Поздравляем всех с наступившим Новым годом! Мы и дальше будем рядом, помогая выстраивать работу с персональными данными понятным и законным образом — без лишних рисков и штрафов.
Начать год мы решили с бесплатного вебинара «Как не получить штраф на миллион?», где обсудим самые актуальные вопросы и практику работы с ПДн в 2026 году 👇
🗓 Дата и время проведения: 15 января в 19:00
На вебинаре разберем:
🔺Какие изменения по персональным данным произошли за последнее время и как они повлияли на бизнес
🔺Как мыслит Роскомнадзор и куда движется регулирование
🔺Какие ошибки чаще всего приводят к предписаниям
🔺Как самостоятельно оценить свои риски по ПДн
🔺Какие проверки ожидать в 2026 году — и кто попадает в зону внимания
🔺Как подготовиться к внезапной проверке и снизить штрафные риски
Ссылка на регистрацию: https://1opd.ru/webinar#rec1762220011
Начать год мы решили с бесплатного вебинара «Как не получить штраф на миллион?», где обсудим самые актуальные вопросы и практику работы с ПДн в 2026 году 👇
🗓 Дата и время проведения: 15 января в 19:00
На вебинаре разберем:
🔺Какие изменения по персональным данным произошли за последнее время и как они повлияли на бизнес
🔺Как мыслит Роскомнадзор и куда движется регулирование
🔺Какие ошибки чаще всего приводят к предписаниям
🔺Как самостоятельно оценить свои риски по ПДн
🔺Какие проверки ожидать в 2026 году — и кто попадает в зону внимания
🔺Как подготовиться к внезапной проверке и снизить штрафные риски
Ссылка на регистрацию: https://1opd.ru/webinar#rec1762220011
Forwarded from ГРЧЦ — Главный радиочастотный центр
📃Отраслевые стандарты обработки персональных данных: как избавиться от избыточных согласий
28 января прошла посвященная персональным данным конференция Privacy Forum. Екатерина Ефимова, руководитель направления персональных данных Главного радиочастотного центра, рассказала о разработке отраслевых стандартов обработки персональных данных.
☝️ Инициатива поможет дать четкие инструкции вместо правовой неопределенности, минимизировать избыточные согласия и защитить права человека.
Разработка отраслевых стандартов ведется на базе Главного радиочастотного центра. Уже создано «Техническое задание» – инструмент для совместной работы, который определяет, какую структуру должен иметь стандарт, как определить минимально необходимый объем данных для конкретной услуги, как прописать сроки хранения и условия передачи и как заменить фиктивные «согласия» на честные правовые основания.
Подписывайтесь на ГРЧЦ в MAX
28 января прошла посвященная персональным данным конференция Privacy Forum. Екатерина Ефимова, руководитель направления персональных данных Главного радиочастотного центра, рассказала о разработке отраслевых стандартов обработки персональных данных.
«Многим небольшим компаниям сложно самостоятельно разобраться, какие персональные данные им действительно необходимо получить, чтобы быть эффективными и успешными, а запрос каких уже избыточен. Решат эту проблему отраслевые стандарты – не новые законы, а конкретные “правила дорожного движения” для каждой сферы. Чтобы бизнес знал точный перечень данных, сроки и основания, а гражданин был уверен, что у него не спросят лишнего».
☝️ Инициатива поможет дать четкие инструкции вместо правовой неопределенности, минимизировать избыточные согласия и защитить права человека.
«К нам регулярно обращаются представители операторского сообщества со своими инициативами, они готовы работать над задачей и помогать разрабатывать стандарты. Поэтому это совместная работа с компаниями и объединениями из многих отраслей экономики».
Разработка отраслевых стандартов ведется на базе Главного радиочастотного центра. Уже создано «Техническое задание» – инструмент для совместной работы, который определяет, какую структуру должен иметь стандарт, как определить минимально необходимый объем данных для конкретной услуги, как прописать сроки хранения и условия передачи и как заменить фиктивные «согласия» на честные правовые основания.
Подписывайтесь на ГРЧЦ в MAX
Forwarded from Сосисочная
Роскомнадзор теперь штрафует бизнес на сотни тысяч рублей за публикацию отзывов клиентов у себя в соцсетях
Если вы, как предприниматель, выкладывает фото отзыва или скриншот переписки, это может считаться разглашением персональных данных — штраф до 300 тысяч рублей, а при повторном нарушении — до 700 тысяч. @sosicka
Если вы, как предприниматель, выкладывает фото отзыва или скриншот переписки, это может считаться разглашением персональных данных — штраф до 300 тысяч рублей, а при повторном нарушении — до 700 тысяч. @sosicka
Forwarded from Суды общей юрисдикции города Москвы
Суд в Москве оштрафовал крупные иностранные компании за нарушение российского законодательства в области персональных данных
Мировой судья судебного участка № 422 Таганского района города Москвы 24 марта 2026 года признал виновными в совершении административных правонарушений по ст. 13.11 КоАП РФ платформу для размещения петиций Чендж. ордж (change. org. pbc) и Пади Америкас Инк.(PADI Americas Inc.),
Компанию Чендж. ордж (change. org. pbc) привлекли к административной ответственности по ч. 8 указанной статьи и назначила наказание в виде административного штрафа в размере 1 000 000 рублей, Америкас Инк.(PADI Americas Inc.) - по ч. 9 административный штраф составил 6 000 000 рублей.
