Новые правила проведения профилактических визитов

28 декабря 2024 года вступил в силу Федеральный закон № 540-ФЗ, который внес целый ряд изменений в порядок осуществления контроля и надзора (наш пост с общим обзором изменений). Сегодня подробнее разберём новые правила проведения профилактических визитов. В последнее время они стали одним из основных инструментов регуляторов. Активно ими пользуется и Роскомнадзор.

Ожидаем, что в развитие этих изменений в обозримом будущем будут внесены соответствующие изменения и в Положение о контроле за обработкой персональных данных.

Подготовили для вас сравнительную таблицу нового и старого регулирования — смотреть тут.

🔎На что DPO стоит обратить особенное внимание?

⚫️Изменение правил проведения обязательных профилактических визитов. Обязательный профилактический визит (ст. 52.1 ФЗ № 248) инициируется контрольным (надзорным) органом в случаях, предусмотренных законом. Отказ от такого визита теперь невозможен.

Непосредственно из закона следует, что такие визиты должны проводиться в отношении объектов высокого риска. Периодичность проведения визитов для объектов значительного, среднего и умеренного рисков должна быть определена Правительством по отдельным видам контроля (но пока такая периодичность не определена). С учетом внесенных изменений обязательные визиты становятся похожими на полноценные проверки.

Важно, что на профилактические визиты не распространяется мораторий, установленный Постановлением Правительства № 336.

⚫️Расширение полномочий инспектора. При обязательном визите инспектор теперь вправе не только запрашивать документы и информацию, но и проводить осмотр, инструментальное обследование, испытания, а также экспертизу.

⚫️Возможность выдать предписание. При обнаружении нарушений в рамках обязательного визита теперь может быть выдано предписание об их устранении, если такие нарушения не устранены до окончания проведения визита.

Фреймворки для DPO. Data Protection Audit Framework

Мы начинаем серию постов про международные и зарубежные фреймворки для организации обработки персональных данных и приватности.

Сегодня поговорим о Data Protection Audit Framework от британского регулятора ICO. Это один из самых свежих фреймворков — выпущен в октябре 2024 года. В этом посте сделаем общий обзор его содержания, а в одном из следующих — расскажем про конкретные рекомендации, которые показались нам наиболее полезными и интересными.

Что такое фреймворк и чем он полезен для DPO?

Фреймворк — это структурированный набор подходов, который помогает организовать работу над какой-то задачей или проектом. Он строится вокруг конкретных целей или требований (например, законов) и описывает практические шаги по их выполнению.

Простой пример: чтобы обработка данных соответствовала закону, нужно:
1. Определить, зачем и какие данные собираются, выбрать подходящее законное основание.
2. Зафиксировать это документально.
3. Повторять эти шаги перед запуском каждого нового процесса обработки.

Фреймворки обычно помогают наладить процессы и организацию работы, но не разъясняют конкретные законы. Пока в России нет своего фреймворка, можно ориентироваться на проверенные международные и зарубежные подходы.

📄 Из чего состоит Data Protection Audit Framework?

⚫️ Toolkits
ICO предлагает «группы» рекомендаций по отдельным направлениям. Есть самый общий «Accountability», где описаны все основные процессы в работе DPO (учёт, отношения с контрагентами, обработка обращений и т.д.). Если решите познакомиться с фреймворком, мы рекомендуем начать именно с этого раздела. Есть и более узкие toolkits: про обучение сотрудников, передачу данных, искусственный интеллект, утечки и др.

⚫️Trackers
Это большие «чек-листы» в виде Excel-табличек, которые помогают отслеживать реализацию положений фреймворка.  На каждый toolkit есть свой трекер. В них выписаны все требования и для каждого можно указать текущий статус его выполнения, какие действия были предприняты, ответственных лиц и другие параметры. Наш регулятор при проверке очень оценил бы, если бы у оператора был похожий трекер, заполненный с учетом утвержденного проверочного листа🙂.

⚫️ Case studies (кейсы)
Фреймворк включает раздел с примерами практической реализации положений фреймворка реальными организациями. Сейчас раздел состоит преимущественно из «историй успеха», где компании благодарят ICO за прекрасный фреймворк с минимумом конкретики. Тем не менее, было бы радостно когда-нибудь увидеть аналогичные отзывы на сайте нашего регулятора.

🎁 Сам фреймворк написан на английском, но мы перевели и адаптировали часть, посвящённую учёту процессов обработки данных (DPO может быть полезно сравнить с ним свои подходы) — смотреть тут.

DPO отвечает | #Фреймворки

✏️ Кейс: Утечка длиною в жизнь

Через три месяца вступит в силу штраф за повторную утечку персональных данных (ч. 15 и 18 ст. 13.11 КоАП РФ). И это не просто штраф, а штраф в процентах от оборота компании. Мы решили проверить, привлекались ли компании ранее к ответственности за повторные утечки, и нашли несколько судебных решений. Сегодня разберем одно из них — достаточно свежее решение суда от сентября 2023 года.

