С 1 июля 2025 года действуют измененные требования к локализации баз персональных данных. У нас в Lukash & Partners накопился опыт правоприменения в новых условиях.
Если концептуально:
- Сначала нужно разобраться с организационно-правовой частью, затем переходить к технической. До 1 июля 2025 было больше возможностей правовую подтянуть к технической части.
- Появились новые сценарии выявления нарушений по нелокализации баз ПД. Те же административные расследования по "утечкам" (группа частей статьи 13.11 КоАП РФ) и ч. 1 ст. 13.11 КоАП РФ, где могут быть выявлены смежные нарушения с ответственностью за нелокализацию. Т.е. нужно пересмотреть такие сценарии.
Если раскрывать в деталях, то для пояснений нужно время, лучше голосом.
Именно по-этому 20 ноября вместе с Георгием Кюрджевым (Lukash & Partners) и Евгением Шмидтом (Selectel) выступлю на вебинаре на тему соответствия требованиям локализации баз персональных данных.
Как нам кажется, мы подготовили понятную и структурированную презентацию по локализации баз ПД, включив именно практические подходы из нашего опыта, учет рисков исходя из сценариев выявления нарушений, как юристы работают с ИТ-инженерами и многое другое.
В связи с длительностью проектов по локализации баз ПД, необходимостью планирования бюджетов на 2026 год, полагаем наш доклад будет полезен широкому кругу компаний, имеющих иностранное участие.
Орг. вопросы направляйте организатору мероприятия Selectel. Участие бесплатное.
Зарегистрироваться
Если концептуально:
- Сначала нужно разобраться с организационно-правовой частью, затем переходить к технической. До 1 июля 2025 было больше возможностей правовую подтянуть к технической части.
- Появились новые сценарии выявления нарушений по нелокализации баз ПД. Те же административные расследования по "утечкам" (группа частей статьи 13.11 КоАП РФ) и ч. 1 ст. 13.11 КоАП РФ, где могут быть выявлены смежные нарушения с ответственностью за нелокализацию. Т.е. нужно пересмотреть такие сценарии.
Если раскрывать в деталях, то для пояснений нужно время, лучше голосом.
Именно по-этому 20 ноября вместе с Георгием Кюрджевым (Lukash & Partners) и Евгением Шмидтом (Selectel) выступлю на вебинаре на тему соответствия требованиям локализации баз персональных данных.
Как нам кажется, мы подготовили понятную и структурированную презентацию по локализации баз ПД, включив именно практические подходы из нашего опыта, учет рисков исходя из сценариев выявления нарушений, как юристы работают с ИТ-инженерами и многое другое.
В связи с длительностью проектов по локализации баз ПД, необходимостью планирования бюджетов на 2026 год, полагаем наш доклад будет полезен широкому кругу компаний, имеющих иностранное участие.
Орг. вопросы направляйте организатору мероприятия Selectel. Участие бесплатное.
Зарегистрироваться
Академия Selectel
Как соответствовать требованиям локализации персональных данных - Академия Selectel
Расскажем, как правильно работать с ПД и как выбрать инфраструктуру, которая будет отвечать всем параметрам.
🔥7😁2❤1
Денис Лукаш | Privacy Expert
Минцифры РФ считает, что отпечатки пальцев (папиллярные узоры пальцев и (или) ладоней рук человека) могут использоваться частными компаниями в СКУД: 1. Без учета ФЗ от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской…
РКН Удмуртии.pdf
196 KB
В дополнение к ответу Минцифры России о возможности использования отпечатков пальцев для СКУД не возражает и Удмуртский Роскомнадзор.
Т.е. по их позиции это биометрия не по 128-ФЗ. Про 572-ФЗ не сказано.
Особо отмечено - не забыть альтернативный вариант работы СКУД, так как биометрия по (добровольному) согласию.
Т.е. по их позиции это биометрия не по 128-ФЗ. Про 572-ФЗ не сказано.
Особо отмечено - не забыть альтернативный вариант работы СКУД, так как биометрия по (добровольному) согласию.
❤6😁5
Процессуальные тонкости привлечения к ответственности за "утечки" на примере материалов дела РЖД.
В конце 24-го - начале 25-го года Роскомнадзор нашел признаки утечки 17 млн записей работников РЖД. РЖД не признало, Роскомнадзору пришлось проводить внеплановую проверку.
В июне 2025 Роскомнадзор проводит внеплановую проверку и составляет протокол. В это время (после 30 мая) уже действуют повышенные штрафы и новые составы по утечке.
Так как инцидент произошел до введения новых составов за утечки, протокол составили не по ч. 14 ст. 13.11 КоАП РФ (штраф на юрлицо 10 - 15 млн рублей), а по ч. 1 ст. 13.11 КоАП РФ (как и практиковали до 30 мая).
Но так как протокол составили уже после введения повышенных штрафов, судья оштрафовал не на 60 000 рублей, а на 150 000 рублей. Т.е. использовал повышенную с 30 мая вилку штрафов.
По логике судьи Роскомнадзору можно было закрыть вопрос не внеплановой проверкой, а административным расследованием, что менее затратно по ресурсам для РКН, Но по ст. 28.7 КоАП РФ, для этого нужен какой-то триггер по нарушению, а переписка РКН-РЖД в стиле "Вы нарушили - Нет, не нарушили" "замялась" еще в феврале. Было логичней закрыть вопрос именно внеплановой проверкой, а после нее в расследовании не было необходимости.
