🐉Privacy. А мы продолжаем новости с полей IAPP, День 2!

⚡️Автор: Юрий Стифоров

⭐️Панель с обсуждением получения согласий пользователей для профайлинга. Участвовал DPC Ирландии.

1️⃣Для adtech, бигдаты - legitimate interest скорее мертв, чем жив. DPIA почти всегда покажет высокий риск. Регулятор указывает на significant impact на пользователя, но что это такое объяснить толково не может. В гайдлайнах это не зафиксировано, на практике это фактический запрет.

2️⃣Отдельно обсуждали форму куки ноутисов. Практики жаловались, что баннеры больше не работают: если даешь общую информацию - недостаточное уведомление, если даешь все детали и перечисляешь всех процессоров - сложно и не понятно пользователю. Layering не работает. Все пришло к тому, что многие юзеры на автомате кликают Reject all и бизнес лишается важного канала аналитики. Регулятор говорит, что все идет к стандартным и однообразным шаблонам куки ноутисов.

3️⃣Новый ужастик - тотальный запрет GPS-геолокации. После нескольких громких кейсов все идет к тому, что согласия не будет достаточно для обработки.

🌟Еще из интересного, что удалось послушать:

1️⃣Дела Bindl v Commission и Philippe Latombe v European Commission – бомба замедленного действия. Все очень активно следят, чем закончатся дела. Ключевых вопроса два и они непосредственно связаны друг с другом:

🟡Если суд отклонит позицию Facebook в апелляции по делу Биндла, это может задеть текущие трансферы данных из ЕС в США на основании положений SCC, и вместе с тем...

🟡Если суд удовлетворит апелляцию Лятома и признает текущий EU-US Data Privacy Framework не обеспечивающим надлежащую защиту (читай Schrems номер 3)...
То получится неприятная ситуация, и будет полностью заблочена любая легальная возможность передачи данных из Европы в Штаты. Запасаемся попкорном.

2️⃣Казалось бы, бизнес должен приветствовать Privacy Omnibus, но на трех панелях, в которых удалось принять участие, спикеры отзывались о «GDPR 2.0» без восторгов. Говорят, что проблема не в чрезмерных или запутанных требованиях, а в их применении. Что каждый местный регулятор трактует концепции по-своему, а помощи EDPB не дождешься. Нужен не тюнинг GDPR, а активная работа регуляторов с бизнесом, единые подходы к пониманию требований.

3️⃣Будущее за внедрением экосистемы диджитал комплаенса в компаниях. Можно сколько угодно внедрять GDPR контроли, но в отрыве от других регуляций и актов – DSA, DMA, AI Act, Data Act, не получится построить качественный и легальный продукт. Построение такой экосистемы невозможно без сильного DPO, который будет выстраивать культуру комплаенса и постоянно общаться с С-левел, разработкой, встраивать контроли на этапе стратегии, а не разработки, и тем более не деплоя.

RPPA.pro | RPPAedu.pro

💬Друзья, я лично субъективно, и при этом ни в коей мере не сговариваясь ни с кем, заметила (только я одна), что появилось несколько (2) случая в соседних каналах некоего обесценивания нашей с вами профессии - прайвасистов

📌А здесь мысли некоторые:

🟡о таких кейсах мне сообщаете вы, я знаю, что вас это задевает

🟡основные мысли подобных постов: мы неэффективны, кушаем выручку, не принося пользы, душим классные активности типа парсинга чатов в тг, мы юридические снобы и тд

🟡за всю свою проф карьеру я такого флешмоба не припоминаю, хотя следила очень активно за соседними пабликами - ой это утверждение сильно резануло, поэтому его больше нет (флешмоб то был в комментах к постам, а они все еще есть;)

❓И здесь вопрос, что нам делать лучше? Ведь коллеги выражают свое мнение и наблюдения, особенно аргументированные, за что я их и уважаю.

