▶️В апреле выходит книга "Юристы и нейросети: руководство к действию"

📌 Первый тираж вышел в Актионе в прошлом году. Теперь к авторам присоединились Александр Партин и Екатерина Якуненко. Александр раскрыл вопросы регулирования, а Екатерина написала про вайб-кодинг. Первоначальные авторы дополнили и обновили свои главы.

Вот полный список тем в книге:

🟡Как работают нейросети
🟡Какие принципы
взаимодействия с ИИ
🟡Как делать хорошие промпты
🟡Какие сценарии применения в работе существуют
🟡Как вайбкодить
🟡Как соблюдать этику и конфиденциальность
🟡Какие вопросы регулирования вызывает ИИ
🟡Что будет с юр профессией.

Кажется, осветили все актуальные вопросы использований нейросетей на текущий момент.

⭐️Авторы: Павел Мищенко, Александр Партин, Михаил Тевс, Степан Леонтьев, Владислав Кальмуцкий, Ян Стригов, Екатерина Якуненко.

Ссылки на предзаказ:
OZON — Читай-город — Буквоед

😎📕В нашем чате недавно завершившегося продукта Level UP: IT возник практический вопрос:

«Чья политика должна быть размещена на сайте группы компаний и кого считать оператором ПДн, собираемых через такой сайт?»

На первый взгляд, задача кажется простой: сайт один, группа одна, консолидатор (компания, которая отвечает за ведение сайта для всей группы) определен внутренними документами.

Однако, при анализе быстро проявляется разрыв между юридической конструкцией и реальной технической имплементацией.

Чтобы корректно установить оператора, важно понимать как устроен современный сайт с технической стороны и какие лица фактически участвуют в обработке данных.

Как думаешь, кто в таком случае может быть оператором? Компания-владелец домена или та, что размещает контент на сайте? Или другой вариант?👇

Ответ закинем чуть позже;)

Level UP | Cyber in Privacy | RPPA.pro

Продолжаем: чья политика конфиденциальности должна быть на сайте?

Чтобы понять, кто оператор данных, нужно посмотреть на сайт с технической и юридической сторон. И здесь начинается самое интересное.

1. Технический взгляд: как устроен сайт на уровне слоев

1️⃣Frontend
Интерфейс, формы, тексты, согласия, UX. Здесь осуществляется первичный сбор данных.

2️⃣Backend
Серверная часть, логика обработки, базы данных, API. Здесь данные хранятся и используются.

3️⃣Домен
Управление адресом и DNS. Формально может принадлежать одному лицу, но не обязательно совпадает с оператором.

4️⃣Хостинг
Физическое или облачное размещение сайта. Может находиться у третьего лица или за рубежом.

5️⃣Логи и телеметрия
Фиксация действий пользователей и событий системы — отдельный источник данных.

6️⃣Куки, пиксели, аналитика
Трекинг и передача данных третьим лицам; часто формируют фактический маршрут данных.

После такого анализа становится очевидно, что технически сайт нельзя рассматривать как единый объект. Это система, состоящая из нескольких слоев, и в каждом из них могут участвовать разные субъекты.

2. Юридические критерии: кто считается оператором ПДн, собираемых на сайте?

Если смотреть на нормы закона, отправная точка такая:

1️⃣П. 2 ст. 3 152-ФЗ:

«оператор — лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»

2️⃣Ч. 2 ст. 18.1 152-ФЗ:

«оператор, осуществляющий сбор персональных данных с использованием … сетей, обязан опубликовать в соответствующей … сети, в том числе на страницах … сайта, документ, определяющий его политику в отношении обработки персональных данных»

📌Отсюда базовый вывод:

Юридически оператором считается лицо, которое (а) определяет цели сбора и состав собираемых данных и (б) организует или осуществляет их сбор через сайт.

