Тёмные паттерны: как сервисы манипулируют пользователями (и как это нарушает закон)

Цифровые сервисы любят использовать хитрости — тёмные паттерны (dark patterns), которые вводят пользователя в заблуждение и вынуждают его согласиться на то, чего он на самом деле не хочет. В случае с приватностью такие хитрости выражаются в использовании механик, которые позволяют собрать как можно больше персональных данных пользователя.

Некоторые типичные примеры тёмных паттернов:

⚫️ Вредные «подталкивания»
Пользователю предлагают согласиться на всё в один клик, а чтобы выбрать только необходимые настройки — вынуждают пройти сложный путь. Например, принять все cookies можно одним кликом, а согласиться только на часть cookies или отказаться от них можно только внутри сложно устроенного cookie-баннера.

⚫️Отсутствие приватности по умолчанию
Настройки, предполагающие наибольший сбор и распространение данных, включены по умолчанию и требуют усилий для изменения. Например, в соцсети ваши посты по умолчанию видны всем, а не только друзьям.

⚫️Конфирмшейминг (Confirmshaming)
Пользователя заставляют чувствовать себя неловко за отказ от чего-то. Например, кнопка отказа от рассылки может быть подписана как «Нет, я не не хочу получать наиболее подходящие для меня предложения».

⚫️Манипулятивные тексты (Biased Framing)
Варианты выбора представлены необъективно. Формулировки подчеркивают плюсы варианта, выгодного компании, но при этом скрывают риски, важные для пользователя. Например, могут использоваться формулировки вроде: «Поделитесь историей поиска для лучшего опыта» — без упоминания, что это приведёт к сбору и использованию большого объёма персональных данных и таргетингу.

⚫️Пакетное согласие (Bundled Consent)
Пользователю предлагают в один клик дать согласие на разные цели обработки данных, без возможности выбрать конкретные цели. Например, согласие на регистрацию профиля на сайте включает и подписку на маркетинговые рассылки.

Использование любого из этих паттернов может привести к нарушению законодательства о защите прав потребителей и Закона о персональных данных, в особенности, требований ч. 1 ст. 9 (согласие пользователя, полученное с использованием темных паттернов может быть признано несвободным и неинформированным).

Например, совсем недавно суд признал ничтожным получение банком согласия, указав, что формулировка «Продолжая, вы соглашаетесь на использование биометрических данных», размещенная в нижней части стартового окна, не содержит прямых сведений о возможности отказа и вводит в заблуждение клиента о предоставлении такого согласия путем обычного входа в мобильное приложение банка. Есть и другие судебные решения, в которых суд вставал на сторону субъектов, которые столкнулись с использованием тёмных паттернов.

Этот пост подготовлен на основе совместного отчёта ICO и CMA. По мотивам примеров из этого отчёта мы при помощи ИИ создали небольшой интерактивный прототип. Смотрите и исследуйте упомянутые в посте паттерны ➡️здесь⬅️ (и не забудьте показать это коллегам из отдела маркетинга).

Неавтоматизированная обработка: подборка кейсов

Во время подготовки материалов для базы знаний PrivacyLine (там есть ответы на разные практические вопросы, с которыми DPO сталкиваются в работе) мы встречаем интересные, а порой забавные и странные кейсы из судебной практики. Недавно мы готовили очередную статью, которая посвящена не самой популярной, но тем не менее важной теме – неавтоматизированной обработке персональных данных. Роскомнадзор выявляет нарушения в такой обработке персональных данных не только при проверках, но и при рассмотрении жалоб субъектов.

Какие полезные и необычные кейсы мы нашли в этот раз?

⚫️Как экономия одного листа бумаги привела к штрафу в 50 000 рублей
Гражданин получил почтовое извещение, напечатанное на оригинале доверенности с персональными данными другого человека. Гражданин такую бережливость не оценил и обратился с жалобой в управление Роскомнадзора. Почтовое отделение объяснило ситуацию невнимательностью сотрудника, который не заменил листы бумаги в принтере, но от штрафа в 50 000 рублей это не спасло (решение).

⚫️Не стоит выбрасывать документы с персональными данными в урну (особенно при клиенте)

Клиент, обратившийся в офис для изменения своих данных, заметил, что оператор распечатала его заявление с ошибками, а на обороте был текст с персональными данными другого человека. Оператор порвала документ на две части в присутствии клиента, выбросила их в урну и распечатала новое заявление. Но новое заявление тоже содержало ошибки и тоже было напечатано на листе с персональными данными другого человека. Гражданин испугался за безопасность своих данных, попросил вернуть ему разорванные документы и обратился в управление Роскомнадзора с жалобой. Компании повезло больше, чем почтовому отделению в предыдущем деле, потому что дело завершилось всего лишь предупреждением (решение).

⚫️Не стоит развешивать претензии с персональными данными на территории предприятия

Если организация получает претензию от гражданина, которая содержит его персональные данные, то не стоит распечатывать её на листе А3 и развешивать по территории предприятия. Иначе можно получить штраф в размере 25 000 рублей, как это произошло с одним хлебопекарным предприятием (решение).

⚫️Аргументация для смелых: форма не является типовой, если оператор не утвердил её

Коротко напомним, что Постановление № 687, посвященное неавтоматизированной обработке, содержит ряд требований, применимых к типовым формам документов (они должны содержать определенные сведения, поля для проставления согласия и т.д.). При проверках Роскомнадзор смотрит, соответствуют ли типовые формы этим требованиям.