Обстоятельства дела:

Управление Роскомнадзора по ЦФО в ходе мониторинга интернет-ресурсов обнаружило в открытом доступе базу данных ПАО «ВымпелКом», содержащую персональные данные клиентов: ФИО, номера телефонов, паспортные данные и адреса прописки. Компания уведомила Роскомнадзор об этой утечке 2 и 4 июня 2023 года, указав, что в базе содержатся данные, актуальные на 2006 год, и что они были распространены неустановленным третьим лицом.

Роскомнадзор квалифицировал этот инцидент как повторное нарушение и составил протокол по ч. 1.1 ст. 13.11 КоАП РФ, поскольку в феврале 2023 года компания уже привлекалась к ответственности по ч. 1 ст. 13.11 КоАП РФ — тоже за утечку.

Позиция защиты:

Защитник компании заявил, что отсутствуют признаки повторности, а срок давности привлечения к административной ответственности истек, ведь база данных была размещена в сети Интернет еще в 2006 году. Кроме того, он подчеркнул, что направление уведомления об утечке — это не признание вины, а просто исполнение обязанности, предусмотренной законом.

Что решил суд?

Суд признал нарушение длящимся. Днём обнаружения правонарушения была определена дата, когда в сети была размещена информация об утечке — 1 июня 2023 года. Это подтверждалось уведомлениями компании об утечке и скриншотами.

Суд отклонил довод защиты о том, что уведомление об утечке не может быть основанием для возбуждения дела. Суд указал, что добровольное сообщение об утечке не препятствует возбуждению производства, если событие правонарушения установлено. Однако учел это как смягчающее обстоятельство со ссылкой на п. 3 ч. 1 ст. 4.2 КоАП РФ (добровольное сообщение о совершенном административном правонарушении). В итоге штраф составил минимальные 100 000 рублей.

О чём нам напоминает это решение?

Новая редакция ст. 13.11 КоАП выделяет утечку персональных данных в отдельное правонарушение. Но риски, вытекающие из этого судебного решения, останутся актуальными:

⚫️Утечка как длящееся нарушение. Если данные продолжают находиться в открытом доступе, суды могут квалифицировать это как длящееся правонарушение. Срок давности в таких случаях отсчитывается с момента фактического обнаружения нарушения или когда оно могло быть обнаружено. Даже если утечка произошла до 30 мая 2025 года, есть риск, что штрафы будут накладываться по новым составам ст. 13.11 КоАП РФ (несмотря на то, что закон не имеет обратной силы).

⚫️Уведомление как подтверждение нарушения. Суд может расценить уведомление об утечке как подтверждение факта нарушения.

Решение было оставлено в силе в апелляции. Более того, похожие аргументы позже были использованы в решении суда по другому делу.

Дайджест постов канала «DPO отвечает» за период с января по февраль

В январе и феврале у канала появилось много новых читателей (🫶), поэтому мы решили сделать для вас дайджест публикаций.

Разбор изменений и трендов регулирования:

⚫️Изменения в контроле и надзоре
28 декабря 2024 года приняли поправки в закон о госконтроле. Мы разобрали изменения, которые затронут контроль за обработкой персональных данных. Теперь внеплановые документарные проверки требуют согласования с прокуратурой, а утечка данных в интернет — повод для проверки.

⚫️Обзор основных изменений регулирования за 2024 год
На бизнес-завтраке для фармбизнеса рассказали про ключевые изменения и тренды в регулировании обработки персональных данных. Презентация — по ссылке.

⚫️Новые правила проведения профилактических визитов
Разобрали изменения в регулировании профилактических визитов. Теперь они стали больше похожи на проверки. Сравнительная табличка старого и нового регулирования — по ссылке.

Интересные судебные решения:

⚫️Кейс: удалить не значит уничтожить
Свежий кейс напомнил нам, что удаление данных — не то же самое, что их уничтожение, а контроль обработчиков входит в задачи операторов.

⚫️Отсутствие учета процессов обработки = штраф?
Классический случай: компанию оштрафовали за неопубликованную политику обработки данных и отсутствие учёта процессов после проверки прокуратуры. Рассказали подробности дела и подготовили статью о том, как вести такой учет с помощью реестра процессов — читайте здесь.

⚫️Кейс: утечка длиною в жизнь
Рассмотрели дело о повторной утечке, в котором суд признал нарушение длящимся и расценил уведомление об утечке как подтверждение факта нарушения.

Про организацию и автоматизацию задач DPO:

⚫️Privacy Tech в гостях у Git.Legal
В конце 2024 года обсудили с Иваном Мелиховым (Git.Legal) автоматизацию задач DPO и сервис PrivacyLine. Интервью доступно на RuTube, а также в подкастах на Я.Музыке и Podster.

⚫️Персональные данные и ИИ
Как использовать персональные данные для обучения ИИ в рамках закона? Мы рассмотрели основания обработки и подсказали, где искать вдохновение.

⚫️Фреймворки для DPO: Data Protection Audit Framework
Начали серию постов о международных фреймворках и сделали обзор Data Protection Audit Framework от ICO. Это руководство помогает структурировать работу DPO. Адаптированный перевод части фреймворка про учёт процессов — по ссылке.

