⚡🔡 RPPA приглашает тебя на онлайн-мастер-класс сообщества Digital Learning «ИБ vs ИИ в обучении: как выиграть в этой войне?»

🌟 Здесь тебе расскажут о том, как превратить ИБ в главного союзника в компании и как успешно интегрировать новые инструменты в компании без споров о рисках!

💬 На встрече поговорим о важном:

⏩Как за 15 минут разговора сделать так, чтобы ИБэшник сам сказал: «Давайте я вам помогу это внедрить»

⏩Как говорить с безопасниками на их языке и не получить ответ «запрещено»

⏩Реальные кейсы, где ИИ в обучении прошёл все заслоны ИБ и уже работает

⏩Чек-лист «Что обязательно показать ИБ, чтобы вас не завернули»

⏩Кто такой современный ИБ-специалист и почему он сейчас ваш друг, а не враг

🔥️ Спикеры — те, кто уже прошёл этот ад и вышел победителем:

Александр Курочкин
Руководитель факультета цифровой трансформации в ПАО «Газпром нефть»

Алексей Миляев
Руководитель проекта по развитию цифровых технологий в обучении в ПАО «МегаФон»

Кристина Боровикова
Соучредитель RPPA.pro — крупнейшего сообщества по ИБ в Евразии

Антон Бочкарев
Эксперт по информационной безопасности, Финалист CTF-соревнований, популяризатор ИБ, Сооснователь Площадки «Третья Сторона»/3side и продукта 4sec

▶️Модератор:

Павел Безяев
Лидер и сооснователь сообщества Digital Learning

📌 12 марта 2026 | 11:00–12:30 | Онлайн | Бесплатно

📎 Места ограничены. Регистрация обязательна!

RPPA.pro | RPPAedu.pro | СС

😎💫Privacy Engineering. Как выбирать контроль: договориться или «зашить в код»? 🛡

📱Автор: Олег Блинов

Допустим, у вас запускается новый сервис. Ещё непонятно, взлетит или нет. Нужно выбрать, какими мерами закрыть требования privacy.

Организационные 🧑‍💼
Пример: Политики, регламенты, договорённости, чек-листы, «ответственный Вася».
Плюсы: Можно запустить быстро — достаточно договориться и описать процесс
Минусы: Люди забывают, устают, путают инструкции — качество нестабильное

Технические 🤖
Пример: То, что зашито в систему. Проверки в коде, ограничения в БД, автоудаление логов, триггеры, cron-задачи
Плюсы: Работают 24/7, не берут отпуск 😄
Минусы: Требуют времени и денег на реализацию, особенно в сложной архитектуре

Мудрость №1: Абсолютно нормально не сразу автоматизировать комплаенс, особенно пока проект быстро меняется и пользователей мало

Скажем, для удаления данных вы договариваетесь с поддержкой, как распознавать запросы на удаление данных (почта, чат) и назначаете ответственного, который вручную ходит в БД и удаляет данные.

Организационный контроль готов. Дело сделано? Нет!

Мудрость №2: Если что-то может сломаться, то оно сломается

Рано или поздно, Вася пойдет в отпуск, а Петя забудет обработать запрос, который возник на выходных. На это нужно рассчитывать. Именно поэтому один организационный контроль это рецепт для неудачи.

Мудрость №3: Используйте несколько уровней организационных контролей

Представим, что один оргконтроль (например, инструкция для поддержки + ответственный, который вручную удаляет данные) срабатывает в 80% случаев. 20% ошибок для нас недопустимо.

Теперь добавляем второй оргконтроль, тоже с эффективностью 80%. Например, обязательный тикет в Jira с дедлайном и напоминаниями в чат, если тикет не закрыт.

Что происходит? Первый контроль пропускает 20% кейсов. Из этих 20% второй успеет поймать 80%. Уровень успеха контролей повышается до 96%, даже если на пути стоит всего два "дырявых" контроля. А с тремя контролями достигаем точности аж 99,2%!

Чаще всего выигрышная стратегия — комбинация:
быстрый старт на оргконтролях → подстраховка вторым/третьим уровнем → постепенный переход к техконтролям там, где больнее всего.

✏️Серия наших аналитических инжиниринг постов:

🟣Что сервисы знают о нас на самом деле от Елизаветы Дмитриевой

RPPA.pro | RPPAedu.pro | Privacy Engineering

🔥 😎 AIG.Club: Мастер-класс от Дмитрия Кутейникова - «ИИ-агенты: на третьем круге регулирования?»