⏪Возможно, причина в бренде Privacy.
⏪А еще мы настолько ушли в себя, что забыли поработать над нашим внешним считыванием, как минимум, для коллег из других стримов

👇Предлагаю обсудить в приятном настроение выходного дня: обещаю, здесь будет безопасно!

Текст исправленного поста (ведь я учитываю ваше мнение, прислушивайтесь и вы к мнениям коллег;)

🐉Privacy: коллега-адвокат собирает базу по штрафам и поделился подборкой свежих решений по 13.11 КоАП РФ

Telegram Messenger Inc. — штраф за отказ удалить персональные данные (А40-220569/2025)
Суд признал невыполнение требования РКН об удалении ПДн по ч. 5 ст. 13.11 и оштрафовал Telegram на 50 000 руб., подтвердив возможность привлечения иностранных платформ. Кейс усиливает тенденцию: «не удалил — значит, нарушил».

Газпромбанк — нарушение прав субъекта ПДн (А40-261232/2025)
Банк дал неполный ответ на запрос субъекта и пропустил срок — квалификация по ч. 4 ст. 13.11, штраф 40 000 руб. Суд подчёркивает: отсутствие информации в ответе = нарушение, даже если письмо отправлено вовремя.

РЖД — утечка данных 17 млн сотрудников (А40-263206/2025)
Суд указал: оператор отвечает за утечку, даже если «взлом не установлен»; штраф 150 000 руб. по ч. 1 ст. 13.11. Укрепляется презумпция вины оператора при массовых утечках — декларации о безопасности не спасают.

Otzovik.com — «звёздочки» вместо персональных данных (А40-236948/2025)
Суд подтвердил: частично замаскированные данные не позволяют установить личность и потому не являются персональными данными. Кейс важен для всех площадок UGC — не всё, что похоже на ПДн, реально ПДн.

СПб АППО им. Ушинского — политика ПДн «в кладовке» (А56-72349/2025)
Политика обработки ПДн отсутствовала на страницах сайта, где шёл сбор ПДн, и не отражала использование Яндекс.Метрики — штраф 30 000 руб. по ч. 3 ст. 13.11. Суд подтвердил: политика должна быть доступной, корректной и полной, иначе ответственность неизбежна.

🔍Что действительно происходит, когда мы вводим URL и нажимаем Enter?

Большинство считают, что браузер «просто открывает сайт».

Но на самом деле под капотом запускается целая цепочка процессов: операционная система, сетевой стек, протоколы доставки и серверные механизмы.

Разберём это 10 шагах ниже:

1️⃣Система фиксирует ввод
Передаёт введённую ссылку браузеру.

2️⃣Браузер разбирает адрес
Определяет протокол, домен, порт и путь.

3️⃣DNS ищет IP

Браузер задает вопрос специальному сервису: «Где находится example.com?»
В ответ получает IP-адрес.

4️⃣Определяются порт и протокол

Это позволит понять, как именно подключаться к сайту.
Например: протокол HTTPS, порт 443

5️⃣ Маршрутизация и NAT

Роутер подменяет серый IP на белый и отправляет запрос в интернет.

6️⃣Установление TCP-соединения

Чтобы подключиться для получения информации, браузер и сайт обмениваются трёхсторонним рукопожатием:
SYN → SYN-ACK → ACK.

7️⃣Проверка HTTPS-сертификата

Браузер убеждается, что сайт настоящий и соединение безопасно.

8️⃣Формирование HTTP-запроса

Браузер говорит сайту, что именно он хочет, и рассказывает, как он это будет отображать:
GET/POST + заголовки + cookies → на сервер.

9️⃣Обработка запроса сервером

Сервер обрабатывает запрос и отдает ответ:
Nginx/Apache → backend → база данных → формирует ответ.

🔟Рендеринг страницы

Браузер получает ответ, интерпретирует его и показывает пользователю:
HTML/JS/CSS → загружает ресурсы → отображает интерфейс.


