🎙 Контент на выходные: команда Privacy Tech в гостях у Git.Legal
Пока вы планируете, как провести выходные, предлагаем вам интересный контент. Мы не могли упустить возможность поговорить об автоматизации в сфере privacy, поэтому в конце прошлого года заглянули в гости к Ивану Мелихову (Git.Legal) и рассказали о нашем проекте. Благодарим за тёплый приём 🫶.
Мы обсудили:
⚫️ Как появилась идея автоматизации функции DPO
⚫️ Что из себя представляет сервис PrivacyLine и какие задачи он решает
⚫️ Наш подход к сочетанию автоматизации и консалтинга
⚫️ Планы на будущее
Смотрите на RuTube или слушайте подкаст в Podster или Я.Музыка
Канал Ивана: Git.Legal
Пока вы планируете, как провести выходные, предлагаем вам интересный контент. Мы не могли упустить возможность поговорить об автоматизации в сфере privacy, поэтому в конце прошлого года заглянули в гости к Ивану Мелихову (Git.Legal) и рассказали о нашем проекте. Благодарим за тёплый приём 🫶.
Мы обсудили:
Смотрите на RuTube или слушайте подкаст в Podster или Я.Музыка
Канал Ивана: Git.Legal
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥10❤6🆒2
✏️ Кейс: удалить не значит уничтожить
Сегодня разбираем достаточно свежее решение суда (декабрь 2023 года), которое напоминает нам о последствиях поручения обработки третьему лицу, сроках реагирования на запросы субъектов, а также о том, как важно понимать различия между уничтожением и удалением.
Обстоятельства дела:
Собственница земельного участка в СНТ «Барсуки» обратилась к председателю СНТ с требованием уничтожить её персональные данные. Она указала, что её ФИО, номер участка и домашний адрес были переданы в ООО «СНТклуб» для бухгалтерского обслуживания без её письменного согласия.
СНТ уведомило ООО о том, что данные собственницы необходимо уничтожить, и ООО подтвердило, что выполнило это. Однако позднее собственница получила на свою электронную почту квитанцию от бухгалтера ООО об оплате за очередной месяц со своими персональными данными.
После этого собственница обратилась с жалобой в Управление Роскомнадзора указав, что несмотря на ее требование, ее персональные данные не были уничтожены. При рассмотрении жалобы Управление запросило у ООО пояснения о том, почему данные не были уничтожены. ООО пояснило, что данные были ошибочно восстановлены из резервной копии базы данных 1С, что привело к их повторному использованию.
Что решил суд:
Суд привлек СНТ к административной ответственности по ч. 5 ст. 13.11 КоАП РФ за несвоевременное выполнение требования субъекта об уничтожении персональных данных. Поскольку СНТ поручило обработку персональных данных ООО, именно СНТ несет ответственность перед собственницей за действия ООО (с учетом ч. 5 ст. 6 Закона о персональных данных).
Суд назначил СНТ наказание в виде предупреждения, поскольку учёл смягчающие обстоятельства (совершение правонарушения впервые, отсутствие вреда и имущественное положение СНТ как некоммерческой организации, которая существует только за счёт членских взносов).
О каких нюансах регулирования нам напоминает это решение:
⚫️ Необходимо отличать уничтожение и удаление персональных данных. В судебном решении эти слова используются практически как синонимы, но такой подход некорректен. Напомним, что легальное определение уничтожения предполагает невозможность восстановить персональные данные. Соответственно, при уничтожении персональных данных, их необходимо уничтожать как в основной базе данных, так и в ее резервных копиях.
⚫️ Оператор несёт ответственность за обработчика, в том числе в части обеспечения сроков и полноты уничтожения персональных данных. Поэтому при поручении обработки персональных данных важно уделять особое внимание процедуре контроля за прекращением обработки персональных данных обработчиком.
⚫️ Для поручения обработки персональных данных третьему лицу оператор должен иметь надлежащее правовое основание. Суд не прокомментировал этот момент прямо, но представитель Роскомнадзора выразил позицию о том, что основанием передачи данных для обработки по поручению могут быть только согласие или прямое указание закона, которых в данном случае не было (между тем, по вопросу о допустимых основаниях поручения обработки есть и другая позиция).
Сегодня разбираем достаточно свежее решение суда (декабрь 2023 года), которое напоминает нам о последствиях поручения обработки третьему лицу, сроках реагирования на запросы субъектов, а также о том, как важно понимать различия между уничтожением и удалением.
Обстоятельства дела:
Собственница земельного участка в СНТ «Барсуки» обратилась к председателю СНТ с требованием уничтожить её персональные данные. Она указала, что её ФИО, номер участка и домашний адрес были переданы в ООО «СНТклуб» для бухгалтерского обслуживания без её письменного согласия.
СНТ уведомило ООО о том, что данные собственницы необходимо уничтожить, и ООО подтвердило, что выполнило это. Однако позднее собственница получила на свою электронную почту квитанцию от бухгалтера ООО об оплате за очередной месяц со своими персональными данными.
После этого собственница обратилась с жалобой в Управление Роскомнадзора указав, что несмотря на ее требование, ее персональные данные не были уничтожены. При рассмотрении жалобы Управление запросило у ООО пояснения о том, почему данные не были уничтожены. ООО пояснило, что данные были ошибочно восстановлены из резервной копии базы данных 1С, что привело к их повторному использованию.
Что решил суд:
Суд привлек СНТ к административной ответственности по ч. 5 ст. 13.11 КоАП РФ за несвоевременное выполнение требования субъекта об уничтожении персональных данных. Поскольку СНТ поручило обработку персональных данных ООО, именно СНТ несет ответственность перед собственницей за действия ООО (с учетом ч. 5 ст. 6 Закона о персональных данных).
Суд назначил СНТ наказание в виде предупреждения, поскольку учёл смягчающие обстоятельства (совершение правонарушения впервые, отсутствие вреда и имущественное положение СНТ как некоммерческой организации, которая существует только за счёт членских взносов).
О каких нюансах регулирования нам напоминает это решение:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13✍4🔥4
Отсутствие учёта процессов обработки данных = штраф?
Сегодня разберем дело из судебной практики (июнь 2023 года), которое является достаточно классическим примером привлечения к ответственности за такое нарушение, как неопубликование политики обработки персональных данных. Но помимо этого, это дело напоминает нам о важности такой составляющей комплаенса, как инвентаризация и подготовка реестра процессов обработки персональных данных.
Обстоятельства дела:
Транспортная прокуратура провела проверку в отношении компании, которая вела деятельность по бронированию авиаперевозок. Проверка выявила несколько нарушений: (1) не опубликована политика в отношении обработки данных, (2) не организована обработка обращений субъектов персональных данных, а также (3) не разработаны документы, которые определяют для каждой цели обработки параметры, установленные в п. 2 ч. 1 ст. 18.1 Закона о персональных данных:
⚫️ Категории и перечень обрабатываемых персональных данных;
⚫️ Категории субъектов, персональные данные которых обрабатываются;
⚫️ Способы обработки персональных данных;
⚫️ Сроки обработки и хранения персональных данных;
⚫️ Порядок уничтожения персональных данных.