Мы продолжим рассказывать про тренды регулирования, интересные кейсы, автоматизацию задач DPO и многое другое. Спасибо, что читаете! ❤️

DPO отвечает | #дайджест

📣Уголовная ответственность в сфере персональных данных: разбираем новую статью 272.1 УК РФ

В конце прошлого года в КоАП РФ и УК РФ были внесены важные изменения, касающиеся ответственности за различные нарушения в сфере персональных данных. Про изменения в КоАП РФ мы уже рассказывали. Сегодня пришло время рассказать про изменения в УК РФ.

Напомним, что 11 декабря 2024 года вступила в силу новая статья 272.1 УК РФ. Если говорить коротко, то эта статья ввела уголовную ответственность за незаконную обработку персональных данных, полученных незаконным путём. Фактически, появились два новых состава преступления:

⚫️чч. 1–5 ст. 272.1 УК РФ: незаконное использование, передача, сбор или хранение персональных данных, полученных незаконным путём, а также ряд квалифицированных составов;

⚫️ч. 6 ст. 272.1 УК РФ: создание или обеспечение функционирования информационных ресурсов, заведомо предназначенных для незаконного хранения или распространения персональных данных, полученных незаконным путём.

Формулировки новой статьи вызывают у экспертов много вопросов — и мы не исключение 🙂. Как статья будет применяться на практике, покажет только время. Но мы уже попробовали разобраться в изменениях и подготовили для вас подробный обзор. Надеемся, он будет полезным!

Читайте обзор по ссылке ➡️здесь⬅️

Тёмные паттерны: как сервисы манипулируют пользователями (и как это нарушает закон)

Цифровые сервисы любят использовать хитрости — тёмные паттерны (dark patterns), которые вводят пользователя в заблуждение и вынуждают его согласиться на то, чего он на самом деле не хочет. В случае с приватностью такие хитрости выражаются в использовании механик, которые позволяют собрать как можно больше персональных данных пользователя.

Некоторые типичные примеры тёмных паттернов:

⚫️ Вредные «подталкивания»
Пользователю предлагают согласиться на всё в один клик, а чтобы выбрать только необходимые настройки — вынуждают пройти сложный путь. Например, принять все cookies можно одним кликом, а согласиться только на часть cookies или отказаться от них можно только внутри сложно устроенного cookie-баннера.

⚫️Отсутствие приватности по умолчанию
Настройки, предполагающие наибольший сбор и распространение данных, включены по умолчанию и требуют усилий для изменения. Например, в соцсети ваши посты по умолчанию видны всем, а не только друзьям.

⚫️Конфирмшейминг (Confirmshaming)
Пользователя заставляют чувствовать себя неловко за отказ от чего-то. Например, кнопка отказа от рассылки может быть подписана как «Нет, я не не хочу получать наиболее подходящие для меня предложения».

⚫️Манипулятивные тексты (Biased Framing)
Варианты выбора представлены необъективно. Формулировки подчеркивают плюсы варианта, выгодного компании, но при этом скрывают риски, важные для пользователя. Например, могут использоваться формулировки вроде: «Поделитесь историей поиска для лучшего опыта» — без упоминания, что это приведёт к сбору и использованию большого объёма персональных данных и таргетингу.

⚫️Пакетное согласие (Bundled Consent)
Пользователю предлагают в один клик дать согласие на разные цели обработки данных, без возможности выбрать конкретные цели. Например, согласие на регистрацию профиля на сайте включает и подписку на маркетинговые рассылки.

Использование любого из этих паттернов может привести к нарушению законодательства о защите прав потребителей и Закона о персональных данных, в особенности, требований ч. 1 ст. 9 (согласие пользователя, полученное с использованием темных паттернов может быть признано несвободным и неинформированным).

Например, совсем недавно суд признал ничтожным получение банком согласия, указав, что формулировка «Продолжая, вы соглашаетесь на использование биометрических данных», размещенная в нижней части стартового окна, не содержит прямых сведений о возможности отказа и вводит в заблуждение клиента о предоставлении такого согласия путем обычного входа в мобильное приложение банка. Есть и другие судебные решения, в которых суд вставал на сторону субъектов, которые столкнулись с использованием тёмных паттернов.

Этот пост подготовлен на основе совместного отчёта ICO и CMA. По мотивам примеров из этого отчёта мы при помощи ИИ создали небольшой интерактивный прототип. Смотрите и исследуйте упомянутые в посте паттерны ➡️здесь⬅️ (и не забудьте показать это коллегам из отдела маркетинга).

Неавтоматизированная обработка: подборка кейсов

Во время подготовки материалов для базы знаний PrivacyLine (там есть ответы на разные практические вопросы, с которыми DPO сталкиваются в работе) мы встречаем интересные, а порой забавные и странные кейсы из судебной практики. Недавно мы готовили очередную статью, которая посвящена не самой популярной, но тем не менее важной теме – неавтоматизированной обработке персональных данных. Роскомнадзор выявляет нарушения в такой обработке персональных данных не только при проверках, но и при рассмотрении жалоб субъектов.

Какие полезные и необычные кейсы мы нашли в этот раз?

⚫️Как экономия одного листа бумаги привела к штрафу в 50 000 рублей
Гражданин получил почтовое извещение, напечатанное на оригинале доверенности с персональными данными другого человека. Гражданин такую бережливость не оценил и обратился с жалобой в управление Роскомнадзора. Почтовое отделение объяснило ситуацию невнимательностью сотрудника, который не заменил листы бумаги в принтере, но от штрафа в 50 000 рублей это не спасло (решение).

