🐉 Ноябрь продолжает радовать нас! Представляем дайджест актуальных мероприятий от RPPA.pro:

1️⃣ Вторая АМА-сессия с Александром Тюлькановым ждёт участников клуба AIG!

📎Онлайн: 26 ноября, 18:00

2️⃣ Клуб Cloud&Telecom проведёт свою первую встречу в этом году и предметно обсудит роли облачных провайдеров в обработке персональных данных

📎 Оффлайн. Мск: 27 ноября, 19:00

3️⃣ Приглашаем всех на мастер-класс "Поручение на обработку ПД"!

📌 Оффлайн. Мск + платно: 28 ноября в 14:30

4️⃣ Прозвучит финальный аккорд года, Privacy Kitchen

📌 Оффлайн. СПб + платно: 28 ноября в 19:00

RPPA.pro | RPPAedu.pro | CC

💬Коллеги позвали в папку про IT и технологии

📌Что внутри:

🔺ИИ (куда без него?): промпты, обзоры, кейсы
🔺IT и разработка
🔺Технологии и инновации
🔺Дизайн и продукты

🐉Privacy: Ситуация - ты владелец канала 10 000+ и тебе надо получить заветную А+

ЧАСТЬ 1: Про роли

📌Я про эту историю и ее продолжение

💬Сразу выводы, для обсуждения в комментах:
 
🟡Ты оператор, Администратор бота оператор, ТГ обработчик, доступ к данным твоего канала у всех троих

❓Администратор бота Trust Channel, КТО?! Telegram - не владелец бота. Мои мысли в комментах

🟡Свыше данных администраторов и владельцев канала (номер телефона), ничего в бот передаваться не должно (согласно юр. дизайну)

🟡Бот имеет права Добавление подписчиков и Изменение профиля канала

🟡Поэтому бот имеет доступ к количеству подписчиков, в теории может иметь технический доступ к составу аудитории, но требуется поисследовать
 
📕А теперь пояснения для тех, кто дочитал до этого момента:
 
🟡Создаешь канал в ТГ, используеешь инфру ТГ и условия ТГ, но цели то твои (привет, оператор), а ТГ можно рассматривать как обработчика

Telegram Privacy Policy 3.3.1

Telegram is a cloud service. We store messages, photos, videos and documents from your cloud chats on our servers so that you can access your data from any of your devices anytime without having to rely on third-party backups
 

 
🟡логика облачных хранилищ проста – провайдер не отвечает за состав данных и является обработчиком, к слову, опровержений этому я не нашла в тексте политики
 
🟡У нас появляется сущность РКН и некий Администратор чат-бота (кто определяет цели обработки, средства обработки и объем данных, а также выступает в роли Developer в рамках терминологии Telegram) и является оператором, который используют инфру нашего общего обработчика Telegram
 
🟡Посмотрим, что про это говорит все та же Privacy Policy
 
6.4. Bots Are Not Maintained by Telegram. The terms of use for certain bots are set by Telegram. No other bots or third-party bot developers are affiliated with Telegram. They are completely independent from us. They should ask you for your permission before they access your data or you make it available to them.
Your usage of the Bot and Mini App features is governed by the Terms of Service for Bots and the Terms of Services for Mini Apps, respectively.
 
⭐️Здесь можно сделать вывод: что бот создан и управляется Администратором, не относящимся к ТГ (это следует из Политики Телеграмм, которая первична, ибо используется именно инфра ТГ), при этом взаимоотношения Администратора и РКН неизвестны!

⭐️Вывод: однозначно доступ к данным есть у разработчика в лице Администратора бота, серый доступ мб у ТГ, но это некритично, тк сам канал в их инфре уже и что-то нового ТГ не узнает😊
 
🟡Идем далее, смотрим общую Политику ПД бота от ТГ (на нее есть ссылка из бота)
 
2.2. Policy governs solely the relationship between Developer and User. It cannot and does not regulate the relationship between Telegram and its users, nor does it supersede the Telegram Privacy Policy.
 
🟡А здесь про тот самый «серый доступ» ТГ как обработчика
 
7. Rights and Obligations 7.1. Telegram may: (a) delete data sent from User to Third-Party Servicefrom its servers in response to abuse of Platform by either User or Developer. This deletion may include sent messages, mini app cloud storage, the entire chat with Third-Party Service, or Third-Party Service itself as the case may be;
 
ЧАСТЬ 2: про доступ
 
RPPA.pro | RPPAedu.pro

🐉Privacy: Ситуация - ты владелец канала 10 000+ и тебе надо получить заветную А+

ЧАСТЬ 2: Про доступ к данным

🟡Идем в пользовательское соглашение бота
 

1.3. Бот обладает следующими функциональным характеристиками:
1.3.1. Передает данные о канале, администраторах и владельцах канала, их номерах телефонов, номере заявки в программный комплекс Уполномоченного государственного органа;
 
3.2. Перечень персональных данных Пользователя, которые могут обрабатываться при использовании Бота:
3.2.1. Номер телефона;
3.5. Приняв настоящее Соглашение, Пользователь предоставляет свое согласие на то, что Администратор вправе:
- осуществлять самостоятельно обработку персональных данных Пользователя;
- предоставлять персональные данные Пользователя Уполномоченному государственному органу в целях исполнения применимого законодательства.