Прокуратура потребовала привлечь к административной ответственности по ч. 3 ст. 13.11 КоАП РФ директора общества, которая была назначена ответственной за организацию обработки персональных данных.
Что решил суд:
Суд установил, что материалы проверки транспортной прокуратуры подтверждают нарушение и назначил директору (как должностному лицу) наказание в виде штрафа в минимальном размере, поскольку к моменту рассмотрения дела нарушения уже были устранены.
Чем интересно это решение:
⚫️ Это дело — хорошее напоминание о том, что не только Роскомнадзор может составлять протокол об административном правонарушении. Прокуратура тоже может возбуждать дела об административных правонарушениях в сфере персональных данных. Мы изучили немало судебной практики и с уверенностью можем сказать, что прокуратура активно пользуется этим правом.
⚫️ Суд при обосновании ответственности директора прямо указал на факт назначения его лицом, ответственным за обработку персональных данных, а также указал на неисполнение обязанности ответственного лица в качестве основания для назначения наказания.
⚫️ И прокуратура, и суд назвали в качестве основания назначения наказания не только неопубликование политики, но и отсутствие документов, определяющих параметры обработки персональных данных.
Основой исполнения обязанностей по ч. 2 ст. 18.1 Закона о персональных данных является инвентаризация и документирование процессов обработки персональных данных. Как делать это с помощью реестра процессов обработки и о том, как вести его правильно и удобно, написали отдельную статью (читать➡️ здесь ⬅️ ).
Сегодня разберем дело из судебной практики (июнь 2023 года), которое является достаточно классическим примером привлечения к ответственности за такое нарушение, как неопубликование политики обработки персональных данных. Но помимо этого, это дело напоминает нам о важности такой составляющей комплаенса, как инвентаризация и подготовка реестра процессов обработки персональных данных.
Обстоятельства дела:
Транспортная прокуратура провела проверку в отношении компании, которая вела деятельность по бронированию авиаперевозок. Проверка выявила несколько нарушений: (1) не опубликована политика в отношении обработки данных, (2) не организована обработка обращений субъектов персональных данных, а также (3) не разработаны документы, которые определяют для каждой цели обработки параметры, установленные в п. 2 ч. 1 ст. 18.1 Закона о персональных данных:
Прокуратура потребовала привлечь к административной ответственности по ч. 3 ст. 13.11 КоАП РФ директора общества, которая была назначена ответственной за организацию обработки персональных данных.
Что решил суд:
Суд установил, что материалы проверки транспортной прокуратуры подтверждают нарушение и назначил директору (как должностному лицу) наказание в виде штрафа в минимальном размере, поскольку к моменту рассмотрения дела нарушения уже были устранены.
Чем интересно это решение:
Основой исполнения обязанностей по ч. 2 ст. 18.1 Закона о персональных данных является инвентаризация и документирование процессов обработки персональных данных. Как делать это с помощью реестра процессов обработки и о том, как вести его правильно и удобно, написали отдельную статью (читать
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11✍5❤3🔥3
Privacy Day 🎉
Каждый год 28 января мы наблюдаем рост количества публикаций о важности приватности и защиты данных. Почему? Потому что в этот день, уже 44 года назад, был принят один из ключевых международных документов в области защиты частной жизни — Конвенция № 108.
В этот день мы предлагаем вспомнить не только о защите данных(хотя мы уверены, что вы об этом и не забывали) , но и подумать о чаяниях тех, кто стоит на страже этой самой защиты — о DPO. Чего же не хватает DPO?
Каждый год 28 января мы наблюдаем рост количества публикаций о важности приватности и защиты данных. Почему? Потому что в этот день, уже 44 года назад, был принят один из ключевых международных документов в области защиты частной жизни — Конвенция № 108.
В этот день мы предлагаем вспомнить не только о защите данных
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👏2🎉2
Бизнес-завтрак Nextons для фармацевтического бизнеса
Вопросы обработки персональных данных актуальны для любой компании, и фармацевтический бизнес не исключение. Помимо стандартных процессов обработки персональных данных, в фарме есть и свои особенности: обработка данных в рамках клинических исследований и фармаконадзора, при работе с KOL и развитии цифровых сервисов.
Сегодня на бизнес-завтраке Nextons для фармацевтического бизнеса обсудили главные события и инициативы 2024 года в сфере регулирования персональных данных. Событий и инициатив было много, но мы выбрали ключевые:
⚫️ Изменение ответственности в КоАП РФ и УК РФ;
⚫️ Изменения в правилах контрольной (надзорной) деятельности, включая новые правила проведения профилактических визитов;
⚫️ Введение специального порядка обезличивания персональных данных для создания датасетов и тренировки ИИ.
Также вспомнили инициативы прошлого года, которые могут получить свою реализацию в 2025 году:
🔷 ужесточение требования о локализации персональных данных;
🔷 требование оформлять согласие на обработку персональных данных отдельно от других документов;
🔷 введение института уполномоченных операторов;
🔷 введение обязательных стандартов работы с персональными данными.
Прикладываем презентацию, подготовленную для мероприятия:
📖 Читать презентацию здесь
Вопросы обработки персональных данных актуальны для любой компании, и фармацевтический бизнес не исключение. Помимо стандартных процессов обработки персональных данных, в фарме есть и свои особенности: обработка данных в рамках клинических исследований и фармаконадзора, при работе с KOL и развитии цифровых сервисов.
Сегодня на бизнес-завтраке Nextons для фармацевтического бизнеса обсудили главные события и инициативы 2024 года в сфере регулирования персональных данных. Событий и инициатив было много, но мы выбрали ключевые:
Также вспомнили инициативы прошлого года, которые могут получить свою реализацию в 2025 году:
Прикладываем презентацию, подготовленную для мероприятия:
📖 Читать презентацию здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9✍3🔥3👏2
Персональные данные и ИИ
Использование персональных данных для обучения ИИ давно перестало быть теоретическим вопросом и стало реальнойпроблемой задачей для DPO. Так, если датасет, используемый для обучения ИИ, потенциально содержит персональные данные, необходимо оценить:
1) Возможности для предварительной анонимизации данных в датасете, чтобы они больше не могли быть отнесены к персональным, но датасет при этом остался полезным;
2) Возможное основание обработки персональных данных, которые не могут быть исключены из датасета.
С точки зрения российского законодательства о персональных данных потенциально применимыми могут быть несколько оснований:
⚫️ Согласие на обработку персональных данных (практически нереалистичный вариант, который с учетом права субъекта на отзыв согласия еще и не очень надежен).
⚫️ Обработка персональных данных в исследовательских целях (в целом рабочее основание, которое, однако, плохо сочетается с любого рода коммерциализацией).
⚫️ «Законный интерес». По сути, единственное основание, которое может применяться относительно универсально. При этом оператор должен соблюсти требование об отсутствии "нарушения прав и свобод субъекта персональных данных". Пределы указанных прав и свобод весьма размыты, особенно, в условиях отечественного правоприменения.
Как мы видим, очевидно надежных и универсальных решений непосредственно в законе не обнаруживается. Пока российский надзорный орган хранит молчание по вопросу, DPO может черпать вдохновение в творчестве зарубежного регулятора.