📌А как на практике совместить эти два взгляда?
Пиши свои идеи 👇

Level UP | Cyber in Privacy | RPPA.pro

(Продолжаем разбирать, чья же политика конфиденциальности должна быть на сайте группы компаний)

Мы уже посмотрели на сайт с технической и юридической стороны. А теперь — практический алгоритм, как определить оператора по закону.

🟣Шаг 1 — смотрим на то, кто официально заявлен владельцем сайта.

П. 17 ст. 2 149-ФЗ определяет владельца сайта как лицо, которое самостоятельно и по своему усмотрению определяет порядок использования сайта.

Это понятие пересекается с понятием оператора ПД, потому что тот, кто определяет порядок использования сайта, обычно определяет цель и состав собираемых через сайт данных.

При этом важно, что владелец сайта:

🟣не обязательно правообладатель домена;
🟣не обязательно правообладатель контента;
🟣не обязательно правообладатель сайта как нематериального актива или объекта интеллектуальной собственности.

Ключевой критерий — реальный фактический контроль. Владелец сайта — это тот, кто в итоге решает как работает и используется сайт: в частности, как выглядит его интерфейс, как построен его UX, какие данные собираются, как обрабатываются, что может размещаться, а что нет, какие функции доступны, иное.

Обычно, в соответствии с ч. 2 ст. 10 149-ФЗ, владелец сайта сам обязан указать сведения о себе на сайте. Но на практике это соблюдается не всегда. В таком случае для определения владельца сайта используется другой подход.

🟣Шаг 2 — если владелец не указан на сайте, включается судебная презумпция.

Пленум ВС РФ № 10 от 23.04.2019 (п. 78) разъяснил:

«при отсутствии иных данных владельцем сайта презюмируется администратор доменного имени, адресующего на сайт»

Эта презумпция:
🟡опровержимая;
🟡заменяется иными доказательствами реального фактического контроля над сайтом (логи, договоры, показания, фактические действия, которые говорят о том, что сайт контролирует кто-то еще);
🟡формально была дана в разъяснение части 4 ГК РФ, но может применяться судами и надзорными органами по аналогии к процессам, связанным с обработкой ПД.

❗️Итого — два сценария:

1️⃣Если владелец указан на сайте — он рассматривается как контролирующее лицо и, скорее всего, будет признан оператором ПД, собирающихся через сайт.

2️⃣Если владелец не указан — по умолчанию им (и потенциальным оператором) будет считаться администратор домена. Но это опровержимая презумпция — её можно изменить договорами, логами, платежами за сайт и другими доказательствами реального контроля.

📌На практике: Проверить администратора домена часто можно через сервис WHOIS. Но если данные на сайте и в WHOIS различаются, приоритет, скорее всего, будет у сведений, размещённых на самом сайте

Level UP | Cyber in Privacy | RPPA.pro

🔥 😎 AIG.Club: Мастер-класс от Дмитрия Кутейникова «ИИ-агенты: на третьем круге регулирования?»

📌 Запись VK | YouTube

18 марта прошел мастер-класс Дмитрия Кутейникова, посвященный переходу от моделей и систем к агентному ИИ и тому, как на это будет реагировать регулирование

💬 О чём говорили:

🔘 Третий круг регулирования. Регулирование эволюционирует: системы ➡️ модели ➡️ агенты

🔘 Что такое ИИ-агент. Агент - это не просто модель, а система, которая:
*️⃣ действует автономно
*️⃣ использует инструменты
*️⃣ разбивает задачи и делегирует их

🔘 Мультиагентные системы. Современные решения - это поиск ➡️ извлечение ➡️ анализ ➡️ контроль качества

⏩Главный тезис: ценность создаётся не одной моделью, а их взаимодействием.