Level UP:IT: РЕГИСТРАЦИЯ

RPPA.pro | RPPAedu.pro

😎🐉 Cloud Computing & Telecom Club by RPPA.pro ⛅️🌎

📌 Cloud Computing & Telecom Club проводит первую закрытую встречу в этом году, посвящённую роли облачных провайдеров в обработке персональных данных.

⚡️ На встрече 27 ноября участники клуба обсудят, в частности:

1️⃣ Критерии определения роли.

2️⃣ Корреляцию роли с сегментом бизнеса (b2c, b2b).

3️⃣ Институты сооператорства и субобработки.

4️⃣ Кейсы, когда обработки данных в облаке нет.

5️⃣ Как быть, если роль de facto расходится с ролью de jure.

6️⃣ Когда обработчик может превратиться в оператора.

7️⃣ Какие законодательные требования распространяются на обработчика.

8️⃣ Какова роль облачного провайдера, оказывающего услуги в странах, где нет концепции "controller-processor".

🎁 По итогам мероприятия будут опубликованы полезные материалы.

❗️Если вы тоже сопровождаете проекты по персональным данным в сфере Cloud/Telecom, вступайте в наш клуб. Заявку на вступление можно направить Дмитрию Прохоренко @dmtry_pro

RPPA.pro | RPPAedu.pro | CC

😎🆕Уже в эту пятницу будет наш мастер-класс по поручению! Мы его ранее уже анонсировали :)

📌Какие у нас есть новости:

🟡В начале мастер-класса к нам присоединится Алексей Мунтян, который даст свое напутственное слово и расскажет общую позицию по поручению, через призму которой вы сможете посмотреть на поручение

🟡Наши прекрасные преподаватели, Елизавета и Руслан Чепурины, подготовили 80+ слайдов детальных материалов по поручению

И напоминаем основные даты:

📱Когда: 28 ноября в 14:30

☀️Стоимость: 15 000 рублей

💌Формат: оффлайн. Г. Москва, офис компании "ВкусВилл"

Программа и регистрация на нашем сайте

Будем тебя ждать❤️

RPPAedu.pro | PPCP.pro | Чат | 152ФЗ

🐉 Ноябрь продолжает радовать нас! Представляем дайджест актуальных мероприятий от RPPA.pro:

1️⃣ Вторая АМА-сессия с Александром Тюлькановым ждёт участников клуба AIG!

📎Онлайн: 26 ноября, 18:00

2️⃣ Клуб Cloud&Telecom проведёт свою первую встречу в этом году и предметно обсудит роли облачных провайдеров в обработке персональных данных

📎 Оффлайн. Мск: 27 ноября, 19:00

3️⃣ Приглашаем всех на мастер-класс "Поручение на обработку ПД"!

📌 Оффлайн. Мск + платно: 28 ноября в 14:30

4️⃣ Прозвучит финальный аккорд года, Privacy Kitchen

📌 Оффлайн. СПб + платно: 28 ноября в 19:00

RPPA.pro | RPPAedu.pro | CC

💬Коллеги позвали в папку про IT и технологии

📌Что внутри:

🔺ИИ (куда без него?): промпты, обзоры, кейсы
🔺IT и разработка
🔺Технологии и инновации
🔺Дизайн и продукты

🐉Privacy: Ситуация - ты владелец канала 10 000+ и тебе надо получить заветную А+

ЧАСТЬ 1: Про роли

📌Я про эту историю и ее продолжение

💬Сразу выводы, для обсуждения в комментах:
 
🟡Ты оператор, Администратор бота оператор, ТГ обработчик, доступ к данным твоего канала у всех троих

❓Администратор бота Trust Channel, КТО?! Telegram - не владелец бота. Мои мысли в комментах

🟡Свыше данных администраторов и владельцев канала (номер телефона), ничего в бот передаваться не должно (согласно юр. дизайну)

🟡Бот имеет права Добавление подписчиков и Изменение профиля канала

🟡Поэтому бот имеет доступ к количеству подписчиков, в теории может иметь технический доступ к составу аудитории, но требуется поисследовать
 