EDPB опубликовал в декабре 2024 года рекомендации, связанные с соблюдением privacy при работе с ИИ. В них рассмотрены такие вопросы, как, например, анонимизация персональных данных, возможность использования законного интереса в качестве основания для разработки ИИ, последствия незаконной обработки данных, использование сторонних датасетов.
Тем же, кто хочет погрузиться в тему более глубоко, может быть интересен опыт экспертов сообщества RPPA, которые уже работают с ИИ в контексте персональных данных. Практические нюансы такой работы будут разбираться на курсе AI Governance.
Использование персональных данных для обучения ИИ давно перестало быть теоретическим вопросом и стало реальной
1) Возможности для предварительной анонимизации данных в датасете, чтобы они больше не могли быть отнесены к персональным, но датасет при этом остался полезным;
2) Возможное основание обработки персональных данных, которые не могут быть исключены из датасета.
С точки зрения российского законодательства о персональных данных потенциально применимыми могут быть несколько оснований:
Как мы видим, очевидно надежных и универсальных решений непосредственно в законе не обнаруживается. Пока российский надзорный орган хранит молчание по вопросу, DPO может черпать вдохновение в творчестве зарубежного регулятора.
EDPB опубликовал в декабре 2024 года рекомендации, связанные с соблюдением privacy при работе с ИИ. В них рассмотрены такие вопросы, как, например, анонимизация персональных данных, возможность использования законного интереса в качестве основания для разработки ИИ, последствия незаконной обработки данных, использование сторонних датасетов.
Тем же, кто хочет погрузиться в тему более глубоко, может быть интересен опыт экспертов сообщества RPPA, которые уже работают с ИИ в контексте персональных данных. Практические нюансы такой работы будут разбираться на курсе AI Governance.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍6❤4✍3
Новые правила проведения профилактических визитов
28 декабря 2024 года вступил в силу Федеральный закон № 540-ФЗ, который внес целый ряд изменений в порядок осуществления контроля и надзора (наш пост с общим обзором изменений). Сегодня подробнее разберём новые правила проведения профилактических визитов. В последнее время они стали одним из основных инструментов регуляторов. Активно ими пользуется и Роскомнадзор.
Ожидаем, что в развитие этих изменений в обозримом будущем будут внесены соответствующие изменения и в Положение о контроле за обработкой персональных данных.
Подготовили для вас сравнительную таблицу нового и старого регулирования — смотреть тут.
🔎 На что DPO стоит обратить особенное внимание?
⚫️ Изменение правил проведения обязательных профилактических визитов. Обязательный профилактический визит (ст. 52.1 ФЗ № 248) инициируется контрольным (надзорным) органом в случаях, предусмотренных законом. Отказ от такого визита теперь невозможен.
Непосредственно из закона следует, что такие визиты должны проводиться в отношении объектов высокого риска. Периодичность проведения визитов для объектов значительного, среднего и умеренного рисков должна быть определена Правительством по отдельным видам контроля (но пока такая периодичность не определена). С учетом внесенных изменений обязательные визиты становятся похожими на полноценные проверки.
Важно, что на профилактические визиты не распространяется мораторий, установленный Постановлением Правительства № 336.
⚫️ Расширение полномочий инспектора. При обязательном визите инспектор теперь вправе не только запрашивать документы и информацию, но и проводить осмотр, инструментальное обследование, испытания, а также экспертизу.
⚫️ Возможность выдать предписание. При обнаружении нарушений в рамках обязательного визита теперь может быть выдано предписание об их устранении, если такие нарушения не устранены до окончания проведения визита.
28 декабря 2024 года вступил в силу Федеральный закон № 540-ФЗ, который внес целый ряд изменений в порядок осуществления контроля и надзора (наш пост с общим обзором изменений). Сегодня подробнее разберём новые правила проведения профилактических визитов. В последнее время они стали одним из основных инструментов регуляторов. Активно ими пользуется и Роскомнадзор.
Ожидаем, что в развитие этих изменений в обозримом будущем будут внесены соответствующие изменения и в Положение о контроле за обработкой персональных данных.
Подготовили для вас сравнительную таблицу нового и старого регулирования — смотреть тут.
Непосредственно из закона следует, что такие визиты должны проводиться в отношении объектов высокого риска. Периодичность проведения визитов для объектов значительного, среднего и умеренного рисков должна быть определена Правительством по отдельным видам контроля (но пока такая периодичность не определена). С учетом внесенных изменений обязательные визиты становятся похожими на полноценные проверки.
Важно, что на профилактические визиты не распространяется мораторий, установленный Постановлением Правительства № 336.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤3✍2🔥2
Фреймворки для DPO. Data Protection Audit Framework
Мы начинаем серию постов про международные и зарубежные фреймворки для организации обработки персональных данных и приватности.
Сегодня поговорим о Data Protection Audit Framework от британского регулятора ICO. Это один из самых свежих фреймворков — выпущен в октябре 2024 года. В этом посте сделаем общий обзор его содержания, а в одном из следующих — расскажем про конкретные рекомендации, которые показались нам наиболее полезными и интересными.
📄 Из чего состоит Data Protection Audit Framework?
⚫️ Toolkits
ICO предлагает «группы» рекомендаций по отдельным направлениям. Есть самый общий «Accountability», где описаны все основные процессы в работе DPO (учёт, отношения с контрагентами, обработка обращений и т.д.). Если решите познакомиться с фреймворком, мы рекомендуем начать именно с этого раздела. Есть и более узкие toolkits: про обучение сотрудников, передачу данных, искусственный интеллект, утечки и др.
⚫️ Trackers
Это большие «чек-листы» в виде Excel-табличек, которые помогают отслеживать реализацию положений фреймворка. На каждый toolkit есть свой трекер. В них выписаны все требования и для каждого можно указать текущий статус его выполнения, какие действия были предприняты, ответственных лиц и другие параметры. Наш регулятор при проверке очень оценил бы, если бы у оператора был похожий трекер, заполненный с учетом утвержденного проверочного листа🙂 .
⚫️ Case studies (кейсы)
Фреймворк включает раздел с примерами практической реализации положений фреймворка реальными организациями. Сейчас раздел состоит преимущественно из «историй успеха», где компании благодарят ICO за прекрасный фреймворк с минимумом конкретики. Тем не менее, было бы радостно когда-нибудь увидеть аналогичные отзывы на сайте нашего регулятора.
🎁 Сам фреймворк написан на английском, но мы перевели и адаптировали часть, посвящённую учёту процессов обработки данных (DPO может быть полезно сравнить с ним свои подходы) — смотреть тут.
DPO отвечает | #Фреймворки
Мы начинаем серию постов про международные и зарубежные фреймворки для организации обработки персональных данных и приватности.
Сегодня поговорим о Data Protection Audit Framework от британского регулятора ICO. Это один из самых свежих фреймворков — выпущен в октябре 2024 года. В этом посте сделаем общий обзор его содержания, а в одном из следующих — расскажем про конкретные рекомендации, которые показались нам наиболее полезными и интересными.
Что такое фреймворк и чем он полезен для DPO?
