🇪🇺🇺🇸 Соблюдение требований регулятора ЕС к поисковикам ведёт к деанонимизации пользователей – Google
🔸Выполнение требования делиться данными со сторонними компаниями, предъявленного Еврокомиссией к Google, приведёт к деанономизации пользователей – смоделировав соблюдение требования, специалисты компании за два часа смогли идентифицировать личности пользователей.
🔸Ранее Еврокомиссия предложила Google поделиться своими поисковыми данными со сторонними поисковиками – на предмет соблюдения европейского закона о цифровых рынках (DMA). В частности, от Google требуют открыть доступ к данным о ранжировании, запросах, кликах и просмотрах «на честных, разумных и недискриминационных условиях».
🔸В Google инициативу Еврокомиссии посчитали перегибом, ставящим под угрозу сохранение в тайне сведений о пользователях и их безопасность. Европейские регуляторы вынесут окончательное решение по мерам в отношении Google 27 июля. Отказ от выполнения требований ЕС грозит компании оборотным штрафом.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

🎮 РКН против игровых гигантов: локализация данных или блокировка

⚖️С начала 2026 года Роскомнадзор подал не менее 7 исков к зарубежным игровым компаниям за отказ хранить персональные данные российских игроков на серверах в РФ. Среди фигурантов дел — издатели Sims, Battlefield, GTA и Red Dead Redemption.

📋В апреле суд признал виновными Electronic Arts, Take-Two Interactive, Battlestate Games и NetEase — каждой назначен штраф по ₽2 млн. по ч.8 ст.13.11 КоАП РФ.

⏳По трём делам — Epic Games, Digital Extremes и Embracer Group — заседания назначены на первую половину мая.

⚙️Когда пользователь из России регистрируется в игре, компания начинает собирать его данные, в т.ч. IP-адрес, email, платёжные реквизиты. Согласно ч.5 ст.18 152-ФЗ всё это должно храниться и акутализироваться исключительно на территории РФ.

⚠️Главный риск — не штрафы, а блокировки:
Зарубежные компании, как правило, штрафы не платят. Следующий шаг РКН — требование устранить нарушение и блокировка доменов и аккаунт-сервисов. Прецедент уже есть: именно так произошло с Roblox.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

🏛️Минцифры подготовило проект постановления об упрощении процедуры обезличивания ПД
🔸Персональные данные (ПД), обезличивание которых заключается в подготовке на их основе статистических показателей, могут передаваться в ГИС по обработке обезличенных данных без использования специального ПО и без системы межведомственного электронного взаимодействия (СМЭВ), сказано в опубликованном Минцифры для обсуждения проекте постановления правительства.
🔸Оператор ПД может в этих случаях использовать собственное ПО, но должен информировать Минцифры о «применяемых параметрах» обезличивания.
🔸Предусматривается возможность группировки обезличенных ПД «по определённому признаку». Такой признак может быть фактически любым, следует из пояснительной записки к документу, в частности, обезличенные ПД могут привязываться к месту их сбора. Оговаривается только условие: последующая обработка таких данных не должна позволить идентифицировать того, кому ПД принадлежат.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

🇰🇿 Реестр скомпрометированных персональных данных появится в Казахстане
🔸Депутаты Мажилиса на пленарном заседании 6 мая 2026 года одобрили в первом чтении проект закона, которым ужесточаются требования по защите персональных данных граждан. Такие нормы включены в законопроект по вопросам цифровизации, дорожной безопасности и предпринимательской деятельности в сфере подготовки водителей.
🔸Для крупных операторов, работающих с большими массивами информации, а также для операторов, обрабатывающих данные ограниченного доступа, будут установлены более высокие требования по защите и обработке персональных данных. Таким образом, внедряется риск-ориентированная модель регулирования в сфере персональных данных.
🔸Также законопроектом вводится реестр скомпрометированных персональных данных. Таким образом, в рамках государственной информационной системы каждый гражданин сможет проверить, какие его персональные данные могли оказаться в открытом доступе в результате утечек. Это позволит людям своевременно принимать меры по защите своих данных.
🔸Документом еще усиливаются требования к защите персональных данных при их публикации и обмене. В частности, вводятся требования по маскированию и шифрованию персональных данных. Это касается тех случаев, когда публикация документов в открытом доступе является обязательной. Например, судебных решений или документов, связанных с государственными закупками.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

