С понедельника начинаем новую жизнь

С вас — желание заняться чем-то новым, с нас — возможности и помощь 🤝🏻

5 мая стартует новый поток курса GDPR Data Privacy Professional.

GDPR DPP — это первый курс на русском языке, который охватывает все аспекты GDPR и учит применять их на практике. Наши студенты выбирают его как стартовую площадку для начала карьеры в privacy в любой юрисдикции или как способ освежить свои знания и узнать о трендах и изменениях в законодательстве.

📌 В курс входит:

🔹 54 урока, 11 тестов и 1 практический кейс,
🔹 онлайн-лекции, Q&A-сессии с тренерами, работа над итоговым проектом,
🔹 более 100 ссылок на гайды, шаблоны и публикации,
🔹 10 ключевых схем для разбора сложных вопросов.

Курс GDPR DPP прошли более 400 студентов, а треть из них продолжили свое обучение с нами.

👤 Тренер курса — Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office и просто человек-легенда в сфере privacy — делится своими глубокими знаниями, кейсами из практики и уникальными наработками. Это помогает студентам не просто «зазубрить» информацию, а вникнуть даже в самые неоднозначные аспекты.

Команда Data Privacy Office всегда рядом, чтобы поддержать ваше желание начать новую жизнь с понедельника (да и вообще с любого другого дня) 💚

Записывайтесь на курс на сайте или у нашего менеджера Антона.

#courses

Смотрим, вакансии в сфере AI&Privacy в Европе 🔍

Чего ждут работодатели и какие задачи придется выполнять?

📌 AI Governance Manager

Роль включает управление внедрением и использованием искусственного интеллекта в соответствии с законодательством, регуляторными требованиями и этическими нормами, включая EU AI Act.

Основные требования:
🔹 Высшее образование (право, госуправление, общественные науки, IT или смежные области).
🔹 Минимум 5 лет опыта в управлении AI, технологических рисках, правовых и этических вопросах.
🔹 Свободный английский язык (знание чешского или словацкого — преимущество).

Ключевые обязанности:
📎 Руководство командой в области этического и правового использования цифровых технологий.
📎 Стратегическое консультирование клиентов по управлению данными и AI.
📎 Мониторинг и анализ технологических трендов, законодательных изменений.
📎 Развитие бизнес-возможностей на локальных и международных рынках.

📌 AI Governance & Compliance Officer

AI Governance & Compliance Officer в IT. Компания является лидером в управлении сложными IT-проектами, имеет 12 подразделений по всему миру и более 2500 сотрудников в разных странах Европы.

Требования к кандидату:
🔹 Глубокое понимание технической документации и способность её анализировать.
🔹 Отличные коммуникативные навыки на английском языке.
🔹 Понимание технических аспектов ИИ.
🔹 Способность работать автономно и эффективно управлять задачами.

Основные обязанности:
📎 Анализ и составление документов по политике ИИ.
📎 Разработка отчетов по соответствию систем ИИ новым регуляциям.
📎 Проведение технических обсуждений с инженерами ИИ.
📎 Создание и проведение обучающих материалов по нормативному соответствию ИИ.

📌 (Junior) Specialist AI Regulatory Compliance
Цель компании — сделать искусственный интеллект в Европе безопасным и надежным.

Требования к кандидату:
🔹 Высшее образование в области права, гуманитарных или технических наук с правовым уклоном.
🔹 Базовые знания и интерес к ИИ-технологиям (опыт в области качества ИИ, комплаенса и технического права будет преимуществом).
🔹Аналитические способности и внимание к деталям.
🔹 Знание немецкого и английского языков на уровне C1.

Основные обязанности:
📎 Разработка стандартов и нормативных требований для процессов сертификации ИИ.
📎 Анализ AI Act и отраслевых регуляторных требований, их практическое применение.
📎 Участие в исследовательских проектах по тестированию и оценке качества ИИ.

📌 AI Privacy Specialist, Workplace Trust: Privacy, AI, and Risk, Workplace Trust
Специалист будет отвечать за внедрение защиты персональных данных в глобальном масштабе через работу с сотрудниками, кандидатами и временными работниками.

Требования к кандидату:
🔹 Опыт в области защиты персональных данных, науки о данных или управления рисками.
🔹 Степень бакалавра или эквивалентный опыт.
🔹 Знание GDPR, CCPA и новых регуляций в области ИИ.
🔹 Желательно: опыт в privacy engineering, технических проверках конфиденциальности, разработке ПО или data science.
🔹 Навыки программирования (Python, PHP, Java, C/C++).