Фреймворк — это структурированный набор подходов, который помогает организовать работу над какой-то задачей или проектом. Он строится вокруг конкретных целей или требований (например, законов) и описывает практические шаги по их выполнению.
Простой пример: чтобы обработка данных соответствовала закону, нужно:
1. Определить, зачем и какие данные собираются, выбрать подходящее законное основание.
2. Зафиксировать это документально.
3. Повторять эти шаги перед запуском каждого нового процесса обработки.
Фреймворки обычно помогают наладить процессы и организацию работы, но не разъясняют конкретные законы. Пока в России нет своего фреймворка, можно ориентироваться на проверенные международные и зарубежные подходы.
ICO предлагает «группы» рекомендаций по отдельным направлениям. Есть самый общий «Accountability», где описаны все основные процессы в работе DPO (учёт, отношения с контрагентами, обработка обращений и т.д.). Если решите познакомиться с фреймворком, мы рекомендуем начать именно с этого раздела. Есть и более узкие toolkits: про обучение сотрудников, передачу данных, искусственный интеллект, утечки и др.
Это большие «чек-листы» в виде Excel-табличек, которые помогают отслеживать реализацию положений фреймворка. На каждый toolkit есть свой трекер. В них выписаны все требования и для каждого можно указать текущий статус его выполнения, какие действия были предприняты, ответственных лиц и другие параметры. Наш регулятор при проверке очень оценил бы, если бы у оператора был похожий трекер, заполненный с учетом утвержденного проверочного листа
Фреймворк включает раздел с примерами практической реализации положений фреймворка реальными организациями. Сейчас раздел состоит преимущественно из «историй успеха», где компании благодарят ICO за прекрасный фреймворк с минимумом конкретики. Тем не менее, было бы радостно когда-нибудь увидеть аналогичные отзывы на сайте нашего регулятора.
DPO отвечает | #Фреймворки
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥7👏3❤1🐳1
✏️ Кейс: Утечка длиною в жизнь
Через три месяца вступит в силу штраф за повторную утечку персональных данных (ч. 15 и 18 ст. 13.11 КоАП РФ). И это не просто штраф, а штраф в процентах от оборота компании. Мы решили проверить, привлекались ли компании ранее к ответственности за повторные утечки, и нашли несколько судебных решений. Сегодня разберем одно из них — достаточно свежее решение суда от сентября 2023 года.
Обстоятельства дела:
Управление Роскомнадзора по ЦФО в ходе мониторинга интернет-ресурсов обнаружило в открытом доступе базу данных ПАО «ВымпелКом», содержащую персональные данные клиентов: ФИО, номера телефонов, паспортные данные и адреса прописки. Компания уведомила Роскомнадзор об этой утечке 2 и 4 июня 2023 года, указав, что в базе содержатся данные, актуальные на 2006 год, и что они были распространены неустановленным третьим лицом.
Роскомнадзор квалифицировал этот инцидент как повторное нарушение и составил протокол по ч. 1.1 ст. 13.11 КоАП РФ, поскольку в феврале 2023 года компания уже привлекалась к ответственности по ч. 1 ст. 13.11 КоАП РФ — тоже за утечку.
Позиция защиты:
Защитник компании заявил, что отсутствуют признаки повторности, а срок давности привлечения к административной ответственности истек, ведь база данных была размещена в сети Интернет еще в 2006 году. Кроме того, он подчеркнул, что направление уведомления об утечке — это не признание вины, а просто исполнение обязанности, предусмотренной законом.
Что решил суд?
Суд признал нарушение длящимся. Днём обнаружения правонарушения была определена дата, когда в сети была размещена информация об утечке — 1 июня 2023 года. Это подтверждалось уведомлениями компании об утечке и скриншотами.
Суд отклонил довод защиты о том, что уведомление об утечке не может быть основанием для возбуждения дела. Суд указал, что добровольное сообщение об утечке не препятствует возбуждению производства, если событие правонарушения установлено. Однако учел это как смягчающее обстоятельство со ссылкой на п. 3 ч. 1 ст. 4.2 КоАП РФ (добровольное сообщение о совершенном административном правонарушении). В итоге штраф составил минимальные 100 000 рублей.
О чём нам напоминает это решение?
Новая редакция ст. 13.11 КоАП выделяет утечку персональных данных в отдельное правонарушение. Но риски, вытекающие из этого судебного решения, останутся актуальными:
⚫️ Утечка как длящееся нарушение. Если данные продолжают находиться в открытом доступе, суды могут квалифицировать это как длящееся правонарушение. Срок давности в таких случаях отсчитывается с момента фактического обнаружения нарушения или когда оно могло быть обнаружено. Даже если утечка произошла до 30 мая 2025 года, есть риск, что штрафы будут накладываться по новым составам ст. 13.11 КоАП РФ (несмотря на то, что закон не имеет обратной силы).
⚫️ Уведомление как подтверждение нарушения. Суд может расценить уведомление об утечке как подтверждение факта нарушения.
Решение было оставлено в силе в апелляции. Более того, похожие аргументы позже были использованы в решении суда по другому делу.
Через три месяца вступит в силу штраф за повторную утечку персональных данных (ч. 15 и 18 ст. 13.11 КоАП РФ). И это не просто штраф, а штраф в процентах от оборота компании. Мы решили проверить, привлекались ли компании ранее к ответственности за повторные утечки, и нашли несколько судебных решений. Сегодня разберем одно из них — достаточно свежее решение суда от сентября 2023 года.
Обстоятельства дела:
Управление Роскомнадзора по ЦФО в ходе мониторинга интернет-ресурсов обнаружило в открытом доступе базу данных ПАО «ВымпелКом», содержащую персональные данные клиентов: ФИО, номера телефонов, паспортные данные и адреса прописки. Компания уведомила Роскомнадзор об этой утечке 2 и 4 июня 2023 года, указав, что в базе содержатся данные, актуальные на 2006 год, и что они были распространены неустановленным третьим лицом.
Роскомнадзор квалифицировал этот инцидент как повторное нарушение и составил протокол по ч. 1.1 ст. 13.11 КоАП РФ, поскольку в феврале 2023 года компания уже привлекалась к ответственности по ч. 1 ст. 13.11 КоАП РФ — тоже за утечку.
Позиция защиты:
Защитник компании заявил, что отсутствуют признаки повторности, а срок давности привлечения к административной ответственности истек, ведь база данных была размещена в сети Интернет еще в 2006 году. Кроме того, он подчеркнул, что направление уведомления об утечке — это не признание вины, а просто исполнение обязанности, предусмотренной законом.
Что решил суд?
Суд признал нарушение длящимся. Днём обнаружения правонарушения была определена дата, когда в сети была размещена информация об утечке — 1 июня 2023 года. Это подтверждалось уведомлениями компании об утечке и скриншотами.
Суд отклонил довод защиты о том, что уведомление об утечке не может быть основанием для возбуждения дела. Суд указал, что добровольное сообщение об утечке не препятствует возбуждению производства, если событие правонарушения установлено. Однако учел это как смягчающее обстоятельство со ссылкой на п. 3 ч. 1 ст. 4.2 КоАП РФ (добровольное сообщение о совершенном административном правонарушении). В итоге штраф составил минимальные 100 000 рублей.