В одном из дел оператору удалось оспорить предписание Роскомнадзора, содержащее замечания к типовым формам, с элегантной аргументацией. Оператор указал, что ряд документов, в отношении которых были предъявлены претензии, не являются типовыми формами, потому что они не обязательны для использования и оператор не утверждал их в качестве типовых. Суд первой инстанции согласился с этим. По мнению суда, с учетом таких обстоятельств дела нельзя утверждать, что оспариваемые формы документов являются именно документами типовой формы. Суд апелляционной инстанции также поддержал эту позицию (решение).

Не уверены, что эта аргументация сработает в других подобных делах, но в отсутствие более удачных альтернатив даже такая аргументация может выглядеть выигрышно (особенно, в сравнении с никакой).

📣 Дела по ст. 13.11 КоАП переезжают в арбитражные суды

В начале года мы обещали периодически публиковать разбор отдельных изменений в КоАП, которые вступают в силу 30 мая 2025 года (предыдущие публикации про изменения см. здесь и здесь). Возвращаемся к обещанному!

Важное процессуальное изменение, про которое расскажем сегодня — это изменение компетенции судов по делам об административных правонарушениях, предусмотренных ст. 13.11 КоАП.

До 30 мая 2025 года такие дела в первой инстанции рассматривают судьи мировых судов вне зависимости от вида привлекаемого лица (в последующих инстанциях – федеральные судьи системы общей юрисдикции).

С 30 мая 2025 года дела по таким правонарушениям, если они совершены юридическими лицами (их должностными лицами или иными работниками) или ИП, будут рассматривать федеральные судьи государственных арбитражных судов. Для привлекаемых по ст. 13.11 КоАП физических лиц компетенция судов не изменится.

Для чего понадобилось это изменение?

К сожалению, законодатель оставил нас без ответа на этот вопрос, предложив нам подумать об этом самостоятельно. Возможно, штрафы посчитали слишком большими, а дела слишком сложными для того, чтобы рассматривать их в мировых судах? Если у вас есть идеи, давайте обсудим в комментариях. 👇

Что это изменение означает на практике?

⚫️Применение АПК
Дела о правонарушениях по ст. 13.11 КоАП, которые совершены указанными выше лицами, будут рассматриваться с учётом особенностей, предусмотренных нормами главы 25 АПК. Эти нормы (в сравнении с нормами КоАП) значительно более детально регламентируют процедуру судопроизводства.

⚫️Профессиональное представительство
DPO, если он не имеет юридического образования (или статуса адвоката / учёной степени по юридической специальности), не сможет выступать по таким арбитражным делам единственным представителем привлекаемого лица (ч. 3 ст. 59 АПК). Однако, в силу позиции КС РФ (постановление № 37-П от 16.07.2020), он сможет быть одним из представителей, если в деле уже есть другой, «профессиональный», представитель.

❗️Это правило не распространяется на две ситуации, в которых DPO продолжит иметь право быть единственным представителем в таких делах:

(1) если DPO является единоличным органом управления организации (например, генеральным директором);

(2) если в суде рассматривается дело о правонарушении по ст. 13.11 КоАП, производство по которому ведётся против самого DPO как должностного лица.

⚫️Преюдиция
Сейчас в арбитражных судах рассматриваются дела по оспариванию результатов контрольно-надзорных мероприятий, проведенных в отношении юридических лиц. С 30 мая 2025 года стороны таких дел не смогут оспаривать обстоятельства, установленные в судебных актах, принятых по делам об административных правонарушениях, и наоборот (ч. 2 ст. 69 АПК).

Открытым остается вопрос о том, будут ли восприняты арбитражными судами подходы, сформированные судьями мировых судов. Будем наблюдать за этим вместе с вами!

P.s. Благодарим Александра Ганзера, советника IP/IT практики Nextons, за помощь в подготовке 🫶

Что может автоматизировать DPO?

Сегодня поговорим о технологиях, которые помогают DPO в повседневной работе. Другими словами – о мире PrivacyTech.

Существуют по меньшей мере следующие классы решений, которые упрощают (а иногда усложняют 😁) жизнь DPO:

➡️Инвентаризация и учет
➡️Управление согласиями
➡️Обработка запросов субъектов
➡️Автоматизация уничтожения
➡️Поиск и систематизация требований регулирования
➡️Оценка рисков приватности
➡️Обезличивание данных

Постепенно расскажем о каждом из них, но начнём с самого базового и наиболее близкого нам – инвентаризации и учёта процессов обработки.

🔍 Инвентаризация и учет процессов обработки данных

Ключевая задача таких решений – собрать и систематизировать информацию о том, какие персональные данные обрабатывает оператор и как он это делает.

Какие инструменты доступны DPO для сбора сведений?

⚫️Опросники
Онлайн-формы для сбора информации от сотрудников или клиентов (если вы – консультант). Иногда похожие опросники можно найти на сайтах регуляторов, а в специализированных решениях информация из опросников может сразу распределяться по нужным полям системы.

⚫️Data discovery & data mapping
Инструменты, которые автоматически ищут персональные данные в информационных системах. До недавнего времени был доступен поиск только по метаданным (названиям таблиц, столбцов в них и т.п.). С развитием ИИ появляется всё больше решений, которые могут «узнавать» персональные данные по содержанию. Например, система может автоматически определить, что в нестандартно названном поле хранятся паспортные данные или СНИЛС.
Среди таких решений, например: DataGrail (есть даже небольшой интерактивный прототип), Centrl или OneTrust.

На практике встречаются и более оригинальные подходы к поиску данных: например, нам встречалось решение, которое делает выводы об обработке персональных данных на основе анализа исходного кода системы.