Основные обязанности:
📎 Проверка приложений Amazon и сторонних ИИ-приложений на соответствие глобальным требованиям приватности.
📎 Консультирование по вопросам снижения рисков конфиденциальности в ИИ-системах.
📎 Разработка и внедрение стратегий защиты данных.
📎 Создание оценок влияния на защиту данных (DPIA) и Реестров обработки персональных данных (RoPA).

💸 Компании не спешат делиться вилками зарплат в вакансиях. Только в одной из них указано, что за приглашение другого человека на вакансию можно получить от 300 до 1000 евро в зависимости от стажа кандидата.

👶🏻 Кто защитит детей в интернете? Сравниваем подходы Европы и США

Дети растут в онлайне. Игры, обучение, YouTube — всё это часть их повседневности. Но вместе с пользой приходит и риск: персональные данные несовершеннолетних — лакомый кусок для рекламных алгоритмов.

📌 Как регулируют это в разных странах? Сравним два подхода: GDPR в Европе и COPPA в США.

🇪🇺 GDPR: ребёнок как субъект данных

В Евросоюзе дети защищены в рамках Общего регламента по защите данных (GDPR). Закон не выделяет отдельного акта под детей, но подчёркивает, что они — уязвимая категория.

Особенности подхода:

🔹 Возраст согласия варьируется: от 13 до 16 лет в зависимости от страны. Во Франции и Германии — 15, в Нидерландах — 16.
🔹 Обработка данных ребёнка допускается только с согласия родителя или опекуна, если он младше установленного возраста.
🔹 Это согласие должно быть проверяемым и заранее (=до начала обработки) полученным.
🔹 Информация о сборе и целях использования должна быть представлена понятно для ребёнка.
🔹 Важный принцип — privacy by design and by default: защита данных должна быть встроена в продукт изначально, по умолчанию.
🔹 Ребёнок (или родитель) может потребовать удаления данных — это право действует без объяснений и в любой момент.

GDPR делает акцент на правах ребёнка как субъекта данных, а не на роли родителей. Бизнес обязан адаптироваться, даже если ему это неудобно.

🇺🇸 COPPA: ребёнок как потребитель, родитель — фильтр доступа

В США действует специализированный закон COPPA (Children’s Online Privacy Protection Act), который регулирует только онлайн-сбор данных у детей до 13 лет.

Ключевые требования:

🔹 До сбора любых данных (имя, email, IP, cookie, ID-устройства и др.) необходимо уведомить родителей и получить проверяемое родительское согласие.
🔹 Родителям должно быть понятно, кто собирает данные, зачем, как долго они хранятся и кому передаются.
🔹 Поведенческая реклама и профилирование допускаются только при отдельном согласии родителей.
🔹 Закон распространяется не только на сайты, но и на мобильные приложения, игры, встроенные плагины, SDK и рекламные сети, если они взаимодействуют с детьми.
🔹 Нарушения наказываются фиксированными штрафами — до $43 280 за каждый случай.

COPPA рассматривает ребёнка не как самостоятельного субъекта, а скорее как объект защиты, а его родителя — как уполномоченного контролёра. Регулятор (FTC) не требует изменить архитектуру продукта, но может серьёзно наказать за несоблюдение.

📍 Кейс: как YouTube нарушил COPPA — и что было бы по GDPR

В 2019 году YouTube был оштрафован на $170 млн за нарушение COPPA: сервис собирал данные пользователей детских каналов без согласия родителей и использовал их для поведенческого таргетинга.

YouTube заявлял, что не предназначен для детей, но в то же время активно продавал аудиторию детских каналов рекламодателям — с упором на то, что она именно детская. Это и стало основанием для претензий.

В США YouTube получил штраф. Если бы аналогичная ситуация произошла в Европе, YouTube столкнулся бы с совсем другим подходом: он мог бы дополнительно получить запрет на обработку и требование изменить архитектуру платформы. Причём штраф в ЕС мог бы составить до 4% от глобального оборота — то есть более $5 млрд.

📌 Итого:
GDPR и COPPA — два разных подхода к защите детских данных, но оба сходятся в одном: персональные данные детей требуют особого внимания, прозрачности и осторожности. Если ваш продукт взаимодействует с несовершеннолетними пользователями — важно проектировать его с учётом этики, ответственности и требований разных юрисдикций. И не из страха санкций — а из уважения к тем, кто ещё не может себя защитить.

Почему не будет восстания ИИ?

Если вас волнует этот вопрос, советуем подписаться на канал «AI & Privacy Lab». Его ведет наша коллега — Ксения Рычкова, лидер направления бизнес-аналитики Data Privacy Office.