📕А теперь пояснения для тех, кто дочитал до этого момента:
 
🟡Создаешь канал в ТГ, используеешь инфру ТГ и условия ТГ, но цели то твои (привет, оператор), а ТГ можно рассматривать как обработчика

Telegram Privacy Policy 3.3.1

Telegram is a cloud service. We store messages, photos, videos and documents from your cloud chats on our servers so that you can access your data from any of your devices anytime without having to rely on third-party backups
 

 
🟡логика облачных хранилищ проста – провайдер не отвечает за состав данных и является обработчиком, к слову, опровержений этому я не нашла в тексте политики
 
🟡У нас появляется сущность РКН и некий Администратор чат-бота (кто определяет цели обработки, средства обработки и объем данных, а также выступает в роли Developer в рамках терминологии Telegram) и является оператором, который используют инфру нашего общего обработчика Telegram
 
🟡Посмотрим, что про это говорит все та же Privacy Policy
 
6.4. Bots Are Not Maintained by Telegram. The terms of use for certain bots are set by Telegram. No other bots or third-party bot developers are affiliated with Telegram. They are completely independent from us. They should ask you for your permission before they access your data or you make it available to them.
Your usage of the Bot and Mini App features is governed by the Terms of Service for Bots and the Terms of Services for Mini Apps, respectively.
 
⭐️Здесь можно сделать вывод: что бот создан и управляется Администратором, не относящимся к ТГ (это следует из Политики Телеграмм, которая первична, ибо используется именно инфра ТГ), при этом взаимоотношения Администратора и РКН неизвестны!

⭐️Вывод: однозначно доступ к данным есть у разработчика в лице Администратора бота, серый доступ мб у ТГ, но это некритично, тк сам канал в их инфре уже и что-то нового ТГ не узнает😊
 
🟡Идем далее, смотрим общую Политику ПД бота от ТГ (на нее есть ссылка из бота)
 
2.2. Policy governs solely the relationship between Developer and User. It cannot and does not regulate the relationship between Telegram and its users, nor does it supersede the Telegram Privacy Policy.
 
🟡А здесь про тот самый «серый доступ» ТГ как обработчика
 
7. Rights and Obligations 7.1. Telegram may: (a) delete data sent from User to Third-Party Servicefrom its servers in response to abuse of Platform by either User or Developer. This deletion may include sent messages, mini app cloud storage, the entire chat with Third-Party Service, or Third-Party Service itself as the case may be;
 
ЧАСТЬ 2: про доступ
 
RPPA.pro | RPPAedu.pro

🐉Privacy: Ситуация - ты владелец канала 10 000+ и тебе надо получить заветную А+

ЧАСТЬ 2: Про доступ к данным

🟡Идем в пользовательское соглашение бота
 

1.3. Бот обладает следующими функциональным характеристиками:
1.3.1. Передает данные о канале, администраторах и владельцах канала, их номерах телефонов, номере заявки в программный комплекс Уполномоченного государственного органа;
 
3.2. Перечень персональных данных Пользователя, которые могут обрабатываться при использовании Бота:
3.2.1. Номер телефона;
3.5. Приняв настоящее Соглашение, Пользователь предоставляет свое согласие на то, что Администратор вправе:
- осуществлять самостоятельно обработку персональных данных Пользователя;
- предоставлять персональные данные Пользователя Уполномоченному государственному органу в целях исполнения применимого законодательства.

 
⭐️Еще один вывод: согласно официальной Политике бота, свыше данных владельца канала, ничего в бот передаваться не должно
 
🟡Идем дальше: а есть ли скрытые пасхалки? В этом нам поможет инструкция бота, кстати там есть полезные скрины с пользовательским путем
 

Добавить бот @trustchannelbot в администраторы регистрируемого канала и выдать следующие права: - Добавление участников канала.