📄 Учет: сохранить и структурировать

Закономерное следствие инвентаризации – это систематизация полученной информации в карточки/таблицы процессов, информационных систем, хранилищ, получателей данных и т.д. Иногда их дополняет автоматическая или ручная визуализация потоков данных.

PrivacyTech-инструменты часто совмещают этапы сбора и учёта: например, если вы описали процесс, его сразу можно связать с системой или получателем. Или настроить справочники с вашими формулировками, чтобы не вводить одни и те же данные вручную по 100 раз.

Некоторые называют такие решения «Excel на стероидах», и в этом есть доля правды. Но все же такие решения позволяют работать быстрее, ошибаться меньше и, главное, делают учёт данных не таким травматичным, как в Word или Excel.

Описанные выше решения изначально разрабатывались с прицелом на зарубежное регулирование (GDPR, CCPA и др.). На российском рынке тоже существуют продукты, направленные на решение  аналогичных задач. Один из них – PrivacyLine, платформа, которую развивает наша команда.

Мы много работаем над тем, чтобы она стала «Excel в экзоскелете» инструментом, который действительно помогает автоматизировать ключевые задачи DPO. Если интересно, пишите @good_ks!

Дайджест постов канала «DPO отвечает» за период с марта по апрель

В марте и апреле к нам присоединились новые читатели (💞), поэтому вновь делаем дайджест наших постов за последние два месяца (предыдущий дайджест).

Если что-то пропустили — вот короткий пересказ: новая статья в УК, ст. 13.11 КоАП и арбитражные суды, локализация, тёмные паттерны, неавтоматизированная обработка и автоматизация учета процессов.

Разбор изменений и трендов регулирования:

⚫️Уголовная ответственность в сфере персональных данных: разбираем новую статью 272.1 УК РФ
Подготовили подробный обзор новой статьи УК РФ, которая ввела уголовную ответственность за незаконную обработку персональных данных, полученных незаконным путём. Раскрыли особенности двух новых составов преступлений и вопросы, которые вызывают формулировки новой статьи. Подробный обзор — по ссылке.

⚫️Локализация персональных данных (версия 2.0)
Напомнили об изменениях в требованиях к локализации персональных данных, которые вступят в силу с 1 июля 2025 года. Также привели статистику по делам о привлечении к административной ответственности за нарушения требования о локализации (пока штрафуют преимущественно иностранных операторов). Разбирались, в чём причина такой практики и изменится ли она с новой редакцией.

⚫️Дела по ст. 13.11 КоАП переезжают в арбитражные суды
Разобрали изменения, согласно которым дела о правонарушениях по ст. 13.11 КоАП, если они совершены юридическими лицами (их должностными лицами или иными работниками) или ИП, с 30 мая 2025 года будут рассматриваться арбитражными судами. Теперь к ним будут применяться процессуальные правила АПК РФ, а DPO понадобится высшее юридическое образование, чтобы представлять оператора в суде.

Интересные судебные решения и кейсы:

⚫️Тёмные паттерны: как сервисы манипулируют пользователями (и как это нарушает закон)
Рассказали про тёмные паттерны и как их используют цифровые сервисы, чтобы манипулировать пользователями. Разобрали, как их использование может нарушить закон. Для поста сделали интерактивный прототип с тёмными паттернами — по ссылке.

⚫️Неавтоматизированная обработка: подборка кейсов
Поделились подборкой интересных и поучительных кейсов, связанных с нарушением требований к неавтоматизированной обработке персональных данных. Эти нарушения выделяются Роскомнадзором как одни из самых частых при проверках.

Про организацию и автоматизацию задач DPO:

⚫️Что может автоматизировать DPO?
Начали рассказывать о PrivacyTech — технологиях, которые помогают DPO в работе. В этот раз разобрали решения для инвентаризации и учёта процессов обработки персональных данных.

Мы продолжим рассказывать про тренды регулирования, интересные кейсы, автоматизацию задач DPO и многое другое. Спасибо, что читаете! ❤️

DPO отвечает | #дайджест

Понять и простить. Аргументы, которые не спасают от административной ответственности за утечку

Перед вступлением в силу поправок в КоАП РФ мы решили изучить судебную практику по утечкам персональных данных. Получилось ни много ни мало — 219 судебных решений. Рассчитываем, что подробный обзор, который мы уже готовим, поможет DPO залатать дыры найти и устранить риски, которые иногда могут теряться из виду.

А пока делимся с вами перечнем аргументов, которые не срабатывают в судах по делам об утечках:

⚫️«Это хакеры»

Утечка произошла в результате хакерской атаки / взлома / действий злоумышленников. Оператор не предоставлял доступ к данным, не размещал их в открытом доступе и сам является потерпевшим, а не нарушителем.

Позиция судов: суды указывают, что успешная атака — это показатель недостаточности мер защиты. Сам по себе факт несанкционированного доступа не имеет значения для квалификации по ч. 1 ст. 13.11 КоАП РФ (решение по делу № 05-0654/52/2023, № 5-508/2023 (оставлено в силе)).

❗️Исключение: если оператор признан потерпевшим в рамках возбужденного уголовного дела, суд, как правило, прекращает дело из-за отсутствия состава правонарушения. В таких случаях суды обычно указывают, что оператор выполнил требования закона своевременно и в полном объеме, а виновные действия (бездействия) оператора не установлены.

⚫️«Это не персональные данные»

Затронутый утечкой набор данных (например, ФИО + телефон/email, или только email) не позволяет однозначно идентифицировать конкретного человека.