🚀 Недавно Ксения завершила первый сезон своего проекта. В его рамках в канале появилось 23 поста на 5 тем. Каждый, кто взаимодействует с интернетом найдет что-то для себя:

📎 Технологии трекинга и куки
О том, как работает трекинг и почему нажать «Отклонить все» может быть недостаточно.

📎 Технологии и капитализм
О том, кто зарабатывает на ваших персональных данных.

📎 AI и этика
О том, как далеко зашел и еще может зайти ИИ.

📎 Риски и инциденты приватности
О том, что такое утечки и почему они происходят.

📎 Психология и поведение в цифровом мире
О том, как не потратить всю жизнь в цифровом пространстве.

🌱 Просто, понятно, свежо — мы обожаем, как Ксения подает даже самую сложную информацию, читаем всей командой и вам советуем! Подключайтесь к каналу по ссылке и делитесь им со всеми, чье пребывание в интернете хотите сделать комфортным и безопасным.

Privacy is about love 💚

#Privacy_for_Everyone

Рассказываем, новости из мира privacy за прошедшую неделю 🗞

📎 Еврокомиссия запускает новый план по развитию ИИ

Европейский AI Continent Action Plan включает:

🔹 200 млрд евро для инвестиций.
🔹 13 AI-фабрик — специальных инфраструктур, которые помогают собирать информацию, обучать ИИ и применять его для решения различных задач.
🔹 Создание единой службы поддержки — AI Act Service Desk.

Подробнее

📎 Обновления CPPA по технологиям автоматизированного принятия решений

CPPA обновляет регулирование в сфере автоматизированного принятия решений. Агентство вводит новое определение ADMT (Automated decision-making technology), отменяет ряд требований к поведенческой рекламе и пересматривает подход к оценке рисков. Эти изменения направлены на упрощение соответствия требованиям и снижение рисков юридических споров.

Подробнее

📎 OMB США излагает новые стандарты использования и закупок искусственного интеллекта

Управление по вопросам управления и бюджета (Office of Management and Budget) США обновляет подход к использованию и закупкам AI. Среди нововведений: единая система оценки риска для high-impact приложений и руководство по эффективному внедрению искусственного интеллекта. Специалисты считают, что это поможет снизить бюрократию и сэкономить бюджет.

Подробнее

#news

Маршрут карьеры перестроен

Мы перестроили 😎


Недавно рассказывали о том, что создали «Карту развития карьеры» — бесплатный инструмент, который поможет построить свой уникальный путь специалиста в защите персональных данных. И если одним постом мы вас не убедили, мы подготовили целую статью на эту тему! В ней делимся:

✏️ Какой вопрос заставил нас задуматься о создании Карты.
✏️ О ком мы думали, когда создавали Карту.
✏️ Куда писать, если у вас есть идеи, как можно сделать Карту лучше.

Приглашаем прочитать статью по ссылке
и/или
Воспользоваться Картой развития карьеры

Важно: чтобы использовать Карту, вам не нужно регистрироваться. Просто перейдите на страницу, пролистайте до экрана с надписью «Карта развития карьеры в Data Privacy» и жмите «Начать» ✌🏻

#article

Тот факт, что вы уже работаете в сфере privacy, характеризует вас как дальновидного человека. Эта сфера, особенно в русскоязычном пространстве, стала развиваться относительно недавно, а вы уже здесь! Предлагаем пойти еще дальше, прыгнуть выше головы и изучить вопрос защиты персональных данных в системах ИИ, который только начинает получать распространение среди экспертов.

19 мая стартует новый поток курса Artificial Intelligence Compliance Professional for Europe (AICP-E)

AICP-E — это практический курс по основам EU AI Act, базе ИИ, рисках для персональных данных и особенностях его регулирования. Программа поможет разобраться в принципах работы ИИ-систем с нуля. Даже если ваш опыт работы с нейросетями на данный момент — только генерация картинок в личных целях 👀

📌 В курс входит:

🔹 10 онлайн-занятий,
🔹 тесты для самопроверки,
🔹 работа над практическим кейсом в группах.

Важно: курс пройдет на английском языке.

👤 Тренеры курса:

Денис Садовников, LL.B. (Англия и Уэльс), CIPM, CIPP/E, FIP, GDPR DPP, DPM.

Денис — признанный эксперт в области приватности, защиты персональных данных и искусственного интеллекта. Занимает должность Head of Privacy в ведущей технологической компании и проводит углубленные тренинги регулированию искусственного интеллекта.

