Когда многозадачность превращается в штраф в 50 тысяч евро

Рассказываем про конфликт интересов у DPO: как не попасть на штраф и сохранить доверие

Согласно ст. 38(6) GDPR, DPO может выполнять другие задачи, но только если при этом не возникает конфликта интересов. Главное для DPO — не участвовать в определении целей и способов обработки персональных данных (рекомендации EDPB (WP243 rev.01))

Пример из практики: штраф €50,000 в Бельгии за совмещение позиций DPO и директора по аудиту — случай, когда специалист контролировал процессы, которые сам же организовывал. Интересно, что конфликт вскрылся только после расследования утечки данных, а не в ходе плановой проверки.

📌 Что считается конфликтом интересов?

DPO не может занимать должность, которая позволяет ему определять цели и способы обработки данных. В первую очередь это относится к топ-менеджменту: CEO, CFO и другим. Однако конфликт возникает даже если должность не управленческая, но влияет на обработку данных.

В случае с внешним DPO это правило также работает: он не должен представлять компанию в судах по вопросам защиты данных или, например, также работать с конкурентами.

📌 Типовые сценарии нарушений:

🔹 Совмещение роли DPO с управленческими или контролирующими позициями (например, руководитель compliance или IT).
🔹 Участие DPO в операционных процессах: утверждение политик, выбор подрядчиков, внедрение CRM-систем.
🔹 Личные связи с лицами, принимающими решения (например, родственник CEO).
🔹 Внешний DPO, консультирующий конкурентов или представляющий компанию в суде по GDPR.

Даже потенциальный конфликт, который может быть только воспринят регулятором или сотрудниками как угроза независимости DPO, уже сам по себе риск штрафа и расследования

📌 5 советов для компаний

🔹 Проведите аудит ролей DPO. Руководствуйтесь рекомендациями из раздела 3.5 руководства EDPB по DPO. Регулярно пересматривайте матрицу обязанностей и исключайте пересечения с управленческими и контролирующими функциями.

🔹 Внедрите «двойное слепое» согласование. Если DPO участвует в проекте, его оценку должен подтверждать независимый специалист или внешний юрист.

🔹 Установите правила для внешних DPO. Проверьте отсутствие конфликта интересов с другими клиентами и не допускайте участия в судебных процессах от имени компании кроме случаев, когда DPO сохраняет при этом свою независимость.

🔹 Включите в должностную инструкцию DPO требование немедленно уведомлять руководство о любых обстоятельствах, способных повлиять на независимость (семейные связи, совмещение ролей, личная заинтересованность в проекте).

📌 Что важно не упустить?

🔹 Вовлекайте DPO на ранних стадиях. Он должен быть в курсе всех проектов с персональными данными до принятия ключевых решений — так можно выявить конфликты интересов заранее.

🔹 Гарантируйте защиту от давления. DPO не должен подвергаться угрозам, задержкам в продвижении, лишению бонусов или иным формам давления при выполнении своих функций.

🔹 Обеспечьте реальный доступ к ресурсам. DPO должен иметь возможность привлекать внешних экспертов и получать необходимые инструменты для независимой оценки ситуации.

🔹 Фиксируйте конфликтные ситуации. Все потенциальные или выявленные конфликты должны быть отражены во внутренних документах компании и регулярно пересматриваться.

🔹 Используйте альтернативные механизмы. В сложных случаях назначайте альтернативного DPO или привлекайте внешних специалистов для независимой экспертизы.

Внешние специалисты:

📎 Не вовлечены в операционные процессы напрямую.
📎 Работают независимо от корпоративной иерархии.
📎 Не подвержены давлению внутри компании.

Нанять такого независимого специалиста и быть уверенным в отсутствии конфликта интересов можно в Data Privacy Office. Подробнее — по ссылке.

Конфликт интересов — это не только факт, но и восприятие. Даже если DPO объективен, подозрение в его зависимости может стать поводом для расследования и штрафа.

Рассказываем, что произошло в мире privacy за прошедшую неделю 🗞

📎 EDPB выпускает руководство по блокчейну и готовится к сотрудничеству с EU AI Office

EDPB выпустил новое руководство о том, как правильно работать с персональными данными в блокчейне. Организациям рекомендуется проводить оценку рисков для защиты данных и заранее внедрять меры безопасности.

Также EDPB начинает работу с офисом по ИИ, чтобы согласовать требования закона об искусственном интеллекте с правилами защиты данных в ЕС.

Подробнее

📎 Британская юридическая фирма оштрафована на £60,000 после кибератаки

Британская юридическая фирма DPP Law Ltd получила штраф в £60,000 за утечку данных в даркнет. Хакеры взломали систему через старую админскую учетную запись без двухфакторной защиты. Поскольку фирма работает с уголовными, военными и семейными делами, произошла утечка особо чувствительных данных клиентов.

Подробнее

📎 NIST обновляет Privacy Framework с учетом развития ИИ

NIST представил обновленный Privacy Framework 1.1, который теперь учитывает особенности работы с ИИ.

В новой версии появился раздел о ролях в сфере приватности. Документ подчеркивает важность правильного распределения ресурсов: людей, бюджета и технологий. Также рассматриваются основные риски ИИ — проблемы с получением согласия, предвзятость алгоритмов и риски нарушения приватности при генерации контента.

Подробнее

#news

А у вас есть представитель на территории ЕС?

Разбираемся: нужен ли вам EU Representative?

Если вы работаете с пользователями из ЕС, но сами находитесь за пределами Евросоюза — у вас может быть обязанность назначить представителя в ЕС. Это не рекомендация, а требование статьи 27 GDPR. В этом посте разбираемся, кто такой EU Representative, когда он обязателен и что будет, если его нет.

📌 Кто такой EU Representative?

Это не сотрудник, а ваш представитель в ЕС — физическое или юридическое лицо. Он общается с надзорными органами и гражданами ЕС от вашего имени, если у вас нет филиала в Европе. Он не следит за соответствием требованиям — его роль заключается в коммуникации.

📌 Когда его нужно назначать?