🔘 Почему не один агент. Разделение на микрозадачи даёт:
*️⃣ управляемость
*️⃣ предсказуемость
*️⃣ контроль качества

🔘 Риски агентного ИИ
*️⃣ автономные действия
*️⃣ доступ к внешним системам
*️⃣ сложность контроля

🔘 Комплаенс усложняется. Появляется цепочка ролей: модель ➡️ агент ➡️ интегратор ➡️ оператор

🔘 Что дальше?
*️⃣ классификация агентов
*️⃣ новые стандарты
*️⃣ развитие практики ответственности

✔️ Итог: агентный ИИ - это переход от инструмента к «исполнителю». А значит - новый уровень рисков, архитектуры и комплаенса

📎 Полные тезисы и материалы мастер-класса будут опубликованы на страничке нашего сообщества

📌 Образовательный курс AI Governance | сообщество AIG

RPPA.pro | RPPAedu.pro | AI Governance

😎❤️AI: Продукт развивается, программа обновляется, и вместе с этим к команде преподавателей AI Governance присоединяются новые эксперты!

Рады представить:

🔘 Юлиана Челоненко - эксперт в сфере комплаенса и приватности. Специализируется на внедрении стандартов информационной безопасности и выстраивании процессов внутри компаний. CIPP/E, GDPR DPM, GDPR DPT, ISO 27001, ISO 42001 Lead Implementer

🔘 Артем Никифоров - магистр частного права (РШЧП), ведущий юрист управления интеллектуальной собственности Яндекса.
Работает с вопросами интеллектуальной собственности и правового регулирования цифровых технологий

При этом хотим отдельно поблагодарить Екатерину Калугину за вклад в запуск и развитие продукта, благодаря чему проект получил сильный старт и сформировался таким, каким вы его знаете сегодня❤️

А мы продолжаем двигаться дальше - вместе с сообществом, новыми преподавателями и новыми темами! Ждем вас!😍

*️⃣Старт: уже сегодня (влететь можно до начала апреля)
👇 Регистрация здесь

RPPA.pro | RPPAedu.pro | AI Governance

(Финал поста о том, чья политика конфиденциальности должна быть на сайте и кто считается оператором ПДн для такого сайта?)

Итог: если у нас есть сайт, как определить то, кого указать на нем и в политике в качестве оператора ПДн?

📌Исходя из совокупности технического и юридического подходов, о которых мы писали в постах выше, обычно оператором рекомендуется указать то лицо, которое определяет как работает Frontend сайта — его интерфейс, UX, то, какие данные собираются и впоследствии обрабатываются на Backend’е, иное.

Это имеет смысл не только с технической, но и с юридической точки зрения, потому что тот, кто контролирует Frontend сайта, обыкновенно получает итоговый контроль над:

🟡определением целей обработки и состава собираемых через сайт данных;
🟡возможностью их сбора и последующей обработки на Backend’e;
🟡иным пользовательским функционалом сайта.

А это как раз — ключевые признаки владельца сайта (п. 17 ст. 2 149-ФЗ) и оператора ПДн (п. 2 ст. 3 152-ФЗ), которые были рассмотрены выше. Остальные роли в процессе обработки данных на сайте (в частности, на Backend'е, хостинге, в подсистемах сбора логов, куки-файлов, иных) будут определяться в зависимости от этого и иных релевантных факторов.

Однако, privacy-ландшафт знаменит тем, что в нем может существовать множество других подходов. А вы как определяете оператора на сайте? Пишите в комментарии — интересно собрать разные практики. 👇

P.S.: За помощь в подготовке материала отдельно благодарим участника курса Level UP: IT — Андрея Турчина (@a_and_tea).

Level UP | Cyber in Privacy | RPPA.pro

📱Cybersecurity: Роли команд защиты данных

В сфере кибербезопасности несколько команд работают над тем, чтобы обеспечить максимальную защиту данных и систем. Каждая команда имеет свою роль и задач, что позволяет эффективно реагировать на угрозы.

🛡Blue Team — Защищает!

🟡Это команда, которая строит защиту и мониторит системы, чтобы предотвратить возможные угрозы.

🟡Задача: вовремя заметить проблему и реагировать на неё, защищая данные и инфраструктуру компании.

