В Госдуме уже подумывают над тем, чтобы назначать оборотные штрафы не за повторное, а сразу за первое нарушение.
ПРАЙМ
Миронов предложил ввести оборотный штраф за первую утечку данных
Руководитель фракции "Справедливая Россия – За правду" в Госдуме Сергей Миронов направил председателю правительства РФ Михаилу Мишустину обращение с... | 11.09.2025, ПРАЙМ
Forwarded from Раньше всех. Ну почти.
Наследники Уитни Хьюстон заключили партнерство с AI-стартапом Moises, чтобы вернуть голос покойной суперзвезды на концертные сцены в семи городах США, что стало знаковым моментом в растущем взаимодействии искусственного интеллекта и посмертных музыкальных выступлений.
💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал о методологии оценки применимости законного интереса как основания обработки персональных данных. Основные выводы материала:
1️⃣ Использование законного интереса как правового основания предусмотрено российским законодательством (п. 7 ч. 1 ст. 6 162-ФЗ).
2️⃣ До осуществления оценки применимости законного интереса (ОПЗИ) остальные атрибуты обработки должны быть определены и уже должны соответствовать требованиям закона, включая соблюдение принципов обработки. Цель должна быть конкретной и законной. Обработка – безусловно необходимой для ее достижения. Атрибутивный состав и объем данных, срок и действия по их обработке – минимально необходимыми для достижения цели. Информация об обработке должна быть зафиксирована оператором в удобном для актуализации формате. Такая обработка уже полностью соответствует 152-ФЗ во всем, что не касается правового основания обработки ПД.
3️⃣ Среди случаев обработки ПД, предусмотренных п. 7 ч. 1 ст. 6 152-ФЗ, наибольшей правовой определенностью характеризуется обработка ПД, необходимая для осуществления права оператора. В этой связи для более последовательного и предсказуемого применения этого основания рекомендуется опираться на конкретное субъективное право оператора.
4️⃣ Оценка заключается в прохождении трех ступеней оценки. Во-первых, ЗИ безусловно не является применимым в ряде случаев, прямо указанных в законе. Во-вторых, ЗИ должен опираться на субъективное право со ссылкой на норму закона, предоставляющую такое субъективное право оператору персональных данных. В-третьих, необходимо исключить высокорисковые для субъектов сценарии обработки, список которых может отличаться в зависимости от того, является ли та или иная обработка исключительно необходимой для осуществления основной деятельности оператора ПД.
5️⃣ Бремя доказывания наличия ЗИ в качестве основания обработки ПД лежит на операторе (ч. 3 ст. 9 152-ФЗ), в связи с чем рекомендуется надлежащим образом документировать проведение ОПЗИ.
1️⃣ Использование законного интереса как правового основания предусмотрено российским законодательством (п. 7 ч. 1 ст. 6 162-ФЗ).
2️⃣ До осуществления оценки применимости законного интереса (ОПЗИ) остальные атрибуты обработки должны быть определены и уже должны соответствовать требованиям закона, включая соблюдение принципов обработки. Цель должна быть конкретной и законной. Обработка – безусловно необходимой для ее достижения. Атрибутивный состав и объем данных, срок и действия по их обработке – минимально необходимыми для достижения цели. Информация об обработке должна быть зафиксирована оператором в удобном для актуализации формате. Такая обработка уже полностью соответствует 152-ФЗ во всем, что не касается правового основания обработки ПД.
3️⃣ Среди случаев обработки ПД, предусмотренных п. 7 ч. 1 ст. 6 152-ФЗ, наибольшей правовой определенностью характеризуется обработка ПД, необходимая для осуществления права оператора. В этой связи для более последовательного и предсказуемого применения этого основания рекомендуется опираться на конкретное субъективное право оператора.
4️⃣ Оценка заключается в прохождении трех ступеней оценки. Во-первых, ЗИ безусловно не является применимым в ряде случаев, прямо указанных в законе. Во-вторых, ЗИ должен опираться на субъективное право со ссылкой на норму закона, предоставляющую такое субъективное право оператору персональных данных. В-третьих, необходимо исключить высокорисковые для субъектов сценарии обработки, список которых может отличаться в зависимости от того, является ли та или иная обработка исключительно необходимой для осуществления основной деятельности оператора ПД.