Позиция судов: суды опираются на нормативное определение персональных данных и напоминают, что принцип идентификации не является единственно возможным критерием (решение по делу № 4-44/2023). Если утекли только ФИО + телефон/email (решение по делу № 5-246/412/2024), или email (решение по делу № 4-44/2023), за утечку придётся отвечать.

⚫️«Виноват подрядчик»

Утечка произошла на стороне / по вине подрядчика, поэтому в действиях оператора нет состава административного правонарушения.

Позиция судов: оператор должен обеспечивать безопасность данных. Утечка на стороне / по вине подрядчика не снимает ответственности с оператора, поскольку он не обеспечил достаточный контроль за действиями подрядчика или обеспечением защиты на его стороне (решение по делу № 05-0902/2024, № 5-7/2025, № 5-898/23 (оставлено в силе), № 5-766/2024 (оставлено в силе)).

⚫️«Данные устарели»

В утечке содержатся старые / неактуальные данные, а потому она не привела к негативным последствиям.

Позиция судов: даже если утекшие данные — это сведения многолетней давности, они всё ещё остаются персональными и подлежат защите до момента их надлежащего уничтожения. Операторов привлекали к ответственности за утечку данных актуальных на 2019 (решение по делу № 05-0654/52/2023) и даже 2006 год (решение по делу № 5-943/2023, мы подробно разбирали его здесь).

⚫️«Это было давно»

С момента утечки прошло больше года, срок давности привлечения к ответственности истек.

Позиция судов: утечка — длящееся правонарушение. Соответственно, годичный срок давности для привлечения к ответственности отсчитывается не с момента утечки, а с даты её выявления (решение по делу № 5-1678/23 (оставлено в силе), № 5-1200/2023).

⚫️«Никто из субъектов не жаловался»

Пользователи, чьи данные утекли, не обращались с жалобами и претензиями к оператору.

Позиция судов: необращение граждан с жалобой не освобождает оператора от административной ответственности (№ 5-2076/2023 (оставлено в силе)).

Подборку успешных стратегий и другие интересные выводы из судебной практики опубликуем в подробном обзоре в ближайшее время 🔥

Ответственность за утечки персональных данных. Обзор судебной практики за 2022-2025 гг.

До 30 мая осталось всего несколько дней. Кто-то отчаянно заполняет очередное уведомление об обработке персональных данных (мы мысленно с вами, осталось совсем немного! но это не точно). Кто-то пересматривает уже пятый вебинар подряд. А кто-то стоически принял неизбежное и ждёт вступления в силу грядущих изменений КоАП РФ.

Мы решили добавить в общую картину немного фактов, которые могли бы помочь DPO более уверенно взглянуть в будущее. Отсмотрев 200+ судебных решений по делам о привлечении к административной ответственности за утечки персональных данных, мы подготовили обзор основных выводов, которые позволяет сделать указанная практика.

Что вы узнаете из него?
⚫️кого привлекали к ответственности
⚫️как заканчиваются дела: штраф, предупреждение или даже прекращение
⚫️как Роскомнадзор выявлял утечки и как взаимодействовал с оператором после этого
⚫️какие смягчающие обстоятельства учитывал суд
⚫️из-за чего происходили утечки
⚫️успешные и неуспешные стратегии в делах об утечках
⚫️и, конечно, рекомендации

Обзор доступен по ссылке ➡️здесь⬅️.

Безусловно, с учетом роста штрафов и передачи соответствующих дел в арбитражные суды многие из выводов, сделанных ретроспективно, могут потребовать корректировки. Тем не менее, уже накопленный опыт правоприменения определенно будет влиять и на будущую практику.

Если у вас будет интерес к дополнительной статистике или отдельным кейсам, пожалуйста, пишите нам. Будем рады прокомментировать!

DPO отвечает | #обзор

Теперь точно отдельно: «новые» требования к согласию на обработку персональных данных

Совет Федерации одобрил в третьем чтении законопроект, который вносит изменения в правила оформления согласия на обработку персональных данных. Поправки вступят в силу 1 сентября 2025 г.

Часть 1 статьи 9 Закона о персональных данных дополняется предложением:

«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных».

На первый взгляд это изменение выглядит как нормативное закрепление уже сложившихся подходов:

⚫️Требование об отдельном оформлении согласия логично вытекает из базовых требований к нему: согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.

⚫️Роскомнадзор, Роспотребнадзор, ФАС и ЦБ уже давно и последовательно выступают против «навязанных» согласий, включенных в договоры.

⚫️Суды чаще всего признают такие согласия ничтожными, поскольку у субъекта нет реальной свободы выбора.

Но есть нюансы.

«Отдельно от иных информации и (или) документов»

Раньше многие операторы включали согласие в договоры отдельным блоком, который предполагал проставление отдельной галочки или подписи. Такой подход в целом не осуждался. С новой формулировкой не до конца понятно, останется ли такая практика допустимой или же придется готовить отдельный «листочек».

Поскольку формулировка допускает альтернативу (отдельно от информации или документов), то осторожный оптимизм сохраняется. Но будем следить за развитием практики и разъяснений регулятора.

❗️Что стоит перепроверить уже сейчас:

1) Договоры с субъектами

Если в рамках договорных отношений с субъектами вы получаете согласие для какой-то вспомогательной обработки (рассылки, аналитика и др.), то оформите согласие отдельным документом или хотя бы отдельным блоком с возможностью поставить отдельную галочку или подпись.