P.S. Выше описанное - мое мнение на основе материалов судебного дела.
В конце 24-го - начале 25-го года Роскомнадзор нашел признаки утечки 17 млн записей работников РЖД. РЖД не признало, Роскомнадзору пришлось проводить внеплановую проверку.
В июне 2025 Роскомнадзор проводит внеплановую проверку и составляет протокол. В это время (после 30 мая) уже действуют повышенные штрафы и новые составы по утечке.
Так как инцидент произошел до введения новых составов за утечки, протокол составили не по ч. 14 ст. 13.11 КоАП РФ (штраф на юрлицо 10 - 15 млн рублей), а по ч. 1 ст. 13.11 КоАП РФ (как и практиковали до 30 мая).
Но так как протокол составили уже после введения повышенных штрафов, судья оштрафовал не на 60 000 рублей, а на 150 000 рублей. Т.е. использовал повышенную с 30 мая вилку штрафов.
По логике судьи Роскомнадзору можно было закрыть вопрос не внеплановой проверкой, а административным расследованием, что менее затратно по ресурсам для РКН, Но по ст. 28.7 КоАП РФ, для этого нужен какой-то триггер по нарушению, а переписка РКН-РЖД в стиле "Вы нарушили - Нет, не нарушили" "замялась" еще в феврале. Было логичней закрыть вопрос именно внеплановой проверкой, а после нее в расследовании не было необходимости.
P.S. Выше описанное - мое мнение на основе материалов судебного дела.
❤23👍2
Data Privacy может стать элементом продвижения услуг (сервиса). Посмотрим, как это работает на примере Авито.
Авито на днях запустил проект "Дом для данных": обновили политику и начал снимать видеоролики, поясняющие принципы обработки ПД в понятной форме.
Написал в PR службу Авито вопросы по бизнес-ориентированности данной компании:
1. Какая бизнес-цель у Авито снимать ролики?
2. Считает ли Авито работу над распространением информации о бережном отношении к персональным данным своей маркетинговой стратегией?
И мне ответили. Не возражали если поделись в канале. Цитирую:
"Доверие — это то, что всегда лежало в основе работы Авито. Для нас очень важно создавать максимально прозрачные условия взаимодействия с платформой для наших пользователей.
Мы видим, что только 18% россиян всегда читают пользовательские соглашения, и наша задача — изменить этот подход, объясняя сложные вещи простым и понятным языком.
В новой кампании мы рассказываем, какие данные собираем, зачем это нужно и какую пользу это приносит лично пользователю. Такой диалог, основанный на открытости и партнерстве, является для нас стратегическим приоритетом."
В ответе Авито больше понравилась позиция, что Data Privacy будет преподноситься через выгоду, а не формальную обязанность. Посмотрим, как будет получаться.
Но в любом случае, это пример, когда подразделение DPO само делает себя частью бизнес-стратегии, соответственно, бизнес охотнее будет инвестировать в развитие этой службы.
Авито на днях запустил проект "Дом для данных": обновили политику и начал снимать видеоролики, поясняющие принципы обработки ПД в понятной форме.
Написал в PR службу Авито вопросы по бизнес-ориентированности данной компании:
1. Какая бизнес-цель у Авито снимать ролики?
2. Считает ли Авито работу над распространением информации о бережном отношении к персональным данным своей маркетинговой стратегией?
И мне ответили. Не возражали если поделись в канале. Цитирую:
"Доверие — это то, что всегда лежало в основе работы Авито. Для нас очень важно создавать максимально прозрачные условия взаимодействия с платформой для наших пользователей.
Мы видим, что только 18% россиян всегда читают пользовательские соглашения, и наша задача — изменить этот подход, объясняя сложные вещи простым и понятным языком.
В новой кампании мы рассказываем, какие данные собираем, зачем это нужно и какую пользу это приносит лично пользователю. Такой диалог, основанный на открытости и партнерстве, является для нас стратегическим приоритетом."
В ответе Авито больше понравилась позиция, что Data Privacy будет преподноситься через выгоду, а не формальную обязанность. Посмотрим, как будет получаться.
Но в любом случае, это пример, когда подразделение DPO само делает себя частью бизнес-стратегии, соответственно, бизнес охотнее будет инвестировать в развитие этой службы.
VK Видео
Дом для данных
Технологическая платформа Авито запустила новую кампанию «Дом для данных» (vk.cc/cRiJFo), чтобы объяснить пользователям, как компания работает с персональными данными. Это поможет людям лучше понимать, как Авито защищает личную информацию и укрепит доверие…
❤38😁3
Усиливаем команду lukash & Partners и ищем сразу двух специалистов по персональным данным: middle и junior.
После погружения кандидат будет работать на передовой Data Privacy, получит опыт работы c крупными компаниями, уже через год уровень заметно вырастит. Есть возможность удаленной/гибридной работы, но возможность без проблем быть в Мск. необходима.
Уровень зп обсуждается индивидуально, по мере роста зп пересматриваем.
Ключевые требования:
- Реальный опыт работы DPO/юристом по ПД для middle от 3 лет, для junior от 1 года. 70% работы правового характера, юрдиплом обязателен. Сразу будем искать это в резюме.