О чём нам напоминает это решение?
Новая редакция ст. 13.11 КоАП выделяет утечку персональных данных в отдельное правонарушение. Но риски, вытекающие из этого судебного решения, останутся актуальными:
Решение было оставлено в силе в апелляции. Более того, похожие аргументы позже были использованы в решении суда по другому делу.
Please open Telegram to view this post
VIEW IN TELEGRAM
✍6👍6🔥4😢2🐳2🤔1
Дайджест постов канала «DPO отвечает» за период с января по февраль
В январе и феврале у канала появилось много новых читателей (🫶), поэтому мы решили сделать для вас дайджест публикаций.
Разбор изменений и трендов регулирования:
⚫️ Изменения в контроле и надзоре
28 декабря 2024 года приняли поправки в закон о госконтроле. Мы разобрали изменения, которые затронут контроль за обработкой персональных данных. Теперь внеплановые документарные проверки требуют согласования с прокуратурой, а утечка данных в интернет — повод для проверки.
⚫️ Обзор основных изменений регулирования за 2024 год
На бизнес-завтраке для фармбизнеса рассказали про ключевые изменения и тренды в регулировании обработки персональных данных. Презентация — по ссылке.
⚫️ Новые правила проведения профилактических визитов
Разобрали изменения в регулировании профилактических визитов. Теперь они стали больше похожи на проверки. Сравнительная табличка старого и нового регулирования — по ссылке.
Интересные судебные решения:
⚫️ Кейс: удалить не значит уничтожить
Свежий кейс напомнил нам, что удаление данных — не то же самое, что их уничтожение, а контроль обработчиков входит в задачи операторов.
⚫️ Отсутствие учета процессов обработки = штраф?
Классический случай: компанию оштрафовали за неопубликованную политику обработки данных и отсутствие учёта процессов после проверки прокуратуры. Рассказали подробности дела и подготовили статью о том, как вести такой учет с помощью реестра процессов — читайте здесь.
⚫️ Кейс: утечка длиною в жизнь
Рассмотрели дело о повторной утечке, в котором суд признал нарушение длящимся и расценил уведомление об утечке как подтверждение факта нарушения.
Про организацию и автоматизацию задач DPO:
⚫️ Privacy Tech в гостях у Git.Legal
В конце 2024 года обсудили с Иваном Мелиховым (Git.Legal) автоматизацию задач DPO и сервис PrivacyLine. Интервью доступно на RuTube, а также в подкастах на Я.Музыке и Podster.
⚫️ Персональные данные и ИИ
Как использовать персональные данные для обучения ИИ в рамках закона? Мы рассмотрели основания обработки и подсказали, где искать вдохновение.
⚫️ Фреймворки для DPO: Data Protection Audit Framework
Начали серию постов о международных фреймворках и сделали обзор Data Protection Audit Framework от ICO. Это руководство помогает структурировать работу DPO. Адаптированный перевод части фреймворка про учёт процессов — по ссылке.
Мы продолжим рассказывать про тренды регулирования, интересные кейсы, автоматизацию задач DPO и многое другое. Спасибо, что читаете!❤️
DPO отвечает | #дайджест
В январе и феврале у канала появилось много новых читателей (🫶), поэтому мы решили сделать для вас дайджест публикаций.
Разбор изменений и трендов регулирования:
28 декабря 2024 года приняли поправки в закон о госконтроле. Мы разобрали изменения, которые затронут контроль за обработкой персональных данных. Теперь внеплановые документарные проверки требуют согласования с прокуратурой, а утечка данных в интернет — повод для проверки.
На бизнес-завтраке для фармбизнеса рассказали про ключевые изменения и тренды в регулировании обработки персональных данных. Презентация — по ссылке.
Разобрали изменения в регулировании профилактических визитов. Теперь они стали больше похожи на проверки. Сравнительная табличка старого и нового регулирования — по ссылке.
Интересные судебные решения:
Свежий кейс напомнил нам, что удаление данных — не то же самое, что их уничтожение, а контроль обработчиков входит в задачи операторов.
Классический случай: компанию оштрафовали за неопубликованную политику обработки данных и отсутствие учёта процессов после проверки прокуратуры. Рассказали подробности дела и подготовили статью о том, как вести такой учет с помощью реестра процессов — читайте здесь.
Рассмотрели дело о повторной утечке, в котором суд признал нарушение длящимся и расценил уведомление об утечке как подтверждение факта нарушения.
Про организацию и автоматизацию задач DPO:
В конце 2024 года обсудили с Иваном Мелиховым (Git.Legal) автоматизацию задач DPO и сервис PrivacyLine. Интервью доступно на RuTube, а также в подкастах на Я.Музыке и Podster.
Как использовать персональные данные для обучения ИИ в рамках закона? Мы рассмотрели основания обработки и подсказали, где искать вдохновение.
Начали серию постов о международных фреймворках и сделали обзор Data Protection Audit Framework от ICO. Это руководство помогает структурировать работу DPO. Адаптированный перевод части фреймворка про учёт процессов — по ссылке.
Мы продолжим рассказывать про тренды регулирования, интересные кейсы, автоматизацию задач DPO и многое другое. Спасибо, что читаете!
DPO отвечает | #дайджест
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7⚡4❤4🔥3✍2🐳1
В конце прошлого года в КоАП РФ и УК РФ были внесены важные изменения, касающиеся ответственности за различные нарушения в сфере персональных данных. Про изменения в КоАП РФ мы уже рассказывали. Сегодня пришло время рассказать про изменения в УК РФ.
Напомним, что 11 декабря 2024 года вступила в силу новая статья 272.1 УК РФ. Если говорить коротко, то эта статья ввела уголовную ответственность за незаконную обработку персональных данных, полученных незаконным путём. Фактически, появились два новых состава преступления:
Формулировки новой статьи вызывают у экспертов много вопросов
Читайте обзор по ссылке
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤5👍5✍2🐳1
Локализация персональных данных (версия 2.0)
С 1 июля 2025 года вступает в силу новая версия требования о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных).
Что изменится?
⚫️ До 1 июля 2025: операторы обязаны при сборе персональных данных граждан РФ обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, которые находятся в РФ.
⚫️ После 1 июля 2025: при сборе персональных данных граждан РФ запрещены запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных с использованием баз данных, находящихся за пределами РФ.
Коллеги по цеху уже делились своим мнением по поводу этих изменений. См. например:
📎 Большая презентация Privacy Advocates
📎 Справка Lukash & Partners
📎 Аналитика Comply
📎 Алерт Nextons
📎 Мнение Кирилла Зюбанова
📎 Мнение Михаила Емельянникова раз и два
Пока неясно, будет ли Роскомнадзор так же активно привлекать к ответственности российские компании, как это происходит с иностранными. Однако оценить риски на случай реализации «худшего сценария» можно уже сейчас.
Мы подготовили карточки с актуальной статистикой по делам о локализации персональных данных. Но напомним, что с 30 мая 2025 года дела по ст. 13.11 КоАП РФ (включая нарушения норм о локализации) будут рассматривать арбитражные суды, что может изменить сложившиеся подходы.