⚡Роскомнадзор (РКН) не планирует блокировку в России Battlefield, FIFA и других популярных иностранных видеоигр, поскольку для этого нет оснований, сообщили журналистам в ведомстве.
🔸«В связи с появившимися сообщениями, не соответствующими действительности, информируем, что никаких оснований для блокировки упомянутых в сообщениях игр в настоящее время не усматривается. Планов блокировки этих игр нет», — заявили в РКН.
🔸В ведомстве также призвали не распространять фейковую информацию и проверять информацию в РКН.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

⚖️ Суд назначил предупреждение Орион Телеком по ч.13 ст.13.11 КоАП за утечку персональных данных
⚡08.05.2026 Арбитражный суд Иркутской области назначил административное предупреждение в отношении ООО «Орион Телеком» (г. Иркутск), допустившего утечку персональных данных, в рамках дела № А19-25808/2025.
🔍 Напомним, что в апреле 2026 года мы уже разбирали дело А27-23786/2025 в отношении ООО «Комлайн» - дочерней структуры той же ГК «Орион Телеком». Тогда суд также назначил компании предупреждение (с учётом статуса МСП и первичности нарушения) по ч.12 ст.13.11 КоАП в связи с утечкой данных 4 225 абонентов.
💡Группа «Орион Телеком» последовательно получает предупреждения - и «дочка», и теперь материнская структура. Оба раза статус МСП и первичность нарушения позволили избежать штрафа до 3 млн руб. Ожидаем мотивировочную часть решения - разберём детали.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

🇪🇺🇷🇺 Голландскую дочку "Яндекса" оштрафовали в ЕС за передачу данных в РФ
🔸Управление по защите персональных данных Нидерландов (AP) совместно с норвежскими и финскими коллегами наложило штраф в размере 100 млн евро на компанию MLU BV, управляющую приложением для заказа такси Yango в Европе. По утверждению надзорного ведомства, эта компания, входящая в российскую группу "Яндекс" и зарегистрированная в Нидерландах, передавала персональные данные пользователей Yango из Норвегии и Финляндии в Россию без надлежащих мер безопасности.
🔸AP вело расследование с конца 2023 года совместно с регуляторами Норвегии и Финляндии. В ходе него выяснилось, что приложение собирало и хранило на серверах в России "значительный объем персональных данных" как клиентов, так и водителей такси, включая конфиденциальные данные. Речь идет, в частности, о сканах водительских прав, домашних адресах, контактных данных, номерах счетов, точных местоположениях, информации о поездках, изображениях, содержании чатов и номерах социального страхования.
🔸"В России персональные данные защищены не так хорошо, как в Европе. Это означает, что российское правительство потенциально может получить доступ к этим данным, - заявил председатель AP Алейд Волфсен. - Именно поэтому конфиденциальные данные как клиентов, так и водителей должны были быть лучше защищены, особенно учитывая отсутствие в России независимого органа по защите персональных данных. Мы обнаружили, что это не было сделано должным образом, и это серьезно".
🔸Согласно европейским правилам, персональные данные могут передаваться за пределы Европейского Союза только при условии обеспечения эквивалентного уровня защиты.
🔸Размер штрафа, наложенного на MLU, рассчитан исходя из годового оборота материнской структуры - в 2024 году выручка "Яндекса" превысила 12 млрд евро. Помимо штрафа, MLU обязали немедленно прекратить передачу персональных данных европейских пользователей Yango в Россию.
🔸В компании заявили, что планируют обжаловать штраф. По словам представителей MLU, она соблюдала "все необходимые меры защиты в соответствии с европейским законодательством" и хранила личные данные на территории ЕС в зашифрованном виде. Там также отметили, что Yango не работает в Норвегии и Финляндии с 2025 года.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

🏛️ Владельцев сайтов избавили от контроля за маркировкой ИИ-контента
🔸Онлайн-ресурсы не будут контролировать маркировку контента, созданного с применением нейросетей. Такая обязанность содержалась в законопроекте об использовании искусственного интеллекта, но исчезла из новой версии документа.
🔸В прежней говорилось, что онлайн-площадки должны проверять наличие маркировки, а в случае ее отсутствия удалять такой контент. Но инструментов, позволяющих массово и точно выявлять применение ИИ, не существует, указали эксперты. Снятие требования о проверке снизит нагрузку на бизнес, считают в правительстве.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