Если вы:

🔹 предлагаете товары или услуги пользователям в ЕС (в том числе бесплатно),
🔹 отслеживаете поведение этих пользователей (например, через cookies, аналитику и пиксели),

значит, вы подпадаете под требование.

🛑 Есть исключения, но они редкие. Например, если обработка разовая, не связана с чувствительными данными и не несёт рисков для людей. В большинстве случаев без представителя не обойтись.

📌 Что входит в его задачи?

EU Representative:

🔹 общается с европейскими надзорными органами,
🔹 помогает с запросами от субъектов данных,
🔹 может вести реестр обработок,
🔹 становится публичной точкой контакта в Европе.

Он не несёт ответственности за соблюдение GDPR — это ваша зона. Но благодаря ему регуляторы и пользователи видят, что вы — на связи.

📌 Кого можно назначить EU Representative?

Представителем может быть физическое или юридическое лицо, зарегистрированное в одном из государств ЕС, официально уполномоченное действовать от имени вашей компании по всем вопросам, связанным с обработкой персональных данных.

Важно понимать: представитель не должен быть вашим сотрудником.

На практике чаще всего назначают:

🔹 юридические фирмы,
🔹 консалтинговые агентства,
🔹 провайдеров, которые специализируются на услугах по защите данных и комплаенсу.

Назначение оформляется письменным соглашением. Контактные данные представителя обязательно указываются в вашей политике приватности — они должны быть доступны как пользователям, так и надзорным органам.

💡 Совет: выбирайте тех, кто понимает специфику вашей отрасли и умеет работать с регуляторами. Представитель — это не просто «для галочки», а реальный участник вашего взаимодействия с Европой.

📌 А это не то же самое, что DPO?

Нет.

EU Representative — посредник. Он нужен, если вы вне ЕС.
DPO — эксперт, который следит за соблюдением требований внутри организации. Он не обязан находиться в ЕС. Иногда компании назначают и того, и другого — это зависит от рисков и масштаба обработки данных.

📌 Что, если не выполнить это требование?

За несоблюдение статьи 27 GDPR возможен штраф:

🔹 до 10 миллионов евро,
🔹 или до 2% от годового глобального оборота. В зависимости от того, что из этого больше.

Плюс репутационные риски и проблемы с европейскими партнёрами. Вряд ли они захотят работать с нарушителями.

📌 Так нужно ли это вам?

Если вы взаимодействуете с пользователями из ЕС — даже дистанционно — лучше заранее назначить представителя. Это шаг к доверию, комплаенсу и стабильной работе на европейском рынке.

Тот факт, что вы уже работаете в сфере privacy, характеризует вас как дальновидного человека. Эта сфера, особенно в русскоязычном пространстве, стала развиваться относительно недавно, а вы уже здесь! Предлагаем пойти еще дальше, прыгнуть выше головы и изучить вопрос защиты персональных данных в системах ИИ, который только начинает получать распространение среди экспертов.

19 мая стартует новый поток курса Artificial Intelligence Compliance Professional for Europe (AICP-E)

AICP-E — это практический курс по основам EU AI Act, базе ИИ, рисках для персональных данных и особенностях его регулирования. Программа поможет разобраться в принципах работы ИИ-систем с нуля. Даже если ваш опыт работы с нейросетями на данный момент — только генерация картинок в личных целях 👀

📌 В курс входит:

🔹 10 онлайн-занятий,
🔹 тесты для самопроверки,
🔹 работа над практическим кейсом в группах.

Важно: курс пройдет на английском языке.

👤 Тренеры курса:

Денис Садовников, LL.B. (Англия и Уэльс), CIPM, CIPP/E, FIP, GDPR DPP, DPM.

Денис — признанный эксперт в области приватности, защиты персональных данных и искусственного интеллекта. Занимает должность Head of Privacy в ведущей технологической компании и проводит углубленные тренинги регулированию искусственного интеллекта.

Петрута Пирван, AIGP, FIP, CIPP/E, CIPP/US, CIPM.

Петрута имеет 16+ лет работы в области защиты персональных данных и законодательства об искусственном интеллекте, сертифицирована AIGP и является автором модуля 8 в учебном руководстве IAPP AIGP.

Записывайтесь на курс на сайте или у нашего менеджера Антона.

Команда Data Privacy Office готова помогать вам оставаться на карьерной передовой в области privacy 💚

#courses #AI

Маршрут карьеры перестроен

Мы перестроили 😎


Недавно рассказывали о том, что создали «Карту развития карьеры» — бесплатный инструмент, который поможет построить свой уникальный путь специалиста в защите персональных данных. И если одним постом мы вас не убедили, мы подготовили целую статью на эту тему! В ней делимся:

✏️ Какой вопрос заставил нас задуматься о создании Карты.
✏️ О ком мы думали, когда создавали Карту.
✏️ Куда писать, если у вас есть идеи, как можно сделать Карту лучше.

Приглашаем прочитать статью по ссылке
и/или
Воспользоваться Картой развития карьеры

Важно: чтобы использовать Карту, вам не нужно регистрироваться. Просто перейдите на страницу, пролистайте до экрана с надписью «Карта развития карьеры в Data Privacy» и жмите «Начать» ✌🏻

#article

Рассказываем, новости из мира privacy за прошедшую неделю 🗞

📎 Еврокомиссия запускает новый план по развитию ИИ

Европейский AI Continent Action Plan включает:

🔹 200 млрд евро для инвестиций.
🔹 13 AI-фабрик — специальных инфраструктур, которые помогают собирать информацию, обучать ИИ и применять его для решения различных задач.
🔹 Создание единой службы поддержки — AI Act Service Desk.

Подробнее

📎 Обновления CPPA по технологиям автоматизированного принятия решений

CPPA обновляет регулирование в сфере автоматизированного принятия решений. Агентство вводит новое определение ADMT (Automated decision-making technology), отменяет ряд требований к поведенческой рекламе и пересматривает подход к оценке рисков. Эти изменения направлены на упрощение соответствия требованиям и снижение рисков юридических споров.