5️⃣ Бремя доказывания наличия ЗИ в качестве основания обработки ПД лежит на операторе (ч. 3 ст. 9 152-ФЗ), в связи с чем рекомендуется надлежащим образом документировать проведение ОПЗИ.
Поздравляем всех с наступившим Новым годом! Мы и дальше будем рядом, помогая выстраивать работу с персональными данными понятным и законным образом — без лишних рисков и штрафов.
Начать год мы решили с бесплатного вебинара «Как не получить штраф на миллион?», где обсудим самые актуальные вопросы и практику работы с ПДн в 2026 году 👇
🗓 Дата и время проведения: 15 января в 19:00
На вебинаре разберем:
🔺Какие изменения по персональным данным произошли за последнее время и как они повлияли на бизнес
🔺Как мыслит Роскомнадзор и куда движется регулирование
🔺Какие ошибки чаще всего приводят к предписаниям
🔺Как самостоятельно оценить свои риски по ПДн
🔺Какие проверки ожидать в 2026 году — и кто попадает в зону внимания
🔺Как подготовиться к внезапной проверке и снизить штрафные риски
Ссылка на регистрацию: https://1opd.ru/webinar#rec1762220011
Начать год мы решили с бесплатного вебинара «Как не получить штраф на миллион?», где обсудим самые актуальные вопросы и практику работы с ПДн в 2026 году 👇
🗓 Дата и время проведения: 15 января в 19:00
На вебинаре разберем:
🔺Какие изменения по персональным данным произошли за последнее время и как они повлияли на бизнес
🔺Как мыслит Роскомнадзор и куда движется регулирование
🔺Какие ошибки чаще всего приводят к предписаниям
🔺Как самостоятельно оценить свои риски по ПДн
🔺Какие проверки ожидать в 2026 году — и кто попадает в зону внимания
🔺Как подготовиться к внезапной проверке и снизить штрафные риски
Ссылка на регистрацию: https://1opd.ru/webinar#rec1762220011
Forwarded from ГРЧЦ — Главный радиочастотный центр
📃Отраслевые стандарты обработки персональных данных: как избавиться от избыточных согласий
28 января прошла посвященная персональным данным конференция Privacy Forum. Екатерина Ефимова, руководитель направления персональных данных Главного радиочастотного центра, рассказала о разработке отраслевых стандартов обработки персональных данных.
☝️ Инициатива поможет дать четкие инструкции вместо правовой неопределенности, минимизировать избыточные согласия и защитить права человека.
Разработка отраслевых стандартов ведется на базе Главного радиочастотного центра. Уже создано «Техническое задание» – инструмент для совместной работы, который определяет, какую структуру должен иметь стандарт, как определить минимально необходимый объем данных для конкретной услуги, как прописать сроки хранения и условия передачи и как заменить фиктивные «согласия» на честные правовые основания.
Подписывайтесь на ГРЧЦ в MAX
28 января прошла посвященная персональным данным конференция Privacy Forum. Екатерина Ефимова, руководитель направления персональных данных Главного радиочастотного центра, рассказала о разработке отраслевых стандартов обработки персональных данных.
«Многим небольшим компаниям сложно самостоятельно разобраться, какие персональные данные им действительно необходимо получить, чтобы быть эффективными и успешными, а запрос каких уже избыточен. Решат эту проблему отраслевые стандарты – не новые законы, а конкретные “правила дорожного движения” для каждой сферы. Чтобы бизнес знал точный перечень данных, сроки и основания, а гражданин был уверен, что у него не спросят лишнего».
☝️ Инициатива поможет дать четкие инструкции вместо правовой неопределенности, минимизировать избыточные согласия и защитить права человека.
«К нам регулярно обращаются представители операторского сообщества со своими инициативами, они готовы работать над задачей и помогать разрабатывать стандарты. Поэтому это совместная работа с компаниями и объединениями из многих отраслей экономики».
Разработка отраслевых стандартов ведется на базе Главного радиочастотного центра. Уже создано «Техническое задание» – инструмент для совместной работы, который определяет, какую структуру должен иметь стандарт, как определить минимально необходимый объем данных для конкретной услуги, как прописать сроки хранения и условия передачи и как заменить фиктивные «согласия» на честные правовые основания.