#таганский2026 #адм2026 #мировойсуд2026
Мировой судья судебного участка № 422 Таганского района города Москвы 24 марта 2026 года признал виновными в совершении административных правонарушений по ст. 13.11 КоАП РФ платформу для размещения петиций Чендж. ордж (change. org. pbc) и Пади Америкас Инк.(PADI Americas Inc.),
Компанию Чендж. ордж (change. org. pbc) привлекли к административной ответственности по ч. 8 указанной статьи и назначила наказание в виде административного штрафа в размере 1 000 000 рублей, Америкас Инк.(PADI Americas Inc.) - по ч. 9 административный штраф составил 6 000 000 рублей.
#таганский2026 #адм2026 #мировойсуд2026
Forwarded from Baza
Московский суд оштрафовал Duolingo на 2 млн рублей.
Компания-разработчик популярного приложения для изучения иностранных языков признана виновной в административном правонарушении — несоблюдение законодательства в области сбора и хранения персональных данных своих пользователей на территории России.
По аналогичной статье на 2 млн рублей оштрафована компания eNom LLC, занимающаяся регистрацией доменных имен и веб-хостингом.
Если у вас плохо прогружаются файлы, все новости BAZA также доступны в нашем канале в MAX: https://max.ru/baza
Компания-разработчик популярного приложения для изучения иностранных языков признана виновной в административном правонарушении — несоблюдение законодательства в области сбора и хранения персональных данных своих пользователей на территории России.
По аналогичной статье на 2 млн рублей оштрафована компания eNom LLC, занимающаяся регистрацией доменных имен и веб-хостингом.
Если у вас плохо прогружаются файлы, все новости BAZA также доступны в нашем канале в MAX: https://max.ru/baza
Forwarded from ПУТИН в Telegram
Запретить генерировать ИИ-изображения человека без его согласия хотят в Госдуме
Депутаты направили письмо министру цифрового развития с предложением запретить генерации фото, голоса или иного образа гражданина без его согласия, чтобы избежать мошенничества, дискредитации, нарушений деловой репутации и вмешательства в частную жизнь человека.
◀ ▶ Путин в Telegram | 📲 Мы в МАХ
Депутаты направили письмо министру цифрового развития с предложением запретить генерации фото, голоса или иного образа гражданина без его согласия, чтобы избежать мошенничества, дискредитации, нарушений деловой репутации и вмешательства в частную жизнь человека.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Privacy Advocates
🏛В Госдуме предложили создать сервис отзыва согласия на обработку данных
🔸Глава комитета Госдумы по развитию гражданского общества, вопросам общественных и религиозных объединений Яна Лантратова ("Справедливая Россия") предложила создать единый сервис отзыва согласия на обработку персональных данных на портале "Госуслуги".
🔸Соответствующее обращение было направлено в адрес главы Минцифры России Максута Шадаева Парламентарий отметила, что действующее правовое регулирование не закрепляет унифицированный и гарантированный механизм отзыва согласия на обработку персональных данных. Как следствие, на практике формируются неоднородные процедуры, которые определяются исключительно внутренними правилами операторов персональных данных.
🔸В письме уточняется, что функционал подобного сервиса может предусматривать отображение перечня организаций, которым гражданин предоставлял согласие на обработку персональных данных, возможность дистанционного отзыва согласия посредством электронного интерфейса, автоматическое уведомление операторов о поступлении соответствующего отзыва, а также фиксацию сроков исполнения обязанностей по прекращению обработки данных.
🔸Кроме того, парламентарий предлагает законодательно закрепить право гражданина отзывать согласие любым удобным способом: через интернет, "Госуслуги", личный кабинет на сайте оператора, по электронной почте, через МФЦ или письменно.
🔸Лантратова также полагает целесообразным установить, что способ отзыва такого согласия не должен быть сложнее, чем способ получения согласия. Операторов также предлагается обязать принимать отзыв независимо от способа его направления, регистрировать обращения и уведомлять заявителя о результате.
👁 PA | 📱 MAX | 📱 VK | 📱 Дзен
🔸Глава комитета Госдумы по развитию гражданского общества, вопросам общественных и религиозных объединений Яна Лантратова ("Справедливая Россия") предложила создать единый сервис отзыва согласия на обработку персональных данных на портале "Госуслуги".