Подробнее

📎 OMB США излагает новые стандарты использования и закупок искусственного интеллекта

Управление по вопросам управления и бюджета (Office of Management and Budget) США обновляет подход к использованию и закупкам AI. Среди нововведений: единая система оценки риска для high-impact приложений и руководство по эффективному внедрению искусственного интеллекта. Специалисты считают, что это поможет снизить бюрократию и сэкономить бюджет.

Подробнее

#news

Почему не будет восстания ИИ?

Если вас волнует этот вопрос, советуем подписаться на канал «AI & Privacy Lab». Его ведет наша коллега — Ксения Рычкова, лидер направления бизнес-аналитики Data Privacy Office.

🚀 Недавно Ксения завершила первый сезон своего проекта. В его рамках в канале появилось 23 поста на 5 тем. Каждый, кто взаимодействует с интернетом найдет что-то для себя:

📎 Технологии трекинга и куки
О том, как работает трекинг и почему нажать «Отклонить все» может быть недостаточно.

📎 Технологии и капитализм
О том, кто зарабатывает на ваших персональных данных.

📎 AI и этика
О том, как далеко зашел и еще может зайти ИИ.

📎 Риски и инциденты приватности
О том, что такое утечки и почему они происходят.

📎 Психология и поведение в цифровом мире
О том, как не потратить всю жизнь в цифровом пространстве.

🌱 Просто, понятно, свежо — мы обожаем, как Ксения подает даже самую сложную информацию, читаем всей командой и вам советуем! Подключайтесь к каналу по ссылке и делитесь им со всеми, чье пребывание в интернете хотите сделать комфортным и безопасным.

Privacy is about love 💚

#Privacy_for_Everyone

👶🏻 Кто защитит детей в интернете? Сравниваем подходы Европы и США

Дети растут в онлайне. Игры, обучение, YouTube — всё это часть их повседневности. Но вместе с пользой приходит и риск: персональные данные несовершеннолетних — лакомый кусок для рекламных алгоритмов.

📌 Как регулируют это в разных странах? Сравним два подхода: GDPR в Европе и COPPA в США.

🇪🇺 GDPR: ребёнок как субъект данных

В Евросоюзе дети защищены в рамках Общего регламента по защите данных (GDPR). Закон не выделяет отдельного акта под детей, но подчёркивает, что они — уязвимая категория.

Особенности подхода:

🔹 Возраст согласия варьируется: от 13 до 16 лет в зависимости от страны. Во Франции и Германии — 15, в Нидерландах — 16.
🔹 Обработка данных ребёнка допускается только с согласия родителя или опекуна, если он младше установленного возраста.
🔹 Это согласие должно быть проверяемым и заранее (=до начала обработки) полученным.
🔹 Информация о сборе и целях использования должна быть представлена понятно для ребёнка.
🔹 Важный принцип — privacy by design and by default: защита данных должна быть встроена в продукт изначально, по умолчанию.
🔹 Ребёнок (или родитель) может потребовать удаления данных — это право действует без объяснений и в любой момент.

GDPR делает акцент на правах ребёнка как субъекта данных, а не на роли родителей. Бизнес обязан адаптироваться, даже если ему это неудобно.

🇺🇸 COPPA: ребёнок как потребитель, родитель — фильтр доступа

В США действует специализированный закон COPPA (Children’s Online Privacy Protection Act), который регулирует только онлайн-сбор данных у детей до 13 лет.

Ключевые требования:

🔹 До сбора любых данных (имя, email, IP, cookie, ID-устройства и др.) необходимо уведомить родителей и получить проверяемое родительское согласие.
🔹 Родителям должно быть понятно, кто собирает данные, зачем, как долго они хранятся и кому передаются.
🔹 Поведенческая реклама и профилирование допускаются только при отдельном согласии родителей.
🔹 Закон распространяется не только на сайты, но и на мобильные приложения, игры, встроенные плагины, SDK и рекламные сети, если они взаимодействуют с детьми.
🔹 Нарушения наказываются фиксированными штрафами — до $43 280 за каждый случай.

COPPA рассматривает ребёнка не как самостоятельного субъекта, а скорее как объект защиты, а его родителя — как уполномоченного контролёра. Регулятор (FTC) не требует изменить архитектуру продукта, но может серьёзно наказать за несоблюдение.

📍 Кейс: как YouTube нарушил COPPA — и что было бы по GDPR

В 2019 году YouTube был оштрафован на $170 млн за нарушение COPPA: сервис собирал данные пользователей детских каналов без согласия родителей и использовал их для поведенческого таргетинга.

YouTube заявлял, что не предназначен для детей, но в то же время активно продавал аудиторию детских каналов рекламодателям — с упором на то, что она именно детская. Это и стало основанием для претензий.

В США YouTube получил штраф. Если бы аналогичная ситуация произошла в Европе, YouTube столкнулся бы с совсем другим подходом: он мог бы дополнительно получить запрет на обработку и требование изменить архитектуру платформы. Причём штраф в ЕС мог бы составить до 4% от глобального оборота — то есть более $5 млрд.

📌 Итого:
GDPR и COPPA — два разных подхода к защите детских данных, но оба сходятся в одном: персональные данные детей требуют особого внимания, прозрачности и осторожности. Если ваш продукт взаимодействует с несовершеннолетними пользователями — важно проектировать его с учётом этики, ответственности и требований разных юрисдикций. И не из страха санкций — а из уважения к тем, кто ещё не может себя защитить.

Смотрим, вакансии в сфере AI&Privacy в Европе 🔍

Чего ждут работодатели и какие задачи придется выполнять?

📌 AI Governance Manager

Роль включает управление внедрением и использованием искусственного интеллекта в соответствии с законодательством, регуляторными требованиями и этическими нормами, включая EU AI Act.

Основные требования:
🔹 Высшее образование (право, госуправление, общественные науки, IT или смежные области).
🔹 Минимум 5 лет опыта в управлении AI, технологических рисках, правовых и этических вопросах.
🔹 Свободный английский язык (знание чешского или словацкого — преимущество).

Ключевые обязанности:
📎 Руководство командой в области этического и правового использования цифровых технологий.
📎 Стратегическое консультирование клиентов по управлению данными и AI.
📎 Мониторинг и анализ технологических трендов, законодательных изменений.
📎 Развитие бизнес-возможностей на локальных и международных рынках.