Петрута Пирван, AIGP, FIP, CIPP/E, CIPP/US, CIPM.

Петрута имеет 16+ лет работы в области защиты персональных данных и законодательства об искусственном интеллекте, сертифицирована AIGP и является автором модуля 8 в учебном руководстве IAPP AIGP.

Записывайтесь на курс на сайте или у нашего менеджера Антона.

Команда Data Privacy Office готова помогать вам оставаться на карьерной передовой в области privacy 💚

#courses #AI

А у вас есть представитель на территории ЕС?

Разбираемся: нужен ли вам EU Representative?

Если вы работаете с пользователями из ЕС, но сами находитесь за пределами Евросоюза — у вас может быть обязанность назначить представителя в ЕС. Это не рекомендация, а требование статьи 27 GDPR. В этом посте разбираемся, кто такой EU Representative, когда он обязателен и что будет, если его нет.

📌 Кто такой EU Representative?

Это не сотрудник, а ваш представитель в ЕС — физическое или юридическое лицо. Он общается с надзорными органами и гражданами ЕС от вашего имени, если у вас нет филиала в Европе. Он не следит за соответствием требованиям — его роль заключается в коммуникации.

📌 Когда его нужно назначать?

Если вы:

🔹 предлагаете товары или услуги пользователям в ЕС (в том числе бесплатно),
🔹 отслеживаете поведение этих пользователей (например, через cookies, аналитику и пиксели),

значит, вы подпадаете под требование.

🛑 Есть исключения, но они редкие. Например, если обработка разовая, не связана с чувствительными данными и не несёт рисков для людей. В большинстве случаев без представителя не обойтись.

📌 Что входит в его задачи?

EU Representative:

🔹 общается с европейскими надзорными органами,
🔹 помогает с запросами от субъектов данных,
🔹 может вести реестр обработок,
🔹 становится публичной точкой контакта в Европе.

Он не несёт ответственности за соблюдение GDPR — это ваша зона. Но благодаря ему регуляторы и пользователи видят, что вы — на связи.

📌 Кого можно назначить EU Representative?

Представителем может быть физическое или юридическое лицо, зарегистрированное в одном из государств ЕС, официально уполномоченное действовать от имени вашей компании по всем вопросам, связанным с обработкой персональных данных.

Важно понимать: представитель не должен быть вашим сотрудником.

На практике чаще всего назначают:

🔹 юридические фирмы,
🔹 консалтинговые агентства,
🔹 провайдеров, которые специализируются на услугах по защите данных и комплаенсу.

Назначение оформляется письменным соглашением. Контактные данные представителя обязательно указываются в вашей политике приватности — они должны быть доступны как пользователям, так и надзорным органам.

💡 Совет: выбирайте тех, кто понимает специфику вашей отрасли и умеет работать с регуляторами. Представитель — это не просто «для галочки», а реальный участник вашего взаимодействия с Европой.

📌 А это не то же самое, что DPO?

Нет.

EU Representative — посредник. Он нужен, если вы вне ЕС.
DPO — эксперт, который следит за соблюдением требований внутри организации. Он не обязан находиться в ЕС. Иногда компании назначают и того, и другого — это зависит от рисков и масштаба обработки данных.

📌 Что, если не выполнить это требование?

За несоблюдение статьи 27 GDPR возможен штраф:

🔹 до 10 миллионов евро,
🔹 или до 2% от годового глобального оборота. В зависимости от того, что из этого больше.

Плюс репутационные риски и проблемы с европейскими партнёрами. Вряд ли они захотят работать с нарушителями.

📌 Так нужно ли это вам?

Если вы взаимодействуете с пользователями из ЕС — даже дистанционно — лучше заранее назначить представителя. Это шаг к доверию, комплаенсу и стабильной работе на европейском рынке.

Рассказываем, что произошло в мире privacy за прошедшую неделю 🗞

📎 EDPB выпускает руководство по блокчейну и готовится к сотрудничеству с EU AI Office

EDPB выпустил новое руководство о том, как правильно работать с персональными данными в блокчейне. Организациям рекомендуется проводить оценку рисков для защиты данных и заранее внедрять меры безопасности.

Также EDPB начинает работу с офисом по ИИ, чтобы согласовать требования закона об искусственном интеллекте с правилами защиты данных в ЕС.

Подробнее

📎 Британская юридическая фирма оштрафована на £60,000 после кибератаки

Британская юридическая фирма DPP Law Ltd получила штраф в £60,000 за утечку данных в даркнет. Хакеры взломали систему через старую админскую учетную запись без двухфакторной защиты. Поскольку фирма работает с уголовными, военными и семейными делами, произошла утечка особо чувствительных данных клиентов.