 
⭐️Еще один вывод: согласно официальной Политике бота, свыше данных владельца канала, ничего в бот передаваться не должно
 
🟡Идем дальше: а есть ли скрытые пасхалки? В этом нам поможет инструкция бота, кстати там есть полезные скрины с пользовательским путем
 

Добавить бот @trustchannelbot в администраторы регистрируемого канала и выдать следующие права: - Добавление участников канала.

 
⭐️Вывод: бот имеет права Добавление подписчиков и Изменение профиля канала
 
🟡Исследуем дальше, что значат эти права
 
Изменение профиля
 
Админ с этим правом может:

🔘менять название канала;
🔘менять аватар/картинку канала;
🔘менять описание (bio);
🔘менять @username / ссылку канала;
🔘в некоторых случаях — включать/отключать отдельные флаги в настройках (например, ограничение копирования контента).

То есть это контроль над “витриной”: как канал выглядит и под каким именем/ссылкой существует.
 
Добавление подписчиков
 
Админ/бот с этим правом может:

🔘приглашать людей в канал и добавлять их в подписчики (из контактов / списка пользователей);
🔘в общем случае — делать это даже если канал приватный (тогда приглашение идёт через прямое добавление/инвайт);
🔘иметь технический доступ к составу аудитории (в связке с другими правами / API-логикой
 
Источник: описание админ прав от ТГ и код Дурова, но нигде в официальных источниках конкретная расшифровка этому праву не дана.
                       
Кстати, есть митигирующий контроль

Recent Admin Actions
 
When multiple admins are working with one group, it’s easy to get confused about which admin did what and when (or which admin bot has gone Skynet on your members). That’s why we've added a “Recent Actions” section to the admins page.This section stores a log of all service actions taken in the group in the last 48 hours and is visible to admins only.

 
☕️На десерт:
 
🟡Из открытой документации и обёрток к Telegram Bot API следует:
 

Есть метод getChatMembersCount / getChatMemberCount, позволяющий боту получить количество участников чата/канала. 
Метод getChatMember для получения информации о конкретном участнике гарантированно работает по другим пользователям только если бот является администратором чата. 

 
☀️В сумме это означает: как только бот становится админом (а право «добавление подписчиков» — часть набора админ-прав), он получает API-доступ к данным об аудитории: размер, статус конкретных участников и т.п. Это и есть «технический доступ».

Источник: hachage и вот еще

Думы и мысли приветствуются👇вопрос, есть ли доступ к конкретным спискам участников канала для меня пока открыт.

ЧАСТЬ 1: про роли

RPPA.pro | RPPAedu.pro

😎 🐉 Privacy: Есть работа, а человек?

🟡Юрист по персональным данным в крупную компанию

🟡Юрисконсульт в практику "Информационные технологии и защита данных" в ООО ЦПО ГРУПП

RPPA.pro | RPPAedu.pro

😎💫Privacy Engineering: Что сервисы знают о нас на самом деле?

📱Автор: Елизавета Дмитриева

Что знает о нас мобильное приложение или сайт, где можно что-то купить?

Мы заполняем много форм: профиль, заказ, сообщение в поддержку, комментарий. Если разрешили доступ к геоданным — приложение периодически собирает геопозицию. Дали доступ к фото или контактам — получит и их.

Почти каждый сайт собирает куки и каждое наше нажатие запоминается вместе с моделью устройства, браузером, состоянием сети и размером экрана. Вроде бы и всё.

Если вы отвечаете за этот сервис как DPO — удовлетворены ли вы таким списком? Вряд ли. Давайте разбираться, какие данные бывают и где они лежат.

Данные активного сбора

Что это такое? Это всё, что пользователь ввёл и что записалось в базы.

Смотреть нужно не только интерфейс, но и сами базы данных: адрес может храниться строкой, координатами, а также быть разложен в таблице из десятков атрибутов — район, дом, домофон, квартира и т.п.

Данные о взаимодействии с приложением

Весь поток действий — клики, скроллы, открытие экранов, переходы. Этот поток называют clickstream.

Сборщики событий превращают любое действие в event: имя (например, открытие экрана), параметры (когда, где, какой экран), атрибуты устройства и пользователя.