Подписывайтесь на ГРЧЦ в MAX
Forwarded from Сосисочная
Роскомнадзор теперь штрафует бизнес на сотни тысяч рублей за публикацию отзывов клиентов у себя в соцсетях
Если вы, как предприниматель, выкладывает фото отзыва или скриншот переписки, это может считаться разглашением персональных данных — штраф до 300 тысяч рублей, а при повторном нарушении — до 700 тысяч. @sosicka
Если вы, как предприниматель, выкладывает фото отзыва или скриншот переписки, это может считаться разглашением персональных данных — штраф до 300 тысяч рублей, а при повторном нарушении — до 700 тысяч. @sosicka
Forwarded from Суды общей юрисдикции города Москвы
Суд в Москве оштрафовал крупные иностранные компании за нарушение российского законодательства в области персональных данных
Мировой судья судебного участка № 422 Таганского района города Москвы 24 марта 2026 года признал виновными в совершении административных правонарушений по ст. 13.11 КоАП РФ платформу для размещения петиций Чендж. ордж (change. org. pbc) и Пади Америкас Инк.(PADI Americas Inc.),
Компанию Чендж. ордж (change. org. pbc) привлекли к административной ответственности по ч. 8 указанной статьи и назначила наказание в виде административного штрафа в размере 1 000 000 рублей, Америкас Инк.(PADI Americas Inc.) - по ч. 9 административный штраф составил 6 000 000 рублей.
#таганский2026 #адм2026 #мировойсуд2026
Мировой судья судебного участка № 422 Таганского района города Москвы 24 марта 2026 года признал виновными в совершении административных правонарушений по ст. 13.11 КоАП РФ платформу для размещения петиций Чендж. ордж (change. org. pbc) и Пади Америкас Инк.(PADI Americas Inc.),
Компанию Чендж. ордж (change. org. pbc) привлекли к административной ответственности по ч. 8 указанной статьи и назначила наказание в виде административного штрафа в размере 1 000 000 рублей, Америкас Инк.(PADI Americas Inc.) - по ч. 9 административный штраф составил 6 000 000 рублей.
#таганский2026 #адм2026 #мировойсуд2026
Forwarded from Baza
Московский суд оштрафовал Duolingo на 2 млн рублей.
Компания-разработчик популярного приложения для изучения иностранных языков признана виновной в административном правонарушении — несоблюдение законодательства в области сбора и хранения персональных данных своих пользователей на территории России.
По аналогичной статье на 2 млн рублей оштрафована компания eNom LLC, занимающаяся регистрацией доменных имен и веб-хостингом.
Если у вас плохо прогружаются файлы, все новости BAZA также доступны в нашем канале в MAX: https://max.ru/baza
Компания-разработчик популярного приложения для изучения иностранных языков признана виновной в административном правонарушении — несоблюдение законодательства в области сбора и хранения персональных данных своих пользователей на территории России.
По аналогичной статье на 2 млн рублей оштрафована компания eNom LLC, занимающаяся регистрацией доменных имен и веб-хостингом.
Если у вас плохо прогружаются файлы, все новости BAZA также доступны в нашем канале в MAX: https://max.ru/baza
Forwarded from ПУТИН в Telegram
Запретить генерировать ИИ-изображения человека без его согласия хотят в Госдуме
Депутаты направили письмо министру цифрового развития с предложением запретить генерации фото, голоса или иного образа гражданина без его согласия, чтобы избежать мошенничества, дискредитации, нарушений деловой репутации и вмешательства в частную жизнь человека.
◀ ▶ Путин в Telegram | 📲 Мы в МАХ
Депутаты направили письмо министру цифрового развития с предложением запретить генерации фото, голоса или иного образа гражданина без его согласия, чтобы избежать мошенничества, дискредитации, нарушений деловой репутации и вмешательства в частную жизнь человека.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Privacy Advocates
🏛В Госдуме предложили создать сервис отзыва согласия на обработку данных
🔸Глава комитета Госдумы по развитию гражданского общества, вопросам общественных и религиозных объединений Яна Лантратова ("Справедливая Россия") предложила создать единый сервис отзыва согласия на обработку персональных данных на портале "Госуслуги".
🔸Соответствующее обращение было направлено в адрес главы Минцифры России Максута Шадаева Парламентарий отметила, что действующее правовое регулирование не закрепляет унифицированный и гарантированный механизм отзыва согласия на обработку персональных данных. Как следствие, на практике формируются неоднородные процедуры, которые определяются исключительно внутренними правилами операторов персональных данных.