⚫️Не стоит выбрасывать документы с персональными данными в урну (особенно при клиенте)

Клиент, обратившийся в офис для изменения своих данных, заметил, что оператор распечатала его заявление с ошибками, а на обороте был текст с персональными данными другого человека. Оператор порвала документ на две части в присутствии клиента, выбросила их в урну и распечатала новое заявление. Но новое заявление тоже содержало ошибки и тоже было напечатано на листе с персональными данными другого человека. Гражданин испугался за безопасность своих данных, попросил вернуть ему разорванные документы и обратился в управление Роскомнадзора с жалобой. Компании повезло больше, чем почтовому отделению в предыдущем деле, потому что дело завершилось всего лишь предупреждением (решение).

⚫️Не стоит развешивать претензии с персональными данными на территории предприятия

Если организация получает претензию от гражданина, которая содержит его персональные данные, то не стоит распечатывать её на листе А3 и развешивать по территории предприятия. Иначе можно получить штраф в размере 25 000 рублей, как это произошло с одним хлебопекарным предприятием (решение).

⚫️Аргументация для смелых: форма не является типовой, если оператор не утвердил её

Коротко напомним, что Постановление № 687, посвященное неавтоматизированной обработке, содержит ряд требований, применимых к типовым формам документов (они должны содержать определенные сведения, поля для проставления согласия и т.д.). При проверках Роскомнадзор смотрит, соответствуют ли типовые формы этим требованиям.

В одном из дел оператору удалось оспорить предписание Роскомнадзора, содержащее замечания к типовым формам, с элегантной аргументацией. Оператор указал, что ряд документов, в отношении которых были предъявлены претензии, не являются типовыми формами, потому что они не обязательны для использования и оператор не утверждал их в качестве типовых. Суд первой инстанции согласился с этим. По мнению суда, с учетом таких обстоятельств дела нельзя утверждать, что оспариваемые формы документов являются именно документами типовой формы. Суд апелляционной инстанции также поддержал эту позицию (решение).

Не уверены, что эта аргументация сработает в других подобных делах, но в отсутствие более удачных альтернатив даже такая аргументация может выглядеть выигрышно (особенно, в сравнении с никакой).

📣 Дела по ст. 13.11 КоАП переезжают в арбитражные суды

В начале года мы обещали периодически публиковать разбор отдельных изменений в КоАП, которые вступают в силу 30 мая 2025 года (предыдущие публикации про изменения см. здесь и здесь). Возвращаемся к обещанному!

Важное процессуальное изменение, про которое расскажем сегодня — это изменение компетенции судов по делам об административных правонарушениях, предусмотренных ст. 13.11 КоАП.

До 30 мая 2025 года такие дела в первой инстанции рассматривают судьи мировых судов вне зависимости от вида привлекаемого лица (в последующих инстанциях – федеральные судьи системы общей юрисдикции).

С 30 мая 2025 года дела по таким правонарушениям, если они совершены юридическими лицами (их должностными лицами или иными работниками) или ИП, будут рассматривать федеральные судьи государственных арбитражных судов. Для привлекаемых по ст. 13.11 КоАП физических лиц компетенция судов не изменится.

Для чего понадобилось это изменение?

К сожалению, законодатель оставил нас без ответа на этот вопрос, предложив нам подумать об этом самостоятельно. Возможно, штрафы посчитали слишком большими, а дела слишком сложными для того, чтобы рассматривать их в мировых судах? Если у вас есть идеи, давайте обсудим в комментариях. 👇

Что это изменение означает на практике?

⚫️Применение АПК
Дела о правонарушениях по ст. 13.11 КоАП, которые совершены указанными выше лицами, будут рассматриваться с учётом особенностей, предусмотренных нормами главы 25 АПК. Эти нормы (в сравнении с нормами КоАП) значительно более детально регламентируют процедуру судопроизводства.

⚫️Профессиональное представительство
DPO, если он не имеет юридического образования (или статуса адвоката / учёной степени по юридической специальности), не сможет выступать по таким арбитражным делам единственным представителем привлекаемого лица (ч. 3 ст. 59 АПК). Однако, в силу позиции КС РФ (постановление № 37-П от 16.07.2020), он сможет быть одним из представителей, если в деле уже есть другой, «профессиональный», представитель.

❗️Это правило не распространяется на две ситуации, в которых DPO продолжит иметь право быть единственным представителем в таких делах:

(1) если DPO является единоличным органом управления организации (например, генеральным директором);

(2) если в суде рассматривается дело о правонарушении по ст. 13.11 КоАП, производство по которому ведётся против самого DPO как должностного лица.

⚫️Преюдиция
Сейчас в арбитражных судах рассматриваются дела по оспариванию результатов контрольно-надзорных мероприятий, проведенных в отношении юридических лиц. С 30 мая 2025 года стороны таких дел не смогут оспаривать обстоятельства, установленные в судебных актах, принятых по делам об административных правонарушениях, и наоборот (ч. 2 ст. 69 АПК).

Открытым остается вопрос о том, будут ли восприняты арбитражными судами подходы, сформированные судьями мировых судов. Будем наблюдать за этим вместе с вами!