🫆С первого июня в России стартует эксперимент по проходу на борт самолёта без паспорта
🔸Пилотный проект реализует Группа «Аэрофлот» в аэропортах Шереметьево и Пулково на рейсах по маршруту Москва - Санкт‑Петербург – Москва. Идентификация пассажиров будет проходить с помощью Единой биометрической системы (ЕБС) и Единой системы идентификации и аутентификации (ЕСИА).
🔸Технология предусматривает автоматическое сканирование лица через турникеты, оснащённые специальным биометрическим оборудованием. Это позволит ускорить и упростить процессы: регистрации; предполетного досмотра; посадки на рейс.
🔸Сдать биометрические данные можно будет непосредственно в аэропорту Шереметьево — процедура займёт не более 10 минут. После снятия регуляторных ограничений и запуска программно‑аппаратного комплекса в промышленную эксплуатацию пассажиры смогут проходить все предполетные процедуры без предъявления паспорта и посадочного талона.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

💡Открыт Call for Papers на Standoff Talks

Коллеги, продолжаем делиться деталями предстоящего мероприятия по кибербитве. 18 и 19 июня на площадке «Кибердома» состоится митап Standoff Talks. Продолжается прием заявок для спикеров (CFP).

Если у вас есть профильная экспертиза и релевантный опыт, которым стоит поделиться с профессиональным сообществом, алгоритм участия следующий:

➡️ Определите тему (ваш доклад должен строго соответствовать заявленной проблематике).
➡️ Выберите формат — предусмотрены слоты на 15 или 40 минут.
➡️ Направьте заявку сегодня. Организаторы вернутся с обратной связью и дальнейшими инструкциями не позднее 20 мая.

Для тех, кто планирует посетить мероприятие в качестве слушателя: информация о старте регистрации будет опубликована отдельно, рекомендуем следить за обновлениями в канале.

В ближайшее время тема практической кибербезопасности и кибербитв будет занимать еще больше места в нашей повестке. Остаемся на связи. 🔐

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

🇰🇿 Казахстан обновил правила уведомления об утечке персональных данных

🏛️Приказом Министерства ИИ и цифрового развития от 30 апреля 2026 года утверждены новые правила оповещения граждан о нарушениях безопасности персональных данных. Вступают в силу с 12 июля 2026 года.

⏱ В течение 1 рабочего дня с момента обнаружения утечки владелец или оператор базы данных обязан уведомить уполномоченный орган — с указанием контактов ответственного лица, принятых мер и данных пострадавших (ФИО, ИИН, номер телефона).

⚡ В течение 3 часов центры кибербезопасности обязаны оповестить уполномоченный орган, если они сами обнаружили инцидент.

📲 Как узнает гражданин: оператор «цифрового правительства» направит уведомление через личный кабинет на eGov, мобильное приложение или SMS на номер телефона.

📋 В уведомлении будут указаны возможные риски для прав граждан и рекомендации по защите своих данных.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

⚖️ "АИДА интернэшнл" (AIDA International) и "Интернэшнл трейнинг" (International Training) оштрафованы на ₽6 млн каждая за нелокализованные данные россиян
🔸Мировой судья судебного участка № 422 Таганского района Москвы оштрафовал две иностранные компании - Международную ассоциацию развития фридайвинга "АИДА интернэшнл" (AIDA International) и "Интернэшнл трейнинг" (International Training) - на ₽6 млн каждую по ч.9 ст.13.11 КоАП РФ (повторное нарушение требования о локализации данных российских пользователей на территории России).

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

💜🇺🇿 Wildberries запустила в Узбекистане портал о персональных данных
🔸Компания Wildberries запустила в Узбекистане специализированный информационный портал, посвящённый вопросам обработки и защиты персональных данных пользователей. Новый ресурс призван повысить уровень информированности клиентов о принципах работы с конфиденциальной информацией.
🔸Портал предоставляет пользователям возможность в понятной форме ознакомиться с тем, как компания обрабатывает персональные данные в Узбекистане, а также какие инструменты контроля за информацией доступны клиентам сервиса.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

⚖️ Предупреждение Орион Телеком по ч.13 ст.13.11 КоАП за утечку: разбираем позицию суда

