РКНКурск-Домен-Оператор.pdf
120.9 KB
УРКН по Курской области: владелец домена - оператор ПД.
Вопросы, заданные Роскомнадзору:
Согласно ст. 3 ФЗ‑152 «О персональных данных», оператор определяет цели и способы обработки персональных данных. При этом в законе не уточнено, должно ли доменное имя сайта находиться в собственности именно этого оператора. Прошу разъяснить:
считается ли владение доменом обязательным признаком оператора;
какие доказательства соответствия требованиям ФЗ‑152 принимаются, если домен зарегистрирован на иное лицо;
требуются ли дополнительные соглашения между владельцем домена и оператором.
P.S. Спасибо, что делитесь ответами.
Вопросы, заданные Роскомнадзору:
Согласно ст. 3 ФЗ‑152 «О персональных данных», оператор определяет цели и способы обработки персональных данных. При этом в законе не уточнено, должно ли доменное имя сайта находиться в собственности именно этого оператора. Прошу разъяснить:
считается ли владение доменом обязательным признаком оператора;
какие доказательства соответствия требованиям ФЗ‑152 принимаются, если домен зарегистрирован на иное лицо;
требуются ли дополнительные соглашения между владельцем домена и оператором.
P.S. Спасибо, что делитесь ответами.
🤔9👍2
Денис Лукаш | Privacy Expert
РКНКурск-Домен-Оператор.pdf
Решил отдельно прокомментировать.
Не смотря на подобный ответ Роскомнадзора, нужно понимать, что:
доменное имя - обозначение символами, предназначенное для адресации сайтов в сети "Интернет" в целях обеспечения доступа к информации, размещенной в сети "Интернет" (п. 15, ст. 2 149-ФЗ)
владелец сайта в сети "Интернет" - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети "Интернет", в том числе порядок размещения информации на таком сайте (п. 17 ст. 2 149-ФЗ)
149-ФЗ отличает владельца доменного имени от владельца сайта, тем более, от провайдера хостинга. Сам факт владения доменным именем еще не означает, что владелец доменного имени определяет и (или) организует обработку персональных данных (что является признаком оператора ПД по определению в 152-ФЗ).
Если в группе компаний регистрируете домены на одно лицо или выделяете поддомены для участников группы компаний, это по-прежнему можно делать. Но уже иметь ввиду, что может потребоваться документ о предоставлении домена и(или) правовая справка для РКН по совместному применению 149-ФЗ и 152-ФЗ.
Не смотря на подобный ответ Роскомнадзора, нужно понимать, что:
доменное имя - обозначение символами, предназначенное для адресации сайтов в сети "Интернет" в целях обеспечения доступа к информации, размещенной в сети "Интернет" (п. 15, ст. 2 149-ФЗ)
владелец сайта в сети "Интернет" - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети "Интернет", в том числе порядок размещения информации на таком сайте (п. 17 ст. 2 149-ФЗ)
149-ФЗ отличает владельца доменного имени от владельца сайта, тем более, от провайдера хостинга. Сам факт владения доменным именем еще не означает, что владелец доменного имени определяет и (или) организует обработку персональных данных (что является признаком оператора ПД по определению в 152-ФЗ).
Если в группе компаний регистрируете домены на одно лицо или выделяете поддомены для участников группы компаний, это по-прежнему можно делать. Но уже иметь ввиду, что может потребоваться документ о предоставлении домена и(или) правовая справка для РКН по совместному применению 149-ФЗ и 152-ФЗ.
www.consultant.ru
Статья 2. Основные понятия, используемые в настоящем Федеральном законе \ КонсультантПлюс
Статья 2. Основные понятия, используемые в настоящем Федеральном законе Перспективы и риски споров в суде общей юрисдикции. Ситуации, связанные со ст. 2 - Правообладатель (исключительный лицензиат) после временной блокировки сайта хочет взыскать...
❤14😁6
Суд: согласие на ПД - односторонняя сделка, а закон о ПД часть гражданского законодательства.
Судебная коллегия по гражданским делам Белгородского областного суда в деле 33-672/2025 от 06.03.2025 в апелляционном определении указала:
"Закон о персональных данных является частью гражданского законодательства - положения Закона о персональных данных должны соответствовать ГК РФ (п. 2 ст. 3 ГК РФ), являются продолжением регулирования нематериальных благ (ст. 150 ГК РФ), подчиняются ч. 1 ГК РФ. Следовательно, согласие на обработку персональных данных представляет собой сделку (ст. 153 ГК РФ), поскольку представляет собой установление прав и обязанностей в отношении персональных данных".
Определение по ссылке.