Подробнее

📎 NIST обновляет Privacy Framework с учетом развития ИИ

NIST представил обновленный Privacy Framework 1.1, который теперь учитывает особенности работы с ИИ.

В новой версии появился раздел о ролях в сфере приватности. Документ подчеркивает важность правильного распределения ресурсов: людей, бюджета и технологий. Также рассматриваются основные риски ИИ — проблемы с получением согласия, предвзятость алгоритмов и риски нарушения приватности при генерации контента.

Подробнее

#news

Когда многозадачность превращается в штраф в 50 тысяч евро

Рассказываем про конфликт интересов у DPO: как не попасть на штраф и сохранить доверие

Согласно ст. 38(6) GDPR, DPO может выполнять другие задачи, но только если при этом не возникает конфликта интересов. Главное для DPO — не участвовать в определении целей и способов обработки персональных данных (рекомендации EDPB (WP243 rev.01))

Пример из практики: штраф €50,000 в Бельгии за совмещение позиций DPO и директора по аудиту — случай, когда специалист контролировал процессы, которые сам же организовывал. Интересно, что конфликт вскрылся только после расследования утечки данных, а не в ходе плановой проверки.

📌 Что считается конфликтом интересов?

DPO не может занимать должность, которая позволяет ему определять цели и способы обработки данных. В первую очередь это относится к топ-менеджменту: CEO, CFO и другим. Однако конфликт возникает даже если должность не управленческая, но влияет на обработку данных.

В случае с внешним DPO это правило также работает: он не должен представлять компанию в судах по вопросам защиты данных или, например, также работать с конкурентами.

📌 Типовые сценарии нарушений:

🔹 Совмещение роли DPO с управленческими или контролирующими позициями (например, руководитель compliance или IT).
🔹 Участие DPO в операционных процессах: утверждение политик, выбор подрядчиков, внедрение CRM-систем.
🔹 Личные связи с лицами, принимающими решения (например, родственник CEO).
🔹 Внешний DPO, консультирующий конкурентов или представляющий компанию в суде по GDPR.

Даже потенциальный конфликт, который может быть только воспринят регулятором или сотрудниками как угроза независимости DPO, уже сам по себе риск штрафа и расследования

📌 5 советов для компаний

🔹 Проведите аудит ролей DPO. Руководствуйтесь рекомендациями из раздела 3.5 руководства EDPB по DPO. Регулярно пересматривайте матрицу обязанностей и исключайте пересечения с управленческими и контролирующими функциями.

🔹 Внедрите «двойное слепое» согласование. Если DPO участвует в проекте, его оценку должен подтверждать независимый специалист или внешний юрист.

🔹 Установите правила для внешних DPO. Проверьте отсутствие конфликта интересов с другими клиентами и не допускайте участия в судебных процессах от имени компании кроме случаев, когда DPO сохраняет при этом свою независимость.

🔹 Включите в должностную инструкцию DPO требование немедленно уведомлять руководство о любых обстоятельствах, способных повлиять на независимость (семейные связи, совмещение ролей, личная заинтересованность в проекте).

📌 Что важно не упустить?

🔹 Вовлекайте DPO на ранних стадиях. Он должен быть в курсе всех проектов с персональными данными до принятия ключевых решений — так можно выявить конфликты интересов заранее.

🔹 Гарантируйте защиту от давления. DPO не должен подвергаться угрозам, задержкам в продвижении, лишению бонусов или иным формам давления при выполнении своих функций.

🔹 Обеспечьте реальный доступ к ресурсам. DPO должен иметь возможность привлекать внешних экспертов и получать необходимые инструменты для независимой оценки ситуации.

🔹 Фиксируйте конфликтные ситуации. Все потенциальные или выявленные конфликты должны быть отражены во внутренних документах компании и регулярно пересматриваться.

🔹 Используйте альтернативные механизмы. В сложных случаях назначайте альтернативного DPO или привлекайте внешних специалистов для независимой экспертизы.

Внешние специалисты:

📎 Не вовлечены в операционные процессы напрямую.
📎 Работают независимо от корпоративной иерархии.
📎 Не подвержены давлению внутри компании.

Нанять такого независимого специалиста и быть уверенным в отсутствии конфликта интересов можно в Data Privacy Office. Подробнее — по ссылке.

Конфликт интересов — это не только факт, но и восприятие. Даже если DPO объективен, подозрение в его зависимости может стать поводом для расследования и штрафа.