Почему так мало дел в отношении российских компаний? Видим несколько причин:
⚫️ Требование о локализации персональных данных изначально вводилось с прицелом на иностранные сервисы. Это следовало из контекста его принятия и в целом подтверждается дальнейшей практикой правоприменения.
⚫️ Вероятно, российские организации просто быстрее исправляли нарушения после получения замечаний от Роскомнадзора. Например, в 2022 году Роскомнадзор сообщил, что порядка 50 организаций устранили нарушения без привлечения к административной ответственности.
⚫️ Не забываем и о действии моратория на плановые проверки российских операторов, который ограничивает возможности Роскомнадзора для выявления нарушений.
С 1 июля 2025 года вступает в силу новая версия требования о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных).
Что изменится?
Коллеги по цеху уже делились своим мнением по поводу этих изменений. См. например:
Пока неясно, будет ли Роскомнадзор так же активно привлекать к ответственности российские компании, как это происходит с иностранными. Однако оценить риски на случай реализации «худшего сценария» можно уже сейчас.
Мы подготовили карточки с актуальной статистикой по делам о локализации персональных данных. Но напомним, что с 30 мая 2025 года дела по ст. 13.11 КоАП РФ (включая нарушения норм о локализации) будут рассматривать арбитражные суды, что может изменить сложившиеся подходы.
Почему так мало дел в отношении российских компаний? Видим несколько причин:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👀9❤7✍3😢1🐳1
Тёмные паттерны: как сервисы манипулируют пользователями (и как это нарушает закон)
Цифровые сервисы любят использовать хитрости — тёмные паттерны (dark patterns), которые вводят пользователя в заблуждение и вынуждают его согласиться на то, чего он на самом деле не хочет. В случае с приватностью такие хитрости выражаются в использовании механик, которые позволяют собрать как можно больше персональных данных пользователя.
Некоторые типичные примеры тёмных паттернов:
⚫️ Вредные «подталкивания»
Пользователю предлагают согласиться на всё в один клик, а чтобы выбрать только необходимые настройки — вынуждают пройти сложный путь. Например, принять все cookies можно одним кликом, а согласиться только на часть cookies или отказаться от них можно только внутри сложно устроенного cookie-баннера.
⚫️ Отсутствие приватности по умолчанию
Настройки, предполагающие наибольший сбор и распространение данных, включены по умолчанию и требуют усилий для изменения. Например, в соцсети ваши посты по умолчанию видны всем, а не только друзьям.
⚫️ Конфирмшейминг (Confirmshaming)
Пользователя заставляют чувствовать себя неловко за отказ от чего-то. Например, кнопка отказа от рассылки может быть подписана как «Нет, я не не хочу получать наиболее подходящие для меня предложения».
⚫️ Манипулятивные тексты (Biased Framing)
Варианты выбора представлены необъективно. Формулировки подчеркивают плюсы варианта, выгодного компании, но при этом скрывают риски, важные для пользователя. Например, могут использоваться формулировки вроде: «Поделитесь историей поиска для лучшего опыта» — без упоминания, что это приведёт к сбору и использованию большого объёма персональных данных и таргетингу.
⚫️ Пакетное согласие (Bundled Consent)
Пользователю предлагают в один клик дать согласие на разные цели обработки данных, без возможности выбрать конкретные цели. Например, согласие на регистрацию профиля на сайте включает и подписку на маркетинговые рассылки.
Использование любого из этих паттернов может привести к нарушению законодательства о защите прав потребителей и Закона о персональных данных, в особенности, требований ч. 1 ст. 9 (согласие пользователя, полученное с использованием темных паттернов может быть признано несвободным и неинформированным).
Например, совсем недавно суд признал ничтожным получение банком согласия, указав, что формулировка «Продолжая, вы соглашаетесь на использование биометрических данных», размещенная в нижней части стартового окна, не содержит прямых сведений о возможности отказа и вводит в заблуждение клиента о предоставлении такого согласия путем обычного входа в мобильное приложение банка. Есть и другие судебные решения, в которых суд вставал на сторону субъектов, которые столкнулись с использованием тёмных паттернов.
Этот пост подготовлен на основе совместного отчёта ICO и CMA. По мотивам примеров из этого отчёта мы при помощи ИИ создали небольшой интерактивный прототип. Смотрите и исследуйте упомянутые в посте паттерны➡️ здесь⬅️ (и не забудьте показать это коллегам из отдела маркетинга).
Цифровые сервисы любят использовать хитрости — тёмные паттерны (dark patterns), которые вводят пользователя в заблуждение и вынуждают его согласиться на то, чего он на самом деле не хочет. В случае с приватностью такие хитрости выражаются в использовании механик, которые позволяют собрать как можно больше персональных данных пользователя.
Некоторые типичные примеры тёмных паттернов:
Пользователю предлагают согласиться на всё в один клик, а чтобы выбрать только необходимые настройки — вынуждают пройти сложный путь. Например, принять все cookies можно одним кликом, а согласиться только на часть cookies или отказаться от них можно только внутри сложно устроенного cookie-баннера.
Настройки, предполагающие наибольший сбор и распространение данных, включены по умолчанию и требуют усилий для изменения. Например, в соцсети ваши посты по умолчанию видны всем, а не только друзьям.
Пользователя заставляют чувствовать себя неловко за отказ от чего-то. Например, кнопка отказа от рассылки может быть подписана как «Нет, я не не хочу получать наиболее подходящие для меня предложения».
Варианты выбора представлены необъективно. Формулировки подчеркивают плюсы варианта, выгодного компании, но при этом скрывают риски, важные для пользователя. Например, могут использоваться формулировки вроде: «Поделитесь историей поиска для лучшего опыта» — без упоминания, что это приведёт к сбору и использованию большого объёма персональных данных и таргетингу.
Пользователю предлагают в один клик дать согласие на разные цели обработки данных, без возможности выбрать конкретные цели. Например, согласие на регистрацию профиля на сайте включает и подписку на маркетинговые рассылки.
Использование любого из этих паттернов может привести к нарушению законодательства о защите прав потребителей и Закона о персональных данных, в особенности, требований ч. 1 ст. 9 (согласие пользователя, полученное с использованием темных паттернов может быть признано несвободным и неинформированным).
Например, совсем недавно суд признал ничтожным получение банком согласия, указав, что формулировка «Продолжая, вы соглашаетесь на использование биометрических данных», размещенная в нижней части стартового окна, не содержит прямых сведений о возможности отказа и вводит в заблуждение клиента о предоставлении такого согласия путем обычного входа в мобильное приложение банка. Есть и другие судебные решения, в которых суд вставал на сторону субъектов, которые столкнулись с использованием тёмных паттернов.
Этот пост подготовлен на основе совместного отчёта ICO и CMA. По мотивам примеров из этого отчёта мы при помощи ИИ создали небольшой интерактивный прототип. Смотрите и исследуйте упомянутые в посте паттерны
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👏5❤4🆒2👍1🐳1
Неавтоматизированная обработка: подборка кейсов
Во время подготовки материалов для базы знаний PrivacyLine (там есть ответы на разные практические вопросы, с которыми DPO сталкиваются в работе) мы встречаем интересные, а порой забавные и странные кейсы из судебной практики. Недавно мы готовили очередную статью, которая посвящена не самой популярной, но тем не менее важной теме – неавтоматизированной обработке персональных данных. Роскомнадзор выявляет нарушения в такой обработке персональных данных не только при проверках, но и при рассмотрении жалоб субъектов.