🔸В письме уточняется, что функционал подобного сервиса может предусматривать отображение перечня организаций, которым гражданин предоставлял согласие на обработку персональных данных, возможность дистанционного отзыва согласия посредством электронного интерфейса, автоматическое уведомление операторов о поступлении соответствующего отзыва, а также фиксацию сроков исполнения обязанностей по прекращению обработки данных.
🔸Кроме того, парламентарий предлагает законодательно закрепить право гражданина отзывать согласие любым удобным способом: через интернет, "Госуслуги", личный кабинет на сайте оператора, по электронной почте, через МФЦ или письменно.
🔸Лантратова также полагает целесообразным установить, что способ отзыва такого согласия не должен быть сложнее, чем способ получения согласия. Операторов также предлагается обязать принимать отзыв независимо от способа его направления, регистрировать обращения и уведомлять заявителя о результате.
👁 PA | 📱 MAX | 📱 VK | 📱 Дзен
🔸Глава комитета Госдумы по развитию гражданского общества, вопросам общественных и религиозных объединений Яна Лантратова ("Справедливая Россия") предложила создать единый сервис отзыва согласия на обработку персональных данных на портале "Госуслуги".
🔸Соответствующее обращение было направлено в адрес главы Минцифры России Максута Шадаева Парламентарий отметила, что действующее правовое регулирование не закрепляет унифицированный и гарантированный механизм отзыва согласия на обработку персональных данных. Как следствие, на практике формируются неоднородные процедуры, которые определяются исключительно внутренними правилами операторов персональных данных.
🔸В письме уточняется, что функционал подобного сервиса может предусматривать отображение перечня организаций, которым гражданин предоставлял согласие на обработку персональных данных, возможность дистанционного отзыва согласия посредством электронного интерфейса, автоматическое уведомление операторов о поступлении соответствующего отзыва, а также фиксацию сроков исполнения обязанностей по прекращению обработки данных.
🔸Кроме того, парламентарий предлагает законодательно закрепить право гражданина отзывать согласие любым удобным способом: через интернет, "Госуслуги", личный кабинет на сайте оператора, по электронной почте, через МФЦ или письменно.
🔸Лантратова также полагает целесообразным установить, что способ отзыва такого согласия не должен быть сложнее, чем способ получения согласия. Операторов также предлагается обязать принимать отзыв независимо от способа его направления, регистрировать обращения и уведомлять заявителя о результате.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Суды общей юрисдикции города Москвы
This media is not supported in your browser
VIEW IN TELEGRAM
Суд арестовал исполнительного директора АНО РИД "Новая газета" Олега Ролдугина
Тверской районный суд города Москвы избрал меру пресечения в виде заключения под стражу до 10 мая 2026 года в отношении Ролдугина Олега Владимировича.
По версии следствия, Ролдлугин и неустановленные лица осуществили незаконный сбор и размещение компьютерной информации, содержащей персональные данные.
#тверской2026
Тверской районный суд города Москвы избрал меру пресечения в виде заключения под стражу до 10 мая 2026 года в отношении Ролдугина Олега Владимировича.
По версии следствия, Ролдлугин и неустановленные лица осуществили незаконный сбор и размещение компьютерной информации, содержащей персональные данные.
#тверской2026
Forwarded from Банкста
Роскомнадзор начал штрафовать владельцев сайтов в рунете. Роскомнадзор запустил бота, который автоматически сканирует сайты в зонах .RU, .РФ и .SU и ищет нарушения в обработке персональных данных.
Штрафы достигают 15 млн рублей. Наказывают за отсутствие уведомления о сборе персональных данных, неправильную политику конфиденциальности, утечки, отсутствие обязательных галочек-согласий, использование Google Analytics без уведомления о трансграничной передаче данных и даже за фото сотрудников в разделе «О нас» без их согласия. На исправление нарушений дают всего 10 дней, иначе прилетит ещё один штраф — до 90 тысяч рублей. @banksta
Штрафы достигают 15 млн рублей. Наказывают за отсутствие уведомления о сборе персональных данных, неправильную политику конфиденциальности, утечки, отсутствие обязательных галочек-согласий, использование Google Analytics без уведомления о трансграничной передаче данных и даже за фото сотрудников в разделе «О нас» без их согласия. На исправление нарушений дают всего 10 дней, иначе прилетит ещё один штраф — до 90 тысяч рублей. @banksta
📌 Пришло предписание от Роскомнадзора — что делать и сколько есть времени
Предписание РКН — это не штраф, но обязательный документ. Его игнорирование автоматически превращается в отдельное нарушение по ст. 19.5 КоАП РФ — штраф для юрлица до 500 000 ₽.
