🇫🇷 Во Франции биржу труда оштрафовали на €5 млн за взлом ее базы данных
🔸Национальная комиссия Франции по информационным технологиям и гражданским свободам (CNIL) оштрафовала национальную биржу труда на €5 млн за потерю данных клиентов в результате хакерской атаки. Об этом сообщается на сайте регулятора.
🔸"Расследование CNIL показало, что технические и организационные меры, принятые для обеспечения безопасности обрабатываемых персональных данных, были неадекватными. В результате ограниченный комитет CNIL наложил на FRANCE TRAVAIL (организация, выполняющая функции биржи труда - прим. ТАСС) штраф в размере €5 млн, учитывая пренебрежение основными принципами безопасности, количество затронутых лиц, а также объем и конфиденциальность обрабатываемых данных", - говорится в заявлении.
🔸По информации регулятора, в результате хакерской атаки были похищены личные данные всех соискателей, зарегистрированных на бирже за последние 20 лет, включая номера соцстраховки, адреса и контактные данные. При этом злоумышленники смогли получить доступ к базе данных при помощи "методов социальной инженерии", выманив данные об учетных записях у консультантов организаций, ответственных за обеспечение занятости людей с ограниченными возможностями. Как отмечает регулятор, столь масштабная утечка произошла в том числе и потому, что у консультантов этой службы был доступ к личным данным людей, которых они не курировали.

👁 Дайджест | 📱 TG | 📱 MAX

🏦 Банки перестали общаться с клиентами в Telegram и WhatsApp, но в MAX перешли не все
🔸Max использует для обслуживания клиентов пока только один из 35 ведущих розничных банков, следует из исследования цифрового клиентского опыта в банках Naumen, SDI360, DMGlobal и «Сравни».
🔸При этом банки перестали использовать для этого Telegram и WhatsApp (принадлежит Meta, которая признана в России экстремистской организацией и запрещена) из-за законодательных ограничений.
🔸Исследование также показало, что большинство банков отвечают пользователям в соцсети «ВКонтакте» и по e-mail, однако быстрее всего вопросы решаются в чатах в приложениях банков.

👁 Дайджест | 📱 TG | 📱 MAX

🇺🇸 Google выплатит $135 млн по иску о сборе данных Android-устройств
🔸Компания Google согласилась на предварительное мировое соглашение на сумму 135 миллионов долларов по коллективному иску, в котором ее обвинили в сборе персональных данных с телефонов Android без надлежащего согласия пользователей.
🔸Иск был подан пользователями Android, которые обвинили корпорацию в сборе их данных без согласия. В иске утверждалось, что с 12 ноября 2017 года Google незаконно собирал сотовые данные с телефонов, купленных у операторов связи, даже когда приложения были закрыты или функции определения местоположения отключены.
🔸В соответствии с соглашением, которое еще должно быть одобрено судом, каждый участник коллективного иска может получить до 100 долларов. Google не признает нарушений, но согласился на изменения: теперь компания будет запрашивать согласие пользователя на передачу данных в процессе настройки нового телефона и добавит переключатель для простого отключения этой функции.
🔸Это уже второе крупное мировое соглашение Google на этой неделе: 26 января компания также согласилась на выплату 68 миллионов долларов по иску, связанному с обвинениями в несанкционированной записи разговоров помощником Google Assistant. Слушания по первоначальному иску о сборе данных назначены на 5 августа, но предварительное урегулирование может разрешить дело до этой даты.

👁 Дайджест | 📱 TG | 📱 MAX

🇺🇸 Власти США ведут расследование заявлений о доступе сотрудников WhatsApp к переписке пользователей
🔸Американские правоохранительные органы ведут расследование утверждений о том, что персонал экстремистской Meta имел доступ к «защищённым сквозным шифрованием» сообщениям пользователей принадлежащего ей сервиса WhatsApp, основанием для расследования послужили данные от подрядчиков компании.
🔸Meta утверждает, что WhatsApp обеспечивает сквозное шифрование переписки, и что сообщения в мессенджере доступны лишь отправителям и адресатам.
🔸Как следует из материалов расследования агентов Минторга США и данных анонимного источника, с которыми ознакомилось агентство, бывшие подрядчики Meta утверждают, что некоторые сотрудники компании имели неограниченный доступ к сообщениям WhatsApp.