Какие полезные и необычные кейсы мы нашли в этот раз?
⚫️ Как экономия одного листа бумаги привела к штрафу в 50 000 рублей
Гражданин получил почтовое извещение, напечатанное на оригинале доверенности с персональными данными другого человека. Гражданин такую бережливость не оценил и обратился с жалобой в управление Роскомнадзора. Почтовое отделение объяснило ситуацию невнимательностью сотрудника, который не заменил листы бумаги в принтере, но от штрафа в 50 000 рублей это не спасло (решение).
⚫️ Не стоит выбрасывать документы с персональными данными в урну (особенно при клиенте)
Клиент, обратившийся в офис для изменения своих данных, заметил, что оператор распечатала его заявление с ошибками, а на обороте был текст с персональными данными другого человека. Оператор порвала документ на две части в присутствии клиента, выбросила их в урну и распечатала новое заявление. Но новое заявление тоже содержало ошибки и тоже было напечатано на листе с персональными данными другого человека. Гражданин испугался за безопасность своих данных, попросил вернуть ему разорванные документы и обратился в управление Роскомнадзора с жалобой. Компании повезло больше, чем почтовому отделению в предыдущем деле, потому что дело завершилось всего лишь предупреждением (решение).
⚫️ Не стоит развешивать претензии с персональными данными на территории предприятия
Если организация получает претензию от гражданина, которая содержит его персональные данные, то не стоит распечатывать её на листе А3 и развешивать по территории предприятия. Иначе можно получить штраф в размере 25 000 рублей, как это произошло с одним хлебопекарным предприятием (решение).
⚫️ Аргументация для смелых: форма не является типовой, если оператор не утвердил её
Коротко напомним, что Постановление № 687, посвященное неавтоматизированной обработке, содержит ряд требований, применимых к типовым формам документов (они должны содержать определенные сведения, поля для проставления согласия и т.д.). При проверках Роскомнадзор смотрит, соответствуют ли типовые формы этим требованиям.
В одном из дел оператору удалось оспорить предписание Роскомнадзора, содержащее замечания к типовым формам, с элегантной аргументацией. Оператор указал, что ряд документов, в отношении которых были предъявлены претензии, не являются типовыми формами, потому что они не обязательны для использования и оператор не утверждал их в качестве типовых. Суд первой инстанции согласился с этим. По мнению суда, с учетом таких обстоятельств дела нельзя утверждать, что оспариваемые формы документов являются именно документами типовой формы. Суд апелляционной инстанции также поддержал эту позицию (решение).
Не уверены, что эта аргументация сработает в других подобных делах, но в отсутствие более удачных альтернатив даже такая аргументация может выглядеть выигрышно (особенно, в сравнении с никакой ).
Во время подготовки материалов для базы знаний PrivacyLine (там есть ответы на разные практические вопросы, с которыми DPO сталкиваются в работе) мы встречаем интересные, а порой забавные и странные кейсы из судебной практики. Недавно мы готовили очередную статью, которая посвящена не самой популярной, но тем не менее важной теме – неавтоматизированной обработке персональных данных. Роскомнадзор выявляет нарушения в такой обработке персональных данных не только при проверках, но и при рассмотрении жалоб субъектов.
Какие полезные и необычные кейсы мы нашли в этот раз?
Гражданин получил почтовое извещение, напечатанное на оригинале доверенности с персональными данными другого человека. Гражданин такую бережливость не оценил и обратился с жалобой в управление Роскомнадзора. Почтовое отделение объяснило ситуацию невнимательностью сотрудника, который не заменил листы бумаги в принтере, но от штрафа в 50 000 рублей это не спасло (решение).
Клиент, обратившийся в офис для изменения своих данных, заметил, что оператор распечатала его заявление с ошибками, а на обороте был текст с персональными данными другого человека. Оператор порвала документ на две части в присутствии клиента, выбросила их в урну и распечатала новое заявление. Но новое заявление тоже содержало ошибки и тоже было напечатано на листе с персональными данными другого человека. Гражданин испугался за безопасность своих данных, попросил вернуть ему разорванные документы и обратился в управление Роскомнадзора с жалобой. Компании повезло больше, чем почтовому отделению в предыдущем деле, потому что дело завершилось всего лишь предупреждением (решение).
Если организация получает претензию от гражданина, которая содержит его персональные данные, то не стоит распечатывать её на листе А3 и развешивать по территории предприятия. Иначе можно получить штраф в размере 25 000 рублей, как это произошло с одним хлебопекарным предприятием (решение).
Коротко напомним, что Постановление № 687, посвященное неавтоматизированной обработке, содержит ряд требований, применимых к типовым формам документов (они должны содержать определенные сведения, поля для проставления согласия и т.д.). При проверках Роскомнадзор смотрит, соответствуют ли типовые формы этим требованиям.
В одном из дел оператору удалось оспорить предписание Роскомнадзора, содержащее замечания к типовым формам, с элегантной аргументацией. Оператор указал, что ряд документов, в отношении которых были предъявлены претензии, не являются типовыми формами, потому что они не обязательны для использования и оператор не утверждал их в качестве типовых. Суд первой инстанции согласился с этим. По мнению суда, с учетом таких обстоятельств дела нельзя утверждать, что оспариваемые формы документов являются именно документами типовой формы. Суд апелляционной инстанции также поддержал эту позицию (решение).
Не уверены, что эта аргументация сработает в других подобных делах, но в отсутствие более удачных альтернатив даже такая аргументация может выглядеть выигрышно (
Please open Telegram to view this post
VIEW IN TELEGRAM
✍12😁7👍4❤3🐳2
В начале года мы обещали периодически публиковать разбор отдельных изменений в КоАП, которые вступают в силу 30 мая 2025 года (предыдущие публикации про изменения см. здесь и здесь). Возвращаемся к обещанному!
Важное процессуальное изменение, про которое расскажем сегодня — это изменение компетенции судов по делам об административных правонарушениях, предусмотренных ст. 13.11 КоАП.
До 30 мая 2025 года такие дела в первой инстанции рассматривают судьи мировых судов вне зависимости от вида привлекаемого лица (в последующих инстанциях – федеральные судьи системы общей юрисдикции).
С 30 мая 2025 года дела по таким правонарушениям, если они совершены юридическими лицами (их должностными лицами или иными работниками) или ИП, будут рассматривать федеральные судьи государственных арбитражных судов. Для привлекаемых по ст. 13.11 КоАП физических лиц компетенция судов не изменится.
Для чего понадобилось это изменение?
К сожалению, законодатель оставил нас без ответа на этот вопрос, предложив нам подумать об этом самостоятельно. Возможно, штрафы посчитали слишком большими, а дела слишком сложными для того, чтобы рассматривать их в мировых судах? Если у вас есть идеи, давайте обсудим в комментариях. 👇
Что это изменение означает на практике?