🔸Соответствующее обращение было направлено в адрес главы Минцифры России Максута Шадаева Парламентарий отметила, что действующее правовое регулирование не закрепляет унифицированный и гарантированный механизм отзыва согласия на обработку персональных данных. Как следствие, на практике формируются неоднородные процедуры, которые определяются исключительно внутренними правилами операторов персональных данных.
🔸В письме уточняется, что функционал подобного сервиса может предусматривать отображение перечня организаций, которым гражданин предоставлял согласие на обработку персональных данных, возможность дистанционного отзыва согласия посредством электронного интерфейса, автоматическое уведомление операторов о поступлении соответствующего отзыва, а также фиксацию сроков исполнения обязанностей по прекращению обработки данных.
🔸Кроме того, парламентарий предлагает законодательно закрепить право гражданина отзывать согласие любым удобным способом: через интернет, "Госуслуги", личный кабинет на сайте оператора, по электронной почте, через МФЦ или письменно.
🔸Лантратова также полагает целесообразным установить, что способ отзыва такого согласия не должен быть сложнее, чем способ получения согласия. Операторов также предлагается обязать принимать отзыв независимо от способа его направления, регистрировать обращения и уведомлять заявителя о результате.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Суды общей юрисдикции города Москвы
This media is not supported in your browser
VIEW IN TELEGRAM
Суд арестовал исполнительного директора АНО РИД "Новая газета" Олега Ролдугина
Тверской районный суд города Москвы избрал меру пресечения в виде заключения под стражу до 10 мая 2026 года в отношении Ролдугина Олега Владимировича.
По версии следствия, Ролдлугин и неустановленные лица осуществили незаконный сбор и размещение компьютерной информации, содержащей персональные данные.
#тверской2026
Тверской районный суд города Москвы избрал меру пресечения в виде заключения под стражу до 10 мая 2026 года в отношении Ролдугина Олега Владимировича.
По версии следствия, Ролдлугин и неустановленные лица осуществили незаконный сбор и размещение компьютерной информации, содержащей персональные данные.
#тверской2026
Forwarded from Банкста
Роскомнадзор начал штрафовать владельцев сайтов в рунете. Роскомнадзор запустил бота, который автоматически сканирует сайты в зонах .RU, .РФ и .SU и ищет нарушения в обработке персональных данных.
Штрафы достигают 15 млн рублей. Наказывают за отсутствие уведомления о сборе персональных данных, неправильную политику конфиденциальности, утечки, отсутствие обязательных галочек-согласий, использование Google Analytics без уведомления о трансграничной передаче данных и даже за фото сотрудников в разделе «О нас» без их согласия. На исправление нарушений дают всего 10 дней, иначе прилетит ещё один штраф — до 90 тысяч рублей. @banksta
Штрафы достигают 15 млн рублей. Наказывают за отсутствие уведомления о сборе персональных данных, неправильную политику конфиденциальности, утечки, отсутствие обязательных галочек-согласий, использование Google Analytics без уведомления о трансграничной передаче данных и даже за фото сотрудников в разделе «О нас» без их согласия. На исправление нарушений дают всего 10 дней, иначе прилетит ещё один штраф — до 90 тысяч рублей. @banksta
📌 Пришло предписание от Роскомнадзора — что делать и сколько есть времени
Предписание РКН — это не штраф, но обязательный документ. Его игнорирование автоматически превращается в отдельное нарушение по ст. 19.5 КоАП РФ — штраф для юрлица до 500 000 ₽.
Порядок действий:
1. Прочитайте внимательно, что именно нарушено. В предписании должно быть указано конкретное требование 152-ФЗ — отсутствие политики, неверное согласие, отсутствие уведомления в РКН и т.д.
2. Зафиксируйте срок исполнения. Обычно РКН даёт от 10 до 30 дней. Срок указан в самом документе — считайте с даты получения, а не отправки.
3. Устраните нарушение и подготовьте ответ. Исполнение предписания нужно подтвердить письменно — в РКН направляется ответ с приложением доказательств: скриншоты сайта, обновлённые документы, выписка из реестра операторов.
4. Направьте ответ в срок. Способ отправки — тот же канал, через который пришло предписание (портал РКН, почта, личный кабинет).
⚠️ Если не согласны с предписанием — его можно обжаловать в суде, но это не отменяет обязанность исполнить в срок. Обжалование и исполнение идут параллельно.
#152ФЗ #РКН #предписание #compliance #бизнес
#152ФЗ #РКН #предписание #compliance #бизнес
Предписание РКН — это не штраф, но обязательный документ. Его игнорирование автоматически превращается в отдельное нарушение по ст. 19.5 КоАП РФ — штраф для юрлица до 500 000 ₽.