📌 AI Governance & Compliance Officer

AI Governance & Compliance Officer в IT. Компания является лидером в управлении сложными IT-проектами, имеет 12 подразделений по всему миру и более 2500 сотрудников в разных странах Европы.

Требования к кандидату:
🔹 Глубокое понимание технической документации и способность её анализировать.
🔹 Отличные коммуникативные навыки на английском языке.
🔹 Понимание технических аспектов ИИ.
🔹 Способность работать автономно и эффективно управлять задачами.

Основные обязанности:
📎 Анализ и составление документов по политике ИИ.
📎 Разработка отчетов по соответствию систем ИИ новым регуляциям.
📎 Проведение технических обсуждений с инженерами ИИ.
📎 Создание и проведение обучающих материалов по нормативному соответствию ИИ.

📌 (Junior) Specialist AI Regulatory Compliance
Цель компании — сделать искусственный интеллект в Европе безопасным и надежным.

Требования к кандидату:
🔹 Высшее образование в области права, гуманитарных или технических наук с правовым уклоном.
🔹 Базовые знания и интерес к ИИ-технологиям (опыт в области качества ИИ, комплаенса и технического права будет преимуществом).
🔹Аналитические способности и внимание к деталям.
🔹 Знание немецкого и английского языков на уровне C1.

Основные обязанности:
📎 Разработка стандартов и нормативных требований для процессов сертификации ИИ.
📎 Анализ AI Act и отраслевых регуляторных требований, их практическое применение.
📎 Участие в исследовательских проектах по тестированию и оценке качества ИИ.

📌 AI Privacy Specialist, Workplace Trust: Privacy, AI, and Risk, Workplace Trust
Специалист будет отвечать за внедрение защиты персональных данных в глобальном масштабе через работу с сотрудниками, кандидатами и временными работниками.

Требования к кандидату:
🔹 Опыт в области защиты персональных данных, науки о данных или управления рисками.
🔹 Степень бакалавра или эквивалентный опыт.
🔹 Знание GDPR, CCPA и новых регуляций в области ИИ.
🔹 Желательно: опыт в privacy engineering, технических проверках конфиденциальности, разработке ПО или data science.
🔹 Навыки программирования (Python, PHP, Java, C/C++).

Основные обязанности:
📎 Проверка приложений Amazon и сторонних ИИ-приложений на соответствие глобальным требованиям приватности.
📎 Консультирование по вопросам снижения рисков конфиденциальности в ИИ-системах.
📎 Разработка и внедрение стратегий защиты данных.
📎 Создание оценок влияния на защиту данных (DPIA) и Реестров обработки персональных данных (RoPA).

💸 Компании не спешат делиться вилками зарплат в вакансиях. Только в одной из них указано, что за приглашение другого человека на вакансию можно получить от 300 до 1000 евро в зависимости от стажа кандидата.

С понедельника начинаем новую жизнь

С вас — желание заняться чем-то новым, с нас — возможности и помощь 🤝🏻

5 мая стартует новый поток курса GDPR Data Privacy Professional.

GDPR DPP — это первый курс на русском языке, который охватывает все аспекты GDPR и учит применять их на практике. Наши студенты выбирают его как стартовую площадку для начала карьеры в privacy в любой юрисдикции или как способ освежить свои знания и узнать о трендах и изменениях в законодательстве.

📌 В курс входит:

🔹 54 урока, 11 тестов и 1 практический кейс,
🔹 онлайн-лекции, Q&A-сессии с тренерами, работа над итоговым проектом,
🔹 более 100 ссылок на гайды, шаблоны и публикации,
🔹 10 ключевых схем для разбора сложных вопросов.

Курс GDPR DPP прошли более 400 студентов, а треть из них продолжили свое обучение с нами.

👤 Тренер курса — Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office и просто человек-легенда в сфере privacy — делится своими глубокими знаниями, кейсами из практики и уникальными наработками. Это помогает студентам не просто «зазубрить» информацию, а вникнуть даже в самые неоднозначные аспекты.

Команда Data Privacy Office всегда рядом, чтобы поддержать ваше желание начать новую жизнь с понедельника (да и вообще с любого другого дня) 💚

Записывайтесь на курс на сайте или у нашего менеджера Антона.

#courses

Рассказываем, новости из мира privacy за прошедшую неделю 🗞

📎 IAPP опубликовали 4 критические области соответствия, на которые компаниям следует обратить внимание после решения CPPA по Honda

Недавнее соглашение с American Honda Motor Company по факту нарушения CCPA стало своего рода звонком для бизнеса. Компании должны незамедлительно пересмотреть свои процедуры, особенно в «управлении cookie». Здесь наличие двух равноценных кнопок — «Принять все» и «Отклонить все» — является обязательным для соблюдения симметрии выбора. Также необходима настройка веб-форм для правильного оформления запросов на доступ к персональной информации.

Подробнее

📎 Калифорнийские законодатели оспаривают независимость полномочий CPPA в области нормотворчества

Законодатели Калифорнии выразили свое недовольство независимыми действиями Калифорнийского агентства по защите прав потребителей (CPPA) в процессе разработки регламентов для автоматизированного принятия решений (ADMT) и оценки рисков. Они указывают на необходимость более тесного взаимодействия с законодательной властью. По их мнению предписания по кибербезопасности и механизмы обработки запросов должны разрабатываться с учетом коллаборации с губернатором и законодательным органом.

Подробнее

📎 Как сотрудники относятся к искусственному интеллекту на рабочем месте: результаты опросов

Несмотря на оптимизм руководства (75% положительных оценок) по поводу внедрения AI, только 45% сотрудников считают, что реализация происходит успешно. Основная проблема — разрыв между стратегией топ-менеджмента и практическими трудностями, с которыми сталкиваются специалисты при использовании AI в повседневной работе. Это приводит к конфликтам в принятии решений, снижению качества инструментов и даже саботажу внедрения технологий.