От систем и моделей – к агентам: регуляторные подходы и стратегия комплаенса

📎 Когда: 18 марта в 19:00 (мск)

📱 Формат: бесплатно, онлайн, Zoom

💬 Спикер: Дмитрий Кутейников - юрист и исследователь в сфере AI Governance, к.ю.н., партнёр и лектор RPPA (курс AI Governance), автор тг-канала howtocomply_AI: право и ИИ

✏️ На мастер-классе мы обсудим:

✅ Что представляет собой ИИ агент с регуляторной точки зрения и почему в этой сфере пока отсутствует единый подход
✅ Какие специфические риски возникают при разработке и применении ИИ-агентов
✅ Какие регуляторные требования уже сегодня могут быть релевантны для операторов ИИ-агентов
✅ На какие аспекты следует обратить внимание бизнесу, разрабатывающему или использующему ИИ-агентов
✅ Прогноз развития регуляторных подходов на ближайший год

🔜 Регистрация: с помощью нашего комьюнити-бота - @rppa_community_bot

(Возник вопрос - пиши @yurovvaa)

📌 Образовательный курс AI Governance | сообщество AIG

RPPA.pro | RPPAedu.pro | AI Governance

🔡🔡 RPPA.pro приглашает тебя насладиться итальянской кухней от наших партнеров Privacy Kitchen!

🔥 27 марта мы снова собираемся на Privacy Kitchen - месте, где хорошая кухня встречается с хорошим правом, а разговоры о персональных данных проходят под аромат свежей лазаньи.

💬 В этот вечер мы, как настоящие итальянцы, будем делать всё правильно:
готовить, обсуждать, слушать музыку и немного спорить — но обязательно со вкусом.

В программе вечера:

🍝 Кулинарный мастер-класс от Дмитрия Величко (DPO Евросиб)

Приготовим настоящую лазанью - разберём рецепт, нюансы и маленькие секреты, чтобы всё получилось идеально.
(И да, постараемся обойтись без жертв на кухне — даже если очень захочется что-нибудь… слегка поджарить.)

🔐 Практический разговор о серьёзном
За правовую часть вечера отвечают Александр Попов (DPO) и Евгений Буйволов (Deputy Head of SOC в ITGSecurity).

Обсудим без лишней теории:

🔘как определяется вина оператора при утечке персональных данных;

🔘на что обращают внимание при проверках Роскомнадзора;

🔘какие меры стоит предусмотреть заранее, чтобы снизить риски.

🌟 За атмосферу вечера будут отвечать:

🔘Ернат Махамбетов (специалист по ПДн в Т1 / ГК Иннотех)

🔘Анна Тетерина (специалист по ПДн в международной логистической компании)

🎼 Пока мы готовим и обсуждаем право, в зале будет играть винил — немного итальянской классики, немного старого джаза и хорошего настроения.

📸И, конечно, в память о вечере каждый гость сможет унести с собой настоящую фотокарточку с Polaroid — маленький, но тёплый сувенир этого вечера.

Как в хорошей итальянской кухне — минимум лишнего, максимум смысла.

Будет вкусно, полезно и по делу.

📌 27 марта в 19:30

📎 Ссылка на регистрацию

Если за вас платит компания — можем выставить счёт.

💳 При оплате через сервис доступна оплата через Яндекс Сплит.

Обращаем ваше внимание, что RPPA.pro не несет ответственность за организацию и оплату мероприятия.

RPPA.pro | RPPAedu.pro | СС

😎💫Privacy Engineering:Кнопка “Удалить аккаунт”: работает ли она на самом деле? 🗑🔍

📱Автор: Елизавета Дмитриева

Вы приходите в компанию и - о чудо - видите в приложении кнопку «удалить аккаунт». Первая мысль: «у нас всё в порядке, мы соблюдаем права субъектов».

А потом, внезапно, прилетает запрос на удаление данных, который нужно провести вручную. На бумаге. С паспортом. Почтой России. И тут появляется закономерный вопрос: а что же действительно происходит под этой кнопкой?
Разберём, на какие технические моменты стоит смотреть в первую очередь (если вы первый и единственный DPO - скорее всего, сюрпризы будут).

Кто перед нами 👤

Верификация пользователя - отправная точка.

Как понять, кто написал? Какими данными уникально характеризуются ваши субъекты? Чаще всего это телефон, подтверждённый email или данные, оставленные при регистрации. Во внутренних системах на их основе создают уникальные ID. Всё остальное - косвенные признаки, которые могут помочь, но ничего не гарантируют.

Где искать? Внутренние базы с интерфейсами поиска.
Что учитывать? Совпадения, фрод, не-владение аккаунтом и данными и другие риски.