👁 Дайджест | 📱 TG | 📱 MAX

🇷🇺👨‍💻🔥 #пд #privacy #нпа #инициативы #регулирование
Обновление в "Альманахе" Privacy Advocates дайджеста значимых событий за предыдущие 2 недели, влияющих на регулирование персональных данных в РФ.

Проекты федеральных законов:
🔸Законопроект об обязательном информировании абонентов об автоматизированных вызовах
🔸Законопроект о корректировке правил доступа на объекты (СКУД) с использованием биометрии
🔸Законопроект о дополнении ст.272.1 УК РФ понятием «автоматизированная обработка»

Проекты ведомственных и иных актов:
🔸Минюст подготовил проект об обработке биометрии лиц, содержащихся в СИЗО

Правоприменительная практика:
🔸Безруков взыскал с белгородки 200 тысяч компенсации за продажу масок с его портретом
🔸В Краснодаре с банка «Уралсиб» в пользу вкладчика взыскано ₽46 млн за действия бывшей сотрудницы, которая передала злоумышленникам данные вкладчика
🔸Роскомнадзор зафиксировал снижение числа утечек персональных данных в 2025 году
🔸Компании удалось добиться замены штрафа на предупреждение после хакерской атаки и утечки данных

Инициативы и события:
🔸МФО обсуждают с ЦБ альтернативные пути для работы с обязательной биометрией
🔸Ассоциация больших данных (АБД) направила в Минцифры свои предложения относительно регулирования ИИ-технологий

Информационные и аналитические материалы:
🔸Презентация Алексея Мунтяна о ретроспективе комплаенса персональных данных в 2025г. и о перспективах на 2026-2028гг.
🔸Ассоциация больших данных (АБД) совместно с IT-компанией HFLabs и Privacy Advocates представила аналитический доклад «Технологии защищенной обработки данных. Обезличивание»

👁 Дайджест | 📱 TG | 📱 MAX

🔥🧙‍♂️Можно ли сжечь на костре за «прайваси-физику»? Алексей Мунтян (управляющий партнёр Privacy Advocates) надеется, что нет, потому что сегодня он хочет поделиться с вами довольно смелой теорией о корпускулярно-волновом дуализме персональных данных, замысел которой был обозначен Алексеем в мае 2024 года.

🤔 О чем вообще речь?

🪪 Представьте, что законы о персональных данных (все эти галочки «Я согласен») написаны для мира, где информация — это физический предмет, как кирпич или письмо в конверте. Если затереть на конверте имя (анонимизировать), то никто не узнает, чье оно. Это «ньютоновская механика» — старый, понятный мир.

✨Но мы живем в цифровом мире. Здесь данные ведут себя не как кирпичи, а как свет или волна в квантовой физике. Они могут быть в двух местах одновременно, менять свои свойства в зависимости от того, кто на них смотрит, и мгновенно связываться друг с другом.

💡Автор статьи попытался собрать разрозненные мысли научного сообщества в единую Тензорную теорию регулирования обработки персональных данных, которая предлагает перестать безуспешно обновлять аналоговые законы и мучить людей бесконечной дачей согласий на обработку их данных. Вместо этого может применяться цифровая автоматика регулирования оборота данных, работающая по законам физики и математики:
1️⃣ Она взвешивает данные по «массе» (уникальность и чувствительность.
2️⃣ Смотрит на «скорость» их циркуляции и использования.
3️⃣ Сверяет различные «направления» (цели и контекст) использования данных.

⚖️ Если риск (импульс) использования данных слишком велик или направление не совпадает — система просто не даст обработать данные. Это превращает защиту приватности из бюрократии в точную науку.