2) Интерфейсы сайтов и мобильных приложений

– Исключите объединение согласия с другими документами (пользовательским соглашением, политикой обработки и др.) под одной галочкой. Самый безопасный подход – предусмотреть не только отдельную галочку для согласия, но и оформить текст самого согласия как отдельный документ или, по крайней мере, как отдельный раздел, доступный к прочтению до выражения согласия (который не придется искать внутри политики или пользовательского соглашения).
– Откажитесь от получения согласий конклюдентными действиями (например, «продолжая использовать сайт....»). Согласие на обработку должно быть выражено активным действием.

3) Cookie-баннеры и условия обработки cookie

Как мы помним, Роскомнадзор признает данные, собираемые с использованием cookies, персональными. Соответственно, согласие на такой сбор также следует «отделять». Прятать согласие на использование cookies в пользовательское соглашение или иные подобные документы точно не следует. Соединять в одном cookie-баннере согласие с cookie и принятие пользовательского соглашения – теперь тоже не самое безопасное решение. В качестве примера для вдохновения приводим cookie-баннер от ФСТЭК.

🎁 Некоторое время назад мы подробно разбирали этот вопрос в статье для базы знаний PrivacyLine (там, кстати, еще много чего интересного 😏).

Пользуемся поводом и делимся с вами этим материалом! В статье вы найдете судебную практику и разъяснения регуляторов, а также рекомендации по допустимым вариантам совмещения согласий с договорами.

Data Protection Audit Framework от ICO: полезные рекомендации

Немного отвлечёмся от регуляторных новостей (но если хотите, то можно почитать о них здесь и здесь) и вернёмся к «прайваси-рутине».

Некоторое время назад мы делились кратким обзором Data Protection Audit Framework от ICO и адаптированным переводом блока про учёт процессов обработки данных. Сегодня хотим обратить внимание на ещё несколько полезных практик из этого же источника, которые, на наш взгляд, заслуживают внимания отечественных DPO.

⚫️ Формы запросов для субъектов данных

Одна из утомительных важных задач любого DPO – отвечать на различные запросы субъектов. Чтобы упростить этот процесс, многие готовят шаблоны для ответов. ICO рекомендует пойти на шаг дальше и подготовить ещё и формы для самих субъектов: электронные с вариантами запросов, а также шаблоны писем. Такая подготовительная работа не только облегчит жизнь субъектам, но и снизит количество запросов без необходимой информации. Эту информацию, конечно, всегда можно уточнить, но чем короче будет переписка, тем меньше шансов получить от субъекта жалобу в адрес регулятора.

⚫️ Чек-листы и опросники для оценки рисков

Отдельный раздел фреймворка посвящен процедуре DPIA – оценке негативного воздействия планируемой обработки на защиту персональных данных. В российском законодательстве аналогичная процедура прямо не предусмотрена. Тем не менее, её ключевая идея (оценка рисков до запуска процесса) вполне применима. Предварительная оценка процессов обработки позволяет понять: можно ли запускать процесс в принципе, какие риски он несёт, не нарушит ли оператор с его запуском требования законодательства, и какие технические и организационные меры необходимо внедрить заранее.

Если адаптировать рекомендации ICO к российским реалиям, то в контексте оценки процессов DPO может:
– разработать внутренние правила и чек-листы для оценки новых процессов;
– определить, в каких случаях такая оценка обязательна и когда нужно подключать DPO;
– подготовить шаблоны опросников, через которые держатели процессов будут передавать информацию DPO для анализа.

⚫️Документирование несостоявшихся утечек

ICO рекомендует документировать не только случившиеся утечки, но и инциденты, которые могли к ним привести, но в итоге не привели (то есть несостоявшиеся утечки). ICO предлагает фиксировать примерно тот же набор аспектов, который российские операторы указывают в уведомлениях об утечках: причины инцидента, что произошло, какие данные были затронуты, каковы последствия, какие меры были приняты и почему именно такие. Такой анализ, во-первых, помогает выявлять уязвимости и предотвращать реальные риски в будущем, а во-вторых, может стать аргументом в пользу добросовестности оператора, если дело об утечке будет рассматриваться в суде.

⚫️ Всплывающие окна о сборе данных в интерфейсе

ICO предлагает показывать пользователю небольшие всплывающие подсказки в моменты, когда происходит сбор данных, а не только в начале пользовательского пути. Иными словами, периодически информировать пользователя о существе его действий с точки зрения обработки его данных. Как это может быть реализовано? Например, при заполнении профиля могут появляться подсказки, зачем нужно заполнить телефон или e-mail, а при размещении отзыва – напоминание о том, что информация об имени пользователя будет опубликована вместе с отзывом. Это позволяет сделать обработку для субъекта более прозрачной и предсказуемой.

DPO отвечает | #Фреймворки

Локализация персональных данных: обзор новых правил и судебной практики

C 1 июля 2025 г. при сборе персональных данных граждан РФ не допускается осуществлять их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся за пределами РФ.

Новая формулировка требования о локализации вызвала много вопросов (наш пост со ссылками на различные мнения), но оснований говорить о радикальном пересмотре подхода к его применению пока, по-видимому, нет. Чтобы помочь DPO и бизнесу разобраться, мы подготовили обзор, в котором рассказали о нюансах практики применения требования о локализации (на основе 70+ судебных дел) и оценили возможные варианты развития событий.

Что вы узнаете из обзора:
⚫️Когда применяется требование о локализации и что считается сбором.
⚫️Как идентифицировать граждан РФ.
⚫️Какие подходы являются недопустимыми или рискованными.
⚫️Как складывается судебная практика: статистика по делам, размеры штрафов, типовой алгоритм действий регулятора.
⚫️Что влияет на размер штрафа и когда можно добиться предупреждения.
⚫️Наши рекомендации.

Обзор приложен к посту и доступен по ссылке ➡️здесь⬅️.

Напоминаем, что кроме новой редакции нормы, на развитие практики может повлиять и перенос дел по ст. 13.11 КоАП РФ, включая составы по локализации, в арбитражные суды. Используйте наш обзор, чтобы оценить риски и подготовиться к изменениям.

DPO отвечает | #обзор

Учим DPO реагировать на инциденты в интерактивном формате

Обучение специалистов по защите данных может быть сложной задачей. Теории часто недостаточно, а тренироваться на реальных инцидентах слишком рискованно. Одно из решений – геймификация, которая позволяет отрабатывать навыки в безопасной среде.

Например, есть игра-викторина The Data Protection Game, в которой игроки соревнуются в знании GDPR, отвечая на вопросы с карточек. Другой пример – инициатива сингапурского регулятора PDPC, который разработал игру DPO Challenge. Игрок выступает в роли нового DPO, который должен провести внутренний аудит и убедиться, что в компании соблюдаются все требования местного закона о защите данных. Механически это всё те же ответы на вопросы, но с картинками!

Мы пока не создали свою видеоигру (всё впереди 🙂), но приглашаем вас на интерактивный мастер-класс, где участники в роли DPO разделятся на команды и будут реагировать на смоделированный инцидент с персональными данными.

Что предстоит делать:

⚫️выявлять, что произошло и какие данные утекли
⚫️оценивать вред субъектам и риски для компании
⚫️разрабатывать план реагирования и решать вопрос об уведомлении РКН

Весь процесс будет проходить при поддержке модераторов, с использованием чек-листов, шаблонов и с ограничением по времени для максимального погружения! Используйте для подготовки наш обзор практики по утечкам.

Ключевые детали:

📆 Когда: 25 июля, начало в 14:00.

📌Где: Санкт-Петербург, офис Nextons (Невский проспект, 32-34).

📎Стоимость: 20 000 ₽.

Регистрируйтесь по ссылке: https://rppaedu.pro/mk

Торопитесь, у нас всего 20 мест!

🍿После мастер-класса всех участников ждет вечеринка на крыше офиса Nextons

Уведомление Роскомнадзора об обработке: раньше предупреждали, а теперь?

Сегодня предлагаем обсудить подачу уведомлений об обработке персональных данных и то, как на эту обязанность влияет новый состав, вступивший в силу 30 мая.

Как было раньше?

За неподачу уведомления штрафовали по ст. 19.7 КоАП РФ («Непредставление или несвоевременное представление сведений…»), максимум – 5 000 ₽. Практика Роскомнадзора и прокуратуры при этом отличалась.

Исходя из судебной практики, Роскомнадзор обычно сначала направлял запрос о необходимости подать уведомление. Если и после этого запроса оператор не подавал уведомление или нарушал срок, указанный в запросе, то оператора привлекали к ответственности. При этом суды чаще не поддерживали позицию, что неподача уведомления – это длящееся правонарушение. Они ссылались на то, что обязанность подать уведомление привязана к конкретному моменту (началу обработки или изменениям в обработке), а значит, срок давности начинает течь с даты нарушения, а не его обнаружения.

Практика с участием прокуратуры складывалась иначе. В ряде дел прокуратура сразу выносила постановление о возбуждении дела и передавала его в суд без предварительных запросов оператору, а суды чаще соглашались с позицией о длящемся характере нарушения (обычно с отсылкой к п. 14 Постановления Пленума ВС РФ от 24.03.2005 № 5).

Что изменилось с 30 мая?

Появился специальный состав за неподачу уведомления (ч. 10 ст. 13.11 КоАП РФ). Штрафы стали ощутимее:
⚫️для должностных лиц – от 30 000 до 50 000 ₽;
⚫️для юридических лиц – от 100 000 до 300 000 ₽.

Возникает закономерный вопрос: изменится ли подход регулятора и судебная практика?
Есть опасение, что с появлением отдельного состава и ростом штрафов Роскомнадзор начнет сразу составлять протоколы по жалобам или результатам мониторинга без предварительных запросов оператору.

Дополнительный фактор, который нужно учитывать, это перенос дел по ст. 13.11 КоАП РФ в арбитражные суды, которые могут изменить текущую практику. Некоторые операторы теперь опасаются подавать уведомление с опозданием. Их логика заключается в том, что если уведомление подано после начала обработки, Роскомнадзор может «автоматически» обнаружить нарушение, и это приведёт к штрафу. В итоге такие операторы просто не подают уведомление, оставаясь под риском, но как бы вне поля зрения регулятора (что на самом деле не так, потому что Роскомнадзор видит все!).

Однако ни до 30 мая, ни после нам не встречались случаи, когда оператора оштрафовали за уведомление, поданное после начала обработки. Но, возможно, у вас другой опыт.

Давайте соберём анонимную статистику, а после мы обобщим цифры и расскажем о дополнительных нюансах.

Голосуйте в опросе ⤵️

Уведомление Роскомнадзора: подводим итоги опроса

Спасибо всем, кто принял участие в нашем опросе о подаче уведомлений в Роскомнадзор! В нем поучаствовали 122 человека, и 51 из них выбрал один из содержательных ответов.

Ключевой вывод: подавляющее большинство тех, кто подавал уведомление с опозданием, не столкнулись с какими-либо негативными последствиями. Ни один из проголосовавших не получил штраф ни до 30 мая, ни после.

В чем причина?

⚫️Практика показывает, что до 30 мая Роскомнадзор не считал целесообразным наказывать операторов за опоздание. Штраф по ст. 19.7 КоАП РФ был невелик (до 5 000 р.), а оператор в конце концов совершал целевое действие, то есть направлял информацию об обработке данных. По сути, игра не стоила свеч.

Кроме того, в судебной практике, сформировавшейся до 30 мая, преобладала позиция, согласно которой неподача уведомления не является длящимся правонарушением (т. е. срок давности для целей привлечения к ответственности начинает течь с момента, когда оператор должен был подать уведомление, но не сделал этого). С учетом срока давности по ст. 19.7 КоАП РФ (3 месяца) такой подход оставлял Роскомнадзору не так много времени для реагирования.

⚫️После 30 мая появился специальный состав, применимый к операторам, не подавшим уведомление своевременно (ч. 10 ст. 13.11 КоАП РФ). Размер штрафов существенно вырос, а срок давности по новому составу составляет уже 1 год. Отдельно стоит вспомнить о том, что рассмотрение соответствующих дел «перекочевало» в арбитражные суды, и это ставит под сомнение актуальность ранее сформированных судами подходов.

Насколько существенно возросли риски для операторов?

Во-первых, Роскомнадзор ограничен определенными условиями для возбуждения дела. Согласно ч. 3.5 ст. 28.1 КоАП РФ, Роскомнадзор может возбудить дело без проведения контрольных (надзорных) мероприятий во взаимодействии с оператором, если сведения о нарушении поступили от самого оператора. Здесь, конечно, возникает вопрос: а не является ли подача уведомления с прошедшей датой начала обработки такими «данными о нарушении», получение которых и станет поводом для штрафа? Теоретически, такой риск существует, но практика его реализации пока незаметна.

Во-вторых, судя по всему, Роскомнадзор пока не собирается добиваться пересмотра подхода к квалификации бездействия операторов как не длящемуся правонарушению. Один из наших подписчиков (за что ему наши отдельные благодарности) поделился с нами письмом территориального управления Роскомнадзора по Республике Татарстан, в котором указано, что если оператор начал обработку до 30 мая, то и ответственность применяется по «старым» правилам, т. е. по ст. 19.7 КоАП РФ.

Стоит ли бояться подачи уведомления?

На наш взгляд, не стоит. Стратегия «лучше поздно, чем никогда» пока остаётся самой разумной. Помимо указанных выше обстоятельств, имеет смысл учитывать следующие:

⚫️Даже если Роскомнадзор начнет штрафовать за сам факт опоздания, то штраф будет в любом случае меньше, чем в случае, если уведомление не подано вообще. Помним про смягчающие обстоятельства и добровольное устранение нарушения.

⚫️Как мы писали в обзоре судебной практики по делам о привлечении к ответственности за утечки персональных данных, суды в рамках таких дел в том числе оценивают общий уровень соблюдения требований Закона о персональных данных. Отсутствие лица в реестре операторов персональных данных в глазах суда точно не будет играть на руку оператору.

⚫️Всё больше компаний до начала сотрудничества проверяют своих подрядчиков на наличие в реестре операторов персональных данных. В таких условиях отсутствие в реестре – это красный флаг для контрагента и препятствие для нормальной деятельности.

Итоги опроса наглядно демонстрируют, что риски, связанные с подачей уведомления, во многом переоцениваются. В случае подачи уведомления с опозданием невысокая вероятность негативных последствий для оператора подтверждается не только указанными выше аргументами, но и практическим опытом рынка.

Не Роскомнадзором единым: прокурорский надзор в сфере персональных данных

Роскомнадзор – это главный регулятор в сфере персональных данных, но при изучении судебной практики можно заметить, что значительная часть правоприменения приходится на органы прокуратуры. Более того, в некоторых сферах (например, в образовании) прокуратура действует даже активнее, чем Роскомнадзор. Что стоит знать про прокуратуру в контексте надзора за обработкой персональных данных:

⚫️Широкие полномочия для проверок и возбуждения административных дел

Прокурорский надзор не подпадает под действие Федерального закона № 248-ФЗ, поэтому прокуратура не ограничена мораторием на осуществление проверок и основаниями для их проведения. При осуществлении надзора прокуратура может возбудить дело по любой статье КоАП (ст. 28.4 КоАП РФ), и для этого не нужно проводить надзорные мероприятия по правилам, действующим для Роскомнадзора (например, ч. 3.1, 3.5 ст. 28.1 КоАП).

⚫️Широкие процессуальные полномочия в части подачи исков

Прокуратура может подать иск в защиту прав отдельного субъекта или неопределённого круга лиц (ст. 45 ГПК РФ). У Роскомнадзора тоже есть похожее право (п. 5 ч. 3 ст. 23 152-ФЗ), но пользуется он им достаточно редко, а прокуратура – наоборот, активно.

Показательный пример: в августе 2024 года прокуратура Судиславского района подала 19 (!) однотипных исков к школам и детским садам с требованием разработать и утвердить локальный акт о порядке хранения и использования персональных данных (пример 1, пример 2). Все иски были удовлетворены, и суд обязал учреждения разработать документы к 1 октября 2024 года. Интересно, что выводы прокурора и судов во всех делах были обоснованы ссылками исключительно на статью 87 ТК РФ.

⚫️«Особые» подходы

Иногда подходы прокуратуры к применению 152-ФЗ заметно отличаются от позиций Роскомнадзора. Ниже можно посмотреть несколько примеров из практики (по клику на заголовки доступны тексты решений).

- Ошибочное применение ч. 4 ст. 9 152-ФЗ (чаще встречается в делах с участием прокуратуры, хотя могут иметь место и в практике Роскомнадзора)

Дело на 300 тыс. рублей
Прокурор усмотрел признаки состава правонарушения по ч. 2 ст. 13.11 КоАП РФ в том, что общество предоставляло в ИФНС налоговую отчетность, содержащую ФИО, дату рождения, паспортные данные, ИНН, СНИЛС нескольких физических лиц. Эти лица в трудовых отношениях с обществом никогда не состояли. На общество был наложен штраф в размере 300 000 р.

Письменное согласие для договора хранения
Прокурор установил, что при заключении договоров хранения с физическими лицами ИП не получает согласия на обработку персональных данных по форме ч. 4 ст. 9 152-ФЗ. Суд привлек ИП к административной ответственности, поскольку условия договора предполагали наличие у ИП права уступки прав требования третьим лицам и, как следствие, допускали передачу персональных данных контрагентов третьим лицам. Такая передача является обработкой, для которой в силу статей 7, 9 152-ФЗ требуется согласие, которое должно соответствовать требованиям ч. 4 ст. 9 152-ФЗ.
Аналогичное дело – см. тут.

- Последствия неподачи уведомления об обработке персональных данных в Роскомнадзор

Ранее в посте про подачу уведомления об обработке персональных данных мы писали, что Роскомнадзор до возбуждения административного производства обычно направлял запрос о необходимости подать уведомление. Если и после этого запроса оператор не подавал уведомление или нарушал срок, указанный в запросе, то оператора привлекали к ответственности. В отличие от Роскомнадзора, прокуратура обычно сразу выносила постановление о возбуждении дела и передавала его в суд без предварительных запросов оператору (см. пример 1, пример 2).

Если у вас есть ещё примеры подобных расхождений или иных интересных дел с участием прокуратуры, делитесь в комментариях или присылайте @good_ks. Возможно, они заслуживают отдельной публикации!

Экосистема русскоязычных privacy-каналов: наш репост с навигатором для новых читателей

Наши друзья и партнёры из RPPA.pro и Кирилл Зюбанов собрали подборку телеграм-каналов о приватности, о многих из которых вы могли не знать.

Сам факт появления таких подборок – это маркер зрелости нашего профессионального сообщества. Мы видим, как сфера privacy становится всё более специализированной и разнообразной: появляются каналы, сфокусированные на privacy-комплаенсе в HR, ИБ, на судебной практике и даже мемах 🙂. Мы рады быть частью этого списка и приветствуем новых читателей!

Коротко о нас:

Мы развиваем PrivacyLine – сервис для автоматизации комплаенса в сфере персональных данных и стараемся сделать жизнь DPO чуть проще. В этом канале мы делимся новостями, методологией и интересными кейсами из практики.

Чтобы познакомиться с нашим подходом к аналитике, рекомендуем начать с двух свежих материалов:

1️⃣ Ответственность за утечки персональных данных. Обзор судебной практики за 2022-2025 гг.

Статистика и выводы на основе 200+ судебных дел: кого привлекали к ответственности, чем завершались дела, как действовал Роскомнадзор, какие стратегии работали в судах.

2️⃣ Локализация персональных данных: обзор новых правил и судебной практики

Выводы из 70+ судебных дел: когда применяется требование о локализации, что считается сбором, какие подходы являются рискованными и что влияет на размер штрафа.

🐉Privacy: Мир privacy огромен, все новости охватить невозможно, хотя мы в RPPA.pro и стремимся к этому, а недавно Кирилл Зюбанов подготовил подборку каналов — маленьких, небольших и средних, о которых ты, возможно, еще не знаешь, хотя они точно того стоят!

🆕Итак, авторская подборка [а скоро будет и от всего RPPA.pro] пиши @krakozubla (соберем по ПД, ИИ, ИБ, IP)

Юрист о персональных данных — авторский канал Натальи Алешковой про право, закон, правоприменение, методологию для специалистов по ПД

ПДн не ПНД — канал с большим количеством комментариев по текущей практике, позициям, запросам и ответам, в уникальной манере автора

Трудовой комплаенс — о рисках, в том числе реализовавшихся, для работодателей в области ПД, трудового права и не только

По душам о труде — кажется, единственный канал, целиком посвящённый обработке персональных данных в HR, автор — юрист по трудовому праву

DPO отвечает — актуальные новости, экспертная аналитика, кейсы и тренды для DPO, юристов, специалистов LegalTech и ИБ

Адвокат Цифры — канал про ПД, ИИ, ИБ и многое другое, снабженный креативными комментариями, зачастую нестандартным взглядом на вещи и, конечно, ПЕРСОНЕМАМИ

О жизни | праве | прайвеси — канал, где простым языком рассказывают о privacy и юриспруденции, делятся чек-листами, лайфхаками и трендами, рассуждают о "privacy-культуре" в бизнесе и о многом другом

ПЕРСОНЕМЫ — единственный русскоязычный канал со смешными картинками и смехо-философией в области приватности

ПД All year round — канал о практике по ст. 13.11 с авторскими комментариями и аналитикой

No Security — понятный канал про внутрянку ИБ, стандарты, фреймворки и метрики, очень полезно для всех, кто интересуется ПД и ИБ

Шёпотом ПРО ПД — мероприятия, дискуссионные клубы и интересные материалы для privacy-энтузиастов

Кстати, если хочешь, подписаться можно не только по ссылкам выше, но и с помощью авторской супер-папки 🍀