P.s. Благодарим Александра Ганзера, советника IP/IT практики Nextons, за помощь в подготовке 🫶

Что может автоматизировать DPO?

Сегодня поговорим о технологиях, которые помогают DPO в повседневной работе. Другими словами – о мире PrivacyTech.

Существуют по меньшей мере следующие классы решений, которые упрощают (а иногда усложняют 😁) жизнь DPO:

➡️Инвентаризация и учет
➡️Управление согласиями
➡️Обработка запросов субъектов
➡️Автоматизация уничтожения
➡️Поиск и систематизация требований регулирования
➡️Оценка рисков приватности
➡️Обезличивание данных

Постепенно расскажем о каждом из них, но начнём с самого базового и наиболее близкого нам – инвентаризации и учёта процессов обработки.

🔍 Инвентаризация и учет процессов обработки данных

Ключевая задача таких решений – собрать и систематизировать информацию о том, какие персональные данные обрабатывает оператор и как он это делает.

Какие инструменты доступны DPO для сбора сведений?

⚫️Опросники
Онлайн-формы для сбора информации от сотрудников или клиентов (если вы – консультант). Иногда похожие опросники можно найти на сайтах регуляторов, а в специализированных решениях информация из опросников может сразу распределяться по нужным полям системы.

⚫️Data discovery & data mapping
Инструменты, которые автоматически ищут персональные данные в информационных системах. До недавнего времени был доступен поиск только по метаданным (названиям таблиц, столбцов в них и т.п.). С развитием ИИ появляется всё больше решений, которые могут «узнавать» персональные данные по содержанию. Например, система может автоматически определить, что в нестандартно названном поле хранятся паспортные данные или СНИЛС.
Среди таких решений, например: DataGrail (есть даже небольшой интерактивный прототип), Centrl или OneTrust.

На практике встречаются и более оригинальные подходы к поиску данных: например, нам встречалось решение, которое делает выводы об обработке персональных данных на основе анализа исходного кода системы.

📄 Учет: сохранить и структурировать

Закономерное следствие инвентаризации – это систематизация полученной информации в карточки/таблицы процессов, информационных систем, хранилищ, получателей данных и т.д. Иногда их дополняет автоматическая или ручная визуализация потоков данных.

PrivacyTech-инструменты часто совмещают этапы сбора и учёта: например, если вы описали процесс, его сразу можно связать с системой или получателем. Или настроить справочники с вашими формулировками, чтобы не вводить одни и те же данные вручную по 100 раз.

Некоторые называют такие решения «Excel на стероидах», и в этом есть доля правды. Но все же такие решения позволяют работать быстрее, ошибаться меньше и, главное, делают учёт данных не таким травматичным, как в Word или Excel.

Описанные выше решения изначально разрабатывались с прицелом на зарубежное регулирование (GDPR, CCPA и др.). На российском рынке тоже существуют продукты, направленные на решение  аналогичных задач. Один из них – PrivacyLine, платформа, которую развивает наша команда.

Мы много работаем над тем, чтобы она стала «Excel в экзоскелете» инструментом, который действительно помогает автоматизировать ключевые задачи DPO. Если интересно, пишите @good_ks!

Дайджест постов канала «DPO отвечает» за период с марта по апрель

В марте и апреле к нам присоединились новые читатели (💞), поэтому вновь делаем дайджест наших постов за последние два месяца (предыдущий дайджест).

Если что-то пропустили — вот короткий пересказ: новая статья в УК, ст. 13.11 КоАП и арбитражные суды, локализация, тёмные паттерны, неавтоматизированная обработка и автоматизация учета процессов.

Разбор изменений и трендов регулирования:

⚫️Уголовная ответственность в сфере персональных данных: разбираем новую статью 272.1 УК РФ
Подготовили подробный обзор новой статьи УК РФ, которая ввела уголовную ответственность за незаконную обработку персональных данных, полученных незаконным путём. Раскрыли особенности двух новых составов преступлений и вопросы, которые вызывают формулировки новой статьи. Подробный обзор — по ссылке.

⚫️Локализация персональных данных (версия 2.0)
Напомнили об изменениях в требованиях к локализации персональных данных, которые вступят в силу с 1 июля 2025 года. Также привели статистику по делам о привлечении к административной ответственности за нарушения требования о локализации (пока штрафуют преимущественно иностранных операторов). Разбирались, в чём причина такой практики и изменится ли она с новой редакцией.

⚫️Дела по ст. 13.11 КоАП переезжают в арбитражные суды
Разобрали изменения, согласно которым дела о правонарушениях по ст. 13.11 КоАП, если они совершены юридическими лицами (их должностными лицами или иными работниками) или ИП, с 30 мая 2025 года будут рассматриваться арбитражными судами. Теперь к ним будут применяться процессуальные правила АПК РФ, а DPO понадобится высшее юридическое образование, чтобы представлять оператора в суде.

Интересные судебные решения и кейсы:

⚫️Тёмные паттерны: как сервисы манипулируют пользователями (и как это нарушает закон)
Рассказали про тёмные паттерны и как их используют цифровые сервисы, чтобы манипулировать пользователями. Разобрали, как их использование может нарушить закон. Для поста сделали интерактивный прототип с тёмными паттернами — по ссылке.

