту «Континент 4»
- Сертификат от «Крипто-ПРО» по курсу «CSP».
Фокус:
- Усиленный практический модуль по криптографической защите информации от «Код Безопасности» и «Крипто-ПРО»
- Практика на лабораторных стендах
- Понимание современных методов защиты
- Онлайн-формат с преподавателями
💼 Обучение без отрыва от работы — дистанционно, 642 часа, с реальной практикой и доступом 24/7.
Запишитесь сейчас и учитесь по цене 2025 года!
👉 Оставить заявку на обучение
Хотите быть уверены, что диплом переподготовки по информационной безопасности действительно легитимен при проверках?
Программа по обеспечению защиты информации криптографическими и некриптографическими методами — это официальный статус, который гарантирует признание документов всеми регуляторами.
По итогам вы получите:
- Диплом о переподготовке
- Сертификат от «Код Безопасности» по продукту «Континент 4»
- Сертификат от «Крипто-ПРО» по курсу «CSP».
Фокус:
- Усиленный практический модуль по криптографической защите информации от «Код Безопасности» и «Крипто-ПРО»
- Практика на лабораторных стендах
- Понимание современных методов защиты
- Онлайн-формат с преподавателями
💼 Обучение без отрыва от работы — дистанционно, 642 часа, с реальной практикой и доступом 24/7.
Запишитесь сейчас и учитесь по цене 2025 года!
👉 Оставить заявку на обучение
😁5🤔1