🤓 Что дальше?

⏳Введение тензорного регулирования и проектирование алгоритмов автоматизированного регулирования оборота данных требует пересмотра не только законов, но разработку соответствующей методологии и стандартов. В последующих статьях Алексей более подробно рассмотрит и опишет возможные пути по их реализации.

📖 Алексей заранее просит прощения у адептов классического подхода — статья может показаться провокационной. Но если вам интересно, как соединить физику и право для решения проблем будущего, приглашаем к чтению статьи Алексея Мунтяна «Квантовая механика информационной приватности: Корпускулярно-волновой дуализм персональных данных и тензорная теория регулирования».

👁 Дайджест | 📱 TG | 📱 MAX

👁 Учитывая большое количество откликов и общий резонанс от статьи Алексея Мунтяна, он вчера дополнил свой материал описанием предстоящего пути:
1️⃣ теоретическая основа✅
2️⃣ онтология📝
3️⃣ методология⏳
4️⃣ дизайн алгоритма⏳
5️⃣ проектирование автоматизированной системы⏳

💡Если есть желающие присоединиться к Алексею на этом пути, напишите — он будет очень рад единомышленникам🙂

👁 Дайджест | 📱 TG | 📱 MAX

🫠 Объем утечек данных из российских сервисов за год увеличился в полтора раза
🔸За год в открытом доступе появились базы данных 230 российских организаций, что почти вдвое меньше, чем годом ранее, однако общий объем скомпрометированных записей клиентов увеличился в полтора раза — до 767 млн строк.
🔸Основной массив данных при этом пришелся на четыре государственных сервиса. Специалисты по кибербезопасности отмечают, что критическую угрозу теперь формирует не количество новых инцидентов, а совокупный объем данных, который позволяет киберпреступникам дополнять цифровые портреты жертв и повышать эффективность атак.

👁 Дайджест | 📱 TG | 📱 MAX

⚖️ 🔥 ВС РФ: Ошибка подрядчика не спасает оператора от штрафа за утечку
🔸Верховный Суд РФ поставил точку в споре о том, несет ли заказчик ответственность за утечку, произошедшую на стороне подрядчика. Спойлер: несет.

📂 Суть дела: Минтруд РФ был оштрафован на ₽100 тыс. по ч.1 ст.13.11 КоАП РФ. Инцидент произошел еще в ноябре 2023 года: в сеть утекли данные сотрудников Министерства и их родственников.

🛡Позиция защиты: Минтруд пытался доказать невиновность, ссылаясь на то, что утечка произошла из-за взлома инфраструктуры подрядной организации, которая не обеспечила должную защиту.

📄ВС РФ в постановлении от 21.01.2026 №5-АД25-119-К2 оставил штраф в силе, отвергнув доводы Министерства:
🔸Статус оператора ПД обязывает принимать организационные и технические меры защиты. Передача обработки или инфраструктуры подрядчику не снимает ответственности с заказчика.
🔸Минтруд не уведомил Роскомнадзор об инциденте самостоятельно. Факт утечки был подтвержден Министерством только после запроса от надзорного органа. Это стало отягчающим обстоятельством, указывающим на бездействие.
🔸Суд отметил, что в материалах дела нет доказательств того, что Министерство осуществляло внутренний контроль или аудит соответствия обработки ПД требованиям закона (ст.ст. статей 18.1, 19, 22.1 152-ФЗ).

👁 Дайджест | 📱 TG | 📱 MAX

🇺🇿 Утечку личных данных 15 млн граждан расследуют в Узбекистане
🔸В Сеть могли попасть персональные данные свыше 15 млн граждан, включая паспортные номера, ФИО, адреса и телефоны. Скомпрометированным оказался главный OAuth-сервер системы электронного правительства (E-Gov). В результате, по предварительным данным, утечка затронула системы госучреждений, университетов, банков и МВД.
🔸Центр кибербезопасности республики изучает сообщения об утечке личных данных узбекистанцев. Проводится проверка. Ранее на заседании правительства Казахстана прозвучало предложение ввести уголовную ответственность за массовую утечку персональных данных.