⚫️Неавтоматизированная обработка: подборка кейсов
Поделились подборкой интересных и поучительных кейсов, связанных с нарушением требований к неавтоматизированной обработке персональных данных. Эти нарушения выделяются Роскомнадзором как одни из самых частых при проверках.

Про организацию и автоматизацию задач DPO:

⚫️Что может автоматизировать DPO?
Начали рассказывать о PrivacyTech — технологиях, которые помогают DPO в работе. В этот раз разобрали решения для инвентаризации и учёта процессов обработки персональных данных.

Мы продолжим рассказывать про тренды регулирования, интересные кейсы, автоматизацию задач DPO и многое другое. Спасибо, что читаете! ❤️

DPO отвечает | #дайджест

Понять и простить. Аргументы, которые не спасают от административной ответственности за утечку

Перед вступлением в силу поправок в КоАП РФ мы решили изучить судебную практику по утечкам персональных данных. Получилось ни много ни мало — 219 судебных решений. Рассчитываем, что подробный обзор, который мы уже готовим, поможет DPO залатать дыры найти и устранить риски, которые иногда могут теряться из виду.

А пока делимся с вами перечнем аргументов, которые не срабатывают в судах по делам об утечках:

⚫️«Это хакеры»

Утечка произошла в результате хакерской атаки / взлома / действий злоумышленников. Оператор не предоставлял доступ к данным, не размещал их в открытом доступе и сам является потерпевшим, а не нарушителем.

Позиция судов: суды указывают, что успешная атака — это показатель недостаточности мер защиты. Сам по себе факт несанкционированного доступа не имеет значения для квалификации по ч. 1 ст. 13.11 КоАП РФ (решение по делу № 05-0654/52/2023, № 5-508/2023 (оставлено в силе)).

❗️Исключение: если оператор признан потерпевшим в рамках возбужденного уголовного дела, суд, как правило, прекращает дело из-за отсутствия состава правонарушения. В таких случаях суды обычно указывают, что оператор выполнил требования закона своевременно и в полном объеме, а виновные действия (бездействия) оператора не установлены.

⚫️«Это не персональные данные»

Затронутый утечкой набор данных (например, ФИО + телефон/email, или только email) не позволяет однозначно идентифицировать конкретного человека.

Позиция судов: суды опираются на нормативное определение персональных данных и напоминают, что принцип идентификации не является единственно возможным критерием (решение по делу № 4-44/2023). Если утекли только ФИО + телефон/email (решение по делу № 5-246/412/2024), или email (решение по делу № 4-44/2023), за утечку придётся отвечать.

⚫️«Виноват подрядчик»

Утечка произошла на стороне / по вине подрядчика, поэтому в действиях оператора нет состава административного правонарушения.

Позиция судов: оператор должен обеспечивать безопасность данных. Утечка на стороне / по вине подрядчика не снимает ответственности с оператора, поскольку он не обеспечил достаточный контроль за действиями подрядчика или обеспечением защиты на его стороне (решение по делу № 05-0902/2024, № 5-7/2025, № 5-898/23 (оставлено в силе), № 5-766/2024 (оставлено в силе)).

⚫️«Данные устарели»

В утечке содержатся старые / неактуальные данные, а потому она не привела к негативным последствиям.

Позиция судов: даже если утекшие данные — это сведения многолетней давности, они всё ещё остаются персональными и подлежат защите до момента их надлежащего уничтожения. Операторов привлекали к ответственности за утечку данных актуальных на 2019 (решение по делу № 05-0654/52/2023) и даже 2006 год (решение по делу № 5-943/2023, мы подробно разбирали его здесь).

⚫️«Это было давно»

С момента утечки прошло больше года, срок давности привлечения к ответственности истек.

Позиция судов: утечка — длящееся правонарушение. Соответственно, годичный срок давности для привлечения к ответственности отсчитывается не с момента утечки, а с даты её выявления (решение по делу № 5-1678/23 (оставлено в силе), № 5-1200/2023).

⚫️«Никто из субъектов не жаловался»

Пользователи, чьи данные утекли, не обращались с жалобами и претензиями к оператору.

Позиция судов: необращение граждан с жалобой не освобождает оператора от административной ответственности (№ 5-2076/2023 (оставлено в силе)).

Подборку успешных стратегий и другие интересные выводы из судебной практики опубликуем в подробном обзоре в ближайшее время 🔥

Ответственность за утечки персональных данных. Обзор судебной практики за 2022-2025 гг.

До 30 мая осталось всего несколько дней. Кто-то отчаянно заполняет очередное уведомление об обработке персональных данных (мы мысленно с вами, осталось совсем немного! но это не точно). Кто-то пересматривает уже пятый вебинар подряд. А кто-то стоически принял неизбежное и ждёт вступления в силу грядущих изменений КоАП РФ.

Мы решили добавить в общую картину немного фактов, которые могли бы помочь DPO более уверенно взглянуть в будущее. Отсмотрев 200+ судебных решений по делам о привлечении к административной ответственности за утечки персональных данных, мы подготовили обзор основных выводов, которые позволяет сделать указанная практика.