Несколько заходов в приложение с покупками — это тысячи событий в аналитике.

Так разработчики узнают, что вы третий раз не можете добавить товар в корзину. Исправят ли — другой вопрос =)

Данные от третьих лиц

То, что компания получает извне: рекламные партнёры, банки, маркетинговые сети.

Контрагенты, которые собирают о вас информацию из разных источников и строят характеристики потребителя — чтобы точнее таргетировать рекламу или предложить условия рассрочки.

📈Генерация вторичных данных

Данные, которые генерируются в процессе работы сервиса: сколько денег вы приносите компании, как вас описать как покупателя, какой у вас доход, что вы любите и что вам предложить.

И всё это — даже если вы оставили только телефон при регистрации и адрес доставки.

Чтобы путь бесстрашного DPO-исследователя был менее тернист, а общение с технарями — уверенным и спокойным, мы подготовили образовательный продукт Privacy Engineering. В нём мы говорим про корпоративную ИТ-архитектуру, сбор и извлечение данных из систем, показываем, как делать инвентаризацию данных.

RPPA.pro | RPPAedu.pro | Privacy Engineering

😎Привет, дорогой друг! Подходит к началу момент, когда подойдет и сам конец года, а мы предлагаем поговорить о том, как 2025 прошёл в privacy-мире.

📌26.12.2025 в 16:00 мы соберемся онлайн для того, чтобы обсудить наиболее актуальные проблемы, с которыми мы и вы столкнулись за прошедший год.

⭐️Вместе мы обсудим запросы и обращения, уведомления и публикации, взаимодействие с коллегами, новыми технологиями и даже бюджетами.

❓Вопросы можно и нужно заранее направить в анонимной форме по ссылке, мы выберем самые интересные!

⭐️Записываем в календари, ссылка на ZOOM будет чуть позже🔥

RPPA.pro | RPPAedu.pro | CC

🐉Privacy: Будни DPO - Руководитель в поле + моя интерпретация дизайна

🟡Пара спорных мыслей, в воскресном формате

❓Вопрос: кто в компании знает о всех БП и потоках данных?

ЧАСТЬ 1

RPPA.pro | RPPAedu.pro | DPO

📱Cybersecurity: Наши партнеры из КОД ИБ уже на этой неделе проводят аналитическую конференцию по кибербезопасности Код ИБ ИТОГИ

⭐️Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее. Опытом поделятся практики из ведущих компаний: VK, Яндекс, СберТех, Билайн, Газпромбанк, СОГАЗ, Почта России и др.

✏️ В программе 3 дискуссии (CISO говорят, БОССЫ кибербеза говорят, Стартапы говорят), 6 тематических сессий, посвященных защите данных, инфраструктуре, анализу защищенности, безопасной разработке, процессам и культуре безопасности в целом.

☕️Кроме того, организаторы обещают зоны со стендами ИБ-компаний, новогодние угощения и розыгрыши подарков.

📎 Когда: 4 декабря | Начало в 9:30
📌 Где: Москва, Palmira Business Club

Участие бесплатное для руководителей и специалистов по ИБ и ИТ.

🔜 Регистрация на сайте.

🆕🤜 AI: БАТТЛ "АВТОРЫ vs ИИ" в рамках сообщества AIG by RPPA.pro на площадке Лаборатории цифрового развития

🔥 Готовы повторить интеллектуальный поединок? (а о первом можно почитать здесь)
Рады анонсировать второй и новогодний спецбаттл "Авторы против ИИ" 💛

📌 Когда: 24 декабря, 18:00 (мск)
📌 Где: Москва, офис ЛЦР

💬 Что обсудим?

🔘 Обучение ИИ = нарушение или нет? Где заканчивается fair use и начинается копирование?
🔘 Охрана контента ИИ: ИИ как инструмент или новый соавтор?

🌟 Что вас ждет?

🔘 два динамических раунда
🔘 две команды экспертов
🔘 острые кейсы мира AI & IP
🔘 провокационные вопросы модератора
🔘 жюри, которое не простит слабых аргументов
🔘 настоящий баттл характеров, позиций и концепций
🔘 а по завершению - приятный нетворкинг!

👇 Регистрация здесь (места ограничены)

❗️С собой берем паспорт❗️

RPPA.pro | RPPAedu.pro | AI Governance

🐉Privacy: Будни DPO - про конструктор политики и согласий

🟡продолжила наши наработки вот и здесь еще, эх, хорошая была идея

🟡Верифицировала по труду Алексея

🟡спасибо коллегам РКН за понятный визуал

🟡Также на вход пошли: ст. 9, 10, 14, 18 152ФЗ, Приказ 18 РКН по согласию на распространение и любимка регламент

ЧАСТЬ 2

RPPA.pro | RPPAedu.pro | DPO