Порядок действий:
1. Прочитайте внимательно, что именно нарушено. В предписании должно быть указано конкретное требование 152-ФЗ — отсутствие политики, неверное согласие, отсутствие уведомления в РКН и т.д.
2. Зафиксируйте срок исполнения. Обычно РКН даёт от 10 до 30 дней. Срок указан в самом документе — считайте с даты получения, а не отправки.
3. Устраните нарушение и подготовьте ответ. Исполнение предписания нужно подтвердить письменно — в РКН направляется ответ с приложением доказательств: скриншоты сайта, обновлённые документы, выписка из реестра операторов.
4. Направьте ответ в срок. Способ отправки — тот же канал, через который пришло предписание (портал РКН, почта, личный кабинет).
⚠️ Если не согласны с предписанием — его можно обжаловать в суде, но это не отменяет обязанность исполнить в срок. Обжалование и исполнение идут параллельно.
#152ФЗ #РКН #предписание #compliance #бизнес
#152ФЗ #РКН #предписание #compliance #бизнес
💡 100% выигранных исков — такую статистику публикует Центр правовой помощи гражданам в цифровой среде по итогам 2025 года.
Центр создан по инициативе РКН в 2021 году и оказывает бесплатную юридическую помощь гражданам. За прошлый год туда обратились 11 тыс. человек — на 44% больше, чем в 2024-м. Суды удовлетворили исковые требования на 6,24 млн ₽, ещё 6,04 млн ₽ взыскано в досудебном порядке.
📌 Для бизнеса важна структура обращений: 8% жалоб — это обработка персональных данных без ведома или согласия гражданина. Ещё 23% — смежные темы: защита ПДн, нежелательная реклама, репутация. То есть каждый третий случай так или иначе связан с тем, как компании обращаются с данными пользователей.
Центр готовит претензии, жалобы и представляет интересы граждан в суде — бесплатно. Это прямой канал, через который недовольный пользователь может подать претензию к вашей компании без каких-либо затрат с его стороны.
Источник: РКН · Сайт Центра
#152ФЗ #РКН #персональныеданные #штрафы #compliance
#152ФЗ #РКН #персональныеданные #штрафы #compliance
Центр создан по инициативе РКН в 2021 году и оказывает бесплатную юридическую помощь гражданам. За прошлый год туда обратились 11 тыс. человек — на 44% больше, чем в 2024-м. Суды удовлетворили исковые требования на 6,24 млн ₽, ещё 6,04 млн ₽ взыскано в досудебном порядке.
📌 Для бизнеса важна структура обращений: 8% жалоб — это обработка персональных данных без ведома или согласия гражданина. Ещё 23% — смежные темы: защита ПДн, нежелательная реклама, репутация. То есть каждый третий случай так или иначе связан с тем, как компании обращаются с данными пользователей.
Центр готовит претензии, жалобы и представляет интересы граждан в суде — бесплатно. Это прямой канал, через который недовольный пользователь может подать претензию к вашей компании без каких-либо затрат с его стороны.
Источник: РКН · Сайт Центра
#152ФЗ #РКН #персональныеданные #штрафы #compliance
#152ФЗ #РКН #персональныеданные #штрафы #compliance
Telegram
РоскомнадZор
👏 Каждый иск – победа!
По итогам 2025 года суды удовлетворили 100% исков, поданных юристами Центра правовой помощи гражданам в цифровой среде* 🤩
Еще немного впечатляющих цифр 👇
➡️ 11 тыс. заявителей обратились в Центр. На 44% больше, чем в прошлом году.…
По итогам 2025 года суды удовлетворили 100% исков, поданных юристами Центра правовой помощи гражданам в цифровой среде* 🤩
Еще немного впечатляющих цифр 👇
➡️ 11 тыс. заявителей обратились в Центр. На 44% больше, чем в прошлом году.…
🔍 Сотрудник вставил данные клиентов в ChatGPT — и это уже утечка персональных данных
Практика показывает: один из самых частых каналов утечек сегодня — не взломы, а сами сотрудники, которые загружают клиентские базы, договоры и переписку в публичные нейросети для «удобной обработки».
С точки зрения 152-ФЗ это передача персональных данных третьей стороне без согласия субъектов и без договора поручения обработки. Квалифицируется по ч. 1 ст. 13.11 КоАП — штраф до 700 000 ₽ для юрлица. Если данных утекло много — возможна и уголовная ответственность по ст. 272 УК РФ.
Что это значит на практике:
— Регламент использования ИИ-инструментов — уже не «хорошая практика», а необходимость. Сотрудники должны знать: загружать ПДн клиентов в публичные LLM нельзя
— Если инцидент всё же произошёл — у вас 24 часа на уведомление РКН. Не уведомили вовремя — отдельный штраф от 1 до 3 млн ₽
Минимум: внесите запрет на передачу ПДн в публичные нейросети в инструкцию по обработке данных и ознакомьте сотрудников под подпись.
#152ФЗ #утечка #РКН #персональныеданные #compliance
Практика показывает: один из самых частых каналов утечек сегодня — не взломы, а сами сотрудники, которые загружают клиентские базы, договоры и переписку в публичные нейросети для «удобной обработки».
С точки зрения 152-ФЗ это передача персональных данных третьей стороне без согласия субъектов и без договора поручения обработки. Квалифицируется по ч. 1 ст. 13.11 КоАП — штраф до 700 000 ₽ для юрлица. Если данных утекло много — возможна и уголовная ответственность по ст. 272 УК РФ.
Что это значит на практике:
— Регламент использования ИИ-инструментов — уже не «хорошая практика», а необходимость. Сотрудники должны знать: загружать ПДн клиентов в публичные LLM нельзя
— Если инцидент всё же произошёл — у вас 24 часа на уведомление РКН. Не уведомили вовремя — отдельный штраф от 1 до 3 млн ₽
Минимум: внесите запрет на передачу ПДн в публичные нейросети в инструкцию по обработке данных и ознакомьте сотрудников под подпись.
#152ФЗ #утечка #РКН #персональныеданные #compliance
⚖️ Передали данные подрядчику — ответственность не ушла вместе с ними
Это одно из самых распространённых заблуждений: «мы данные не храним, их хранит наш CRM-провайдер / колл-центр / аналитическое агентство — значит, и отвечают они». По 152-ФЗ это не так.
Если вы передаёте данные третьей стороне для обработки в ваших интересах — эта сторона называется поручителем (ст. 6 152-ФЗ). Вы остаётесь оператором и несёте ответственность перед субъектом данных за всё, что происходит с его данными у подрядчика.
💡 Что это означает на практике:
— С поручителем нужно заключить отдельный договор, где прописаны: цели обработки, перечень данных, обязанность соблюдать 152-ФЗ и уничтожить данные после окончания работ
— Если подрядчик допустил утечку — РКН придёт к вам, а не к нему
— Пункт «мы не несём ответственности за действия третьих лиц» в договоре с клиентом вас не защитит
Перед тем как передать базу подрядчику, проверьте три вещи: есть ли с ним договор-поручение, где физически находятся его серверы (требование локализации распространяется и на него), и что происходит с данными после окончания контракта.
#152ФЗ #персональныеданные #подрядчики #compliance #операторПДн
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Это одно из самых распространённых заблуждений: «мы данные не храним, их хранит наш CRM-провайдер / колл-центр / аналитическое агентство — значит, и отвечают они». По 152-ФЗ это не так.
Если вы передаёте данные третьей стороне для обработки в ваших интересах — эта сторона называется поручителем (ст. 6 152-ФЗ). Вы остаётесь оператором и несёте ответственность перед субъектом данных за всё, что происходит с его данными у подрядчика.
💡 Что это означает на практике:
— С поручителем нужно заключить отдельный договор, где прописаны: цели обработки, перечень данных, обязанность соблюдать 152-ФЗ и уничтожить данные после окончания работ
— Если подрядчик допустил утечку — РКН придёт к вам, а не к нему
— Пункт «мы не несём ответственности за действия третьих лиц» в договоре с клиентом вас не защитит
Перед тем как передать базу подрядчику, проверьте три вещи: есть ли с ним договор-поручение, где физически находятся его серверы (требование локализации распространяется и на него), и что происходит с данными после окончания контракта.
#152ФЗ #персональныеданные #подрядчики #compliance #операторПДн
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
⚖️ Используете SaaS? Вы всё равно несёте ответственность за данные — но не за всё подряд
Компания — оператор ПДн. Использует CRM, облако, аутсорсинговую бухгалтерию. Вопрос: нужно ли считать каждый SaaS-сервис своей информационной системой персональных данных (ИСПДн), писать модели угроз и акты?
Короткие ответы:
📌 Включать SaaS в реестр ИСПДн — да. Не формальность, а фиксация зоны ответственности: цели обработки, объём данных, ссылка на договор с провайдером.
📌 Определять уровень защищённости — да. Иначе нечем обосновать требования к SaaS-провайдеру и нечего у него потребовать.
📌 Составлять акт определения УЗ как для собственной ИСПДн — нет. Вы пользователь сервиса, не его владелец. Владелец ИСПДн — обработчик.
📌 Писать модель угроз — частично. В своей части: риски на стороне оператора (доступ к учётным записям, права пользователей, защита рабочих мест).
⚠️ Если SaaS-провайдер отказывается подписывать поручение на обработку ПДн — это красный флаг. При утечке штраф получит оператор, а не провайдер.
Рабочая модель на практике:
— зафиксировать сервис в перечне систем
— понять уровень защищённости передаваемых данных
— предъявить провайдеру требования и получить подтверждение их соблюдения
— подписать поручение на обработку
— заранее договориться о порядке действий при утечке
SaaS не снимает с оператора ответственности — он только перераспределяет её часть на обработчика. Но только если это правильно оформлено.
#152ФЗ #SaaS #ИСПДн #обработчик #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Компания — оператор ПДн. Использует CRM, облако, аутсорсинговую бухгалтерию. Вопрос: нужно ли считать каждый SaaS-сервис своей информационной системой персональных данных (ИСПДн), писать модели угроз и акты?
Короткие ответы:
📌 Включать SaaS в реестр ИСПДн — да. Не формальность, а фиксация зоны ответственности: цели обработки, объём данных, ссылка на договор с провайдером.
📌 Определять уровень защищённости — да. Иначе нечем обосновать требования к SaaS-провайдеру и нечего у него потребовать.
📌 Составлять акт определения УЗ как для собственной ИСПДн — нет. Вы пользователь сервиса, не его владелец. Владелец ИСПДн — обработчик.
📌 Писать модель угроз — частично. В своей части: риски на стороне оператора (доступ к учётным записям, права пользователей, защита рабочих мест).
⚠️ Если SaaS-провайдер отказывается подписывать поручение на обработку ПДн — это красный флаг. При утечке штраф получит оператор, а не провайдер.
Рабочая модель на практике:
— зафиксировать сервис в перечне систем
— понять уровень защищённости передаваемых данных
— предъявить провайдеру требования и получить подтверждение их соблюдения
— подписать поручение на обработку
— заранее договориться о порядке действий при утечке
SaaS не снимает с оператора ответственности — он только перераспределяет её часть на обработчика. Но только если это правильно оформлено.
#152ФЗ #SaaS #ИСПДн #обработчик #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
⚖️ Что суды делают с компаниями после утечек персональных данных — практика 2022–2025
Судебная практика по утечкам ПДн за три года заметно ужесточилась. Если в 2022–2023 годах компании отделывались минимальными штрафами по ч. 1 ст. 13.11 КоАП РФ, то к 2024–2025 суды стали активнее применять составы с более высокими санкциями — особенно когда оператор не уведомил РКН в положенный срок.
Три устойчивых тренда из практики:
🔍 Неуведомление РКН бьёт сильнее, чем сама утечка. Суды фиксируют отдельный состав по ч. 11 ст. 13.11 КоАП — штраф от 1 до 3 млн ₽ для юрлица — именно за то, что компания не сообщила об инциденте в течение 24 часов. Это самостоятельное нарушение, не связанное с размером утечки.
📊 Объём утечки влияет на квалификацию. При утечке более 1 000 записей суды квалифицируют нарушение по более тяжкой части статьи. Чем больше субъектов пострадало — тем выше штраф и выше вероятность повторной проверки.
💡 Технические меры защиты — ключевой аргумент защиты. Компаниям, которые смогли документально подтвердить наличие СУИБ, политик безопасности и журналов доступа, суды снижали штрафы или прекращали дела. Отсутствие документации — автоматически отягчающее обстоятельство.
Практический вывод: план реагирования на инцидент (кто звонит в РКН, кто фиксирует объём, кто уведомляет пострадавших) нужно написать заранее — не после того, как база уже ушла в сеть.
#152ФЗ #утечка #судебнаяпрактика #РКН #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Судебная практика по утечкам ПДн за три года заметно ужесточилась. Если в 2022–2023 годах компании отделывались минимальными штрафами по ч. 1 ст. 13.11 КоАП РФ, то к 2024–2025 суды стали активнее применять составы с более высокими санкциями — особенно когда оператор не уведомил РКН в положенный срок.
Три устойчивых тренда из практики:
🔍 Неуведомление РКН бьёт сильнее, чем сама утечка. Суды фиксируют отдельный состав по ч. 11 ст. 13.11 КоАП — штраф от 1 до 3 млн ₽ для юрлица — именно за то, что компания не сообщила об инциденте в течение 24 часов. Это самостоятельное нарушение, не связанное с размером утечки.
📊 Объём утечки влияет на квалификацию. При утечке более 1 000 записей суды квалифицируют нарушение по более тяжкой части статьи. Чем больше субъектов пострадало — тем выше штраф и выше вероятность повторной проверки.
💡 Технические меры защиты — ключевой аргумент защиты. Компаниям, которые смогли документально подтвердить наличие СУИБ, политик безопасности и журналов доступа, суды снижали штрафы или прекращали дела. Отсутствие документации — автоматически отягчающее обстоятельство.
Практический вывод: план реагирования на инцидент (кто звонит в РКН, кто фиксирует объём, кто уведомляет пострадавших) нужно написать заранее — не после того, как база уже ушла в сеть.
#152ФЗ #утечка #судебнаяпрактика #РКН #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
❤1🔥1
⚖️ Штрафовать работодателей за нарушения в сфере персональных данных теперь будут мировые суды.
Раньше дела по ст. 13.11 КоАП РФ рассматривались районными судами — это создавало задержки. После изменений подсудность передана мировым судьям, что ускорит рассмотрение дел и, вероятно, увеличит их общее число.
Для работодателей это означает одно: вероятность получить реальный штраф — а не дождаться прекращения дела по процессуальным основаниям — теперь выше. Кадровые данные сотрудников (паспорта, СНИЛС, медкнижки, анкеты) — полноценные персональные данные, и их обработка без надлежащего оформления по-прежнему нарушение.
#152ФЗ #РКН #штрафы #HR #работодатель
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Раньше дела по ст. 13.11 КоАП РФ рассматривались районными судами — это создавало задержки. После изменений подсудность передана мировым судьям, что ускорит рассмотрение дел и, вероятно, увеличит их общее число.
Для работодателей это означает одно: вероятность получить реальный штраф — а не дождаться прекращения дела по процессуальным основаниям — теперь выше. Кадровые данные сотрудников (паспорта, СНИЛС, медкнижки, анкеты) — полноценные персональные данные, и их обработка без надлежащего оформления по-прежнему нарушение.
#152ФЗ #РКН #штрафы #HR #работодатель
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
❤1🔥1👏1
📌 Если вы собираете данные клиентов — вы оператор персональных данных. Со всеми вытекающими обязанностями по 152-ФЗ.
Оператор — это любая организация или ИП, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. На практике это почти любой бизнес: интернет-магазин, кофейня с картой лояльности, HR-отдел, бухгалтерия, сайт с формой заявки.
Что обязан делать оператор:
— Подать уведомление в РКН до начала обработки данных. Реестр операторов ведётся на portal.rkn.gov.ru. Отсутствие уведомления — штраф до 300 000 ₽ для юрлица по ч. 1 ст. 13.11 КоАП РФ.
— Опубликовать политику обработки персональных данных — документ должен быть доступен по прямой ссылке на сайте.
— Получать согласие субъектов ПДн до начала обработки — отдельная галочка на каждой форме, не предустановленная.
— Хранить данные граждан РФ на серверах в России — требование ч. 5 ст. 18 152-ФЗ.
— Уведомить РКН в течение 24 часов при утечке данных — иначе штраф от 1 до 3 млн ₽.
Важный нюанс 2026 года: после поправок в 152-ФЗ требования к содержанию уведомления в РКН расширились. Проверьте, что ваша запись в реестре актуальна — если данные изменились, уведомление нужно обновить.
#152ФЗ #персональныеданные #РКН #операторПДн #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Оператор — это любая организация или ИП, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. На практике это почти любой бизнес: интернет-магазин, кофейня с картой лояльности, HR-отдел, бухгалтерия, сайт с формой заявки.
Что обязан делать оператор:
— Подать уведомление в РКН до начала обработки данных. Реестр операторов ведётся на portal.rkn.gov.ru. Отсутствие уведомления — штраф до 300 000 ₽ для юрлица по ч. 1 ст. 13.11 КоАП РФ.
— Опубликовать политику обработки персональных данных — документ должен быть доступен по прямой ссылке на сайте.
— Получать согласие субъектов ПДн до начала обработки — отдельная галочка на каждой форме, не предустановленная.
— Хранить данные граждан РФ на серверах в России — требование ч. 5 ст. 18 152-ФЗ.
— Уведомить РКН в течение 24 часов при утечке данных — иначе штраф от 1 до 3 млн ₽.
Важный нюанс 2026 года: после поправок в 152-ФЗ требования к содержанию уведомления в РКН расширились. Проверьте, что ваша запись в реестре актуальна — если данные изменились, уведомление нужно обновить.
#152ФЗ #персональныеданные #РКН #операторПДн #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
❤3👏2🔥1😱1
📌 5 ошибок на сайте, за которые штрафует РКН — и как их исправить
Большинство нарушений 152-ФЗ на сайтах — не злой умысел, а невнимание к деталям. Вот что проверяющие находят чаще всего:
1. Политика обработки ПДн есть, но не там
Документ лежит где-то в подвале сайта, без прямой ссылки с каждой формы. Требование ч. 2 ст. 18.1 152-ФЗ — политика должна быть доступна на странице, где собираются данные.
2. Чек-бокс согласия проставлен по умолчанию
Если галочка уже стоит — это не согласие. Согласие должно быть активным действием пользователя (ч. 1 ст. 9 152-ФЗ).
3. Одна галочка на всё
«Согласен с условиями и политикой ПДн» — распространённая схема, которая не работает. Согласие на обработку данных должно быть отдельным от согласия с договором или офертой.