Порядок действий:
1. Прочитайте внимательно, что именно нарушено. В предписании должно быть указано конкретное требование 152-ФЗ — отсутствие политики, неверное согласие, отсутствие уведомления в РКН и т.д.
2. Зафиксируйте срок исполнения. Обычно РКН даёт от 10 до 30 дней. Срок указан в самом документе — считайте с даты получения, а не отправки.
3. Устраните нарушение и подготовьте ответ. Исполнение предписания нужно подтвердить письменно — в РКН направляется ответ с приложением доказательств: скриншоты сайта, обновлённые документы, выписка из реестра операторов.
4. Направьте ответ в срок. Способ отправки — тот же канал, через который пришло предписание (портал РКН, почта, личный кабинет).
⚠️ Если не согласны с предписанием — его можно обжаловать в суде, но это не отменяет обязанность исполнить в срок. Обжалование и исполнение идут параллельно.
#152ФЗ #РКН #предписание #compliance #бизнес
#152ФЗ #РКН #предписание #compliance #бизнес
Предписание РКН — это не штраф, но обязательный документ. Его игнорирование автоматически превращается в отдельное нарушение по ст. 19.5 КоАП РФ — штраф для юрлица до 500 000 ₽.
Порядок действий:
1. Прочитайте внимательно, что именно нарушено. В предписании должно быть указано конкретное требование 152-ФЗ — отсутствие политики, неверное согласие, отсутствие уведомления в РКН и т.д.
2. Зафиксируйте срок исполнения. Обычно РКН даёт от 10 до 30 дней. Срок указан в самом документе — считайте с даты получения, а не отправки.
3. Устраните нарушение и подготовьте ответ. Исполнение предписания нужно подтвердить письменно — в РКН направляется ответ с приложением доказательств: скриншоты сайта, обновлённые документы, выписка из реестра операторов.
4. Направьте ответ в срок. Способ отправки — тот же канал, через который пришло предписание (портал РКН, почта, личный кабинет).
⚠️ Если не согласны с предписанием — его можно обжаловать в суде, но это не отменяет обязанность исполнить в срок. Обжалование и исполнение идут параллельно.
#152ФЗ #РКН #предписание #compliance #бизнес
#152ФЗ #РКН #предписание #compliance #бизнес
💡 100% выигранных исков — такую статистику публикует Центр правовой помощи гражданам в цифровой среде по итогам 2025 года.
Центр создан по инициативе РКН в 2021 году и оказывает бесплатную юридическую помощь гражданам. За прошлый год туда обратились 11 тыс. человек — на 44% больше, чем в 2024-м. Суды удовлетворили исковые требования на 6,24 млн ₽, ещё 6,04 млн ₽ взыскано в досудебном порядке.
📌 Для бизнеса важна структура обращений: 8% жалоб — это обработка персональных данных без ведома или согласия гражданина. Ещё 23% — смежные темы: защита ПДн, нежелательная реклама, репутация. То есть каждый третий случай так или иначе связан с тем, как компании обращаются с данными пользователей.
Центр готовит претензии, жалобы и представляет интересы граждан в суде — бесплатно. Это прямой канал, через который недовольный пользователь может подать претензию к вашей компании без каких-либо затрат с его стороны.
Источник: РКН · Сайт Центра
#152ФЗ #РКН #персональныеданные #штрафы #compliance
#152ФЗ #РКН #персональныеданные #штрафы #compliance
Центр создан по инициативе РКН в 2021 году и оказывает бесплатную юридическую помощь гражданам. За прошлый год туда обратились 11 тыс. человек — на 44% больше, чем в 2024-м. Суды удовлетворили исковые требования на 6,24 млн ₽, ещё 6,04 млн ₽ взыскано в досудебном порядке.
📌 Для бизнеса важна структура обращений: 8% жалоб — это обработка персональных данных без ведома или согласия гражданина. Ещё 23% — смежные темы: защита ПДн, нежелательная реклама, репутация. То есть каждый третий случай так или иначе связан с тем, как компании обращаются с данными пользователей.