Уверены ли мы ⚠️

Хорошо там, где при добавлении кнопки подумали, что может блокировать удаление: активный заказ, долг, обращение в поддержку, возврат.
Иначе удаление может войти в конфликт с бизнес-процессами и сделать компании хуже.

Уверен ли пользователь 😅

Пользователи - эмоциональны. Опоздал заказ - и вот уже хочется нажать «удалить всё».
Важно убедиться, что человек понимает последствия. Иногда нужно дать паузу и возможность отменить решение. Но при этом, на уровне системы нужно уметь отличать активного пользователя от находящегося на удалении, чтобы не создать новых блокеров, при которых удаление станет невозможным.

Что происходит дальше 🔎

Если вы из тех DPO, кто всё проверяет на себе - создайте аккаунт, удалите, зайдите снова… Новый чистый профиль выглядит красиво. Но не спешите радоваться.
Зайдите во внутренние системы и попробуйте найти там себя.
Если не нашли - посмотрите в базах данных или запросите выгрузку из них. Если не нашли и там - проверяйте глубже и смотрите аналитические хранилища.
Есть ненулевая вероятность, что вы встретите свой профиль на самом первом шаге. Чем дальше система от пользовательского интерфейса, тем выше шанс наткнуться на «хвосты».
«Не видно - значит, не было» - знакомая картина, если релиз торопили, AppStore блокировал новую фичу, а нормального ТЗ так и не появилось.

Как исправлять 🛠

Чтобы удаление работало корректно, предстоит длинный путь: инвентаризация источников и обрабатываемых данных, выбор архитектуры удаления, обработка исключений, пользовательский путь, бизнес- и технический мониторинг и другие задачи. Это много месяцев работы и неожиданных открытий на пути.

Если вы хотите пройти этот путь с пониманием, как оно устроено, что спрашивать у аналитиков и разработчиков, к чему готовиться и какие нужны ресурсы - об этом мы подробно говорим в курсе Privacy Engineering. Преподаватели уже ели этот кактус и знают, как объяснить приготовление этого блюда вам и вашим коллегам.

Мы стартуем 01 апреля, а также ведем набор на осенний поток.

Пусть c началом весны работающего удаления станет больше - а ночей, когда DPO спит спокойно, тоже 🌙✨

✏️Серия наших аналитических инжиниринг постов:

🟣Что сервисы знают о нас на самом деле от Елизаветы Дмитриевой
🟣Как выбирать контроль: договориться или «зашить в код»? от Олега Блинова

📱Cybersecurity: Большинство уязвимостей — это не “сложный хак”, а вполне банальные ошибки.

РЕГИСТРАЦИЯ

📌 По данным практики пентестов, значительная часть взломов происходит из-за:

🟡открытых портов, о которых “забыли”;
🟡слабой логики авторизации;
🟡простых инъекций, которые никто не проверил

И да — это встречается даже в крупных сервисах.

Поэтому мы сделали практикум по пентесту сайта (cyber + legal) — без воды и “страшных слов”, а с реальной практикой.

Что будет:

🍋‍🟩посмотрите, как реально сканируют инфраструктуру;
🍋‍🟩поймёте, как находят уязвимости;
🍋‍🟩сами попробуете провести базовые атаки;
🍋‍🟩увидите результат своими руками (а это всегда самый сильный инсайт)

📄Формат: оффлайн
📍Место: 2-я Брестская, 48, 13 этаж. Офис наших друзей из hh.ru
🗓Дата: 24 апреля 19:00

МК ПТ | Cyber in Privacy | МК МУ

🔡🔡 Мы рады сообщить, что являемся инфо-партнером Конференции Юридическая ночь ошибок: опыт сильных. Legal fuck up night

⚡️ Такие форматы — редкость для юридического рынка, но именно они дают практическую ценность.

🔜 Ошибки — это не слабость, а источник профессионального роста и управленческих инсайтов. Рекомендуем к посещению тем, кто хочет говорить о праве честно и без глянца.

📎 23 апреля в 15:00

📌 Бункер-42, Москва, 5-й Котельнический пер., 11

👇Legal Fuck Up Night — уникальная конференция на юридическом рынке, где представители бизнеса, консультанты и инхаусы выходят на сцену не только для того, чтобы рассказывать про успешный успех,  а чтобы откровенно поделиться  про свой не всегда простой путь, о провалах и о том, как именно они превращали их в рост.