 
⭐️Вывод: бот имеет права Добавление подписчиков и Изменение профиля канала
 
🟡Исследуем дальше, что значат эти права
 
Изменение профиля
 
Админ с этим правом может:

🔘менять название канала;
🔘менять аватар/картинку канала;
🔘менять описание (bio);
🔘менять @username / ссылку канала;
🔘в некоторых случаях — включать/отключать отдельные флаги в настройках (например, ограничение копирования контента).

То есть это контроль над “витриной”: как канал выглядит и под каким именем/ссылкой существует.
 
Добавление подписчиков
 
Админ/бот с этим правом может:

🔘приглашать людей в канал и добавлять их в подписчики (из контактов / списка пользователей);
🔘в общем случае — делать это даже если канал приватный (тогда приглашение идёт через прямое добавление/инвайт);
🔘иметь технический доступ к составу аудитории (в связке с другими правами / API-логикой
 
Источник: описание админ прав от ТГ и код Дурова, но нигде в официальных источниках конкретная расшифровка этому праву не дана.
                       
Кстати, есть митигирующий контроль

Recent Admin Actions
 
When multiple admins are working with one group, it’s easy to get confused about which admin did what and when (or which admin bot has gone Skynet on your members). That’s why we've added a “Recent Actions” section to the admins page.This section stores a log of all service actions taken in the group in the last 48 hours and is visible to admins only.

 
☕️На десерт:
 
🟡Из открытой документации и обёрток к Telegram Bot API следует:
 

Есть метод getChatMembersCount / getChatMemberCount, позволяющий боту получить количество участников чата/канала. 
Метод getChatMember для получения информации о конкретном участнике гарантированно работает по другим пользователям только если бот является администратором чата. 

 
☀️В сумме это означает: как только бот становится админом (а право «добавление подписчиков» — часть набора админ-прав), он получает API-доступ к данным об аудитории: размер, статус конкретных участников и т.п. Это и есть «технический доступ».

Источник: hachage и вот еще

Думы и мысли приветствуются👇вопрос, есть ли доступ к конкретным спискам участников канала для меня пока открыт.

ЧАСТЬ 1: про роли

RPPA.pro | RPPAedu.pro

😎 🐉 Privacy: Есть работа, а человек?

🟡Юрист по персональным данным в крупную компанию

🟡Юрисконсульт в практику "Информационные технологии и защита данных" в ООО ЦПО ГРУПП

RPPA.pro | RPPAedu.pro

😎💫Privacy Engineering: Что сервисы знают о нас на самом деле?

📱Автор: Елизавета Дмитриева

Что знает о нас мобильное приложение или сайт, где можно что-то купить?

Мы заполняем много форм: профиль, заказ, сообщение в поддержку, комментарий. Если разрешили доступ к геоданным — приложение периодически собирает геопозицию. Дали доступ к фото или контактам — получит и их.

Почти каждый сайт собирает куки и каждое наше нажатие запоминается вместе с моделью устройства, браузером, состоянием сети и размером экрана. Вроде бы и всё.

Если вы отвечаете за этот сервис как DPO — удовлетворены ли вы таким списком? Вряд ли. Давайте разбираться, какие данные бывают и где они лежат.

Данные активного сбора

Что это такое? Это всё, что пользователь ввёл и что записалось в базы.

Смотреть нужно не только интерфейс, но и сами базы данных: адрес может храниться строкой, координатами, а также быть разложен в таблице из десятков атрибутов — район, дом, домофон, квартира и т.п.

Данные о взаимодействии с приложением

Весь поток действий — клики, скроллы, открытие экранов, переходы. Этот поток называют clickstream.

Сборщики событий превращают любое действие в event: имя (например, открытие экрана), параметры (когда, где, какой экран), атрибуты устройства и пользователя.

Несколько заходов в приложение с покупками — это тысячи событий в аналитике.

Так разработчики узнают, что вы третий раз не можете добавить товар в корзину. Исправят ли — другой вопрос =)

Данные от третьих лиц

То, что компания получает извне: рекламные партнёры, банки, маркетинговые сети.