👁 Дайджест | 📱 TG | 📱 MAX

🏛️ В 2025г. было обновлено Положение о государственном контроле (надзоре) за обработкой ПД (ПП РФ от 29.06.2021 № 1046)
🔸Риск-ориентированный подход разделения организаций и ИП (как операторов ПД) на категории в зависимости от тяжести возможных последствий из-за нарушения требований к обработке ПД остался неизменным. Сочетание тяжести и вероятности даёт одну из 5 категорий риска — высокая, значительная, средняя, умеренная, низкая.
🔸Содержание групп вероятности было обновлено в соответствии с актуальной редакцией статей 13.11, 13.11.2, 13.11.3 КоАП РФ. В группу тяжести "А" (самую высокую) теперь входит обработка ПД на основании согласия субъекта ПД в случаях, если федеральным законом не предусмотрена обязанность получения такого согласия.
🔸Плановые контрольно-надзорные мероприятия (проверка раз в два года либо ежегодный обязательный профвизит) проводятся только в отношении объектов высокого риска.
🔸Без плановых проверок в принципе обойдутся объекты контроля категории значительного, среднего, умеренного или низкого риска, но для них предусмотрены обязательные профвизиты для:
1️⃣ значительного риска – не более одного обязательного профвизита в 3 года;
2️⃣ среднего риска – не более одного обязательного профвизита в 5 года;
3️⃣ умеренного риска – не более одного обязательного профвизита в 6 лет;
4️⃣ низкого риска – обязательных профвизитов не предусмотрено.
😉 Как увеличить свои шансы на профвизит?Ведите деятельность в финансово-кредитном секторе, в сфере жилищно-коммунального хозяйства, медицины, образования, туризма или интернет-магазинов, платформ дистанционной торговли в сети «Интернет» (маркетплейсы), оказывать интеллектуальные услуги (юридические, маркетинговые (рекламные), консалтинговые) или услуги по доставке товаров.
⚡Проверить уже присвоенную некоторым объектам контроля категорию риска можно в Едином реестре видов контроля.

👁 Дайджест | 📱 TG | 📱 MAX

👮‍♂️Сотрудники МВД России задержали в Волгограде обвиняемого в неправомерном распространении персональных данных
🔸Сотрудниками Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России в одном из популярных мессенджеров выявлен сервис по так называемому пробиву и продаже «под заказ» охраняемой законом компьютерной информации.
🔸«Посредством данного канала за денежное вознаграждение клиентам предоставлялись сведения о гражданах Российской Федерации из баз данных операторов связи, банков, государственных органов и коммерческих организаций. По имеющейся информации, незаконный доход мог превышать сто тысяч рублей в день.
🔸Следователем СУ УМВД России по г. Волгограду возбуждено уголовное дело по признакам преступления, предусмотренного частью третьей статьи 272.1 Уголовного кодекса Российской Федерации. Задержанному владельцу и администратору канала предъявлено обвинение в инкриминируемом деянии и избрана мера пресечения в виде заключения под стражу. Предварительное расследование продолжается», – сообщила официальный представитель МВД России Ирина Волк.

👁 Дайджест | 📱 TG | 📱 MAX

🏛️ В Госдуму внесли проект о противодействии сталкингу
🔸Авторы инициативы предлагают установить отдельный федеральный закон «О противодействии навязчивому преследованию». Законопроектом вводятся понятия «навязчивое преследование», «охранный ордер», «преследователь», «лицо, подвергнутое навязчивому преследованию».
🔸Под определением навязчивое преследование понимается систематическая слежка, попытки контакта, отправка подарков, использование персональных данных жертвы для заказов, корреспонденции.
🔸Сейчас в КоАП РФ нет отдельной статьи о навязчивом преследовании, а действующие положения не охватывают всех форм сталкинга и позволяют вводить запрет на приближение только в рамках уголовного дела. Предлагается ввести механизм охранных ордеров – они установят для сталкера запрет на приближение к жертве, на контакты с ней и пр. Преследователя могут привлечь к уголовной ответственности за продолжение сталкинга.