🔥 В программе:

🔘IP Failures: уроки дорогих ошибок
🔘PR-Титаник: айсберги медийных факапов
🔘Юрист в кресле управленца: инструкция по факапам
🔘Маркетинг катастроф: истории слитых бюджетов
🔘Рекрутинг, который пошёл не по плану

💬 Спикеры:

🟡Игорь Шомас (руководитель группы социальных проектов и мероприятий VK)

🟡Борис Герасин (руководитель патентного направления Сбербанка)

🟡Алексей Шорин (руководитель юридического департамента «ТЕХНОНИКОЛЬ»)

🟡Анна Войцехович (директор департамента управления правовыми рисками МТС)

🟡Максим Извеков (глава юридической функции TMH Group)

🟡Дмитрий Перепечин (руководитель судебно-претензионной практики «Вайлдбериз», ex-директор департамента суд. практики Росбанка)

🟡Андрей Лебедев (Директор по стратегическим проектам Департамента транспорта Москвы, ex-директор по правовым вопросам и управлению интеллектуальной собственностью "Московский метрополитен")

🟡Дмитрий Утукин (CEO кадрового агентства Magic Staff)

🟡Наталья Антипова (CEO KEUNE RUSSIA, СЕО Международной академии KEUNE DESIGN, основатель сети салонов красоты «Амстердам», Президент бизнес-клуба ФАНАТЫ)

🌟 Факапы остаются в бункере. Опыт — уходит с вами на поверхность.

📌КУПИТЬ БИЛЕТ МОЖНО ТУТ

😎 📸 Новая AMA-сессия сообщества Work in IP!

📌Продолжаем говорить на актуальные темы в сфере интеллектуальной собственности с приглашенными спикерами!

💫 Наш новый гость — Илья Чамуха:

🔘 Руководитель юридической фирмы Sample Legal
🔘 Преподаватель НИУ ВШЭ, сооснователь сообщества Юристов музыкальной индустрии
🔘 Оказывает правовое сопровождение крупным артистам (Скриптонит, Сироткин, Диана Арбенина и др.), лейблам и дистрибьюторам

💬 Обсудим, как трансформировалось юридическое сопровождение музыкальной индустрии под влиянием новых ограничений, требований о русификации и появления ИИ-исполнителей

💫 Когда: 19 марта в 19.00 (МСК), 1,5 часа

💫 Где: онлайн, Zoom (ссылку направим перед началом мероприятия)

📎 Регистрация: с помощью нашего комьюнити-бота - @rppa_community_bot

(Возник вопрос - пиши @sviatdoronin)

📌Cообщество Work in IP

RPPA.pro | RPPAedu.pro | IP and Innovations | CC

☀️🌸 Privacy.Seasons от Comply врываются в ленту RPPA!

🔥 Privacy.Seasons – это серия подкастов, где легенды премии The Department от Legal Insight в номинации «Эффективная защита ПД» делятся лучшими практиками и реальными кейсами.

🌟 Никакой теории – только рабочие инструменты, инсайты и ответы на вопросы, которые обычно остаются за кадром.

💬 Ведущие неизменны и прекрасны:

🔘Артем Дмитриев, управляющий партнер Comply

🔘Екатерина Ефимова, руководитель направления ПД ГРЧЦ Роскомнадзор

📌В третьем выпуске в гостях – Екатерина Егорова, руководитель правового управления по вопросам ПД Точка Банка.

▶️Обсудили то, что реально работает или многих волнует:

🔘обязательное корпоративное обучение,
🔘спецоператоры ПД,
🔘сервис аналитики веб-сайтов,
🔘сервис отзыва согласий,
🔘использование законного интереса,
🔘получение мультиоператорских согласий.

Обсуждать защиту данных не как
абстрактные обязанности, а как живые процессы, встроенные в продукт, – вот что действительно двигает индустрию вперед. Рада, что в этом выпуске сошлись и экспертиза, и открытость, и желание быть полезными коллегам по цеху.

🟡Екатерина Егорова, Точка Банк

Если вы еще не смотрели первые выпуски – очень рекомендуем наверстать. Там Альфа-Банк и Авито с невероятной экспертизой.

📎Смотреть и слушать третий выпуск:

⏩YouTube
⏩Rutube
⏩Mave
⏩Telegram

📌🆕 AIG.Club by RPPA.pro х ilovedocs. Экспертный обзор проекта ФЗ об ИИ в РФ «Об основах регулирования сфер применения технологий ИИ»

🔥 Разбираем проект закона об ИИ - что в нём уже заложено и как это может повлиять на практику?