Контрагенты, которые собирают о вас информацию из разных источников и строят характеристики потребителя — чтобы точнее таргетировать рекламу или предложить условия рассрочки.

📈Генерация вторичных данных

Данные, которые генерируются в процессе работы сервиса: сколько денег вы приносите компании, как вас описать как покупателя, какой у вас доход, что вы любите и что вам предложить.

И всё это — даже если вы оставили только телефон при регистрации и адрес доставки.

Чтобы путь бесстрашного DPO-исследователя был менее тернист, а общение с технарями — уверенным и спокойным, мы подготовили образовательный продукт Privacy Engineering. В нём мы говорим про корпоративную ИТ-архитектуру, сбор и извлечение данных из систем, показываем, как делать инвентаризацию данных.

RPPA.pro | RPPAedu.pro | Privacy Engineering

😎Привет, дорогой друг! Подходит к началу момент, когда подойдет и сам конец года, а мы предлагаем поговорить о том, как 2025 прошёл в privacy-мире.

📌26.12.2025 в 16:00 мы соберемся онлайн для того, чтобы обсудить наиболее актуальные проблемы, с которыми мы и вы столкнулись за прошедший год.

⭐️Вместе мы обсудим запросы и обращения, уведомления и публикации, взаимодействие с коллегами, новыми технологиями и даже бюджетами.

❓Вопросы можно и нужно заранее направить в анонимной форме по ссылке, мы выберем самые интересные!

⭐️Записываем в календари, ссылка на ZOOM будет чуть позже🔥

RPPA.pro | RPPAedu.pro | CC

🐉Privacy: Будни DPO - Руководитель в поле + моя интерпретация дизайна

🟡Пара спорных мыслей, в воскресном формате

❓Вопрос: кто в компании знает о всех БП и потоках данных?

ЧАСТЬ 1

RPPA.pro | RPPAedu.pro | DPO

📱Cybersecurity: Наши партнеры из КОД ИБ уже на этой неделе проводят аналитическую конференцию по кибербезопасности Код ИБ ИТОГИ

⭐️Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее. Опытом поделятся практики из ведущих компаний: VK, Яндекс, СберТех, Билайн, Газпромбанк, СОГАЗ, Почта России и др.

✏️ В программе 3 дискуссии (CISO говорят, БОССЫ кибербеза говорят, Стартапы говорят), 6 тематических сессий, посвященных защите данных, инфраструктуре, анализу защищенности, безопасной разработке, процессам и культуре безопасности в целом.

☕️Кроме того, организаторы обещают зоны со стендами ИБ-компаний, новогодние угощения и розыгрыши подарков.

📎 Когда: 4 декабря | Начало в 9:30
📌 Где: Москва, Palmira Business Club

Участие бесплатное для руководителей и специалистов по ИБ и ИТ.

🔜 Регистрация на сайте.

🆕🤜 AI: БАТТЛ "АВТОРЫ vs ИИ" в рамках сообщества AIG by RPPA.pro на площадке Лаборатории цифрового развития

🔥 Готовы повторить интеллектуальный поединок? (а о первом можно почитать здесь)
Рады анонсировать второй и новогодний спецбаттл "Авторы против ИИ" 💛

📌 Когда: 24 декабря, 18:00 (мск)
📌 Где: Москва, офис ЛЦР

💬 Что обсудим?

🔘 Обучение ИИ = нарушение или нет? Где заканчивается fair use и начинается копирование?
🔘 Охрана контента ИИ: ИИ как инструмент или новый соавтор?

🌟 Что вас ждет?

🔘 два динамических раунда
🔘 две команды экспертов
🔘 острые кейсы мира AI & IP
🔘 провокационные вопросы модератора
🔘 жюри, которое не простит слабых аргументов
🔘 настоящий баттл характеров, позиций и концепций
🔘 а по завершению - приятный нетворкинг!

👇 Регистрация здесь (места ограничены)

❗️С собой берем паспорт❗️

RPPA.pro | RPPAedu.pro | AI Governance