👁 Дайджест | 📱 TG | 📱 MAX

⚖️ Верховный суд признал неправомерным использование образов, созданных ИИ, в политической агитации
🔸Верховный суд России признал неправомерным использование в политической агитации изображений людей, сгенерированных нейросетями. То есть не конкретных граждан, а неких образов, созданных искусственным интеллектом. Ориентиром для практики должно стать дело из Челябинской области, где коммунисты использовали в ходе избирательной кампании листовки, нарисованные искусственным интеллектом. На листовке была изображена счастливая семья.
🔸Суд первой инстанции тогда поддержал коммунистов. Однако Второй апелляционный суд общей юрисдикции, наоборот, согласился с избиркомом.
🔸"В гражданском законодательстве понятие "физическое лицо" не содержится. Однако из положений статей 17, 19, 21 Гражданского кодекса Российской Федерации можно сделать вывод, что под ним понимается любой человек, выступающий в качестве субъекта гражданских правоотношений и наделенный правами и обязанностями, обладающий правоспособностью и дееспособностью", - сказано в апелляционном определении Судебной коллегии по административным делам Второго апелляционного суда общей юрисдикции.
🔸Также апелляционная инстанция сослалась на правовые позиции Конституционного суда России, который в одном из своих определений указал: установленное специальное регулирование предвыборной агитации направлено прежде всего на то, чтобы не допустить возможность формирования у избирателей искаженного представления о кандидате, а также на обеспечение равенства прав кандидатов и защиту прав и интересов граждан, не являющихся кандидатами.
🔸Проще говоря, у людей пытались вызвать живые эмоции с помощью неживых картинок. "В качестве требований к изображениям людей, сгенерированным с помощью нейросетей, в агитационном материале являлось формирование положительных образов, призванных вызвать симпатию у избирателей (например, образ рабочего завода должен передавать силу, надежность, образ молодого предпринимателя - позитивный настрой и деловитость, образ учителя - доброжелательность и профессионализм)", - говорится в материалах дела. Второй апелляционный суд счел, что это незаконно. Верховный суд России согласился с такой правовой позицией.

👁 Дайджест | 📱 TG | 📱 MAX

🇺🇿 Сенат Узбекистана одобрил закон об адаптации правил персональных данных для поддержки международных онлайн-платежей
🔸В ходе обсуждения отмечалось, что в Узбекистане растет число программистов-фрилансеров, работающих на международных электронных платформах и продающих свои программные продукты и цифровой контент иностранным клиентам.
🔸На некоторых популярных платформах платежи производятся банковскими картами или банковскими переводами, однако такие сервисы, как Upwork, Fiverr, Envato и Storyblocks, принимают оплату только через PayPal. В то же время карты, выпущенные в Узбекистане, полностью не поддерживаются в системе PayPal из-за требования хранить информацию о персональных данных исключительно на территории страны, что закреплено законодательством, в частности Законом «О персональных данных». Это ограничивает доступ международных платежных систем на узбекский рынок.
🔸Вносимые изменения устраняют данные ограничения, создавая условия для работы международных онлайн-платежных систем, ускоряя развитие финтеха, электронной коммерции и цифровой экономики, а также обеспечивая законные и прозрачные механизмы оплаты для фрилансеров.

👁 Дайджест | 📱 TG | 📱 MAX

🇰🇿 Биометрическую аутентификацию в Казахстане будут проходить по-другому при получении банковских услуг
🔸Проектом постановления Национального банка вносятся изменения и дополнения в некоторые постановления по вопросам платежей и платежных услуг. В частности, предусматривается:
1️⃣ исключение упрощенной идентификации владельца электронных денег;
2️⃣ закрепление применения биометрической аутентификации через Центр обмена идентификационными данными при оказании банками электронных банковских услуг с учетом интересов лиц с инвалидностью;
3️⃣ уточняются требования к защите персональных данных и безопасности электронных услуг.