Подробнее

📎 Новый свод правил для искусственного интеллекта (ИИ) может ослабить защиту прав человека

Сейчас разрабатывается подробная инструкция для компаний, создающих ИИ, под названием Кодекс практик для ИИ общего назначения (General Purpose AI Code of Practice). Эксперты, которые сами участвуют в разработке Кодекса, серьезно обеспокоены, что его последний вариант кодекса недостаточно защищает права человека. Он разделяет риски на обязательные и необязательные для оценки компаниями. Некоторые важные риски для людей перешли в категорию необязательных.

Среди этих необязательных рисков оказались:

🔹 Риски для здоровья, безопасности и общественного порядка.
🔹 Риски для основных прав человека: свобода слова, приватность и защита персональных данных и другие.
🔹 Риски для общества в целом: экология, благополучие животных, стабильность финансовой системы и другие.

Подробнее

#news

ИИ влияет на то, кого берут на работу, кому одобряют кредит и какие ролики вы видите в ленте. Но что, если алгоритмы ошибаются — и эти ошибки меняют судьбы людей?

⚠️ Скандалы Amazon, TikTok и COMPAS показали: бизнесу и государству нужны не только разработчики ИИ, но и те, кто умеет управлять рисками и отвечать за последствия.

Вот почему появилась международная сертификация AIGP (Artificial Intelligence Governance Professional) от IAPP. Она подтверждает, что вы:

🔹 понимаете, как работают ИИ-системы,
🔹 умеете выявлять и снижать риски,
🔹 знаете международные стандарты (AI Act, ISO, NIST),
🔹 и способны внедрять этичное управление ИИ.

💡 В новой статье мы рассказываем:

– кому и зачем нужна сертификация AIGP,
– как устроен экзамен,
– с какими сложностями сталкиваются кандидаты,
– как преодолеть трудности на пути к получению сертификации.

👉 Читайте статью в нашем блоге и начните путь к международному признанию в сфере ИИ.

#article

🔐 Анонимизация в эпоху ИИ: почему этого уже может быть недостаточно?

Сегодня поговорим об анонимизации данных — одном из базовых методов защиты приватности. Её задача — исключить возможность установить связь между информацией и конкретным человеком.

Но в эпоху ИИ всё чаще звучит вопрос: можно ли сегодня считать данные действительно анонимными? И насколько этого подхода хватает для надёжной защиты?

🤖 ИИ и вызовы приватности

Развитие искусственного интеллекта меняет правила игры. Современные модели умеют находить скрытые связи между данными, восстанавливать поведенческие паттерны и выявлять личность — даже без явных идентификаторов.

Почему классические методы уже не работают?

📌 Анонимизация предполагает необратимость. Но с появлением open-source данных, социальных сетей и аналитических инструментов, «обезличенные» данные легко могут быть повторно идентифицированы.
📌 Псевдонимизация заменяет реальные идентификаторы на искусственные. Это повышает уровень защиты, но не исключает обратной связи при наличии ключа.
📌 Даже деидентификация, при которой удаляются прямые персональные данные, не обеспечивает полной безопасности. Любая внешняя информация может сыграть роль моста между обезличенным набором и реальной личностью.

Сегодня приватность — это не просто удаление персональных данных. Всё зависит от контекста: кто получает доступ, что знает, и какие инструменты использует.

Нам нужен гибкий и контекстный подход. Важно не просто удалять данные, а понимать, как они могут быть интерпретированы — и кто именно их будет использовать.

🛠 Что делать на практике?

В эпоху ИИ защита данных требует не универсальных решений, а гибкости. Анонимизацию стоит воспринимать не как отдельную технику, а как часть более широкой стратегии.

Первый шаг — реалистичная оценка рисков. Удаление имён и адресов уже не гарантирует безопасность. Важно понимать, насколько данные могут быть повторно сопоставлены с личностью при наличии внешней информации.

Далее — контекст. Кто получает доступ к данным? Какие у него есть знания, ресурсы, дополнительные источники? Один и тот же набор может быть безвреден в руках аналитика и рискован в открытом доступе.

Решение — комбинированный подход: анонимизация, шифрование, разграничение доступа, регулярный аудит, а в некоторых случаях — переход на синтетические данные. Это искусственно созданные массивы, которые имитируют структуру настоящих, но не содержат реальных связей с людьми.

Ещё одно направление — Edge AI: перенос обработки на устройства пользователей. Это позволяет обрабатывать данные локально и не передавать их в облако — а значит, сократить риски утечки.

🛡 Рекомендация
Не уповайте на универсальные решения. Проведите внутренний аудит рисков, обновите подход к анонимизации, и самое главное — вовлекайте в процесс все заинтересованные стороны: от инженеров до юристов. Только так можно строить цифровую культуру, в которой инновации и приватность идут рука об руку.

Изменения начинаются с тех, кто не боится идти первым 🥇

7 мая мы запускаем первый поток коучинга Artificial Intelligence Governance Professional.

Коучинг AIGP — это подготовка к сдаче экзамена на международную сертификацию AIGP под руководством опытного тренера. На этой программе вы получите знания, достаточные для сдачи экзамена и реальной практики как специалиста по комплаенсу в ИИ-системах.

Коучинг предполагает самостоятельную работу над теорией. На сессиях с тренером упор делается на разбор практических заданий и ответы на вопросы.

📌 В курс входит:

🔹 8 часов онлайн-занятий с тренером,
🔹 7-часовой онлайн-курс для самостоятельного обучения,
🔹 решение пробных экзаменационных тестов.

Тренер курса: Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/C, CIPP/A, AIGP.

Станьте экспертом по управлению приватностью в системах ИИ и получите конкурентное преимущество на рынке труда 🚀

➡️ Записаться на коучинг
➡️ Проконсультироваться с нашим менеджером

#courses

Что влияет на стоимость консалтингового проекта?

Ответ — в нашем мини-гайде. Мы собрали топ-10 факторов, которые влияют на стоимость проекта по защите персональных данных и оформили это в удобный PDF-файл — коротко, по делу, без воды.

📍 Что вы узнаете:
— как влияет на цену ваш статус — контролер или процессор,
— обработка каких персональных данных делает проект сложнее,
— работа с какими пользователями обходится дороже,
— и что ещё влияет на стоимость (о чём вы могли даже не догадываться).