Центр готовит претензии, жалобы и представляет интересы граждан в суде — бесплатно. Это прямой канал, через который недовольный пользователь может подать претензию к вашей компании без каких-либо затрат с его стороны.
Источник: РКН · Сайт Центра
#152ФЗ #РКН #персональныеданные #штрафы #compliance
#152ФЗ #РКН #персональныеданные #штрафы #compliance
Telegram
РоскомнадZор
👏 Каждый иск – победа!
По итогам 2025 года суды удовлетворили 100% исков, поданных юристами Центра правовой помощи гражданам в цифровой среде* 🤩
Еще немного впечатляющих цифр 👇
➡️ 11 тыс. заявителей обратились в Центр. На 44% больше, чем в прошлом году.…
По итогам 2025 года суды удовлетворили 100% исков, поданных юристами Центра правовой помощи гражданам в цифровой среде* 🤩
Еще немного впечатляющих цифр 👇
➡️ 11 тыс. заявителей обратились в Центр. На 44% больше, чем в прошлом году.…
🔍 Сотрудник вставил данные клиентов в ChatGPT — и это уже утечка персональных данных
Практика показывает: один из самых частых каналов утечек сегодня — не взломы, а сами сотрудники, которые загружают клиентские базы, договоры и переписку в публичные нейросети для «удобной обработки».
С точки зрения 152-ФЗ это передача персональных данных третьей стороне без согласия субъектов и без договора поручения обработки. Квалифицируется по ч. 1 ст. 13.11 КоАП — штраф до 700 000 ₽ для юрлица. Если данных утекло много — возможна и уголовная ответственность по ст. 272 УК РФ.
Что это значит на практике:
— Регламент использования ИИ-инструментов — уже не «хорошая практика», а необходимость. Сотрудники должны знать: загружать ПДн клиентов в публичные LLM нельзя
— Если инцидент всё же произошёл — у вас 24 часа на уведомление РКН. Не уведомили вовремя — отдельный штраф от 1 до 3 млн ₽
Минимум: внесите запрет на передачу ПДн в публичные нейросети в инструкцию по обработке данных и ознакомьте сотрудников под подпись.
#152ФЗ #утечка #РКН #персональныеданные #compliance
Практика показывает: один из самых частых каналов утечек сегодня — не взломы, а сами сотрудники, которые загружают клиентские базы, договоры и переписку в публичные нейросети для «удобной обработки».
С точки зрения 152-ФЗ это передача персональных данных третьей стороне без согласия субъектов и без договора поручения обработки. Квалифицируется по ч. 1 ст. 13.11 КоАП — штраф до 700 000 ₽ для юрлица. Если данных утекло много — возможна и уголовная ответственность по ст. 272 УК РФ.
Что это значит на практике:
— Регламент использования ИИ-инструментов — уже не «хорошая практика», а необходимость. Сотрудники должны знать: загружать ПДн клиентов в публичные LLM нельзя
— Если инцидент всё же произошёл — у вас 24 часа на уведомление РКН. Не уведомили вовремя — отдельный штраф от 1 до 3 млн ₽
Минимум: внесите запрет на передачу ПДн в публичные нейросети в инструкцию по обработке данных и ознакомьте сотрудников под подпись.
#152ФЗ #утечка #РКН #персональныеданные #compliance
⚖️ Передали данные подрядчику — ответственность не ушла вместе с ними
Это одно из самых распространённых заблуждений: «мы данные не храним, их хранит наш CRM-провайдер / колл-центр / аналитическое агентство — значит, и отвечают они». По 152-ФЗ это не так.
Если вы передаёте данные третьей стороне для обработки в ваших интересах — эта сторона называется поручителем (ст. 6 152-ФЗ). Вы остаётесь оператором и несёте ответственность перед субъектом данных за всё, что происходит с его данными у подрядчика.
💡 Что это означает на практике:
— С поручителем нужно заключить отдельный договор, где прописаны: цели обработки, перечень данных, обязанность соблюдать 152-ФЗ и уничтожить данные после окончания работ
— Если подрядчик допустил утечку — РКН придёт к вам, а не к нему
— Пункт «мы не несём ответственности за действия третьих лиц» в договоре с клиентом вас не защитит
Перед тем как передать базу подрядчику, проверьте три вещи: есть ли с ним договор-поручение, где физически находятся его серверы (требование локализации распространяется и на него), и что происходит с данными после окончания контракта.