Что вы узнаете из него?
⚫️кого привлекали к ответственности
⚫️как заканчиваются дела: штраф, предупреждение или даже прекращение
⚫️как Роскомнадзор выявлял утечки и как взаимодействовал с оператором после этого
⚫️какие смягчающие обстоятельства учитывал суд
⚫️из-за чего происходили утечки
⚫️успешные и неуспешные стратегии в делах об утечках
⚫️и, конечно, рекомендации

Обзор доступен по ссылке ➡️здесь⬅️.

Безусловно, с учетом роста штрафов и передачи соответствующих дел в арбитражные суды многие из выводов, сделанных ретроспективно, могут потребовать корректировки. Тем не менее, уже накопленный опыт правоприменения определенно будет влиять и на будущую практику.

Если у вас будет интерес к дополнительной статистике или отдельным кейсам, пожалуйста, пишите нам. Будем рады прокомментировать!

DPO отвечает | #обзор

Теперь точно отдельно: «новые» требования к согласию на обработку персональных данных

Совет Федерации одобрил в третьем чтении законопроект, который вносит изменения в правила оформления согласия на обработку персональных данных. Поправки вступят в силу 1 сентября 2025 г.

Часть 1 статьи 9 Закона о персональных данных дополняется предложением:

«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных».

На первый взгляд это изменение выглядит как нормативное закрепление уже сложившихся подходов:

⚫️Требование об отдельном оформлении согласия логично вытекает из базовых требований к нему: согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.

⚫️Роскомнадзор, Роспотребнадзор, ФАС и ЦБ уже давно и последовательно выступают против «навязанных» согласий, включенных в договоры.

⚫️Суды чаще всего признают такие согласия ничтожными, поскольку у субъекта нет реальной свободы выбора.

Но есть нюансы.

«Отдельно от иных информации и (или) документов»

Раньше многие операторы включали согласие в договоры отдельным блоком, который предполагал проставление отдельной галочки или подписи. Такой подход в целом не осуждался. С новой формулировкой не до конца понятно, останется ли такая практика допустимой или же придется готовить отдельный «листочек».

Поскольку формулировка допускает альтернативу (отдельно от информации или документов), то осторожный оптимизм сохраняется. Но будем следить за развитием практики и разъяснений регулятора.

❗️Что стоит перепроверить уже сейчас:

1) Договоры с субъектами

Если в рамках договорных отношений с субъектами вы получаете согласие для какой-то вспомогательной обработки (рассылки, аналитика и др.), то оформите согласие отдельным документом или хотя бы отдельным блоком с возможностью поставить отдельную галочку или подпись.

2) Интерфейсы сайтов и мобильных приложений

– Исключите объединение согласия с другими документами (пользовательским соглашением, политикой обработки и др.) под одной галочкой. Самый безопасный подход – предусмотреть не только отдельную галочку для согласия, но и оформить текст самого согласия как отдельный документ или, по крайней мере, как отдельный раздел, доступный к прочтению до выражения согласия (который не придется искать внутри политики или пользовательского соглашения).
– Откажитесь от получения согласий конклюдентными действиями (например, «продолжая использовать сайт....»). Согласие на обработку должно быть выражено активным действием.

3) Cookie-баннеры и условия обработки cookie

Как мы помним, Роскомнадзор признает данные, собираемые с использованием cookies, персональными. Соответственно, согласие на такой сбор также следует «отделять». Прятать согласие на использование cookies в пользовательское соглашение или иные подобные документы точно не следует. Соединять в одном cookie-баннере согласие с cookie и принятие пользовательского соглашения – теперь тоже не самое безопасное решение. В качестве примера для вдохновения приводим cookie-баннер от ФСТЭК.

🎁 Некоторое время назад мы подробно разбирали этот вопрос в статье для базы знаний PrivacyLine (там, кстати, еще много чего интересного 😏).

Пользуемся поводом и делимся с вами этим материалом! В статье вы найдете судебную практику и разъяснения регуляторов, а также рекомендации по допустимым вариантам совмещения согласий с договорами.

Data Protection Audit Framework от ICO: полезные рекомендации

Немного отвлечёмся от регуляторных новостей (но если хотите, то можно почитать о них здесь и здесь) и вернёмся к «прайваси-рутине».

Некоторое время назад мы делились кратким обзором Data Protection Audit Framework от ICO и адаптированным переводом блока про учёт процессов обработки данных. Сегодня хотим обратить внимание на ещё несколько полезных практик из этого же источника, которые, на наш взгляд, заслуживают внимания отечественных DPO.

⚫️ Формы запросов для субъектов данных

Одна из утомительных важных задач любого DPO – отвечать на различные запросы субъектов. Чтобы упростить этот процесс, многие готовят шаблоны для ответов. ICO рекомендует пойти на шаг дальше и подготовить ещё и формы для самих субъектов: электронные с вариантами запросов, а также шаблоны писем. Такая подготовительная работа не только облегчит жизнь субъектам, но и снизит количество запросов без необходимой информации. Эту информацию, конечно, всегда можно уточнить, но чем короче будет переписка, тем меньше шансов получить от субъекта жалобу в адрес регулятора.