👁 Дайджест | 📱 TG | 📱 MAX

⚖️ В Новосибирске хакера-таксиста осудят за мошенничество с оформлением поездок
🔸Дзержинский райсуд Новосибирска рассмотрит уголовное дело в отношении таксиста за аферы с перевозками. Ему вменяют мошенничество (ч. 1 ст. 159.6 УК РФ), использование программ для нейтрализации средств компьютерной защиты (ч. 2 ст. 273 УК РФ) и неправомерном доступе к охраняемой компьютерной информации (ч. 2 ст. 272 УК), сообщает прокуратура региона.
🔸По версии следствия, с 2022-го по 2024 год фигурант дела для получения стимулирующих выплат водителей такси использовал вредоносные ПО. Таким образом он обходил алгоритмы защиты и регистрировал аккаунты водителей, используя поддельные документы с персональными данными третьих лиц и с собственным фото.
🔸Хакер создавал фиктивные заказы поездок по всей России, которые фактически не выполнял. Ущерб следствие оценивает более чем в 2 млн руб.

👁 Дайджест | 📱 TG | 📱 MAX

⚖️ Ответственность за неуведомление о трансграничной передаче ПД по ч.10 ст.13.11 КоАП РФ

📂 Организация занималась отправкой несовершеннолетних на обучение в Великобританию. В июне 2025 года в рамках исполнения договора оператор направил принимающей стороне (британскому учебному центру) персональные данные 9 детей.
🔸В ходе прокурорской проверки было установлено, что оператор не направил уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу до начала такой деятельности, как того требует ч. 3-4 ст. 12 ФЗ-152 «О персональных данных».

👨‍⚖️ Арбитражный суд Республики Башкортостан (решение от 08.09.2025 по делу № А07-27941/2025) признал директора виновным в совершении административного правонарушения по ч.10 ст.13.11 КоАП РФ. Однако, принимая во внимание первичность нарушения и отсутствие отягчающих обстоятельств, суд применил положения ст.4.1.1 КоАП РФ и заменил административный штраф на предупреждение.

🔎 Проблема правовой квалификации: директору вменили ч.10 ст.13.11 КоАП РФ («Невыполнение обязанности... по уведомлению уполномоченного органа... о намерении осуществлять обработку персональных данных»). Однако с юридической точки зрения здесь наблюдается коллизия:
🔸Неподача уведомления о трансграничной передаче (ст.12 ФЗ-152), которое законодательно отделено от уведомления о начале обработки (ст.22 ФЗ-152).
🔸Формально непредоставление сведений в госорган образует состав ст.19.7 КоАП РФ. Санкции по этой статье значительно ниже, а срок давности короче.
⚠️Тем не менее, практика идет по пути расширительного толкования: надзорные органы приравнивают нарушение порядка уведомления о трансграничной передаче к нарушению общего порядка уведомления об обработке, применяя более строгую статью 13.11 КоАП.

👁 Дайджест | 📱 TG | 📱 MAX

⚡Законопроект о дополнении ст.272.1 УК РФ понятием «автоматизированная обработка» (в целях борьбы с дипфейками), возвращён инициаторам профильным комитетом ГД по причине отсутствия необходимого заключения Правительства РФ перед внесением.
⚠️ Стоит отметить, что хотя файл с решением был загружен в карточку законопроекта №1133088-8, но фактически речь идет о решении комитета ГД по законопроекту №1042238-8 "О внесении изменений в статьи 40 и 101 Федерального закона «Об исполнительном производстве» и статьи 3 и 4 Федерального закона «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации»".

👁 Дайджест | 📱 TG | 📱 MAX