✖️Red Team — Нападает!

🟡 Эти ребята как хакеры, они проверяют, насколько уязвимы системы.

🟡Задача: найти слабые места и показать, как злоумышленники могут пробраться внутрь.

🔄Purple Team — Работают вместе!

🟡Это смешанная команда, которая сочетает силы Red и Blue. Они помогают оптимизировать защиту и сделать её более сильной.

🟡Задача: сотрудничество! Red атакует, Blue защищает, а Purple объединяет усилия для лучшей безопасности.

🟡Важно: Такая команда обычно немногочисленна и встречается крайне редко. Purple Team есть только у самых зрелых компаний, где уже очень хорошо развиты и Red Team, и Blue Team.

Cyber in privacy | МК ПТ | RPPA.pro

🔡❤️RPPA возвращается с дайджестом событий на март и апрель!

Поговорим о том, что ждёт нас в ближайшее время:

1️⃣Беседы о кадровых вопросах в сфере приватности с Татьяной Совиной

🔘Когда: 10.04.2026
🔘Во сколько: 19:00
🔘Формат: онлайн

2️⃣RPPA. PA. Molly. Классификация, Вес, Маскирование, Анонимизация

🔘Когда: 22.04.2026
🔘Во сколько: 19:00
🔘Формат: оффлайн

3️⃣Мастер-класс Пентест на минималках от клуба Cyber in Privacy

🔘Когда: 24.04.2026
🔘Во сколько: 19:00
🔘Формат: оффлайн

RPPA.pro | RPPAedu.pro | СС

🔥 AIG.Club by RPPA.pro х ilovedocs. Экспертный обзор проекта ФЗ об ИИ в РФ «Об основах регулирования сфер применения технологий ИИ»

📌 Запиcь VK | Youtube

24 марта провели дисскусию с экспертами по поводу проекта закона об ИИ - что в нём уже заложено и как это может повлиять на практику?

👇 Два уместных напоминания:

🔘 уже 25 марта стартовал 4-й поток образовательного продукта AI Governance: регулирование и комплаенс ИИ-систем. Присоединиться еще можно!
🔘 а 2 апреля у наших друзей Runetlex пройдет прикладная конференция для юристов от практиков. Обязательно к посещению❤️

RPPA.pro | RPPAedu.pro | AI Governance

#podcast #НеДляГалочки

😎Privacy-сообщества: зачем они нужны и кто на самом деле их строит?

💡Apple, Яндекс

В новом выпуске подкаста «Не для галочки» мы говорим о том, как в privacy появляются сообщества — внутри компаний и за их пределами — и почему сегодня бизнес начинает инвестировать в них всё больше.

Этот выпуск получился почти на 2 часа и получился очень личным:

🔵гости делятся историями создания крупнейших privacy-комьюнити, факапами мероприятий и тем, как один специалист может запустить целую «движуху» внутри компании.

💬О чем поговорили в этой серии?:

🔵почему профессия privacy невозможна без обмена практиками и сообществ
🔵как мероприятия вроде Privacy Day могут превращаться в устойчивые комьюнити
🔵зачем компаниям инвестировать в privacy-сообщества — и где заканчивается развитие профессии и начинается PR
🔵как внутри компаний строятся сети privacy-амбассадоров
🔵какие механики помогают вовлекать бизнес и сотрудников в тему приватности
🔵какие неожиданные факапы случаются при запуске мероприятий и программ обучения
🔵может ли сообщество влиять на рынок специалистов и практику compliance

⭐️С нами были:
🔸 Наталья Ковалёва — DPO HeadHunter
🔸Мария Кулиева — старший юрист Группы защиты данных Авито

🎤Ведущие выпуска:

🔹Елизавета Дмитриева — privacy engineer международной IT-компании

🔹Кристина Боровикова — соучредитель RPPA.pro

❤️Лайк, шер, репост, друзья

RPPA.pro | RPPAedu.pro | CC