Гайд — в сообщении ниже ⬇️

P.S. Узнать точную стоимость проекта можно на бесплатной консультации с нашим экспертом. Оставьте заявку на нашем сайте и наш менеджер свяжется с вами 📝

#tool_and_tips

⚡️ Еврокомиссия подписала указ об отмене действия GDPR

Выдыхаем! Это всего лишь маленькая первоапрельская шалость. И хорошо, что так. А иначе и мы, и вы могли бы остаться без работы...

А раз регулирование по-прежнему в силе и продолжает развиваться, будет полезно актуализировать свои навыки, чтобы успевать за ним 🏃🏼‍➡️

Для этого рассказываем, на какие программы Data Privacy Office записаться в апреля и мае 2025 года ☀️

📌 Коучинг CIPP/A

Изучение азиатского законодательства по защите персональных данных с нуля и подготовка к сдаче экзамена на международную сертификацию CIPP/A под руководством коуча.

Даты: 5 апреля → 27 апреля
Тренер: Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP, FIP.
Узнать подробнее: на сайте.
Важно: занятия будут проходить по субботам и воскресеньям.

📌 Global Data Privacy Manager

Практический курс по созданию системы защиты данных на основе международного стандарта ISO.

Даты: 21 апреля → 19 мая
Тренер: Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.
Узнать подробнее: на сайте.

📌 GDPR Data Privacy Professional

Первый курс на русском языке, который охватывает все аспекты GDPR и учит применять их на практике.

Даты: 2 мая → 27 мая
Тренер: Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.
Узнать подробнее: на сайте.

📌 Коучинг AIGP

Коучинг по подготовке к международной сертификации по управлению искусственным интеллектом в сфере privacy — AIGP.

Даты: 7 мая → 28 мая
Тренер: Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP, FIP.
Узнать подробнее: на сайте.

#courses

Первый коучинг по подготовке к сертификации CIPP/A от Data Privacy Office стартует уже в эту субботу ⏰

Изучайте законодательства Сингапура, Гонконга, Индии и Китая с нуля или закрепляйте уже имеющиеся знания, сдавайте экзамен и становитесь экспертом с международной уже этой весной ✨

Даты: 5 → 27 апреля.
Тренер: Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/C, CIPP/A, AIGP.

➡️ Записаться на коучинг
➡️ Проконсультироваться с нашим менеджером

#courses

Делимся новостями сферы privacy за прошедшую неделю 🗞

📎 Штраф в £3 млн за кибератаку: провайдер ПО пострадал из-за слабой защиты данных

Британский регулятор ICO оштрафовал IT-компанию Advanced на £3,07 млн за серьезное нарушение безопасности данных. В результате кибератаки в августе 2022 года хакеры получили доступ к личной информации почти 80 тысяч человек.

Причина взлома — отсутствие двухфакторной аутентификации на клиентском аккаунте компании, которая обслуживает системы здравоохранения. Особую озабоченность вызвал тот факт, что среди украденных данных оказалась информация о доступе в дома 890 пациентов, находящихся на домашнем лечении.

📎 Вето штата Вирджиния по законопроекту об искусственном интеллекте

Губернатор штата Вирджиния наложил вето на первый законопроект 2025 года, направленный на регулирование искусственного интеллекта. Законопроект предполагал введение требований по прозрачности и отчетности для высокорисковых систем ИИ, однако, по его мнению, слишком жесткий подход может «сдержать инновации».

Вето подчеркивает крайне важный вопрос: как найти золотую середину между необходимостью защиты персональных данных и стимулированием технологического развития.

📎 Инновационный инструмент OPC для оценки нарушений безопасности

Офис уполномоченного по вопросам приватности (OPC) Канады представил новый онлайн-инструмент — опросник для оценки нарушений безопасности. Инструмент позволяет организациям более точно определить, достиг ли факт нарушения безопасности персональных данных уровня, требующего обязательного сообщения.

Система включает в себя ряд детализированных вопросов, помогающих оценить чувствительность и риски утечки персональных данных. Однако OPC подчеркивает, что инструмент не заменяет правовые обязательства, а служит дополнительным средством для помощи в анализе ситуаций.

📎 Новые возможности данных в области здравоохранения в Европе

В Европейском союзе вступает в силу Европейское пространство данных в области здравоохранения (EHDS). Нововведение направлено на улучшение доступа граждан к своим медицинским данным и содействие их вторичному использованию для исследований и инноваций.

EHDS действует в тесной связке с регламентом GDPR, что требует дополнительного внимания к вопросам правового соответствия.

📎 Отставка комиссаров FTC вызывает споры в Конгрессе США

На слушаниях в Конгрессе США по вопросам безопасности детей в интернете неожиданно возник острый спор об увольнении двух демократических комиссаров Федеральной торговой комиссии (FTC) — Ребекки Келли Слотер и Альваро Бедойи.

В то время как демократы выразили серьезную обеспокоенность этими увольнениями, республиканцы предпочли сосредоточиться на обсуждении законопроектов о безопасности детей в интернете (KOSA и COPPA 2.0), которые планируется принять до конца года.

#news

Хотите разобраться, как устроено регулирование персональных данных в Азии?

Если вы планируете получить международную сертификацию CIPP/A или только начали интересоваться этой темой — наш коучинг станет для вас комфортной и эффективной точкой входа.

📌 Студенты коучинга получат:

✔️ Печатную версию учебника Ксении Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP, FIP, по азиатскому законодательству — каждый участник получает её бесплатно.
✔️ Возможность совмещать обучение с работой — занятия проходят по выходным.
✔️ Доступ к записям — пересматривать занятия можно в любое время.
✔️ Пробные экзаменационные тесты — вместе с тренером участники пробуют формат экзамена еще до его сдачи.

Участие в программе — это не просто подготовка к сертификации, а инвестиция в новую компетенцию, востребованную на международном уровне.

Даты: 5 → 27 апреля.
Тренер: Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/C, CIPP/A, AIGP.

📍 Погрузитесь в новое законодательство и сделайте уверенный шаг к сертификации CIPP/A.

#courses

Давайте по-честному: даже несмотря на активное развитие искусственного интеллекта, не все бизнесы работают в «цифре» от и до.