4. Нет уведомления в РКН
Многие компании не знают, что обязаны уведомить регулятора до начала обработки данных. Отсутствие записи в реестре операторов — штраф до 300 000 ₽ для юрлица по ч. 1 ст. 13.11 КоАП.
5. Данные хранятся за рубежом
Формы, подключённые к иностранным CRM или email-сервисам с серверами вне РФ, нарушают требование локализации (ч. 5 ст. 18 152-ФЗ). Штраф — до 18 млн ₽ при повторном нарушении.
Проверьте эти пять пунктов — они закрывают большую часть претензий РКН к типовому сайту.
#152ФЗ #РКН #сайт #персональныеданные #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Большинство нарушений 152-ФЗ на сайтах — не злой умысел, а невнимание к деталям. Вот что проверяющие находят чаще всего:
1. Политика обработки ПДн есть, но не там
Документ лежит где-то в подвале сайта, без прямой ссылки с каждой формы. Требование ч. 2 ст. 18.1 152-ФЗ — политика должна быть доступна на странице, где собираются данные.
2. Чек-бокс согласия проставлен по умолчанию
Если галочка уже стоит — это не согласие. Согласие должно быть активным действием пользователя (ч. 1 ст. 9 152-ФЗ).
3. Одна галочка на всё
«Согласен с условиями и политикой ПДн» — распространённая схема, которая не работает. Согласие на обработку данных должно быть отдельным от согласия с договором или офертой.
4. Нет уведомления в РКН
Многие компании не знают, что обязаны уведомить регулятора до начала обработки данных. Отсутствие записи в реестре операторов — штраф до 300 000 ₽ для юрлица по ч. 1 ст. 13.11 КоАП.
5. Данные хранятся за рубежом
Формы, подключённые к иностранным CRM или email-сервисам с серверами вне РФ, нарушают требование локализации (ч. 5 ст. 18 152-ФЗ). Штраф — до 18 млн ₽ при повторном нарушении.
Проверьте эти пять пунктов — они закрывают большую часть претензий РКН к типовому сайту.
#152ФЗ #РКН #сайт #персональныеданные #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
👍2👏2🔥1
⚖️ Согласие на обработку персональных данных суд может признать недействительным — и тогда вся обработка окажется незаконной.
Это не теория: суды уже отменяли согласия, которые были оформлены с нарушениями. Типичные основания:
— Согласие «зашито» в договор или оферту — человек подписал общий документ, не осознавая, что даёт разрешение на обработку ПДн
— Не указаны конкретные цели обработки — формулировка «в целях исполнения договора и иных законных целей» слишком размытая
— Галочка была проставлена по умолчанию — это прямое нарушение ч. 1 ст. 9 152-ФЗ, согласие должно быть добровольным и активным
— Не указан перечень третьих лиц, которым передаются данные — если вы отдаёте данные подрядчикам, это должно быть прописано явно
Последствие признания согласия недействительным: оператор обязан прекратить обработку и уничтожить данные. Плюс — административная ответственность по ст. 13.11 КоАП РФ до 700 000 ₽ за первое нарушение.
Практический вывод: проверьте, не «растворено» ли согласие у вас в договоре или общей политике. Особенно актуально для HR — трудовые договоры с согласием на ПДн внутри текста суды отменяют чаще всего.
#152ФЗ #согласие #персональныеданные #HR #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Это не теория: суды уже отменяли согласия, которые были оформлены с нарушениями. Типичные основания:
— Согласие «зашито» в договор или оферту — человек подписал общий документ, не осознавая, что даёт разрешение на обработку ПДн
— Не указаны конкретные цели обработки — формулировка «в целях исполнения договора и иных законных целей» слишком размытая
— Галочка была проставлена по умолчанию — это прямое нарушение ч. 1 ст. 9 152-ФЗ, согласие должно быть добровольным и активным
— Не указан перечень третьих лиц, которым передаются данные — если вы отдаёте данные подрядчикам, это должно быть прописано явно
Последствие признания согласия недействительным: оператор обязан прекратить обработку и уничтожить данные. Плюс — административная ответственность по ст. 13.11 КоАП РФ до 700 000 ₽ за первое нарушение.
Практический вывод: проверьте, не «растворено» ли согласие у вас в договоре или общей политике. Особенно актуально для HR — трудовые договоры с согласием на ПДн внутри текста суды отменяют чаще всего.
#152ФЗ #согласие #персональныеданные #HR #compliance
———
👉 @opdone — про защиту персональных данных и 152-ФЗ для бизнеса
#1опд
Telegram
1opd.ru
🌐 Добро пожаловать в канал 1 ОПД! 🌐
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
Мы — профессиональный сервис, работающий в сфере защиты персональных данных.
Присоединяйтесь! Вас ждут актуальные новости и изменения в законодательстве, ответы на вопросы и разбор ошибок.
Ваши данные — наша забота!
❤2👍1👏1