#152ФЗ #персональныеданные #подрядчики #compliance #операторПДн
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Это одно из самых распространённых заблуждений: «мы данные не храним, их хранит наш CRM-провайдер / колл-центр / аналитическое агентство — значит, и отвечают они». По 152-ФЗ это не так.
Если вы передаёте данные третьей стороне для обработки в ваших интересах — эта сторона называется поручителем (ст. 6 152-ФЗ). Вы остаётесь оператором и несёте ответственность перед субъектом данных за всё, что происходит с его данными у подрядчика.
💡 Что это означает на практике:
— С поручителем нужно заключить отдельный договор, где прописаны: цели обработки, перечень данных, обязанность соблюдать 152-ФЗ и уничтожить данные после окончания работ
— Если подрядчик допустил утечку — РКН придёт к вам, а не к нему
— Пункт «мы не несём ответственности за действия третьих лиц» в договоре с клиентом вас не защитит
Перед тем как передать базу подрядчику, проверьте три вещи: есть ли с ним договор-поручение, где физически находятся его серверы (требование локализации распространяется и на него), и что происходит с данными после окончания контракта.
#152ФЗ #персональныеданные #подрядчики #compliance #операторПДн
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
⚖️ Используете SaaS? Вы всё равно несёте ответственность за данные — но не за всё подряд
Компания — оператор ПДн. Использует CRM, облако, аутсорсинговую бухгалтерию. Вопрос: нужно ли считать каждый SaaS-сервис своей информационной системой персональных данных (ИСПДн), писать модели угроз и акты?
Короткие ответы:
📌 Включать SaaS в реестр ИСПДн — да. Не формальность, а фиксация зоны ответственности: цели обработки, объём данных, ссылка на договор с провайдером.
📌 Определять уровень защищённости — да. Иначе нечем обосновать требования к SaaS-провайдеру и нечего у него потребовать.
📌 Составлять акт определения УЗ как для собственной ИСПДн — нет. Вы пользователь сервиса, не его владелец. Владелец ИСПДн — обработчик.
📌 Писать модель угроз — частично. В своей части: риски на стороне оператора (доступ к учётным записям, права пользователей, защита рабочих мест).
⚠️ Если SaaS-провайдер отказывается подписывать поручение на обработку ПДн — это красный флаг. При утечке штраф получит оператор, а не провайдер.
Рабочая модель на практике:
— зафиксировать сервис в перечне систем
— понять уровень защищённости передаваемых данных
— предъявить провайдеру требования и получить подтверждение их соблюдения
— подписать поручение на обработку
— заранее договориться о порядке действий при утечке
SaaS не снимает с оператора ответственности — он только перераспределяет её часть на обработчика. Но только если это правильно оформлено.
#152ФЗ #SaaS #ИСПДн #обработчик #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Компания — оператор ПДн. Использует CRM, облако, аутсорсинговую бухгалтерию. Вопрос: нужно ли считать каждый SaaS-сервис своей информационной системой персональных данных (ИСПДн), писать модели угроз и акты?
Короткие ответы:
📌 Включать SaaS в реестр ИСПДн — да. Не формальность, а фиксация зоны ответственности: цели обработки, объём данных, ссылка на договор с провайдером.
📌 Определять уровень защищённости — да. Иначе нечем обосновать требования к SaaS-провайдеру и нечего у него потребовать.
📌 Составлять акт определения УЗ как для собственной ИСПДн — нет. Вы пользователь сервиса, не его владелец. Владелец ИСПДн — обработчик.
📌 Писать модель угроз — частично. В своей части: риски на стороне оператора (доступ к учётным записям, права пользователей, защита рабочих мест).
⚠️ Если SaaS-провайдер отказывается подписывать поручение на обработку ПДн — это красный флаг. При утечке штраф получит оператор, а не провайдер.
Рабочая модель на практике:
— зафиксировать сервис в перечне систем
— понять уровень защищённости передаваемых данных
— предъявить провайдеру требования и получить подтверждение их соблюдения
— подписать поручение на обработку
— заранее договориться о порядке действий при утечке
SaaS не снимает с оператора ответственности — он только перераспределяет её часть на обработчика. Но только если это правильно оформлено.