Ниже позиция Роскомнадзора по этому же вопросу.
P.S. Если ссылка не откроется, перейдите в поиск, введите номер дела 33-672/2025, выберете "Гражданские дела - апелляция".
Судебная коллегия по гражданским делам Белгородского областного суда в деле 33-672/2025 от 06.03.2025 в апелляционном определении указала:
"Закон о персональных данных является частью гражданского законодательства - положения Закона о персональных данных должны соответствовать ГК РФ (п. 2 ст. 3 ГК РФ), являются продолжением регулирования нематериальных благ (ст. 150 ГК РФ), подчиняются ч. 1 ГК РФ. Следовательно, согласие на обработку персональных данных представляет собой сделку (ст. 153 ГК РФ), поскольку представляет собой установление прав и обязанностей в отношении персональных данных".
Определение по ссылке.
Ниже позиция Роскомнадзора по этому же вопросу.
P.S. Если ссылка не откроется, перейдите в поиск, введите номер дела 33-672/2025, выберете "Гражданские дела - апелляция".
🤔37🔥13❤1💯1
РКН-Согласие-Не сделка.pdf
183.5 KB
Роскомнадзор: согласие на ПД - НЕ односторонняя сделка.
Ответ Роскомнадзора контрастирует с выводами судебной коллегии по гражданским делам.
"С учетом правовой конструкции Гражданского кодекса Российской Федерации, предоставление согласия на обработку персональных данных не устанавливает гражданских прав и обязанностей между участниками гражданских правоотношений, а служит правовым основанием на обработку персональных данных, предусмотренным п. 1 ч. 1 ст. 6 Федеральным законом № 152-ФЗ"
Ответ Роскомнадзора контрастирует с выводами судебной коллегии по гражданским делам.
"С учетом правовой конструкции Гражданского кодекса Российской Федерации, предоставление согласия на обработку персональных данных не устанавливает гражданских прав и обязанностей между участниками гражданских правоотношений, а служит правовым основанием на обработку персональных данных, предусмотренным п. 1 ч. 1 ст. 6 Федеральным законом № 152-ФЗ"
😁35🤔12💯4❤2
СМИ вправе публиковать персональные данные без согласия в случаях информирования по вопросам, представляющим общественный интерес
🔹Апелляционный суд оставил в силе отказ в привлечении к административной ответственности СМИ за публикацию персональных данных гражданина.
🔹Суть спора:
Истец обратился в Роскомнадзор, требуя привлечь СМИ к ответственности по ч.1 ст. 13.11 КоАП РФ.
Поводом стал новостной сюжет, где без его письменного согласия были показаны его ФИО, номер телефона и видеоизображение Истца. Сюжет «Мастер вымогатель, чистивший от вирусов телефон бабушки, перевёл все её деньги и сбежал» был размещён на площадках VK и YouTube.
Роскомнадзор отказал в возбуждении дела в связи с отсутствием события административного правонарушения.
Истец в суде дополнительно пожаловался на неправомерную обработку его биометрических персональных данных, включая трансграничную передачу, поскольку сервера YouTube находятся в США.
Суды поддержали позицию Роскомнадзора об отсутствии события административного правонарушения.
🔹Суды первой и апелляционной инстанции указали следующее:
1. Роскомнадзор обоснованно не усмотрел в действиях СМИ признаков административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, поскольку в рассматриваемом случае получение согласия на обработку персональных данных от Истца не требовалось ввиду информирования граждан по вопросам, представляющим общественный интерес (прим. - п. 5 ч. 1 ст. 49 Закона «О средствах массовой информации»), и обработки персональных данных в связи с законной деятельностью СМИ. Согласие субъекта на обработку персональных данных не требуется, если она необходима для осуществления профессиональной деятельности журналиста (п. 8 ч. 1 ст. 6 152-ФЗ).
2. Установлено, что Истец самостоятельно представился под запись на видеокамеру и в ходе интервью не возражал против съемки.
3. Видеосюжет касается профессиональной деятельности Истца и не затрагивает его частную жизнь, поскольку номер телефона, показанный в сюжете, получен из рекламной листовки об услугах мастеров.
4. Доводы о трансграничной передаче данных (хранение на серверах в США) не были изложены Истцом в заявлении при обращении в Роскомнадзор и не были предметом рассмотрения должностного лица, следовательно, не относятся к оспариваемому определению об отказе в возбуждении дела об административном правонарушении, поскольку суд не в праве подменять собой административный орган.
#практика
🔹Апелляционный суд оставил в силе отказ в привлечении к административной ответственности СМИ за публикацию персональных данных гражданина.