Дела о правонарушениях по ст. 13.11 КоАП, которые совершены указанными выше лицами, будут рассматриваться с учётом особенностей, предусмотренных нормами главы 25 АПК. Эти нормы (в сравнении с нормами КоАП) значительно более детально регламентируют процедуру судопроизводства.
DPO, если он не имеет юридического образования (или статуса адвоката / учёной степени по юридической специальности), не сможет выступать по таким арбитражным делам единственным представителем привлекаемого лица (ч. 3 ст. 59 АПК). Однако, в силу позиции КС РФ (постановление № 37-П от 16.07.2020), он сможет быть одним из представителей, если в деле уже есть другой, «профессиональный», представитель.
(1) если DPO является единоличным органом управления организации (например, генеральным директором);
(2) если в суде рассматривается дело о правонарушении по ст. 13.11 КоАП, производство по которому ведётся против самого DPO как должностного лица.
Сейчас в арбитражных судах рассматриваются дела по оспариванию результатов контрольно-надзорных мероприятий, проведенных в отношении юридических лиц. С 30 мая 2025 года стороны таких дел не смогут оспаривать обстоятельства, установленные в судебных актах, принятых по делам об административных правонарушениях, и наоборот (ч. 2 ст. 69 АПК).
Открытым остается вопрос о том, будут ли восприняты арбитражными судами подходы, сформированные судьями мировых судов. Будем наблюдать за этим вместе с вами!
P.s. Благодарим Александра Ганзера, советника IP/IT практики Nextons, за помощь в подготовке 🫶
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7✍5🔥5❤2👏2🐳2
Что может автоматизировать DPO?
Сегодня поговорим о технологиях, которые помогают DPO в повседневной работе. Другими словами – о мире PrivacyTech.
Существуют по меньшей мере следующие классы решений, которые упрощают (а иногда усложняют 😁) жизнь DPO:
➡️ Инвентаризация и учет
➡️ Управление согласиями
➡️ Обработка запросов субъектов
➡️ Автоматизация уничтожения
➡️ Поиск и систематизация требований регулирования
➡️ Оценка рисков приватности
➡️ Обезличивание данных
Постепенно расскажем о каждом из них, но начнём с самого базового и наиболее близкого нам – инвентаризации и учёта процессов обработки.
🔍 Инвентаризация и учет процессов обработки данных
Ключевая задача таких решений – собрать и систематизировать информацию о том, какие персональные данные обрабатывает оператор и как он это делает.
Какие инструменты доступны DPO для сбора сведений?
⚫️ Опросники
Онлайн-формы для сбора информации от сотрудников или клиентов (если вы – консультант). Иногда похожие опросники можно найти на сайтах регуляторов, а в специализированных решениях информация из опросников может сразу распределяться по нужным полям системы.
⚫️ Data discovery & data mapping
Инструменты, которые автоматически ищут персональные данные в информационных системах. До недавнего времени был доступен поиск только по метаданным (названиям таблиц, столбцов в них и т.п.). С развитием ИИ появляется всё больше решений, которые могут «узнавать» персональные данные по содержанию. Например, система может автоматически определить, что в нестандартно названном поле хранятся паспортные данные или СНИЛС.
Среди таких решений, например: DataGrail (есть даже небольшой интерактивный прототип), Centrl или OneTrust.
На практике встречаются и более оригинальные подходы к поиску данных: например, нам встречалось решение, которое делает выводы об обработке персональных данных на основе анализа исходного кода системы.
📄 Учет: сохранить и структурировать
Закономерное следствие инвентаризации – это систематизация полученной информации в карточки/таблицы процессов, информационных систем, хранилищ, получателей данных и т.д. Иногда их дополняет автоматическая или ручная визуализация потоков данных.
PrivacyTech-инструменты часто совмещают этапы сбора и учёта: например, если вы описали процесс, его сразу можно связать с системой или получателем. Или настроить справочники с вашими формулировками, чтобы не вводить одни и те же данные вручную по 100 раз.
Некоторые называют такие решения «Excel на стероидах», и в этом есть доля правды. Но все же такие решения позволяют работать быстрее, ошибаться меньше и, главное, делают учёт данных не таким травматичным, как в Word или Excel.
Описанные выше решения изначально разрабатывались с прицелом на зарубежное регулирование (GDPR, CCPA и др.). На российском рынке тоже существуют продукты, направленные на решение аналогичных задач. Один из них – PrivacyLine, платформа, которую развивает наша команда.
Мы много работаем над тем, чтобы она стала«Excel в экзоскелете» инструментом, который действительно помогает автоматизировать ключевые задачи DPO. Если интересно, пишите @good_ks!
Сегодня поговорим о технологиях, которые помогают DPO в повседневной работе. Другими словами – о мире PrivacyTech.
Существуют по меньшей мере следующие классы решений, которые упрощают (а иногда усложняют 😁) жизнь DPO:
Постепенно расскажем о каждом из них, но начнём с самого базового и наиболее близкого нам – инвентаризации и учёта процессов обработки.
Ключевая задача таких решений – собрать и систематизировать информацию о том, какие персональные данные обрабатывает оператор и как он это делает.
Какие инструменты доступны DPO для сбора сведений?
Онлайн-формы для сбора информации от сотрудников или клиентов (если вы – консультант). Иногда похожие опросники можно найти на сайтах регуляторов, а в специализированных решениях информация из опросников может сразу распределяться по нужным полям системы.
Инструменты, которые автоматически ищут персональные данные в информационных системах. До недавнего времени был доступен поиск только по метаданным (названиям таблиц, столбцов в них и т.п.). С развитием ИИ появляется всё больше решений, которые могут «узнавать» персональные данные по содержанию. Например, система может автоматически определить, что в нестандартно названном поле хранятся паспортные данные или СНИЛС.
Среди таких решений, например: DataGrail (есть даже небольшой интерактивный прототип), Centrl или OneTrust.
На практике встречаются и более оригинальные подходы к поиску данных: например, нам встречалось решение, которое делает выводы об обработке персональных данных на основе анализа исходного кода системы.
Закономерное следствие инвентаризации – это систематизация полученной информации в карточки/таблицы процессов, информационных систем, хранилищ, получателей данных и т.д. Иногда их дополняет автоматическая или ручная визуализация потоков данных.
PrivacyTech-инструменты часто совмещают этапы сбора и учёта: например, если вы описали процесс, его сразу можно связать с системой или получателем. Или настроить справочники с вашими формулировками, чтобы не вводить одни и те же данные вручную по 100 раз.
Некоторые называют такие решения «Excel на стероидах», и в этом есть доля правды. Но все же такие решения позволяют работать быстрее, ошибаться меньше и, главное, делают учёт данных не таким травматичным, как в Word или Excel.
Описанные выше решения изначально разрабатывались с прицелом на зарубежное регулирование (GDPR, CCPA и др.). На российском рынке тоже существуют продукты, направленные на решение аналогичных задач. Один из них – PrivacyLine, платформа, которую развивает наша команда.
Мы много работаем над тем, чтобы она стала
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8✍3🆒3👍2❤1