#152ФЗ #SaaS #ИСПДн #обработчик #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
⚖️ Что суды делают с компаниями после утечек персональных данных — практика 2022–2025
Судебная практика по утечкам ПДн за три года заметно ужесточилась. Если в 2022–2023 годах компании отделывались минимальными штрафами по ч. 1 ст. 13.11 КоАП РФ, то к 2024–2025 суды стали активнее применять составы с более высокими санкциями — особенно когда оператор не уведомил РКН в положенный срок.
Три устойчивых тренда из практики:
🔍 Неуведомление РКН бьёт сильнее, чем сама утечка. Суды фиксируют отдельный состав по ч. 11 ст. 13.11 КоАП — штраф от 1 до 3 млн ₽ для юрлица — именно за то, что компания не сообщила об инциденте в течение 24 часов. Это самостоятельное нарушение, не связанное с размером утечки.
📊 Объём утечки влияет на квалификацию. При утечке более 1 000 записей суды квалифицируют нарушение по более тяжкой части статьи. Чем больше субъектов пострадало — тем выше штраф и выше вероятность повторной проверки.
💡 Технические меры защиты — ключевой аргумент защиты. Компаниям, которые смогли документально подтвердить наличие СУИБ, политик безопасности и журналов доступа, суды снижали штрафы или прекращали дела. Отсутствие документации — автоматически отягчающее обстоятельство.
Практический вывод: план реагирования на инцидент (кто звонит в РКН, кто фиксирует объём, кто уведомляет пострадавших) нужно написать заранее — не после того, как база уже ушла в сеть.
#152ФЗ #утечка #судебнаяпрактика #РКН #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Судебная практика по утечкам ПДн за три года заметно ужесточилась. Если в 2022–2023 годах компании отделывались минимальными штрафами по ч. 1 ст. 13.11 КоАП РФ, то к 2024–2025 суды стали активнее применять составы с более высокими санкциями — особенно когда оператор не уведомил РКН в положенный срок.
Три устойчивых тренда из практики:
🔍 Неуведомление РКН бьёт сильнее, чем сама утечка. Суды фиксируют отдельный состав по ч. 11 ст. 13.11 КоАП — штраф от 1 до 3 млн ₽ для юрлица — именно за то, что компания не сообщила об инциденте в течение 24 часов. Это самостоятельное нарушение, не связанное с размером утечки.
📊 Объём утечки влияет на квалификацию. При утечке более 1 000 записей суды квалифицируют нарушение по более тяжкой части статьи. Чем больше субъектов пострадало — тем выше штраф и выше вероятность повторной проверки.
💡 Технические меры защиты — ключевой аргумент защиты. Компаниям, которые смогли документально подтвердить наличие СУИБ, политик безопасности и журналов доступа, суды снижали штрафы или прекращали дела. Отсутствие документации — автоматически отягчающее обстоятельство.
Практический вывод: план реагирования на инцидент (кто звонит в РКН, кто фиксирует объём, кто уведомляет пострадавших) нужно написать заранее — не после того, как база уже ушла в сеть.
#152ФЗ #утечка #судебнаяпрактика #РКН #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
❤1🔥1
⚖️ Штрафовать работодателей за нарушения в сфере персональных данных теперь будут мировые суды.
Раньше дела по ст. 13.11 КоАП РФ рассматривались районными судами — это создавало задержки. После изменений подсудность передана мировым судьям, что ускорит рассмотрение дел и, вероятно, увеличит их общее число.
Для работодателей это означает одно: вероятность получить реальный штраф — а не дождаться прекращения дела по процессуальным основаниям — теперь выше. Кадровые данные сотрудников (паспорта, СНИЛС, медкнижки, анкеты) — полноценные персональные данные, и их обработка без надлежащего оформления по-прежнему нарушение.
#152ФЗ #РКН #штрафы #HR #работодатель
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Раньше дела по ст. 13.11 КоАП РФ рассматривались районными судами — это создавало задержки. После изменений подсудность передана мировым судьям, что ускорит рассмотрение дел и, вероятно, увеличит их общее число.
Для работодателей это означает одно: вероятность получить реальный штраф — а не дождаться прекращения дела по процессуальным основаниям — теперь выше. Кадровые данные сотрудников (паспорта, СНИЛС, медкнижки, анкеты) — полноценные персональные данные, и их обработка без надлежащего оформления по-прежнему нарушение.
#152ФЗ #РКН #штрафы #HR #работодатель
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
❤1🔥1👏1