🔹Суть спора:
Истец обратился в Роскомнадзор, требуя привлечь СМИ к ответственности по ч.1 ст. 13.11 КоАП РФ.
Поводом стал новостной сюжет, где без его письменного согласия были показаны его ФИО, номер телефона и видеоизображение Истца. Сюжет «Мастер вымогатель, чистивший от вирусов телефон бабушки, перевёл все её деньги и сбежал» был размещён на площадках VK и YouTube.
Роскомнадзор отказал в возбуждении дела в связи с отсутствием события административного правонарушения.
Истец в суде дополнительно пожаловался на неправомерную обработку его биометрических персональных данных, включая трансграничную передачу, поскольку сервера YouTube находятся в США.
Суды поддержали позицию Роскомнадзора об отсутствии события административного правонарушения.
🔹Суды первой и апелляционной инстанции указали следующее:
1. Роскомнадзор обоснованно не усмотрел в действиях СМИ признаков административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, поскольку в рассматриваемом случае получение согласия на обработку персональных данных от Истца не требовалось ввиду информирования граждан по вопросам, представляющим общественный интерес (прим. - п. 5 ч. 1 ст. 49 Закона «О средствах массовой информации»), и обработки персональных данных в связи с законной деятельностью СМИ. Согласие субъекта на обработку персональных данных не требуется, если она необходима для осуществления профессиональной деятельности журналиста (п. 8 ч. 1 ст. 6 152-ФЗ).
2. Установлено, что Истец самостоятельно представился под запись на видеокамеру и в ходе интервью не возражал против съемки.
3. Видеосюжет касается профессиональной деятельности Истца и не затрагивает его частную жизнь, поскольку номер телефона, показанный в сюжете, получен из рекламной листовки об услугах мастеров.
4. Доводы о трансграничной передаче данных (хранение на серверах в США) не были изложены Истцом в заявлении при обращении в Роскомнадзор и не были предметом рассмотрения должностного лица, следовательно, не относятся к оспариваемому определению об отказе в возбуждении дела об административном правонарушении, поскольку суд не в праве подменять собой административный орган.
#практика
🔥7❤3
Вы могли видеть новость о компании "Камспартс". По материалам дела Роскомнадзор зафиксировал утечку менее 1000 субъектов персональных данных, возбудил дело по ч. 1 ст. 13.11 КоАП РФ, суд заменил штраф предупреждением. Вроде ничего серьезного.
Однако, на стороне компании велась большая работа, так как этому делу предшествовало административное расследование, возбужденное по ч. 12 ст. 13.11 КоАП РФ с риском штрафа 3-5 млн. рублей,
Роскомнадзор разбирался в утечке более 1000 субъектов персональных данных, потому что работали от количества записей, зафиксированных НКЦКИ. Была проведена большая работа, в ходе которой удалось доказать, что количество записей, определенных НКЦКИ, содержало меньшее количество субъектов ПД.
Откуда знаю? Правовым сопровождением "утечки" занимались в Lukash & Partners.
Закрыть расследование по ч. 12 ст. 13.11 КоАП РФ нужно было любой ценой. Если этого не сделать, компания бы находилось год под риском оборотного штрафа за повторную утечку (всякое бывает). Сейчас этого риска нет. В итоге нет и реального штрафа. Обосновывали замену штрафа предупреждением тоже мы.
Генеральный директор компании оставил отзыв и разрешил поделиться публично:
"Денис, Марина большое, вам спасибо, за то, что на первом этапе (в июне) быстро включились в ситуацию, своевременно готовили письма, документы, а также все время были на связи!".
Текущие административные расследования проводятся по методологии внеплановых проверок. Это значит нужно готовить информацию по всем ИСПДн и базам ПД, помимо затронутой базы данных. При этом если компания все пояснит в первом запросе, Роскомнадзор может не поверить и запросить файл утечки.
По моему опыту, перспективнее сопровождать утечки с момента получения "письма счастья" от НКЦКИ, чем включаться в середине процесса. Мы успешно включались и в середине процесса, но рисков будет больше если придется менять позицию.
Несколько моментов с которыми столкнетесь:
1. ИСПДн и базы данных ПД не одно и то же. Нужно иметь перечни баз ПД наряду с перечнем ИСПДн.
2. Быть готовым дать РКН экземпляр утечки или обосновано отказать.
3. Не имеет значение какое количество записей укажите в уведомлении об утечке, значение будет иметь информация, определенная НКЦКИ. Дальше доказывает оператор.
4. Если утечку нашел НКЦКИ (хоть 1 запись), повисает риск еще одного штрафа 1 млн. по ч. 11 ст. 13.11 КоАП РФ за не уведомление об утечке. Кстати, за заведомо неверные сведения в уведомлении в теории тоже можно получить ч. 11 ст. 13.11 КоАП РФ. Пока штрафов не видел, но первым быть никому не хочется.
Подобных моментов много.
В ходе правового клиентского сопровождения вменяемых "утечек" я подготовил 3-часовой корпоративный семинар по административным расследованиям, который на протяжении 4 месяцев прочитал ряду крупнейших компаний. Семинар позволяет расширить картину рисков, своевременно принять необходимые меры вплоть до изменения подходов к управлению data privacy (например, внедрить учет БД, если не велся).
Один из таких семинаров я провел для ТБанка, отзыв опубликовал здесь.
Стоимость адекватная, Запросить КП и записать свою компанию можно написав запрос по электронной почте info@lukash.partners.
Однако, на стороне компании велась большая работа, так как этому делу предшествовало административное расследование, возбужденное по ч. 12 ст. 13.11 КоАП РФ с риском штрафа 3-5 млн. рублей,
Роскомнадзор разбирался в утечке более 1000 субъектов персональных данных, потому что работали от количества записей, зафиксированных НКЦКИ. Была проведена большая работа, в ходе которой удалось доказать, что количество записей, определенных НКЦКИ, содержало меньшее количество субъектов ПД.
Откуда знаю? Правовым сопровождением "утечки" занимались в Lukash & Partners.
Закрыть расследование по ч. 12 ст. 13.11 КоАП РФ нужно было любой ценой. Если этого не сделать, компания бы находилось год под риском оборотного штрафа за повторную утечку (всякое бывает). Сейчас этого риска нет. В итоге нет и реального штрафа. Обосновывали замену штрафа предупреждением тоже мы.
Генеральный директор компании оставил отзыв и разрешил поделиться публично:
"Денис, Марина большое, вам спасибо, за то, что на первом этапе (в июне) быстро включились в ситуацию, своевременно готовили письма, документы, а также все время были на связи!".
Текущие административные расследования проводятся по методологии внеплановых проверок. Это значит нужно готовить информацию по всем ИСПДн и базам ПД, помимо затронутой базы данных. При этом если компания все пояснит в первом запросе, Роскомнадзор может не поверить и запросить файл утечки.
По моему опыту, перспективнее сопровождать утечки с момента получения "письма счастья" от НКЦКИ, чем включаться в середине процесса. Мы успешно включались и в середине процесса, но рисков будет больше если придется менять позицию.
Несколько моментов с которыми столкнетесь:
1. ИСПДн и базы данных ПД не одно и то же. Нужно иметь перечни баз ПД наряду с перечнем ИСПДн.
2. Быть готовым дать РКН экземпляр утечки или обосновано отказать.
3. Не имеет значение какое количество записей укажите в уведомлении об утечке, значение будет иметь информация, определенная НКЦКИ. Дальше доказывает оператор.
4. Если утечку нашел НКЦКИ (хоть 1 запись), повисает риск еще одного штрафа 1 млн. по ч. 11 ст. 13.11 КоАП РФ за не уведомление об утечке. Кстати, за заведомо неверные сведения в уведомлении в теории тоже можно получить ч. 11 ст. 13.11 КоАП РФ. Пока штрафов не видел, но первым быть никому не хочется.
Подобных моментов много.
В ходе правового клиентского сопровождения вменяемых "утечек" я подготовил 3-часовой корпоративный семинар по административным расследованиям, который на протяжении 4 месяцев прочитал ряду крупнейших компаний. Семинар позволяет расширить картину рисков, своевременно принять необходимые меры вплоть до изменения подходов к управлению data privacy (например, внедрить учет БД, если не велся).
Один из таких семинаров я провел для ТБанка, отзыв опубликовал здесь.
Стоимость адекватная, Запросить КП и записать свою компанию можно написав запрос по электронной почте info@lukash.partners.
🔥27❤11😁3
Ответ_Роструд БПДн.pdf
671.7 KB
Роструд: биометрическая идентификация/аутентификация удаленных работников только по добровольному согласию работника.
Вопросы, заданные Роструду:
1. Является ли правомерным вывод о том, что в целях обеспечения дополнительных и компенсирующих мер информационной безопасности при удаленном доступе к информационным системам и обрабатываемой в ней информации, в т.ч. охраняемой законом тайны, допустимо ставить в зависимость изменение условий трудового договора с работником от получения согласия действующего работника на обработку его биометрических персональных данных. В случае правомерности, какие мероприятия следует провести работодателю, чтобы корректно выстроить правоотношения с работником, давшим согласие на обработку его биометрических персональных данных.
2. Допустимо ли при приеме новых работников (до подписания трудового договора) предъявлять одним из требований для возможности удаленной работы – предоставление согласия на обработку биометрических персональных данных в обозначенных выше целях.
P.S. Спасибо, что делитесь ответами
Вопросы, заданные Роструду:
1. Является ли правомерным вывод о том, что в целях обеспечения дополнительных и компенсирующих мер информационной безопасности при удаленном доступе к информационным системам и обрабатываемой в ней информации, в т.ч. охраняемой законом тайны, допустимо ставить в зависимость изменение условий трудового договора с работником от получения согласия действующего работника на обработку его биометрических персональных данных. В случае правомерности, какие мероприятия следует провести работодателю, чтобы корректно выстроить правоотношения с работником, давшим согласие на обработку его биометрических персональных данных.
2. Допустимо ли при приеме новых работников (до подписания трудового договора) предъявлять одним из требований для возможности удаленной работы – предоставление согласия на обработку биометрических персональных данных в обозначенных выше целях.
P.S. Спасибо, что делитесь ответами
❤11
С 1 января 2026 года дела об административных правонарушениях по ст. 13.11 КоАП РФ передают обратно в систему судов общей юрисдикции (с 30 мая рассматривали арбитражные суды). Закон опубликован.
- На возможность замены штрафов предупреждениями не повлияет, зависит от защитника в деле.
- При наличии процессуальных оснований мировые суды также возвращали в РКН протоколы на доработку (и будут возвращать), как и арбитражные суды.
- Была надежда на более глубокое вникание арбитражных судей, но и судах общей юрисдикции ранее встречали принципиальные решения в пользу операторов, многое зависит от защитника в деле.
- Короткая практика "арбитражной" подсудности не показала принципиально иного подхода к правоприменению. а нюансы в разной степени встречались и раньше в СОЮ.
- На возможность замены штрафов предупреждениями не повлияет, зависит от защитника в деле.
- При наличии процессуальных оснований мировые суды также возвращали в РКН протоколы на доработку (и будут возвращать), как и арбитражные суды.
- Была надежда на более глубокое вникание арбитражных судей, но и судах общей юрисдикции ранее встречали принципиальные решения в пользу операторов, многое зависит от защитника в деле.
- Короткая практика "арбитражной" подсудности не показала принципиально иного подхода к правоприменению. а нюансы в разной степени встречались и раньше в СОЮ.
publication.pravo.gov.ru
Федеральный закон от 28.12.2025 № 508-ФЗ ∙ Официальное опубликование правовых актов
Федеральный закон от 28.12.2025 № 508-ФЗ
"О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
"О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
👍5😢5❤4
Команда Lukash & Partners в преддверии Нового года подобрала главное о персональных данных за 2025 год:
🔹Резюме 9-ти наиболее значимых изменений в законодательстве о персональных данных, вступивших в силу в 2025 году
🔹Обзор 3-х нормативно-правовых актов, вступающих в силу уже в 2026 году
🔹5 ключевых законодательных инициатив, изменения по которым стоит отслеживать
Читать обзор
🔹15 ключевых судебных решений по вопросам обработки персональных данных, опубликованных в уходящем году
Читать обзор
🔹24 официальных позиции Роскомнадзора и Минцифры России по вопросам правоприменения за 2025 год
Читать обзор
🔹Список полезных материалов Роскомнадзора и Lukash & Partners
Читать обзор
Поздравляем всех с Наступающим Новым годом!
Лучшим новогодним поздравлением от Вас будет голос за буст канала https://xn--r1a.website/boost/privacyexpert
🔹Резюме 9-ти наиболее значимых изменений в законодательстве о персональных данных, вступивших в силу в 2025 году
🔹Обзор 3-х нормативно-правовых актов, вступающих в силу уже в 2026 году
🔹5 ключевых законодательных инициатив, изменения по которым стоит отслеживать
Читать обзор
🔹15 ключевых судебных решений по вопросам обработки персональных данных, опубликованных в уходящем году
Читать обзор
🔹24 официальных позиции Роскомнадзора и Минцифры России по вопросам правоприменения за 2025 год
Читать обзор
🔹Список полезных материалов Роскомнадзора и Lukash & Partners
Читать обзор
Поздравляем всех с Наступающим Новым годом!
Лучшим новогодним поздравлением от Вас будет голос за буст канала https://xn--r1a.website/boost/privacyexpert
❤24👍14🔥9
Денис Лукаш | Privacy Expert
Ответ_РКН_использование_Гугл_таблиц.docx
РКН_Гугл_Таблицы_локализация_баз_ПД.pdf
183 KB
Дополнение к позиции РКН по Гугл-таблицам: использование Гугл-таблиц является нарушением требований к локализации баз персональных данных.
Т.е. согласно совокупной позиции из двух писем Роскомнадзора уведомлять о трансграничной передаче персональных данных при использовании Гугл-таблиц не нужно (нет ТГП), но использование Гугл-таблиц при внесении в них ПД граждан РФ нарушает требования к локализации баз персональных данных.
ТГП и локализация баз ПД регулируются различными положениями 152-ФЗ (ст. 12 и ч. 5 ст.18). Можно нарушить одно из требований не нарушая другого. Ответственность тоже предусмотрена различная. В то же время уведомление о ТГП может стать доказательством не выполнения требования о локализации баз ПД.
Например, по использованию Гугл-аналитики Роскомнадзор принимает уведомления о трансграничной передаче и вносит в свою базу данных. Все кто уведомил о Гугл - аналитике тоже могут получить требования об устранении нарушений. А кто-то может сразу и дело об АП по ч. 8 ст. 13.11 КоАП РФ. Пока таких случаев не было, но и по Гугл-таблицам требований раньше не видел, а теперь такое точно есть.
Об этих аспектах ТГП и локализации баз ПД "Lukash & Partners" рассказывали на вебинаре с Selectel 2 месяца назад. Ссылка на видео, если не смотрели.
Т.е. согласно совокупной позиции из двух писем Роскомнадзора уведомлять о трансграничной передаче персональных данных при использовании Гугл-таблиц не нужно (нет ТГП), но использование Гугл-таблиц при внесении в них ПД граждан РФ нарушает требования к локализации баз персональных данных.
ТГП и локализация баз ПД регулируются различными положениями 152-ФЗ (ст. 12 и ч. 5 ст.18). Можно нарушить одно из требований не нарушая другого. Ответственность тоже предусмотрена различная. В то же время уведомление о ТГП может стать доказательством не выполнения требования о локализации баз ПД.
Например, по использованию Гугл-аналитики Роскомнадзор принимает уведомления о трансграничной передаче и вносит в свою базу данных. Все кто уведомил о Гугл - аналитике тоже могут получить требования об устранении нарушений. А кто-то может сразу и дело об АП по ч. 8 ст. 13.11 КоАП РФ. Пока таких случаев не было, но и по Гугл-таблицам требований раньше не видел, а теперь такое точно есть.
Об этих аспектах ТГП и локализации баз ПД "Lukash & Partners" рассказывали на вебинаре с Selectel 2 месяца назад. Ссылка на видео, если не смотрели.
🔥20❤18🤔10😁8👍1
🔹Управление Роскомнадзора по ЦФО:
- Обработка ПДн в Word, Exel без использования макросов и сложных формул для автоматических решений - обработка персональных данных без использования средств автоматизации.
- Отправка e-mail с ПДн является автоматизированной обработкой.
- Обработка персональных данных без использования средств автоматизации - обработка, при которой человек принимает решения, используя бумажные носители или простые файлы.
- Ключевые признаки и примеры автоматизированной обработки персональных данных: поиск и фильтрация, сортировка и категоризация, принятие решений в программе, рассылка (email, смс), аналитика и профилирование.
🔹Минцифры РФ:
- Обработка, в том числе внесение, хранение, корректировка ПДн в электронных документах, исходя из законного определения автоматизированной обработки персональных данных, является автоматизированной обработкой.
- Пересылка email, содержащих ПДн, является автоматизированной обработкой.
🔹Вопросы, поставленные в РКН и МЦ:
• Значение критериев «поиск по заданному алгоритму» применительно к неавтоматизированной обработке ПДн и «непосредственное участие человека»;
• Является ли алгоритмический поиск обязательным условием, при котором на обработку без использования автоматизации распространяет свое действие 152-ФЗ;
• Будет ли обработка считаться автоматизированной, если выполняется хотя бы одно из условий:
а) ПДн собираются и хранятся в электронных файлах документов;
б) запись, корректировка и поиск данных осуществляются человеком вручную;
в) электронные файлы используются только как средство хранения, без применения автоматизированных функций поиска или обработки;
• Является ли отправка e-mail с ПДн автоматизированной обработкой;
• Применение Постановления Правительства РФ № 687 к документам, которые созданы электронно, но хранятся на бумаге.
P.S. Ответами поделились в профильных чатах ⬇️
- Обработка ПДн в Word, Exel без использования макросов и сложных формул для автоматических решений - обработка персональных данных без использования средств автоматизации.
- Отправка e-mail с ПДн является автоматизированной обработкой.
- Обработка персональных данных без использования средств автоматизации - обработка, при которой человек принимает решения, используя бумажные носители или простые файлы.