- Педантичность в работе с документами, уметь структурно, кратко и логично писать юридические тексты. Проверим через тестовое задание.
- Ясно видеть себя в Data Privacy в будущем. Увидим через собеседование.
Дополнительно.
С большим юридическим опытом, но хотя бы без года в ПД взять не сможем. Пару политик и типовые ЛНА для своей компании за опыт не примем. Здесь только стажировка, но на нее тоже можно податься по почте ниже.
С преимуществом рассмотрим:
1. Эксперта по ПД с сильным опытом в КоАП РФ, включая бывших инспекторов РКН.
2. Инхаус из групп DPO корпораций.
Резюме на talents@lukash.partners.
В личку можно написать, но все равно резюме попрошу на почту. Укажите уровень и вознаграждение, на которые претендуете.
После погружения кандидат будет работать на передовой Data Privacy, получит опыт работы c крупными компаниями, уже через год уровень заметно вырастит. Есть возможность удаленной/гибридной работы, но возможность без проблем быть в Мск. необходима.
Уровень зп обсуждается индивидуально, по мере роста зп пересматриваем.
Ключевые требования:
- Реальный опыт работы DPO/юристом по ПД для middle от 3 лет, для junior от 1 года. 70% работы правового характера, юрдиплом обязателен. Сразу будем искать это в резюме.
- Педантичность в работе с документами, уметь структурно, кратко и логично писать юридические тексты. Проверим через тестовое задание.
- Ясно видеть себя в Data Privacy в будущем. Увидим через собеседование.
Дополнительно.
С большим юридическим опытом, но хотя бы без года в ПД взять не сможем. Пару политик и типовые ЛНА для своей компании за опыт не примем. Здесь только стажировка, но на нее тоже можно податься по почте ниже.
С преимуществом рассмотрим:
1. Эксперта по ПД с сильным опытом в КоАП РФ, включая бывших инспекторов РКН.
2. Инхаус из групп DPO корпораций.
Резюме на talents@lukash.partners.
В личку можно написать, но все равно резюме попрошу на почту. Укажите уровень и вознаграждение, на которые претендуете.
😁16❤13👍1
Ответ_РКН_использование_Гугл_таблиц.docx
26.1 KB
Роскомнадзор о Гугл-таблицах:
"...деятельность по ведению в производственных целях Google-таблиц, содержащих персональные данные, ранее собранные с использованием баз данных, находящихся на территории Российской Федерации, не является деятельностью по осуществлению трансграничной передачи персональных данных."
P.S. Спасибо, что делитесь ответами.
"...деятельность по ведению в производственных целях Google-таблиц, содержащих персональные данные, ранее собранные с использованием баз данных, находящихся на территории Российской Федерации, не является деятельностью по осуществлению трансграничной передачи персональных данных."
P.S. Спасибо, что делитесь ответами.
❤45👍37😁28🔥11🤔9
Идет сезон деловых мероприятий.
Где меня можно увидеть в ближайшее время и задать вопросы.
Завтра (20.11.25 в 12:00) на совместном вебинаре с нашим партнером Selectel отвечаю на вопросы по локализации баз персональных данных в РФ, перед этим презентация. Вопросы принимаются заранее. За лучший вопрос Selectel подарит плюшевого Рекса. Вопросов правда уже много, а Рекс один.
28.11.25 с 14.10 до 16.00 на SecConf рассказываю про Персональные данные при проверках контрагентов и заключении договоров (для служб безопасности). С темами по ПД со мной выступят Екатерина Ефимова (ГРЧЦ/Роскомнадзор) и Алёна Геращенко (ТБанк).
01.12.25 на конференции Цифровой девелопмент 25 расскажу как на практике контрагенты переносят риски персональных данных на застройщиков и как от этого уходить. Здесь об интеграторах в регсегмент ЕБС, страховых, банках и т.д. (но без частностей и брендов).
P.S. Только первый вебинар бесплатный для посетителей.
Где меня можно увидеть в ближайшее время и задать вопросы.
Завтра (20.11.25 в 12:00) на совместном вебинаре с нашим партнером Selectel отвечаю на вопросы по локализации баз персональных данных в РФ, перед этим презентация. Вопросы принимаются заранее. За лучший вопрос Selectel подарит плюшевого Рекса. Вопросов правда уже много, а Рекс один.
28.11.25 с 14.10 до 16.00 на SecConf рассказываю про Персональные данные при проверках контрагентов и заключении договоров (для служб безопасности). С темами по ПД со мной выступят Екатерина Ефимова (ГРЧЦ/Роскомнадзор) и Алёна Геращенко (ТБанк).
01.12.25 на конференции Цифровой девелопмент 25 расскажу как на практике контрагенты переносят риски персональных данных на застройщиков и как от этого уходить. Здесь об интеграторах в регсегмент ЕБС, страховых, банках и т.д. (но без частностей и брендов).
P.S. Только первый вебинар бесплатный для посетителей.
🔥12❤1
В интернете делятся фейковыми письмами от структур ФСБ, которые могут прислать даже на бумаге. За утечки сейчас наказания суровые, соответственно, цель письма - под страхом убедить принять звонок в MAX или Telegram. Это письмо выглядит правдоподобнее, чем прошлое.
❤2
Forwarded from Русский ИТ бизнес
Если вам (в бизнес или лично) прислали такую пугалку, то держите в уме - это липа. Не ведитесь. Могут послать на юр.адрес... В общем не верьте.