Кто-то до сих пор ведет записи в бумажных журналах, кто-то только тестирует CRM, а кто-то внедряет сложные ИИ-решения. И для каждого случая — свои задачи в комплаенсе.

⚠️ Уровень цифровизации влияет на подход к соответствию требованиям по защите персональных данных. Универсальных решений тут нет.

📌 Мы подготовили гайд, который поможет:

- понять, как уровень цифровизации связан с регуляторными требованиями;
- оценить, на что стоит обратить внимание в первую очередь.

Это не готовая система и не шаблоны.
Это — точка отсчёта, если вы хотите понять, с чего начать или на что обратить внимание в текущем уровне цифровой зрелости.

🧩 Внутри гайда:

- Тест, который поможет примерно определить уровень цифровизации компании.
- Потенциальные угрозы от использования цифровых инструментов.
- Рекомендации для каждого уровня.

Скачивайте гайд и развивайте бизнес безопасно 🙌🏻

📥 Скачать гайд можно здесь.

#tools_and_tips

🛠 Что делать бизнесу?

1. Оцените риски по сделкам за 12 месяцев. Сколько данных вы передали (или могли передать)? Кто был получателем? Проверьте цепочку владения.

2. Перепроверьте географию доступа к данным. Любой доступ из стран-риска может квалифицироваться как нарушение — даже если это удалённый подрядчик.

3. Обновите договоры. Добавьте в них информацию о запретах на передачу данных без уведомления, обязательства по контролю доступа, положения о выходе из договора при риске санкций.

4. Проведите аудит ИБ и приватности. Проверьте, какие системы содержат чувствительные данные, как они защищены, кто имеет доступ, и как это логируется.

5. Обучите сотрудников и подрядчиков. Регламент сложный — без тренингов никто не поймёт, что можно, а что — под санкциями.

6. Назначьте DPO или ответственное лицо. Даже если вы не обязаны по закону — это минимальный шаг для обеспечения контроля и диалога с регуляторами.

📌 Заключение

«Неведение — больше не оправдание. Понимание и соблюдение правил — базовый навык в международной экономике данных».

Этот регламент касается не только США. Он задаёт вектор всему рынку, особенно в сферах медицины, биотеха, аналитики, аутсорса, инвестиций. Если вы работаете с данными глобально — действуйте уже сейчас.

Сегодня в поле зрения международного прайваси-сообщества находится регламент Министерства юстиции США (DOJ). Он усложнил процесс международных транзакций, которые связаны с чувствительными данные американцев. Особенно это касается сделок с участием «стран, вызывающих беспокойство». Под прицелом оказались Китай, Гонконг, Макао, Россия, Иран, КНДР, Куба и Венесуэла. Рассмотрим регламент немного детальнее ⬇️

📌 Историческая сводка

28 февраля 2024 г. — был подписан Executive Order 14117. Это положило начало созданию новых ограничений на передачу чувствительных данных из США.

8 января 2024 г. — первая версия регламента была опубликована на сайте Минюста США. Там были обозначены рамки для «covered data transactions» и перечень стран «вызывающих беспокойство».

8 апреля 2024 г. — в силу вступили большинства положений регламента.

📌 Почему тема стала актуальной сейчас, в 2025 году?

Реальное применение началось с запозданием. Компании получили около месяца на подготовку (март–апрель 2024), но многие стали предпринимать конкретные действия только ближе к осени.

В 2025 году начались первые аудитные проверки и многие крупные игроки в сфере healthtech, data analytics, outsourcing уже столкнулись с вопросами о соответствии. А где проверки, там и первые кейсы нарушения: начали появляться сообщения об инвестиционных сделках, попавших под ограничения, а также о запретах на передачу геномных данных.

Итого: 2024 год был годом введения правил, а 2025 — годом их активного применения и правоприменительной практики, отсюда — всплеск интереса и обсуждений в экспертной среде.

📌 Немного предыстории

Регламент стал ответом на растущие риски утечек чувствительной информации, которая может быть использована для профилирования американцев или вмешательства во внутренние процессы США через косвенное владение IT-инфраструктурой или аналитическими платформами.

📎 Несколько примеров:
- Продажа данных о беременности американских женщин китайской компании через посредника в США.
- Передача биометрии и геномных профилей через инвестиционные соглашения.
- Массовая торговля данными о геолокации и поведении пользователей через брокеров — без согласия и прозрачности.

📌 Что в фокусе?

Регламент вводит понятие «‎covered data transactions» — сделки, в которых участвуют чувствительные персональные данные граждан США.

Под запрет или ограничения попали:
🛑 соглашения с подрядчиками и поставщиками услуг,
🛑 трудоустройство, инвестиции, партнёрства,
🛑 передача данных через data broker'ов,
🛑 лицензирование технологий, если в результате возникает трансграничный доступ к данным.

📌 Кто считается covered person?

Не только организации из стран, «вызывающих беспокойство», но и те, где 50% или более собственности прямо или косвенно принадлежат таким организациям.

📌 Какие данные под особым контролем?

DOJ установил чёткие количественные пороги — и они ниже, чем можно было ожидать:
📎 Геномные данные — 100 чел.
📎 Биометрические идентификаторы — 1 000 чел.
📎 Медицинская/поведенческая информация — 10 000 чел.

📌 Исключения: кому можно передавать данные?

Есть важные исключения, особенно для отраслей, где данные — часть R&D:
📎 Клинические исследования, регулируемые FDA,
📎 Передача данных в целях регуляторного одобрения,
📎 Данные, которые используются внутри США и не передаются/не доступны за границей.

Но даже для этих исключений требуется учёт, аудит и обоснование законности.

Чтобы сделать взвешенное и рациональное решение, нужно учесть много факторов и детально проанализировать все варианты. Выбора карьерного пути это тоже касается. Порой люди оказываются в профессии по стечению обстоятельств, не задумываясь, действительно ли они хотели заниматься этим.

Чтобы предупредить такой исход событий, нужно знать:

🔹 какие возможности у вас есть,
🔹 каких навыков вам не хватает, чтобы достичь желаемой цели,
🔹 какой рынок растет больше всего.