- Ключевые признаки и примеры автоматизированной обработки персональных данных: поиск и фильтрация, сортировка и категоризация, принятие решений в программе, рассылка (email, смс), аналитика и профилирование.
🔹Минцифры РФ:
- Обработка, в том числе внесение, хранение, корректировка ПДн в электронных документах, исходя из законного определения автоматизированной обработки персональных данных, является автоматизированной обработкой.
- Пересылка email, содержащих ПДн, является автоматизированной обработкой.
🔹Вопросы, поставленные в РКН и МЦ:
• Значение критериев «поиск по заданному алгоритму» применительно к неавтоматизированной обработке ПДн и «непосредственное участие человека»;
• Является ли алгоритмический поиск обязательным условием, при котором на обработку без использования автоматизации распространяет свое действие 152-ФЗ;
• Будет ли обработка считаться автоматизированной, если выполняется хотя бы одно из условий:
а) ПДн собираются и хранятся в электронных файлах документов;
б) запись, корректировка и поиск данных осуществляются человеком вручную;
в) электронные файлы используются только как средство хранения, без применения автоматизированных функций поиска или обработки;
• Является ли отправка e-mail с ПДн автоматизированной обработкой;
• Применение Постановления Правительства РФ № 687 к документам, которые созданы электронно, но хранятся на бумаге.
P.S. Ответами поделились в профильных чатах ⬇️
🤔13❤8👌5😁3😢2
Отказ в возбуждении дела об административном правонарушении не может быть дан в простой форме письменного ответа
🔹Арбитражный суд Московского округа отменил судебные акты нижестоящих инстанций и признал незаконным отказ Роскомнадзора в возбуждении дела об административном правонарушении, оформленный в виде письма.
🔹Суть спора:
Гражданин обратился в Роскомнадзор с заявлением по вопросу нарушения Банком законодательства о персональных данных, связанного с обработкой его биометрических персональных данных без письменной формы согласия, через банкомат.
По результатам рассмотрения заявления Роскомнадзор направил заявителю письмо, в котором сообщил об отсутствии оснований для проведения внеплановой проверки.
Гражданин обратился в арбитражный суд, полагая, что данное письмо по своей сути является определением об отказе в возбуждении дела об административном правонарушении, оформленным ненадлежащим образом.
🔹Суд первой инстанции отметил, что для возбуждения дела об административном правонарушении отсутствует состав правонарушения, а также счёл ответ Роскомнадзора Гражданину в виде письма определением, оформленным надлежащим образом.
🔹Апелляционный суд указал, что Роскомнадзором не принималось процессуальное решение в порядке главы 30 КоАП РФ, по существу жалоба не рассматривалась, письмо Роскомнадзора ни по форме, ни по содержанию процессуальным решением, содержащим отказ в удовлетворении жалобы, не является. И, таким образом, письмо Роскомнадзора оформлено надлежащим образом, является обоснованным, мотивированным, и вынесено в соответствии с нормами КоАП РФ.
🔹Суд кассационной инстанции не согласился с выводами нижестоящих судов и указал следующее:
1. В случае отказа в возбуждении дела об административном правонарушении, в том числе и при проверке сообщений, заявлений, должностным лицом выносится мотивированное определение об отказе в возбуждении дела об административном правонарушении (ч. 5 ст. 28.1 КоАП РФ). Иная форма отказа законом не предусмотрена.
2. Согласно разъяснениям Конституционного Суда РФ в Постановлении от 30.03.2021 № 9-П отказ в возбуждении дела, вынесенный в иной форме (не в виде определения об отказе в возбуждении дела об административном правонарушении), может быть оспорен и признан незаконным по мотиву несоответствия его формы требованию ч. 5 ст. 28.1 КоАП РФ и предполагает удовлетворение требования о признании его незаконным в случае, если будет установлено несоблюдение формы отказа.
3. Кассационный суд постановил:
- судебные акты первой и апелляционной инстанций отменить;
- выраженный в письме Роскомнадзора отказ в возбуждении дела об административном правонарушении признать незаконным;
- обязать Роскомнадзор рассмотреть заявление в установленном порядке.
#практика
🔹Арбитражный суд Московского округа отменил судебные акты нижестоящих инстанций и признал незаконным отказ Роскомнадзора в возбуждении дела об административном правонарушении, оформленный в виде письма.
🔹Суть спора:
Гражданин обратился в Роскомнадзор с заявлением по вопросу нарушения Банком законодательства о персональных данных, связанного с обработкой его биометрических персональных данных без письменной формы согласия, через банкомат.