📌 Как обещали в посте по резолютивной части, изучили мотивировочную часть решения АС Иркутской области от 12.05.2026 по делу № А19-25808/2025: ч.13 ст.13.11 КоАП РФ, 36 544 субъекта ПД, утечка опубликована в Telegram-канале 29.07.2025. Рассмотрим ключевые позиции суда:

1️⃣ Дата правонарушения = дата публикации базы (29.07.2025 21:55), а не дата проникновения в инфраструктуру. При этом защита Орион Телеком настаивала, что первая активность хакеров - 30.05.2025, то есть до вступления в силу ч.13 ст.13.11 КоАП РФ (введена 420-ФЗ). Суд отверг: состав материальный, правонарушение окончено в момент неправомерной передачи информации.

2️⃣ Статус потерпевшего по уголовному делу не освобождает от админответственности.
В рамках объединённого дела № 12501040048126361 расследуются преступления по ч.1 ст.272, ч.1 ст.273 и ч.1 ст.272.1 УК РФ, в котором Орион Телеком - потерпевший. Но ст.272.1 УК криминализирует действия злоумышленников, а ст.13.11 КоАП - невыполнение оператором обязанностей по защите ПД. Составы разграничены (та же логика, что и в делах Комлайн и ПКР Аналитика, но противоположная решению по делу РЖД).

3️⃣ Отказ в судебной экспертизе о степени вины, т.к. вопрос носит правовой характер, определение вины - компетенция суда, а не эксперта.

4️⃣ Отчёт BI.ZONE снова сыграл против оператора (как и в деле Комлайн):
🔸 учётка уволенного в 2022 году сотрудника активна, пароль не менялся с 2019;
🔸 группа fullsudo - повышение привилегий до root без ввода пароля;
🔸 ПО с критическими уязвимостями;
🔸 root-пароль уязвим к словарной атаке;
🔸 проникновение 30.05.2025, обнаружение - только 12.06.2025 при падении системы.

5️⃣ Замена штрафа на предупреждение по ст.4.1.1 КоАП РФ.
Несмотря на санкцию ч.13 ст.13.11 - от 5 до 10 млн ₽, суд учёл статус МСП и первичность нарушения. Отдельно отверг довод Роскомнадзора о неприменимости ст.4.1.1 вне ФЗ № 248-ФЗ: "процедура выявления факта правонарушения не относится к обстоятельствам, учитываемым при назначении наказания", иное нарушало бы принцип равенства всех перед законом (ст.1.4 КоАП). В деле Комлайн суд учёл систематические инвестиции в инфобез, а здесь наоборот - мотивировка предупреждения построена исключительно на статусе МСП и первичности, никакого зачёта мер защиты нет.

💡И материнский Орион Телеком (ч.13), и дочерний Комлайн (ч.12) получили предупреждения за один инцидент. Совокупная санкционная вилка - до 13 млн ₽, фактически - 0 ₽. Но защитный эффект статуса МСП разовый, т.к. при повторе замены на предупреждение уже не будет.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

🫆 ЦБ отложил введение наказаний для МФК за неиспользование биометрии
🔸Банк России скорректировал требования к микрофинансовым компаниям (МФК), которые были обязаны с 1 марта обслуживать клиентов при выдаче онлайн-займов с использованием биометрии. Регулятор не будет наказывать компании за нарушение этой нормы до 1 января 2027 года. Благодаря поблажке ЦБ по итогам года рынок сможет показать рост выдач на 10–15%, в то время как ранее не исключалось их снижение.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

⚖️ Разработчик игр Embracer оштрафован на ₽1 млн за нелокализацию данных россиян
🔸Мировой судья судебного участка № 422 Таганского района Москвы оштрафовал Embracer Group AB на ₽1 млн по ч.8 ст.13.11 КоАП РФ (нарушение требования о локализации данных российских пользователей на территории РФ).
🔸Embracer Group - шведский видеоигровой и медиахолдинг, который владеет 55 студиями разработчиков компьютерных игр в 30 странах и правами на такие популярные компьютерные франшизы, как "Властелин колец", Kingdom Come: Deliverance, Tomb Raider, Metro, Dead Island, Killing Floor и др. Кроме того, компания занималась разработкой шутеров Remnant 2, World War Z, Metro.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

🇷🇺👨‍💻🔥 #пд #privacy #нпа #инициативы #регулирование #дайджест
Обновление в «Альманахе» Privacy Advocates дайджеста значимых событий за предыдущие 2 недели, влияющих на регулирование персональных данных в РФ.