Русский ИТ бизнес
Русский ИТ бизнес
❤17😁11
Помимо Авито (пост выше), прозрачностью по ПД занимается Wildberries. Если не видели, компания еще раньше разработала отдельную страницу.
С точки зрения выполнения требований закона подробный отдельный портал не нужен, значит бизнес может рассматривать это как инвестицию.
Подготовил несколько релевантных вопросов для WB, заранее указал, что ответы планирую опубликовать:
1. Является ли инвестиция в разработку портала частью маркетинговой стратегии? В чем она заключается?
2.Вы нацелены на приобретение лояльности пользователей через прозрачность обработки персональных данных?
3. Снизила ли инвестиция в портал количество обращений субъектов персональных данных?
4. В сообществах портал был положительно оценен экспертами. Видите ли вы работу с экспертами в Data Privacy, как работу с амбасадорами бренда WB?
Ответы для канала направил CDPO Wildberries&Russ Кирилл Зюбанов, цитирую:
"Одними из ключевых принципов работы Wildberries & Russ являются соблюдение закона, обеспечение прав и свобод субъектов персональных данных, а также следование лучшим рыночным практикам — это одни из главных приоритетов компании.
Мы активно используем принципы обработки персональных данных при выстраивании своих процессов, поэтому считаем, что создание портала WB Privacy позволяет более эффективно обеспечивать соответствие нашей деятельности принципам обработки персональных данных, а также дает нашим клиентам больше прозрачности во взаимодействии с нами.
Ответ на первый вопрос. Инвестиция в разработку портала не является частью маркетинговой стратегии как таковой. Основная цель — повышение прозрачности наших процессов обработки данных для наших
пользователей, партнеров, иных субъектов персональных данных.
Ответ на второй вопрос. Диалог с субъектом персональных данных - не новый тренд, а наше стремление к открытости и честности по отношению к пользователям, партнерам, субъектам. С помощью WB Privacy мы можем рассказать про обработку персональных данных так, как если бы у нас была возможность провести беседу за чашкой чая с каждым пользователем, партнером, субъектом. В 2026 году мы планируем реализовать еще больше прозрачных интерфейсов и инструментов управления данными для субъектов.
Ответ на третий вопрос. В команде DPO выстроен эффективный процесс рассмотрения запросов и обращений по вопросам обработки персональных данных, в связи с чем большой нагрузки из-за высокого количества обращений команда не ощущала и раньше. На данный момент большого наплыва запросов также не наблюдается.
Ответ на четвёртый вопрос. Мы считаем, что долг любого крупного игрока — развивать профессиональные сообщества специалистов, работающих на благо рынка. В 2025 году мы уже устраивали WB Privacy Day, участвовали в самых разных публичных мероприятиях и обсуждениях, и мы продолжим инвестировать в развитие сообщества.
Мы надеемся, что со временем все больше компаний будут руководствоваться принципом открытости в диалоге с субъектом персональных данных, ориентируясь, в том числе, и на наш пример."
Что думаете, нужны ли такие порталы субъектам ПД и бизнесу?
С точки зрения выполнения требований закона подробный отдельный портал не нужен, значит бизнес может рассматривать это как инвестицию.
Подготовил несколько релевантных вопросов для WB, заранее указал, что ответы планирую опубликовать:
1. Является ли инвестиция в разработку портала частью маркетинговой стратегии? В чем она заключается?
2.Вы нацелены на приобретение лояльности пользователей через прозрачность обработки персональных данных?
3. Снизила ли инвестиция в портал количество обращений субъектов персональных данных?
4. В сообществах портал был положительно оценен экспертами. Видите ли вы работу с экспертами в Data Privacy, как работу с амбасадорами бренда WB?
Ответы для канала направил CDPO Wildberries&Russ Кирилл Зюбанов, цитирую:
"Одними из ключевых принципов работы Wildberries & Russ являются соблюдение закона, обеспечение прав и свобод субъектов персональных данных, а также следование лучшим рыночным практикам — это одни из главных приоритетов компании.
Мы активно используем принципы обработки персональных данных при выстраивании своих процессов, поэтому считаем, что создание портала WB Privacy позволяет более эффективно обеспечивать соответствие нашей деятельности принципам обработки персональных данных, а также дает нашим клиентам больше прозрачности во взаимодействии с нами.
Ответ на первый вопрос. Инвестиция в разработку портала не является частью маркетинговой стратегии как таковой. Основная цель — повышение прозрачности наших процессов обработки данных для наших
пользователей, партнеров, иных субъектов персональных данных.
Ответ на второй вопрос. Диалог с субъектом персональных данных - не новый тренд, а наше стремление к открытости и честности по отношению к пользователям, партнерам, субъектам. С помощью WB Privacy мы можем рассказать про обработку персональных данных так, как если бы у нас была возможность провести беседу за чашкой чая с каждым пользователем, партнером, субъектом. В 2026 году мы планируем реализовать еще больше прозрачных интерфейсов и инструментов управления данными для субъектов.
Ответ на третий вопрос. В команде DPO выстроен эффективный процесс рассмотрения запросов и обращений по вопросам обработки персональных данных, в связи с чем большой нагрузки из-за высокого количества обращений команда не ощущала и раньше. На данный момент большого наплыва запросов также не наблюдается.
Ответ на четвёртый вопрос. Мы считаем, что долг любого крупного игрока — развивать профессиональные сообщества специалистов, работающих на благо рынка. В 2025 году мы уже устраивали WB Privacy Day, участвовали в самых разных публичных мероприятиях и обсуждениях, и мы продолжим инвестировать в развитие сообщества.
Мы надеемся, что со временем все больше компаний будут руководствоваться принципом открытости в диалоге с субъектом персональных данных, ориентируясь, в том числе, и на наш пример."
Что думаете, нужны ли такие порталы субъектам ПД и бизнесу?
🔥28❤8🤔5👍3
Наказание по ч. 10 ст. 13.11 КоАП РФ за неуведомление о намерении осуществлять трансграничную передачу.
- Прокуратура привлекла директора,
- Суд заменил штраф на предупреждение.
- Нарушение установили путем изучения переписки электронных ящиков.
Ссылка на дело.
Для полноты:
- Статья работает с 30 мая 2025 г.
- Вилка штрафов: на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
- До уведомления нужно еще произвести соответствующую оценку трансграничной передачи.
- Неправильная работа с трансграничной передачей может стать доказательством нарушения требований к локализации баз ПД (штрафы по ч. 8,9 ст. 13.11 КоАП РФ от 1 млн. руб.).
Если не видели последний эфир Selectel и Lukash & Partners о локализации и как она связана с ТГП, постом ниже ссылка.
- Прокуратура привлекла директора,
- Суд заменил штраф на предупреждение.
- Нарушение установили путем изучения переписки электронных ящиков.
Ссылка на дело.
Для полноты:
- Статья работает с 30 мая 2025 г.
- Вилка штрафов: на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
- До уведомления нужно еще произвести соответствующую оценку трансграничной передачи.
- Неправильная работа с трансграничной передачей может стать доказательством нарушения требований к локализации баз ПД (штрафы по ч. 8,9 ст. 13.11 КоАП РФ от 1 млн. руб.).
Если не видели последний эфир Selectel и Lukash & Partners о локализации и как она связана с ТГП, постом ниже ссылка.
❤6👍4🤔3😁1
Вебинар Selectel и L&P о локализации баз персональных данных от 20.11.2025. Слайд с содержанием во вложении.
https://vkvideo.ru/video-11462611_456239921
https://vkvideo.ru/video-11462611_456239921
👍11❤2
Денис Лукаш | Privacy Expert
Вебинар Selectel и L&P о локализации баз персональных данных от 20.11.2025. Слайд с содержанием во вложении. https://vkvideo.ru/video-11462611_456239921
В комментариях к каналу много обсуждали есть ли ТГП при использовании сервисов Гугл (аналитика, таблицы, шрифты и т.п.) и Телеграм. На вебинаре было много подобных вопросов и на второй половине записи я даю свои ответы на все эти вопросы. Может позже опишу их в текстах.
👍15🔥11❤3
Слайд презентации с конференции secconf.ru, прошедшей на прошлой неделе. Краткое описание по планируемым отраслевым стандартам обработки персональных данных, которые курирует Роскомнадзор.
Первая отрасль, которую обещают покрыт такими стандартами - туризм.
Как я вижу, особенность работы Роскомнадзора будет в полном погружении в бизнес-процессы отраслевых компаний, далее - регламентация их работы на уровне отрасли. Здесь есть большие отличия от контрольно-надзорной деятельности, в которой Роскомнадзор набил руку.
В следующей очереди обещают сферу ЖКХ (и некоторые другие сферы). Там могут потребоваться и изменения в жилищный кодекс. В этом плане туризм кажется проще.
Будем наблюдать.
Первая отрасль, которую обещают покрыт такими стандартами - туризм.
Как я вижу, особенность работы Роскомнадзора будет в полном погружении в бизнес-процессы отраслевых компаний, далее - регламентация их работы на уровне отрасли. Здесь есть большие отличия от контрольно-надзорной деятельности, в которой Роскомнадзор набил руку.
В следующей очереди обещают сферу ЖКХ (и некоторые другие сферы). Там могут потребоваться и изменения в жилищный кодекс. В этом плане туризм кажется проще.
Будем наблюдать.
👍7😁2🤔2
Ничего не смущает на скриншоте? Ошибка в размере штрафов, но если Вы не работаете плотно с ПД, можете и не заметить.
Это результат тестового задания кандидата, который рассматривался на уровень мидл с з.п. 170 тыс. рублей. Привел для примера. Разные варианты ошибок встречаются повсеместно. Кандидаты, не обладая опытом, используют ИИ, стараясь поднять свой уровень. Но ИИ по 152-ФЗ можно использовать максимум как копилот.
Мы периодически подбираем себе и часто помогаем определить компетенцию кандидатов для наших клиентов. Возможно, Вам будут полезны выводы ниже.
🔹95% кандидатов, используют ИИ для выполнения тестового задания, что просто видно. Если раньше мы в первую очередь смотрели на тех, кто не использовал ИИ, то сейчас, на тех, кто проверил за ИИ. Иначе смотреть будет некого. Тестовые предпочитаем давать до уровня мидл, но они теряют свою эффективность из-за культуры повсеместного использования ИИ.
🔹Для уровня мидл+ и выше мы чаще проводим интервью, а не даем тестовые задачи. Для интервью достаточно до 30 минут (у нас есть 2 альтернативных процесса для этого).
Почему интервью, а не тестовые?
В большую компанию нужен уже DPO уровнем от мидл+. С учетом многоэтапности отбора в большую компанию, сложное тестовое может стать негативным фактором в воронке. Сейчас рынок кандидата и хорошего DPO скорее всего нужно забирать из другой компании. А для оценки мидл+ или старшего DPO задачи сложные и нужно потратить время (старшие уже понимают, что через ИИ не решишь).
Для таких тестовых нужна высокая мотивация для кандидата, даже можно сказать, что продавать необходимость выполнения. Если рекрутер и условия позволяют это продать, тогда можно идти через тестовое.
🔹Почему вообще нужно интервью по компетенциям?
ПД специфичная сфера, спрос большой, кандидаты, которые занимались ПД смежно, представляют себя мидл+ и старшими. И что интересно, если в компании не было DPO, у кандидата получается убедить компанию в высоком уровне своей компетентности.
В реальности не имеют устоявшегося отношения к вопросам управления информационной приватностью, не знают ключевую и последнюю судебную практику, мыслят позициями со дня открытых дверей РКН и т.д. Интервьюер может это понять, если сам практикует.
Если не провести оценку компетенций, компания рискует переплатить DPO или первый год DPO будет учиться за счет работодателя, хотя работодатель это не планировал и ожидает максимальную эффективность. Возможно, даже в какой-то момент придется расстаться и искать заново.
🔹Для интервью + отзыва (или разработки + проверки тестового задания) потребуется в среднем час-полтора на каждого кандидата (с учетом написания отзыва). Если рекрутер предварительно отфильтрует по резюме и софтскилс, то это 5 - 10 встреч. Минимальные затраты, которые помогут нанять человека, способного строить систему управления информационной приватностью с первого месяца.
Если необходимо помочь с проверкой компетентности кандидатов, это не большие трудозатраты от нас (Lukash & Partners), значит не дорого, пишите в личку, организуем.
Это результат тестового задания кандидата, который рассматривался на уровень мидл с з.п. 170 тыс. рублей. Привел для примера. Разные варианты ошибок встречаются повсеместно. Кандидаты, не обладая опытом, используют ИИ, стараясь поднять свой уровень. Но ИИ по 152-ФЗ можно использовать максимум как копилот.
Мы периодически подбираем себе и часто помогаем определить компетенцию кандидатов для наших клиентов. Возможно, Вам будут полезны выводы ниже.
🔹95% кандидатов, используют ИИ для выполнения тестового задания, что просто видно. Если раньше мы в первую очередь смотрели на тех, кто не использовал ИИ, то сейчас, на тех, кто проверил за ИИ. Иначе смотреть будет некого. Тестовые предпочитаем давать до уровня мидл, но они теряют свою эффективность из-за культуры повсеместного использования ИИ.
🔹Для уровня мидл+ и выше мы чаще проводим интервью, а не даем тестовые задачи. Для интервью достаточно до 30 минут (у нас есть 2 альтернативных процесса для этого).
Почему интервью, а не тестовые?
В большую компанию нужен уже DPO уровнем от мидл+. С учетом многоэтапности отбора в большую компанию, сложное тестовое может стать негативным фактором в воронке. Сейчас рынок кандидата и хорошего DPO скорее всего нужно забирать из другой компании. А для оценки мидл+ или старшего DPO задачи сложные и нужно потратить время (старшие уже понимают, что через ИИ не решишь).
Для таких тестовых нужна высокая мотивация для кандидата, даже можно сказать, что продавать необходимость выполнения. Если рекрутер и условия позволяют это продать, тогда можно идти через тестовое.
🔹Почему вообще нужно интервью по компетенциям?
ПД специфичная сфера, спрос большой, кандидаты, которые занимались ПД смежно, представляют себя мидл+ и старшими. И что интересно, если в компании не было DPO, у кандидата получается убедить компанию в высоком уровне своей компетентности.
В реальности не имеют устоявшегося отношения к вопросам управления информационной приватностью, не знают ключевую и последнюю судебную практику, мыслят позициями со дня открытых дверей РКН и т.д. Интервьюер может это понять, если сам практикует.
Если не провести оценку компетенций, компания рискует переплатить DPO или первый год DPO будет учиться за счет работодателя, хотя работодатель это не планировал и ожидает максимальную эффективность. Возможно, даже в какой-то момент придется расстаться и искать заново.
🔹Для интервью + отзыва (или разработки + проверки тестового задания) потребуется в среднем час-полтора на каждого кандидата (с учетом написания отзыва). Если рекрутер предварительно отфильтрует по резюме и софтскилс, то это 5 - 10 встреч. Минимальные затраты, которые помогут нанять человека, способного строить систему управления информационной приватностью с первого месяца.
Если необходимо помочь с проверкой компетентности кандидатов, это не большие трудозатраты от нас (Lukash & Partners), значит не дорого, пишите в личку, организуем.
👍17❤10😁8🤔1
136 экспертных позиций по ПД и смежным вопросам, размеченных по ключевым словам и источникам.
В ленте этого канала собрано много экспертных позиций по вопросам персональных данных и информационного права в целом. Решил систематизировать все экспертные позиции разметив их по источнику и ключевым словам, сделать удобный поиск.
Пока тестируем сервис, но пользоваться можно. База позиций будет пополняться, есть идеи по улучшению поиска, страницу можно занести в закладки. Еще раз ссылка.
В ленте этого канала собрано много экспертных позиций по вопросам персональных данных и информационного права в целом. Решил систематизировать все экспертные позиции разметив их по источнику и ключевым словам, сделать удобный поиск.
Пока тестируем сервис, но пользоваться можно. База позиций будет пополняться, есть идеи по улучшению поиска, страницу можно занести в закладки. Еще раз ссылка.
👍38🔥25❤14😁4🤔2
Обучение, согласованное со ФСТЭК РФ, ФСБ и УМО по ИБ России
Хотите быть уверены, что диплом переподготовки по информационной безопасности действительно легитимен при проверках?
Программа по обеспечению защиты информации криптографическими и некриптографическими методами — это официальный статус, который гарантирует признание документов всеми регуляторами.
По итогам вы получите:
- Диплом о переподготовке
- Сертификат от «Код Безопасности» по продукту «Континент 4»
- Сертификат от «Крипто-ПРО» по курсу «CSP».
Фокус:
- Усиленный практический модуль по криптографической защите информации от «Код Безопасности» и «Крипто-ПРО»
- Практика на лабораторных стендах
- Понимание современных методов защиты
- Онлайн-формат с преподавателями
💼 Обучение без отрыва от работы — дистанционно, 642 часа, с реальной практикой и доступом 24/7.
Запишитесь сейчас и учитесь по цене 2025 года!
👉 Оставить заявку на обучение
Хотите быть уверены, что диплом переподготовки по информационной безопасности действительно легитимен при проверках?
Программа по обеспечению защиты информации криптографическими и некриптографическими методами — это официальный статус, который гарантирует признание документов всеми регуляторами.
По итогам вы получите:
- Диплом о переподготовке
- Сертификат от «Код Безопасности» по продукту «Континент 4»
- Сертификат от «Крипто-ПРО» по курсу «CSP».
Фокус:
- Усиленный практический модуль по криптографической защите информации от «Код Безопасности» и «Крипто-ПРО»
- Практика на лабораторных стендах
- Понимание современных методов защиты
- Онлайн-формат с преподавателями
💼 Обучение без отрыва от работы — дистанционно, 642 часа, с реальной практикой и доступом 24/7.
Запишитесь сейчас и учитесь по цене 2025 года!
👉 Оставить заявку на обучение
😁5🤔1
РКН ТГП.pdf
183.3 KB
Вопрос для РКН:
Необходимо ли подавать уведомление о трансграничной передаче персональных данных при подписании договора с иностранным контрагентом в отношении данных подписанта - директора, содержащихся в выписке ЕГРЮЛ?
Ответ РКН: Да.
P.S. Напомню, что за неуведомление о ТГП уже наказывали по ч. 10 ст.13.11 КоАП РФ.
Необходимо ли подавать уведомление о трансграничной передаче персональных данных при подписании договора с иностранным контрагентом в отношении данных подписанта - директора, содержащихся в выписке ЕГРЮЛ?
Ответ РКН: Да.
P.S. Напомню, что за неуведомление о ТГП уже наказывали по ч. 10 ст.13.11 КоАП РФ.
😁28🤔15❤5👍5😢4
Канал @privacyexpert вошёл в рейтинг юридических телеграм‑каналов РЮТ’25 и занял сразу несколько достойных позиций в разных номинациях.
Цифровое право и блокчейн
🔹4‑е место среди самых крупных каналов в номинации.
🔹26‑е место среди самых вовлечённых каналов.
🔹33‑е место по индексу качества в этой категории.
Партнёрские каналы юрфирм
🔹10‑е место среди самых крупных каналов партнёров юридических фирм.
🔹63‑е место среди самых вовлечённых партнёрских каналов юрфирм.
🔹67‑е место по индексу качества в этой группе.
Личный канал
🔹60‑е место среди самых крупных личных юридических каналов.
Отмечен и @privacy_chat, который я поддерживаю, в номинации Телеграм-комьюнити (чаты)
🔹28-е место среди самых больших комьюнити для юристов.
Благодарю организаторов и кураторов номинаций за проделанную работу!
Цифровое право и блокчейн
🔹4‑е место среди самых крупных каналов в номинации.
🔹26‑е место среди самых вовлечённых каналов.
🔹33‑е место по индексу качества в этой категории.
Партнёрские каналы юрфирм
🔹10‑е место среди самых крупных каналов партнёров юридических фирм.
🔹63‑е место среди самых вовлечённых партнёрских каналов юрфирм.
🔹67‑е место по индексу качества в этой группе.
Личный канал
🔹60‑е место среди самых крупных личных юридических каналов.
Отмечен и @privacy_chat, который я поддерживаю, в номинации Телеграм-комьюнити (чаты)
🔹28-е место среди самых больших комьюнити для юристов.
Благодарю организаторов и кураторов номинаций за проделанную работу!
🔥48❤11👍3👌3
Небольшой срез по количеству утечек из СМИ. Данные из источников по состоянию на разные месяцы 2025 года, но для верхнеуровневого обзора не критично.
РКН:
2024 год: 135 фактов, 710 млн записей, 2025 год: 103 факта, 50 млн записей.
Минцифры:
2024 год: 135 крупных утечек, 2025 год: 65 крупных утечек.
ГК «Солар»:
2024 год: 3,5 млрд. строк, 2025 год: 13 млрд. строк.
Видим разночтения:
Роскомнадзор говорит о 135 фактах за 2024 год, Минцифры РФ говорит о 135 крупных утечках (т.е. + еще есть не крупные?).
ГК «Солар» указывает на совершенно другой уровень утечек: 50млн строк (РКН), против 13 млрд. строк (Солар) в 2025 г .
Что может быть не так в учете утечек писал выше,
Ниже подробнее: ссылки на источники и ключевые формулировки из них.
1. Недавно руководитель Роскомнадзора Андрей Липов сообщил о снижении числа утечек персональных данных в 14 раз в 2025 году относительно 2024 года: «Мы видим снижение выявляемых утечек. В 2024 году у нас было 135 фактов утечек, в этих утечках было 710 млн записей. А в 2025 году на сегодняшний день - 103 факта утечек и 50 млн записей. С 31 мая действует более высокая административная ответственность, и мы видим прямой эффект: с января по май 2025 года система нашла 6,5 тыс. нарушений в порядке сбора данных, а за следующие 5 месяцев - 3,5 тыс.»
2. Глава Минцифры Максут Шадаев отметил, что в 2025 году (на состояние 16 октября 2025 года) произошло 65 крупных утечек персональных данных (что заметно меньше, чем в 2024): «У нас есть данные Роскомнадзора – это официально зафиксированные крупные утечки персональных данных – по итогам прошлого года у нас было порядка 135. Я боюсь сглазить – сейчас у нас пока 65. Пока мы идем относительно прошлого года неплохо. Надеюсь, что за оставшееся время до конца года каких-то глобальных новых утечек не произойдет. В целом статистика у нас неплохая. Расходы на кибербезопасность, несмотря на непростую экономическую ситуацию, растут, а количество утечек уменьшается. Здесь мы цели достигли».
Так, по официальным данным, количество утечек снизилось. Можно ли говорить о меньших объёмах «слива» персональных данных относительно прошлого года?
3. Директор по развитию центра мониторинга внешних цифровых угроз Solar Aura (дочерняя компания «Ростелекома») Александр Вураско на пресс-конференции «Кибербезопасность отметил: вызовы и шаги по борьбе с угрозами» отметил, что за январь-август 2025 года в сеть было «слито» около 13 млрд. строк персональных данных россиян — в четыре раза больше, чем за весь 2024 год, в котором было зафиксировано 3,5 млрд утекших строк.
РКН:
2024 год: 135 фактов, 710 млн записей, 2025 год: 103 факта, 50 млн записей.
Минцифры:
2024 год: 135 крупных утечек, 2025 год: 65 крупных утечек.
ГК «Солар»:
2024 год: 3,5 млрд. строк, 2025 год: 13 млрд. строк.
Видим разночтения:
Роскомнадзор говорит о 135 фактах за 2024 год, Минцифры РФ говорит о 135 крупных утечках (т.е. + еще есть не крупные?).
ГК «Солар» указывает на совершенно другой уровень утечек: 50млн строк (РКН), против 13 млрд. строк (Солар) в 2025 г .
Что может быть не так в учете утечек писал выше,
Ниже подробнее: ссылки на источники и ключевые формулировки из них.
1. Недавно руководитель Роскомнадзора Андрей Липов сообщил о снижении числа утечек персональных данных в 14 раз в 2025 году относительно 2024 года: «Мы видим снижение выявляемых утечек. В 2024 году у нас было 135 фактов утечек, в этих утечках было 710 млн записей. А в 2025 году на сегодняшний день - 103 факта утечек и 50 млн записей. С 31 мая действует более высокая административная ответственность, и мы видим прямой эффект: с января по май 2025 года система нашла 6,5 тыс. нарушений в порядке сбора данных, а за следующие 5 месяцев - 3,5 тыс.»
2. Глава Минцифры Максут Шадаев отметил, что в 2025 году (на состояние 16 октября 2025 года) произошло 65 крупных утечек персональных данных (что заметно меньше, чем в 2024): «У нас есть данные Роскомнадзора – это официально зафиксированные крупные утечки персональных данных – по итогам прошлого года у нас было порядка 135. Я боюсь сглазить – сейчас у нас пока 65. Пока мы идем относительно прошлого года неплохо. Надеюсь, что за оставшееся время до конца года каких-то глобальных новых утечек не произойдет. В целом статистика у нас неплохая. Расходы на кибербезопасность, несмотря на непростую экономическую ситуацию, растут, а количество утечек уменьшается. Здесь мы цели достигли».
Так, по официальным данным, количество утечек снизилось. Можно ли говорить о меньших объёмах «слива» персональных данных относительно прошлого года?
3. Директор по развитию центра мониторинга внешних цифровых угроз Solar Aura (дочерняя компания «Ростелекома») Александр Вураско на пресс-конференции «Кибербезопасность отметил: вызовы и шаги по борьбе с угрозами» отметил, что за январь-август 2025 года в сеть было «слито» около 13 млрд. строк персональных данных россиян — в четыре раза больше, чем за весь 2024 год, в котором было зафиксировано 3,5 млрд утекших строк.
❤6👍3🤔3😢1