По результатам рассмотрения заявления Роскомнадзор направил заявителю письмо, в котором сообщил об отсутствии оснований для проведения внеплановой проверки.
Гражданин обратился в арбитражный суд, полагая, что данное письмо по своей сути является определением об отказе в возбуждении дела об административном правонарушении, оформленным ненадлежащим образом.
🔹Суд первой инстанции отметил, что для возбуждения дела об административном правонарушении отсутствует состав правонарушения, а также счёл ответ Роскомнадзора Гражданину в виде письма определением, оформленным надлежащим образом.
🔹Апелляционный суд указал, что Роскомнадзором не принималось процессуальное решение в порядке главы 30 КоАП РФ, по существу жалоба не рассматривалась, письмо Роскомнадзора ни по форме, ни по содержанию процессуальным решением, содержащим отказ в удовлетворении жалобы, не является. И, таким образом, письмо Роскомнадзора оформлено надлежащим образом, является обоснованным, мотивированным, и вынесено в соответствии с нормами КоАП РФ.
🔹Суд кассационной инстанции не согласился с выводами нижестоящих судов и указал следующее:
1. В случае отказа в возбуждении дела об административном правонарушении, в том числе и при проверке сообщений, заявлений, должностным лицом выносится мотивированное определение об отказе в возбуждении дела об административном правонарушении (ч. 5 ст. 28.1 КоАП РФ). Иная форма отказа законом не предусмотрена.
2. Согласно разъяснениям Конституционного Суда РФ в Постановлении от 30.03.2021 № 9-П отказ в возбуждении дела, вынесенный в иной форме (не в виде определения об отказе в возбуждении дела об административном правонарушении), может быть оспорен и признан незаконным по мотиву несоответствия его формы требованию ч. 5 ст. 28.1 КоАП РФ и предполагает удовлетворение требования о признании его незаконным в случае, если будет установлено несоблюдение формы отказа.
3. Кассационный суд постановил:
- судебные акты первой и апелляционной инстанций отменить;
- выраженный в письме Роскомнадзора отказ в возбуждении дела об административном правонарушении признать незаконным;
- обязать Роскомнадзор рассмотреть заявление в установленном порядке.
#практика
👍21❤10
28 января в день защиты персональных данных проведем онлайн-конференцию Privacy Forum 2026.
Что ждёт участников:
🔹Выступление представителя ФГУП "ГРЧЦ" Екатерины Ефимовой
🔹Панельные дискуссии с инхаус экспертами из крупных компаний и внешними консультантами
🔹Секции по актуальным темам:
1. Изменения в законодательстве о персональных данных
2. Биометрия в системе персональных данных
3. Персональные данные в маркетинге и продажах
4. Обработка персональных данных в кадровых процессах
5. Легализация персональных данных в службах безопасности
6. Разделение функций DPO и отдела ИБ
Среди спикеров Privacy Forum 2026 представители
ФГУП ГРЧЦ, Управления ИБ ДИТ г. Москвы, ЦБТ, Сбера, Авито, ГК «ГАРДА», Wildberries, ТБанка, Городисский и партнеры, АЛРУД, RTM Group и других крупных компаний.
Формат: онлайн
Дата и время: 28.01 с 10:00 - 16:00 по мск
Организатор: юридическая компания Lukash & Partners
Участие бесплатно, необходима регистрация
📧 Если вы эксперт в сфере data privacy и хотите поделиться своим опытом со слушателями и коллегами, напишите нам на электронную почту info@lukash.partners.
Что ждёт участников:
🔹Выступление представителя ФГУП "ГРЧЦ" Екатерины Ефимовой
🔹Панельные дискуссии с инхаус экспертами из крупных компаний и внешними консультантами
🔹Секции по актуальным темам:
1. Изменения в законодательстве о персональных данных
2. Биометрия в системе персональных данных
3. Персональные данные в маркетинге и продажах
4. Обработка персональных данных в кадровых процессах
5. Легализация персональных данных в службах безопасности
6. Разделение функций DPO и отдела ИБ
Среди спикеров Privacy Forum 2026 представители
ФГУП ГРЧЦ, Управления ИБ ДИТ г. Москвы, ЦБТ, Сбера, Авито, ГК «ГАРДА», Wildberries, ТБанка, Городисский и партнеры, АЛРУД, RTM Group и других крупных компаний.
Формат: онлайн
Дата и время: 28.01 с 10:00 - 16:00 по мск
Организатор: юридическая компания Lukash & Partners
Участие бесплатно, необходима регистрация
📧 Если вы эксперт в сфере data privacy и хотите поделиться своим опытом со слушателями и коллегами, напишите нам на электронную почту info@lukash.partners.
🔥20❤10👌1