⚫️ Чек-листы и опросники для оценки рисков

Отдельный раздел фреймворка посвящен процедуре DPIA – оценке негативного воздействия планируемой обработки на защиту персональных данных. В российском законодательстве аналогичная процедура прямо не предусмотрена. Тем не менее, её ключевая идея (оценка рисков до запуска процесса) вполне применима. Предварительная оценка процессов обработки позволяет понять: можно ли запускать процесс в принципе, какие риски он несёт, не нарушит ли оператор с его запуском требования законодательства, и какие технические и организационные меры необходимо внедрить заранее.

Если адаптировать рекомендации ICO к российским реалиям, то в контексте оценки процессов DPO может:
– разработать внутренние правила и чек-листы для оценки новых процессов;
– определить, в каких случаях такая оценка обязательна и когда нужно подключать DPO;
– подготовить шаблоны опросников, через которые держатели процессов будут передавать информацию DPO для анализа.

⚫️Документирование несостоявшихся утечек

ICO рекомендует документировать не только случившиеся утечки, но и инциденты, которые могли к ним привести, но в итоге не привели (то есть несостоявшиеся утечки). ICO предлагает фиксировать примерно тот же набор аспектов, который российские операторы указывают в уведомлениях об утечках: причины инцидента, что произошло, какие данные были затронуты, каковы последствия, какие меры были приняты и почему именно такие. Такой анализ, во-первых, помогает выявлять уязвимости и предотвращать реальные риски в будущем, а во-вторых, может стать аргументом в пользу добросовестности оператора, если дело об утечке будет рассматриваться в суде.

⚫️ Всплывающие окна о сборе данных в интерфейсе

ICO предлагает показывать пользователю небольшие всплывающие подсказки в моменты, когда происходит сбор данных, а не только в начале пользовательского пути. Иными словами, периодически информировать пользователя о существе его действий с точки зрения обработки его данных. Как это может быть реализовано? Например, при заполнении профиля могут появляться подсказки, зачем нужно заполнить телефон или e-mail, а при размещении отзыва – напоминание о том, что информация об имени пользователя будет опубликована вместе с отзывом. Это позволяет сделать обработку для субъекта более прозрачной и предсказуемой.

DPO отвечает | #Фреймворки

Локализация персональных данных: обзор новых правил и судебной практики

C 1 июля 2025 г. при сборе персональных данных граждан РФ не допускается осуществлять их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся за пределами РФ.

Новая формулировка требования о локализации вызвала много вопросов (наш пост со ссылками на различные мнения), но оснований говорить о радикальном пересмотре подхода к его применению пока, по-видимому, нет. Чтобы помочь DPO и бизнесу разобраться, мы подготовили обзор, в котором рассказали о нюансах практики применения требования о локализации (на основе 70+ судебных дел) и оценили возможные варианты развития событий.

Что вы узнаете из обзора:
⚫️Когда применяется требование о локализации и что считается сбором.
⚫️Как идентифицировать граждан РФ.
⚫️Какие подходы являются недопустимыми или рискованными.
⚫️Как складывается судебная практика: статистика по делам, размеры штрафов, типовой алгоритм действий регулятора.
⚫️Что влияет на размер штрафа и когда можно добиться предупреждения.
⚫️Наши рекомендации.

Обзор приложен к посту и доступен по ссылке ➡️здесь⬅️.

Напоминаем, что кроме новой редакции нормы, на развитие практики может повлиять и перенос дел по ст. 13.11 КоАП РФ, включая составы по локализации, в арбитражные суды. Используйте наш обзор, чтобы оценить риски и подготовиться к изменениям.

DPO отвечает | #обзор

Учим DPO реагировать на инциденты в интерактивном формате

Обучение специалистов по защите данных может быть сложной задачей. Теории часто недостаточно, а тренироваться на реальных инцидентах слишком рискованно. Одно из решений – геймификация, которая позволяет отрабатывать навыки в безопасной среде.

Например, есть игра-викторина The Data Protection Game, в которой игроки соревнуются в знании GDPR, отвечая на вопросы с карточек. Другой пример – инициатива сингапурского регулятора PDPC, который разработал игру DPO Challenge. Игрок выступает в роли нового DPO, который должен провести внутренний аудит и убедиться, что в компании соблюдаются все требования местного закона о защите данных. Механически это всё те же ответы на вопросы, но с картинками!

Мы пока не создали свою видеоигру (всё впереди 🙂), но приглашаем вас на интерактивный мастер-класс, где участники в роли DPO разделятся на команды и будут реагировать на смоделированный инцидент с персональными данными.

Что предстоит делать:

⚫️выявлять, что произошло и какие данные утекли
⚫️оценивать вред субъектам и риски для компании
⚫️разрабатывать план реагирования и решать вопрос об уведомлении РКН

Весь процесс будет проходить при поддержке модераторов, с использованием чек-листов, шаблонов и с ограничением по времени для максимального погружения! Используйте для подготовки наш обзор практики по утечкам.

Ключевые детали:

📆 Когда: 25 июля, начало в 14:00.

📌Где: Санкт-Петербург, офис Nextons (Невский проспект, 32-34).

📎Стоимость: 20 000 ₽.

Регистрируйтесь по ссылке: https://rppaedu.pro/mk

Торопитесь, у нас всего 20 мест!

🍿После мастер-класса всех участников ждет вечеринка на крыше офиса Nextons