💬 Спикеры:

*️⃣ Павел Мищенко - сооснователь Рунетлекс Академии
*️⃣ Анастасия Сковпень - юрист в сфере интеллектуальной собственности, член AIPPI, партнер и лектор RPPA, автор тг-канала "вычислить по IP"
*️⃣ Дмитрий Кутейников - юрист и исследователь в сфере AI Governance, к.ю.н., партнер и лектор RPPA, автор тг-канала "howtocomly_AI: право и ИИ"
*️⃣ Александр Партин - соучредитель RPPA.Офис, партнер и лектор RPPA, со-председатель Privacy & Legal Innovation кластера РАЭК, член рабочей группы РАЭК по ИИ, сертификаты IAPP: CIPP/E, CIPM

📎 Когда: 24 марта в 19:00
📱 Формат: онлайн, Zoom
🔜 Регистрация: с помощью нашего комьюнити-бота - @rppa_community_bot

(Возник вопрос - пиши @yurovvaa)

📌 Образовательный курс AI Governance | сообщество AIG

RPPA.pro | RPPAedu.pro | AI Governance

▶️В апреле выходит книга "Юристы и нейросети: руководство к действию"

📌 Первый тираж вышел в Актионе в прошлом году. Теперь к авторам присоединились Александр Партин и Екатерина Якуненко. Александр раскрыл вопросы регулирования, а Екатерина написала про вайб-кодинг. Первоначальные авторы дополнили и обновили свои главы.

Вот полный список тем в книге:

🟡Как работают нейросети
🟡Какие принципы
взаимодействия с ИИ
🟡Как делать хорошие промпты
🟡Какие сценарии применения в работе существуют
🟡Как вайбкодить
🟡Как соблюдать этику и конфиденциальность
🟡Какие вопросы регулирования вызывает ИИ
🟡Что будет с юр профессией.

Кажется, осветили все актуальные вопросы использований нейросетей на текущий момент.

⭐️Авторы: Павел Мищенко, Александр Партин, Михаил Тевс, Степан Леонтьев, Владислав Кальмуцкий, Ян Стригов, Екатерина Якуненко.

Ссылки на предзаказ:
OZON — Читай-город — Буквоед

😎📕В нашем чате недавно завершившегося продукта Level UP: IT возник практический вопрос:

«Чья политика должна быть размещена на сайте группы компаний и кого считать оператором ПДн, собираемых через такой сайт?»

На первый взгляд, задача кажется простой: сайт один, группа одна, консолидатор (компания, которая отвечает за ведение сайта для всей группы) определен внутренними документами.

Однако, при анализе быстро проявляется разрыв между юридической конструкцией и реальной технической имплементацией.

Чтобы корректно установить оператора, важно понимать как устроен современный сайт с технической стороны и какие лица фактически участвуют в обработке данных.

Как думаешь, кто в таком случае может быть оператором? Компания-владелец домена или та, что размещает контент на сайте? Или другой вариант?👇

Ответ закинем чуть позже;)

Level UP | Cyber in Privacy | RPPA.pro

Продолжаем: чья политика конфиденциальности должна быть на сайте?

Чтобы понять, кто оператор данных, нужно посмотреть на сайт с технической и юридической сторон. И здесь начинается самое интересное.

1. Технический взгляд: как устроен сайт на уровне слоев

1️⃣Frontend
Интерфейс, формы, тексты, согласия, UX. Здесь осуществляется первичный сбор данных.

2️⃣Backend
Серверная часть, логика обработки, базы данных, API. Здесь данные хранятся и используются.

3️⃣Домен
Управление адресом и DNS. Формально может принадлежать одному лицу, но не обязательно совпадает с оператором.

4️⃣Хостинг
Физическое или облачное размещение сайта. Может находиться у третьего лица или за рубежом.

5️⃣Логи и телеметрия
Фиксация действий пользователей и событий системы — отдельный источник данных.

6️⃣Куки, пиксели, аналитика
Трекинг и передача данных третьим лицам; часто формируют фактический маршрут данных.

После такого анализа становится очевидно, что технически сайт нельзя рассматривать как единый объект. Это система, состоящая из нескольких слоев, и в каждом из них могут участвовать разные субъекты.

2. Юридические критерии: кто считается оператором ПДн, собираемых на сайте?

Если смотреть на нормы закона, отправная точка такая:

1️⃣П. 2 ст. 3 152-ФЗ:

«оператор — лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»

2️⃣Ч. 2 ст. 18.1 152-ФЗ:

«оператор, осуществляющий сбор персональных данных с использованием … сетей, обязан опубликовать в соответствующей … сети, в том числе на страницах … сайта, документ, определяющий его политику в отношении обработки персональных данных»

📌Отсюда базовый вывод:

Юридически оператором считается лицо, которое (а) определяет цели сбора и состав собираемых данных и (б) организует или осуществляет их сбор через сайт.

📌А как на практике совместить эти два взгляда?
Пиши свои идеи 👇

Level UP | Cyber in Privacy | RPPA.pro