Проекты федеральных законов:
🔸Законопроект об ИИ: владельцев сайтов освободили от обязанности контролировать маркировку ИИ-контента

Проекты постановлений Правительства:
🔸Проект постановления Минцифры об упрощении процедуры обезличивания ПД

Правоприменительная практика:
🔸РКН против игровых гигантов: EA, Take-Two, NetEase и другие оштрафованы за нелокализацию - блокировок пока нет
🔸Суд назначил предупреждение ООО «Орион Телеком» (Иркутск) по ч.13 ст.13.11 КоАП за утечку ПД
🔸Голландская дочка «Яндекса» (MLU BV / Yango) оштрафована на €100 млн в ЕС за трансграничную передачу данных в Россию

Инициативы и события:
🔸С 1 июня в России стартует эксперимент по проходу на борт самолёта без паспорта — по биометрии (Шереметьево, Пулково)

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

Май - время апдейта ИБ-ленты. Выбрал топ-каналы: практические кейсы, регуляторные обзоры и экспертные мнения от практиков с большим бэкграундом.

Свежее на май
Сохрани папку - подпишись на профи.

Следующий релиз через месяц.

👋👋👉
➡️ [Майский ТОП-ИБ каналов]

🏛️ Минюст предложил передавать данные о психрасстройствах освобожденных заключенных
🔸Минюст предложил изменить порядок медицинского сопровождения людей, находящихся под стражей или отбывающих наказание в виде лишения свободы. Разработанный ведомством проект приказа предусматривает передачу сведений о психическом состоянии заключенных в гражданские медучреждения после их освобождения или изменения меры пресечения.
Речь идет о пациентах, находящихся под диспансерным наблюдением из-за психических расстройств, а также расстройств поведения, связанных с употреблением психоактивных веществ.
🔸Согласно проекту документа, медицинские организации уголовно-исполнительной системы (УИС) должны будут направлять выписной эпикриз и иные сведения о состоянии здоровья пациента в профильные медицинские учреждения по месту его жительства или пребывания. Фактически речь идет о выстраивании механизма преемственности между пенитенциарной и гражданской медициной.
🔸При изменении меры пресечения с заключения под стражу на более мягкую документы должны быть отправлены после получения соответствующего решения следователя, дознавателя или суда. Проект также устанавливает сроки передачи информации – в течение пяти рабочих дней при изменении меры пресечения, условно-досрочном освобождении или замене наказания, а при окончании срока наказания – не менее чем за 30 дней до освобождения.

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК

⚡Бизнес выступил против объединения обезличенных данных в госозере
🔸Бизнес подверг критике проект постановления правительства, согласно которому позволяется обогащать обезличенные дата-сеты, которые Минцифры запрашивает у компаний. Об этом говорится в отзыве АБД (объединяет «Яндекс», VK, «Сбер», Газпромбанк, Т-Банк, Россельхозбанк, «Ростелеком», Билайн, МТС, ВТБ, «Авито», HeadHunter, Точка Банк, Аналитический центр при правительстве, Центр стратегических разработок).
🔸Проект постановления правительства «фактически возлагает на бизнес обязанность» по обезличиванию исключительно с использованием собственного софта, указывают в АБД, добавляя, что не все компании могут располагать таким ПО. АБД предлагает отложить вступление в силу новых требований хотя бы до 1 марта или до 1 сентября 2027 года, чтобы бизнес мог подготовиться.
🔸Кроме того, АБД обращает внимание на то, что есть риски деобезличивания данных, которые бизнес передает в «госозеро», если их обогащать статистическими показателями. «Предложенная формулировка допускает возможность объединения обезличенных данных с иными массивами информации, что существенно повышает риски повторной идентификации субъектов персональных данных. При этом риски деобезличивания оценивает сам орган, формирующий составы данных», — подчеркнули в ассоциации.
🔸В АБД считают, что нужно создать регламент оценки риска повторной идентификации при объединении уже обезличенных данных с другой информацией, а также уточнить перечень возможной информации для объединения: «Это позволит создать дополнительные гарантии прав граждан на неприкосновенность их частной жизни, а также ограничат возможные злоупотреблении».

👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК