Локализация персональных данных: обзор новых правил и судебной практики

C 1 июля 2025 г. при сборе персональных данных граждан РФ не допускается осуществлять их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся за пределами РФ.

Новая формулировка требования о локализации вызвала много вопросов (наш пост со ссылками на различные мнения), но оснований говорить о радикальном пересмотре подхода к его применению пока, по-видимому, нет. Чтобы помочь DPO и бизнесу разобраться, мы подготовили обзор, в котором рассказали о нюансах практики применения требования о локализации (на основе 70+ судебных дел) и оценили возможные варианты развития событий.

Что вы узнаете из обзора:
⚫️Когда применяется требование о локализации и что считается сбором.
⚫️Как идентифицировать граждан РФ.
⚫️Какие подходы являются недопустимыми или рискованными.
⚫️Как складывается судебная практика: статистика по делам, размеры штрафов, типовой алгоритм действий регулятора.
⚫️Что влияет на размер штрафа и когда можно добиться предупреждения.
⚫️Наши рекомендации.

Обзор приложен к посту и доступен по ссылке ➡️здесь⬅️.

Напоминаем, что кроме новой редакции нормы, на развитие практики может повлиять и перенос дел по ст. 13.11 КоАП РФ, включая составы по локализации, в арбитражные суды. Используйте наш обзор, чтобы оценить риски и подготовиться к изменениям.

DPO отвечает | #обзор

Учим DPO реагировать на инциденты в интерактивном формате

Обучение специалистов по защите данных может быть сложной задачей. Теории часто недостаточно, а тренироваться на реальных инцидентах слишком рискованно. Одно из решений – геймификация, которая позволяет отрабатывать навыки в безопасной среде.

Например, есть игра-викторина The Data Protection Game, в которой игроки соревнуются в знании GDPR, отвечая на вопросы с карточек. Другой пример – инициатива сингапурского регулятора PDPC, который разработал игру DPO Challenge. Игрок выступает в роли нового DPO, который должен провести внутренний аудит и убедиться, что в компании соблюдаются все требования местного закона о защите данных. Механически это всё те же ответы на вопросы, но с картинками!

Мы пока не создали свою видеоигру (всё впереди 🙂), но приглашаем вас на интерактивный мастер-класс, где участники в роли DPO разделятся на команды и будут реагировать на смоделированный инцидент с персональными данными.

Что предстоит делать:

⚫️выявлять, что произошло и какие данные утекли
⚫️оценивать вред субъектам и риски для компании
⚫️разрабатывать план реагирования и решать вопрос об уведомлении РКН

Весь процесс будет проходить при поддержке модераторов, с использованием чек-листов, шаблонов и с ограничением по времени для максимального погружения! Используйте для подготовки наш обзор практики по утечкам.

Ключевые детали:

📆 Когда: 25 июля, начало в 14:00.

📌Где: Санкт-Петербург, офис Nextons (Невский проспект, 32-34).

📎Стоимость: 20 000 ₽.

Регистрируйтесь по ссылке: https://rppaedu.pro/mk

Торопитесь, у нас всего 20 мест!

🍿После мастер-класса всех участников ждет вечеринка на крыше офиса Nextons

Уведомление Роскомнадзора об обработке: раньше предупреждали, а теперь?

Сегодня предлагаем обсудить подачу уведомлений об обработке персональных данных и то, как на эту обязанность влияет новый состав, вступивший в силу 30 мая.

Как было раньше?

За неподачу уведомления штрафовали по ст. 19.7 КоАП РФ («Непредставление или несвоевременное представление сведений…»), максимум – 5 000 ₽. Практика Роскомнадзора и прокуратуры при этом отличалась.

Исходя из судебной практики, Роскомнадзор обычно сначала направлял запрос о необходимости подать уведомление. Если и после этого запроса оператор не подавал уведомление или нарушал срок, указанный в запросе, то оператора привлекали к ответственности. При этом суды чаще не поддерживали позицию, что неподача уведомления – это длящееся правонарушение. Они ссылались на то, что обязанность подать уведомление привязана к конкретному моменту (началу обработки или изменениям в обработке), а значит, срок давности начинает течь с даты нарушения, а не его обнаружения.

Практика с участием прокуратуры складывалась иначе. В ряде дел прокуратура сразу выносила постановление о возбуждении дела и передавала его в суд без предварительных запросов оператору, а суды чаще соглашались с позицией о длящемся характере нарушения (обычно с отсылкой к п. 14 Постановления Пленума ВС РФ от 24.03.2005 № 5).

Что изменилось с 30 мая?

Появился специальный состав за неподачу уведомления (ч. 10 ст. 13.11 КоАП РФ). Штрафы стали ощутимее:
⚫️для должностных лиц – от 30 000 до 50 000 ₽;
⚫️для юридических лиц – от 100 000 до 300 000 ₽.

Возникает закономерный вопрос: изменится ли подход регулятора и судебная практика?
Есть опасение, что с появлением отдельного состава и ростом штрафов Роскомнадзор начнет сразу составлять протоколы по жалобам или результатам мониторинга без предварительных запросов оператору.

Дополнительный фактор, который нужно учитывать, это перенос дел по ст. 13.11 КоАП РФ в арбитражные суды, которые могут изменить текущую практику. Некоторые операторы теперь опасаются подавать уведомление с опозданием. Их логика заключается в том, что если уведомление подано после начала обработки, Роскомнадзор может «автоматически» обнаружить нарушение, и это приведёт к штрафу. В итоге такие операторы просто не подают уведомление, оставаясь под риском, но как бы вне поля зрения регулятора (что на самом деле не так, потому что Роскомнадзор видит все!).

Однако ни до 30 мая, ни после нам не встречались случаи, когда оператора оштрафовали за уведомление, поданное после начала обработки. Но, возможно, у вас другой опыт.

Давайте соберём анонимную статистику, а после мы обобщим цифры и расскажем о дополнительных нюансах.

Голосуйте в опросе ⤵️

Уведомление Роскомнадзора: подводим итоги опроса

Спасибо всем, кто принял участие в нашем опросе о подаче уведомлений в Роскомнадзор! В нем поучаствовали 122 человека, и 51 из них выбрал один из содержательных ответов.

Ключевой вывод: подавляющее большинство тех, кто подавал уведомление с опозданием, не столкнулись с какими-либо негативными последствиями. Ни один из проголосовавших не получил штраф ни до 30 мая, ни после.

В чем причина?

⚫️Практика показывает, что до 30 мая Роскомнадзор не считал целесообразным наказывать операторов за опоздание. Штраф по ст. 19.7 КоАП РФ был невелик (до 5 000 р.), а оператор в конце концов совершал целевое действие, то есть направлял информацию об обработке данных. По сути, игра не стоила свеч.

Кроме того, в судебной практике, сформировавшейся до 30 мая, преобладала позиция, согласно которой неподача уведомления не является длящимся правонарушением (т. е. срок давности для целей привлечения к ответственности начинает течь с момента, когда оператор должен был подать уведомление, но не сделал этого). С учетом срока давности по ст. 19.7 КоАП РФ (3 месяца) такой подход оставлял Роскомнадзору не так много времени для реагирования.

⚫️После 30 мая появился специальный состав, применимый к операторам, не подавшим уведомление своевременно (ч. 10 ст. 13.11 КоАП РФ). Размер штрафов существенно вырос, а срок давности по новому составу составляет уже 1 год. Отдельно стоит вспомнить о том, что рассмотрение соответствующих дел «перекочевало» в арбитражные суды, и это ставит под сомнение актуальность ранее сформированных судами подходов.

Насколько существенно возросли риски для операторов?

Во-первых, Роскомнадзор ограничен определенными условиями для возбуждения дела. Согласно ч. 3.5 ст. 28.1 КоАП РФ, Роскомнадзор может возбудить дело без проведения контрольных (надзорных) мероприятий во взаимодействии с оператором, если сведения о нарушении поступили от самого оператора. Здесь, конечно, возникает вопрос: а не является ли подача уведомления с прошедшей датой начала обработки такими «данными о нарушении», получение которых и станет поводом для штрафа? Теоретически, такой риск существует, но практика его реализации пока незаметна.

Во-вторых, судя по всему, Роскомнадзор пока не собирается добиваться пересмотра подхода к квалификации бездействия операторов как не длящемуся правонарушению. Один из наших подписчиков (за что ему наши отдельные благодарности) поделился с нами письмом территориального управления Роскомнадзора по Республике Татарстан, в котором указано, что если оператор начал обработку до 30 мая, то и ответственность применяется по «старым» правилам, т. е. по ст. 19.7 КоАП РФ.

Стоит ли бояться подачи уведомления?

На наш взгляд, не стоит. Стратегия «лучше поздно, чем никогда» пока остаётся самой разумной. Помимо указанных выше обстоятельств, имеет смысл учитывать следующие:

⚫️Даже если Роскомнадзор начнет штрафовать за сам факт опоздания, то штраф будет в любом случае меньше, чем в случае, если уведомление не подано вообще. Помним про смягчающие обстоятельства и добровольное устранение нарушения.

⚫️Как мы писали в обзоре судебной практики по делам о привлечении к ответственности за утечки персональных данных, суды в рамках таких дел в том числе оценивают общий уровень соблюдения требований Закона о персональных данных. Отсутствие лица в реестре операторов персональных данных в глазах суда точно не будет играть на руку оператору.

⚫️Всё больше компаний до начала сотрудничества проверяют своих подрядчиков на наличие в реестре операторов персональных данных. В таких условиях отсутствие в реестре – это красный флаг для контрагента и препятствие для нормальной деятельности.

Итоги опроса наглядно демонстрируют, что риски, связанные с подачей уведомления, во многом переоцениваются. В случае подачи уведомления с опозданием невысокая вероятность негативных последствий для оператора подтверждается не только указанными выше аргументами, но и практическим опытом рынка.

Не Роскомнадзором единым: прокурорский надзор в сфере персональных данных

Роскомнадзор – это главный регулятор в сфере персональных данных, но при изучении судебной практики можно заметить, что значительная часть правоприменения приходится на органы прокуратуры. Более того, в некоторых сферах (например, в образовании) прокуратура действует даже активнее, чем Роскомнадзор. Что стоит знать про прокуратуру в контексте надзора за обработкой персональных данных:

⚫️Широкие полномочия для проверок и возбуждения административных дел

Прокурорский надзор не подпадает под действие Федерального закона № 248-ФЗ, поэтому прокуратура не ограничена мораторием на осуществление проверок и основаниями для их проведения. При осуществлении надзора прокуратура может возбудить дело по любой статье КоАП (ст. 28.4 КоАП РФ), и для этого не нужно проводить надзорные мероприятия по правилам, действующим для Роскомнадзора (например, ч. 3.1, 3.5 ст. 28.1 КоАП).

⚫️Широкие процессуальные полномочия в части подачи исков

Прокуратура может подать иск в защиту прав отдельного субъекта или неопределённого круга лиц (ст. 45 ГПК РФ). У Роскомнадзора тоже есть похожее право (п. 5 ч. 3 ст. 23 152-ФЗ), но пользуется он им достаточно редко, а прокуратура – наоборот, активно.

Показательный пример: в августе 2024 года прокуратура Судиславского района подала 19 (!) однотипных исков к школам и детским садам с требованием разработать и утвердить локальный акт о порядке хранения и использования персональных данных (пример 1, пример 2). Все иски были удовлетворены, и суд обязал учреждения разработать документы к 1 октября 2024 года. Интересно, что выводы прокурора и судов во всех делах были обоснованы ссылками исключительно на статью 87 ТК РФ.

⚫️«Особые» подходы

Иногда подходы прокуратуры к применению 152-ФЗ заметно отличаются от позиций Роскомнадзора. Ниже можно посмотреть несколько примеров из практики (по клику на заголовки доступны тексты решений).

- Ошибочное применение ч. 4 ст. 9 152-ФЗ (чаще встречается в делах с участием прокуратуры, хотя могут иметь место и в практике Роскомнадзора)

Дело на 300 тыс. рублей
Прокурор усмотрел признаки состава правонарушения по ч. 2 ст. 13.11 КоАП РФ в том, что общество предоставляло в ИФНС налоговую отчетность, содержащую ФИО, дату рождения, паспортные данные, ИНН, СНИЛС нескольких физических лиц. Эти лица в трудовых отношениях с обществом никогда не состояли. На общество был наложен штраф в размере 300 000 р.

Письменное согласие для договора хранения
Прокурор установил, что при заключении договоров хранения с физическими лицами ИП не получает согласия на обработку персональных данных по форме ч. 4 ст. 9 152-ФЗ. Суд привлек ИП к административной ответственности, поскольку условия договора предполагали наличие у ИП права уступки прав требования третьим лицам и, как следствие, допускали передачу персональных данных контрагентов третьим лицам. Такая передача является обработкой, для которой в силу статей 7, 9 152-ФЗ требуется согласие, которое должно соответствовать требованиям ч. 4 ст. 9 152-ФЗ.
Аналогичное дело – см. тут.

- Последствия неподачи уведомления об обработке персональных данных в Роскомнадзор

Ранее в посте про подачу уведомления об обработке персональных данных мы писали, что Роскомнадзор до возбуждения административного производства обычно направлял запрос о необходимости подать уведомление. Если и после этого запроса оператор не подавал уведомление или нарушал срок, указанный в запросе, то оператора привлекали к ответственности. В отличие от Роскомнадзора, прокуратура обычно сразу выносила постановление о возбуждении дела и передавала его в суд без предварительных запросов оператору (см. пример 1, пример 2).

Если у вас есть ещё примеры подобных расхождений или иных интересных дел с участием прокуратуры, делитесь в комментариях или присылайте @good_ks. Возможно, они заслуживают отдельной публикации!

Экосистема русскоязычных privacy-каналов: наш репост с навигатором для новых читателей

Наши друзья и партнёры из RPPA.pro и Кирилл Зюбанов собрали подборку телеграм-каналов о приватности, о многих из которых вы могли не знать.

Сам факт появления таких подборок – это маркер зрелости нашего профессионального сообщества. Мы видим, как сфера privacy становится всё более специализированной и разнообразной: появляются каналы, сфокусированные на privacy-комплаенсе в HR, ИБ, на судебной практике и даже мемах 🙂. Мы рады быть частью этого списка и приветствуем новых читателей!

Коротко о нас:

Мы развиваем PrivacyLine – сервис для автоматизации комплаенса в сфере персональных данных и стараемся сделать жизнь DPO чуть проще. В этом канале мы делимся новостями, методологией и интересными кейсами из практики.

Чтобы познакомиться с нашим подходом к аналитике, рекомендуем начать с двух свежих материалов:

1️⃣ Ответственность за утечки персональных данных. Обзор судебной практики за 2022-2025 гг.

Статистика и выводы на основе 200+ судебных дел: кого привлекали к ответственности, чем завершались дела, как действовал Роскомнадзор, какие стратегии работали в судах.

2️⃣ Локализация персональных данных: обзор новых правил и судебной практики

Выводы из 70+ судебных дел: когда применяется требование о локализации, что считается сбором, какие подходы являются рискованными и что влияет на размер штрафа.

🐉Privacy: Мир privacy огромен, все новости охватить невозможно, хотя мы в RPPA.pro и стремимся к этому, а недавно Кирилл Зюбанов подготовил подборку каналов — маленьких, небольших и средних, о которых ты, возможно, еще не знаешь, хотя они точно того стоят!

🆕Итак, авторская подборка [а скоро будет и от всего RPPA.pro] пиши @krakozubla (соберем по ПД, ИИ, ИБ, IP)

Юрист о персональных данных — авторский канал Натальи Алешковой про право, закон, правоприменение, методологию для специалистов по ПД

ПДн не ПНД — канал с большим количеством комментариев по текущей практике, позициям, запросам и ответам, в уникальной манере автора

Трудовой комплаенс — о рисках, в том числе реализовавшихся, для работодателей в области ПД, трудового права и не только

По душам о труде — кажется, единственный канал, целиком посвящённый обработке персональных данных в HR, автор — юрист по трудовому праву

DPO отвечает — актуальные новости, экспертная аналитика, кейсы и тренды для DPO, юристов, специалистов LegalTech и ИБ

Адвокат Цифры — канал про ПД, ИИ, ИБ и многое другое, снабженный креативными комментариями, зачастую нестандартным взглядом на вещи и, конечно, ПЕРСОНЕМАМИ

О жизни | праве | прайвеси — канал, где простым языком рассказывают о privacy и юриспруденции, делятся чек-листами, лайфхаками и трендами, рассуждают о "privacy-культуре" в бизнесе и о многом другом

ПЕРСОНЕМЫ — единственный русскоязычный канал со смешными картинками и смехо-философией в области приватности

ПД All year round — канал о практике по ст. 13.11 с авторскими комментариями и аналитикой

No Security — понятный канал про внутрянку ИБ, стандарты, фреймворки и метрики, очень полезно для всех, кто интересуется ПД и ИБ

Шёпотом ПРО ПД — мероприятия, дискуссионные клубы и интересные материалы для privacy-энтузиастов

Кстати, если хочешь, подписаться можно не только по ссылкам выше, но и с помощью авторской супер-папки 🍀

Трансграничная передача Шредингера

В последнее время представители Роскомнадзора приняли участие в целых четырёх мероприятиях, где ответили на вопросы аудитории по вопросам обратки персональных данных:
⚫️Чат-эфир для Корпорации МСП;
⚫️Вебинар для «Гаранта»;
⚫️Вебинар для Франко-российской торгово-промышленной палаты (закрытое мероприятие);
⚫️День открытых дверей Роскомнадзора.

Как всегда, самым ожидаемым спикером стал руководитель Управления по защите прав субъектов персональных данных Юрий Евгеньевич Контемиров, который по традиции ответил на разнообразные вопросы публики и сформулировал ряд тезисов, которые не дадут DPO заскучать до следующего Дня открытых дверей.

Одной из наиболее интересных нам показалась загадка Жака Фреско логическая головоломка, которая была озвучена в двух ответах на вопросы, связанные с иностранными мессенджерами.

Тезис №1: на вопрос о допустимости сбора данных через иностранные мессенджеры [2:17:52]

Использование иностранных мессенджеров для сбора персональных данных возможно, но при условии, что сервис обеспечивает локализацию баз данных в России. Из данного ответа можно сделать вывод, что на стороне мессенджера формируется база данных, используемая для сбора, а, следовательно, обработки персональных данных (в противном случае, задача локализации не была бы актуальна).

Тезис №2: на вопрос о том, является ли пересылка данных через иностранный мессенджер трансграничной передачей [2:31:46]

Пересылка персональных данных через иностранный мессенджер не будет являться трансграничной передачей персональных данных, если получателем сведений является лицо, находящееся в Российской Федерации. По сути, ответ предполагает, что иностранный администратор мессенджера не участвует в обработке персональных данных, а лишь предоставляет канал для их передачи между отправителем и получателем.

Сопоставление двух приведенных выше суждений приводит к довольно парадоксальному выводу: при передаче персональных данных через иностранный мессенджер администратор соответствующего сервиса не участвует в какой-либо обработке данных и данные не получает, но при сборе данных через тот же мессенджер (то есть при движении данных от субъекта к оператору) его администратор формирует на своей стороне базу собранных данных и, соответственно, участвует в их обработке.

Пока DPO смотрят в озадаченные глаза коллег и клиентов, которым пытаются пересказать услышанное, предлагаем поделиться вашим опытом в квалификации подобных ситуаций.

«КоАП-лотерея»: по какой статье привлекают к ответственности за неподачу уведомления о трансграничной передаче

В продолжение предыдущего поста делимся тремя занятными позициями о том, какая ответственность может наступать, если компания не уведомила Роскомнадзор о своем намерении передавать данные за рубеж.

Когда в 152-ФЗ появилась обязанность подавать уведомление о трансграничной передаче, сразу возник вопрос: а какое наказание будет наступать за его неподачу?

Напрашивались два варианта:

⚫️ч. 1 ст. 13.11 КоАП РФ за обработку, не предусмотренную законом; или

⚫️ст. 19.7 КоАП РФ за непредоставление информации Роскомнадзору (по аналогии с ответственностью за неподачу уведомления о начале обработки, которая действовала до 30 мая 2025).

Логичнее выглядела именно ч. 1 ст. 13.11, поскольку подача уведомления сейчас выступает одним из условий трансграничной передачи. Например, если Роскомнадзор ограничил или запретил передачу, то уже переданные данные необходимо уничтожить. Эту позицию регулятор подтвердил и на своем вебинаре 27 июля 2023 года [1:22:29].

Судебная практика по ч. 1 ст. 13.11 с того момента, правда, так и не появилась. Вместо этого суды применяли ст. 19.7. В частности, такой подход был применен в деле, где компания подала уведомление о намерении осуществлять трансграничную передачу только после запроса Роскомнадзора, который ранее установил факт передачи персональных данных с использованием метрических сервисов.

В сентябре 2025 г. мы увидели третий вариант квалификации этого нарушения – ч. 10 ст. 13.11 КоАП РФ 🫣.

Арбитражный суд Республики Башкортостан (решение от 08.09.2025 по делу № А07-27941/2025) по заявлению прокуратуры привлек к ответственности директора компании, которая направила персональные данные девяти детей британскому учебному центру.

В этом решении совпало всё: и ч. 10 ст. 13.11, которая должна с учетом буквального текста применяться только к уведомлению о намерении осуществлять обработку, подаваемому по ст. 22 152-ФЗ, и игнорирование примечания о том, кто является «должностным лицом» по ч. 10 ст. 13.11.

Остается надеяться, что такой оригинальный подход не будет воспринят как удачный другими судами при рассмотрении аналогичных дел.

ITSEC 2025: что можно (и нельзя) автоматизировать в работе DPO

На прошлой неделе прошёл форум ITSEC 2025. Мы приняли участие в сессии «Персональные данные в 2026 году: новые требования и инструменты» и рассказали о нашем опыте автоматизации функции DPO.

Основные хайлайты:

⚫️ Из чего на практике состоит работа ответственного

⚫️ Почему задачи DPO сложно автоматизировать «под ключ»

⚫️Что уже хорошо поддаётся автоматизации и где есть потенциал для её расширения (с учетом нашего опыта)

⚫️Какие задачи пока лучше выполняет человек

🎁 Подробности в прикреплённой презентации, а по этой ссылке можно посмотреть видео с секции и презентации других спикеров!

Арбитражные суды и персональные данные: первые итоги (и сюрпризы) «переезда» дел по ст. 13.11 КоАП

Прошло несколько месяцев с момента, как дела об административных правонарушениях по ст. 13.11 КоАП РФ перешли в компетенцию арбитражных судов. Мы изучили 17 свежих решений за 2025 год из разных регионов — от Карелии до Забайкалья — и готовы поделиться первыми выводами.

📊 Статистика: в нашей выборке 11 дел о привлечении к ответственности (и ещё 6 — об оспаривании отказов в возбуждении дел).

⚫️Кого привлекают: 10 из 11 возбуждено против бюджетных учреждений, НКО, госорганов или их сотрудников. Бизнес в судах пока редкий гость — РКН чаще отказывает в возбуждении дел против коммерческих организаций (что граждане потом пытаются оспорить).

⚫️ Инициатор: Основной драйвер — активность граждан. Большинство дел возбуждено РКН (6 из 11) или прокуратурой (5 из 11) именно после жалоб сотрудников, клиентов или соседей.

⚫️ Наказание: Арбитражные суды пока настроены лояльно. В 8 из 11 суды заменили штрафы на предупреждения (ст. 4.1.1 КоАП).

Что интересного мы увидели в решениях:

⚫️Опасные галочки:
В Москве суд поддержал жесткий подход прокуратуры. В тексте согласия под галочкой были указаны только ФИО и телефон, а в профиле можно было загрузить фото. Суд квалифицировал это как обработку без письменного согласия (ч. 2 ст. 13.11). Итог — штраф 150 000 руб. (и это еще сниженный в 2 раза!). Квалификация, конечно, вызывает некоторые вопросы.

⚫️DPO — должностное лицо:
В Алтайском крае суд привлёк к ответственности специалиста по кадрам (т.е. не директора) в качестве должностного лица. Суд поднял документы и увидел, что именно этот сотрудник приказом был назначен ответственным за организацию обработки ПДн. Итог — предупреждение.

⚫️ Субъект или гражданин?:
В Пскове Перинатальный центр пытался доказать: сотрудник уволен, составлен акт о прекращении обработки, значит, отвечать на его запросы можно как обычному гражданину (по 59-ФЗ, в течение 30 дней). Суд эту логику отверг: обработка персональных данных не заканчивается с расторжением трудового договора, хранение = обработка, вы — оператор и обязаны соблюдать сроки 152-ФЗ (10 рабочих дней). Из дела не совсем ясно, какие данные хранил оператор, но, может, он посчитал их архивными и поэтому не применял 152-ФЗ (по заветам дела Аэрофлота)?

⚫️ Суд советует РКН не стесняться использовать полномочия:
В Калуге гражданин оспаривал отказ РКН в возбуждении дела и заявлял ходатайство об опросе свидетелей нарушения. РКН проигнорировал эту просьбу. Суд признал отказ незаконным и указал на грубое процессуальное нарушение: ходатайство по ст. 24.4 КоАП нужно либо удовлетворить, либо вынести мотивированное определение об отказе . «Не заметить» его нельзя. Также суд напомнил, что у регулятора есть право запрашивать информацию, и он обязан им пользоваться для расследования (в том числе в форме запроса к свидетелям).

В следующих постах детально разберем:

🕓 Новую практику по ч. 10 ст. 13.11 (уведомления): почему суды считают это нарушение длящимся (срок давности не сгорает!) и как эту статью применяют к трансграничной передаче.

🕓 Судебную сагу в 5 делах одной семьи против крупного банка: как доказать, что номер телефона и почта — не ПДн, защититься от жалоб на СМС-спам и правильно подтверждать уничтожение данных.

Серия судебных дел по жалобам субъектов: выводы для операторов

Мы проанализировали серию арбитражных дел (А68-13378/2024, A68-3697/2025, A68-3650/2025), в которых гражданка судилась с Роскомнадзором. Суть споров: заявительница пожаловалась регулятору на крупный банк (СМС-рассылки, выпуск карт, передача данных), требуя оштрафовать банк. РКН не нашел нарушений и отказал в возбуждении административных дел. Гражданка не согласилась с позицией регулятора и пошла в суд оспаривать отказы в возбуждении дел.

Несколько практических моментов, которые значимы для операторов:

✔️ Неотправленная веб-форма не создает факта обработки, если персональные данные не сохраняются в системах оператора
Заявительница получила СМС с кодом подтверждения заявки на кредитную карту и утверждала, что банк незаконно обрабатывает её данные, так как она заявку не подавала. Суд установил, что если пользователь не подтвердил заявку кодом из СМС, то заявка не сохраняется в системах банка. В логах сайта идентификаторы клиентов не хранятся. Следовательно, событие административного правонарушения отсутствует, так как факт обработки данных конкретного лица не доказан.

❓В договоре стоит прямо указывать на разграничение обязанностей по получению согласия
Банк получил от работодателя персональные данные гражданки для выпуска зарплатной банковской карты. Когда банк попытался вручить карту, гражданка заявила, что не давала банку согласие на обработку данных. После этого она обратилась в РКН с жалобой на наличие в действиях банка признаков состава по ч. 2 ст. 13.11 КоАП РФ (отсутствие письменного согласия). РКН отказал в возбуждении дела, сославшись на договор между банком и работодателем, в котором была гарантия работодателя о том, что он получил все необходимые согласия субъектов на передачу данных банку. Кроме того, РКН не усмотрел причин для получения банком согласия именно в письменной форме – отметим, что необходимость в получении такого согласия работодателем в решении не рассматривалась. Суд с позицией РКН согласился.

❗️Отказ в возбуждении дела: грани обязанностей РКН по мотивировке решения
Гражданка обратилась в РКН с жалобой на банк, который не уничтожил ее персональные данные после отзыва согласия. После изучения жалобы и ответов банка, РКН отказал в возбуждении дела. Суд признал отказ незаконным, поскольку РКН не запросил у банка документы об уничтожении данных. Кроме того, отказ РКН не был должным образом мотивирован: хотя банк указывал, что данные гражданки не были уничтожены в связи с наличием судебных споров (т.е. банк был вправе не прекращать обработку), РКН не сослался на эти обстоятельства в определении об отказе в возбуждении дела.

Вывод: при ответе на запрос регулятора об уничтожении целесообразно сразу прикладывать подтверждающие документы (а лучше проект определения об отказе в возбуждении дела), а также аргументировать причины, по которым оператор вправе продолжить обработку, если это применимо. Это не только снимет вопросы у регулятора, но и снизит риски последующего оспаривания его решения со стороны субъекта.

🍿Важные обновления в PrivacyLine: мы запустили Генератор документов

Хронический дефицит времени и избыток ручной работы – это лишь пара аспектов, которые объединяют всех DPO. И мы давно поняли, что DPO нужен инструмент, который действительно помогает, а не создаёт новые рутинные задачи.

Сегодня мы сделали еще один важный шаг: запустили Генератор документов. Это не просто шаблонизатор, который «вставляет значения в квадратные скобки». Мы сделали инструмент, который учитывает логику документа, сверяется с вашим реестром процессов, подсказывает недостающие данные и помогает избегать ошибок.

Что умеет первая версия:

✔️Согласие на обработку (две формы: письменная и обычная)
Система автоматически собирает сведения из реестра процессов, проверяет обязательные поля и учитывает разные категории получателей.

✔️Поручение на обработку
Система автоматически формирует документ на основе реестра получателей данных и параметров передачи. Как и с согласиями, она подскажет, если в реестре заполнены не все нужные значения.

✔️6 ЛНА – положения, инструкции, приказы. Все самое важное.

Впереди большой путь развития этого модуля, в который мы будем добавлять новые документы и возможность работать со своими шаблонами, а не только встроенными.

Хотите попробовать сами?

➡️ Записывайтесь на демо на нашем сайте: privacyline.ru
➡️Или пишите напрямую @good_ks

Мы покажем вам систему и после дадим 2 недели бесплатного доступа, чтобы вы могли опробовать её на своих процессах.

Каждому оператору по стандарту

Представители Роскомнадзора неоднократно озвучивали идею о том, что для разных типов операторов необходимо разработать стандарты обработки персональных данных (например, здесь и здесь). Общая задумка – разработать некие правила, которые определят допустимые параметры обработки данных (какие данные можно собирать, на каком основании, как долго их хранить и т.д.).

Судя по всему, эта инициатива имеет все шансы быть реализованной на практике. В связи с этим хотелось бы высказать несколько соображений.

Какими могут быть «стандарты»

Юридический формат будущих «стандартов» пока неизвестен, поэтому можно представить два основных сценария:

⚫️Устанавливаются обязательные требования к параметрам обработки персональных данных для операторов определенных отраслей.

⚫️Разрабатываются рекомендации, описывающие «одобренные» регулятором подходы к обработке, но не являющиеся обязательными.

На наш взгляд (который совпадает с мнением известных нам DPO), первый сценарий – негативный, а второй – нейтральный или умеренно позитивный (в зависимости от подхода к статусу стандартов и их содержания).

Почему обязательные «стандарты» – это плохо?

Обработка данных пронизывает практически все бизнес-процессы компании: от найма до маркетинга и продаж. Даже внутри одной отрасли, будь то ритейл или фарма, эти процессы существенно отличаются и зависят от масштаба, структуры и иных особенностей компании.

Если собрать представителей десяти компаний одной отрасли и предложить им договориться о единых обязательных для всех требованиях к целям обработки данных, составу собираемых данных и срокам их обработки, то вероятность достижения консенсуса будет стремиться к нулю. Если добавить к ним представителя регулятора, который должен будет одобрить избранные бизнесом подходы, то вероятность успеха окажется еще ниже.

Попробуйте спросить любого бухгалтера о разумных сроках обработки данных бывших работников в системе кадрового учета, а клиентского менеджера – когда можно удалять данные представителя клиента из CRM-системы. Затем сравните их ответы с позициями регулятора по тем же вопросам. Уже здесь станет очевидно, что разработка обязательных правил, которые устроят и рынок, и регулятора, крайне маловероятна.

Любые обязательные «стандарты» неизбежно будут отставать от технологий и бизнес-практик, а значит – мешать развитию соответствующих отраслей.

Поэтому попытка описать допустимые практики работы с персональными данными в виде обязательных правил (помимо уже закрепленных в законе) обречена на провал. Если, конечно, цель не состоит в создании правил, которые невозможно выполнить.

Почему необязательные стандарты – это тоже не всегда хорошо?

Разработка стандартов рекомендательного характера – это достаточно нейтральная инициатива. Но чтобы они принесли реальную пользу отрасли, бизнес должен видеть понятные стимулы к их внедрению.

Самый очевидный стимул – снижение рисков привлечения к ответственности. То есть оператор, внедривший стандарт и подтвердивший это, должен рассматриваться как заведомо выполняющий требования законодательства. Готов ли регулятор придать стандартам такое значение?

Есть и другая проблема: стандарт должен быть реалистичным. Чем он дальше от реальных бизнес-практик, тем ниже вероятность его внедрения. Бизнес не будет внедрять стандарт, снижающий комплаенс-риски, если одновременно понизится эффективность бизнес-процессов, от которых зависит его выживание. Это вновь возвращает нас к проблеме, связанной с очевидной удаленностью позиций регулятора и операторов.

Что вместо стандартов?

Если обязательные стандарты – плохо, а необязательные – хорошо, но не всегда, то какие альтернативы могут повысить эффективность регулирования? Об этом в следующих публикациях.

Неподача уведомления: разбор судебной практики арбитражных судов

Похоже, эксперимент с арбитражными судами по делам о персональных данных подходит к завершению: дела по ст. 13.11 КоАП РФ планируют вернуть мировым судьям (см. подп. «б» п. 12 ст. 1 законопроекта № 913233-8). Практика арбитражных судов прожила недолго и, судя по всему, не особенно всем понравилась (остается гадать, какие ставки изначально на нее делали, если таковые вообще были...).

В недавнем посте мы отмечали, что суды начали применять ч. 10 ст. 13.11 КоАП РФ (неподача или несвоевременная подача уведомления о намерении осуществлять обработку в Роскомнадзор).

Во всех рассмотренных делах инициатором возбуждения производства выступала прокуратура, что накладывает определенную специфику. И до 30 мая дела с участием прокуратуры нередко отличались более «творческими» позициями по сравнению с делами, инициированными Роскомнадзором. Тем не менее пугающих штрафов по ч. 10 ст. 13.11 КоАП РФ не случилось. Суды признавали нарушителей виновными, но с учетом совершения правонарушения впервые заменяли штрафы на предупреждения (ст. 4.1.1 КоАП РФ).

Ключевые выводы:

⚫️Неподача уведомления как длящееся правонарушение. Ранее мы задавались вопросом, изменится ли подход к срокам давности с появлением нового состава. Напомним, что до 30 мая подходы судов по этому вопросу различались: в делах с участием Роскомнадзора нарушение чаще не признавалось длящимся, а в делах с участием прокуратуры – наоборот.

Пока мы видим, что в делах с участием прокуратуры эта логика сохранилась. Например, в деле Спортивной школы №1 суд указал, что это правонарушение выражается в длительном непрекращающемся невыполнении обязанности, т.е. является длящимся. Нарушение было выявлено 2 июля 2025 года, поэтому срок давности на момент рассмотрения дела не истек.

⚫️Привлечение директора коммерческой организации по ч. 10 ст. 13.11. Суд привлек к ответственности директора ООО как должностное лицо по ч. 10 ст. 13.11. Такое решение тоже вызывает вопросы. Согласно примечанию 2 к ст. 13.11 КоАП РФ, по частям 10–18 под должностными лицами понимаются только лица государственных или муниципальных органов либо некоммерческих организаций. С учётом этого не вполне понятно, что имел в виду суд, привлекая директора. Впрочем, судя по тексту судебного решения, никто на это примечание и не ссылался.

⚫️Устранение нарушения как основание для предупреждения (дело 1, дело 2, дело 3). В этих делах операторы подали уведомления почти сразу после проверок прокуратуры, не дожидаясь рассмотрения дела в суде. Во втором деле суд прямо указал на данный факт как на смягчающее обстоятельство. В двух других делах этот факт в качестве смягчающего не назван, но был явно учтен судом при вынесении решения. Таким образом, оперативная подача уведомления – это реальный шанс получить предупреждение вместо штрафа.

⚫️Квалификация неуведомления о трансграничной передаче по ч. 10 ст. 13.11 (небольшой update). В недавнем посте мы разбирали дело, где директора компании привлекли по ч. 10 ст. 13.11 за неподачу уведомления о трансграничной передаче. Пытаясь найти логику, мы обратили внимание, что компания на момент проверки, судя по всему, не подала и основное уведомление о начале обработки (что образует «чистый» состав ч. 10).

Возможно, это и стало фактическим основанием для привлечения к ответственности. Между тем, однозначно установить это из буквального текста решения невозможно, в связи с чем данный кейс останется в архивах судебной практики как пример неоднозначного применения ч. 10 ст. 13.11 КоАП.

Юристу без IT уже сложно (проверено на себе)

Ключевая команда PrivacyLine (и канала по совместительству) – в первую очередь юристы, у которых за плечами значительный опыт работы в IP/IT и privacy (а кто-то продолжает трудиться в этой сфере и сейчас!). Когда мы начали создавать сервис для DPO, довольно быстро стало понятно, что жизнь внутри IT-продукта требует гораздо более глубокого погружения в техническую специфику.

Мы по себе знаем, что без понимания того, как работают IT-коллеги, как выглядит реальный процесс разработки, что стоит за облачными технологиями и API, а также какие риски связаны с разными техническими подходами, в этих вопросах сложно уверенно ориентироваться. Для DPO такое понимание важно в той же степени.

Именно поэтому нам показался полезным курс «Level UP: IT» от коллег из RPPA. Курс короткий (1 месяц), прикладной и рассчитан именно на тех, кто работает на стыке права, комплаенса и технологий (в том числе на DPO) и хочет нарастить «базу».

Преподают коллеги по цеху, которые говорят не только на юридическом, но и на IT-языке (Positive Technologies, Whoosh, Самокат).

🔥Старт курса 15 января 2026 года. Кажется, хороший способ начать год с полезного обучения!

➡️ Подробнее о курсе: https://rppaedu.pro/levelupit