Вам не нужно анализировать всю эту информацию самостоятельно, чтобы выбрать каким рейнджером специалистом в приватности вы будете. Все это уже есть в нашей Карте развития карьеры.

📌 Что такое Карта развития карьеры?

Это интерактивная доска, которая поможет специалисту любого уровня понять, куда ему двигаться дальше.

37 интерактивных страниц и 30+ полезных материалов, которые как звезды морякам покажут подходящий для вас путь в сфере информационной приватности и защиты персональных данных.

🎯 Цель: улучшить свои навыки.
🗺 Карта: Покажет разные направления, в которых вы можете развиваться и подскажет, что для этого нужно сделать.

🎯 Цель: Освоить новую профессию.
🗺 Карта: Погрузит в сферу и поможет сделать первый (и не только первый) шаг.

🎯 Цель: Потратить бюджет на обучение (и такое бывает).
🗺 Карта: Поможет выбрать подходящий курс.

Чтобы воспользоваться картой, вам не нужно регистрироваться. Карта находится на странице и готова к тому, чтобы вы ее изучили 💚

Переходите на страницу карты и стройте свой уникальный путь в приватности.

Возможно, вы не знали об их существовании…

А зря! Они могут быть полезны, если вы работаете с защитой персональных данных в Азии 🌏

Мы говорим о трех статьях в нашем блоге, которые рассказывают о приватности в контексте азиатского законодательства. Приглашаем почитать:

📎 Защита персональных данных в Азии: законодательства Сингапура, Гонконга, Индии и Китая
Обзор законов о защите персональных данных в четырех азиатских юрисдикциях: Сингапура, Гонконга, Индии и Китая: ключевые принципы, кейсы применения, сравнение с GDPR.

📎 Регулирование искусственного интеллекта в Китае
Статья о регулировании искусственного интеллекта (ИИ) в Китае: от саморегулирования до специальных обязательных правил, касающихся контента, алгоритмов и безопасности.

📎 Представитель иностранной компании в КНР по вопросам персональных данных: назначение и полномочия
Обзор требования к иностранным компаниям, обрабатывающим персональные данные физических лиц в Китае, назначать представителя: обязанности, полномочия и последствия для трансграничной передачи данных.

Читайте статьи в нашем блоге и делитесь ими с коллегами 🙌🏻

#article

Виртуальный кусочек торта для всех наших подписчиков в честь такого события 🍰

Наш консультант Анастасия Вербанович, CIPP/E, CIPM, GDPR DPP, GDPR DPT, Global DPM, Strategic Privacy by Design, получила международную сертификацию CIPM!

💬 Анастасия поделилась своим опытом подготовки и сдачи экзамена в небольшом комментарии:

«Сдавать CIPM с опытом в privacy намного легче, так как экзамен основан на ситуационных вопросах и требует понимания роли privacy-менеджера. Однако подход IAPP может отличаться от того, с чем сталкиваешься в реальной практике, поэтому важно глубоко разобраться в их логике. Я готовилась по книге IAPP для подготовки к экзамену, дополнительно изучала сложные для меня темы из Body of Knowledge, прошла курс Global DPM (он помог подробно разобраться в менеджерских аспектах и фреймворках), а также изучала гайды EDPB и другие источники. Думаю, такой комплексный подход очень помог в подготовке.

Что касается личной мотивации, сертификация CIPM и подготовка к ней помогли сформировать структурированный взгляд на управление программой приватности. В повседневной работе мы часто решаем конкретные задачи: разрабатываем DPA, политики приватностью, проводим DPIA. CIPM же дает целостное понимание того, как строится эффективная программа управления приватностью и какие сложности могут быть в этом процессе. В целом, сертификация как раз подтверждает не только знание регуляторных требований, но и способность выстраивать систему privacy».

Давайте поздравим Анастасию большим количеством реакций на этом посте 💚

Ни на что не намекаем, но новый поток курса Global DPM стартует 21 апреля 🤫

Те самые пометки на полях телефонной книги во время увлекательного разговора. Вместо клякс и цветочков — советы по защите персональных данных 📝

📞 Вчера прошла Горяча линия Data Privacy Office. На ней Анастасия Пархимович, GDPR DPP, CIPP/E, и Елена Себякина, CIPP/E, Strategic privacy by design, GDPR DPP, Global DPM, DPT, в реальном времени ответили на запросы пользователей о защите персональных данных.

Наши специалисты разобрали уникальные кейсы и дали практические советы слушателям, ну а мы — систематизировали их и сделали краткие советы, которые могут быть полезны и тем, кто не посещал ивент:

✅ Сбор данных — это не передача

Любая ситуация, где вы вводите свои данные (ФИО, телефон, email), — это уже сбор. Передача происходит только тогда, когда оператор направляет их третьей стороне. Понимание этого различия поможет правильно оценивать риски.

✅ Проверяйте географию серверов

Если вы используете сторонние платформы (например, Telegram, облачные хранилища), важно знать, где физически находятся их серверы. Это влияет на юридическую квалификацию обработки как трансграничной.

✅ Согласие не нужно, если обработка необходима для исполнения договора

Во многих случаях (например, международные переводы или сделки) персональные данные можно обрабатывать без отдельного согласия, если эта обработка необходима для исполнения договора с субъектом персональных данных.

✅ Общие фото ≠ общедоступные данные

Факт размещения фотографии или информации в открытом аккаунте не делает их общедоступными по закону. По истечении срока согласия данные необходимо удалить или обновить правовое основание.

✅ Вы участвуете — вы отвечаете

Если вы получаете выгоду от обработки данных (например, аналитику с сайта партнёра), вы автоматически становитесь совместным контролёром. Это налагает на вас ответственность, даже если вы не управляете сайтом.

✅ DPO не должен быть директором

Назначение генерального директора на роль DPO может вызвать конфликт интересов. Лучше выбрать сотрудника, не связанного с управлением, или пригласить внешнего специалиста.

✅ Нет договора — нет защиты

Если сотрудники не подписывают никаких обязательств (договоры, NDA), вы рискуете утечками данных. Даже простая подписка на внутреннюю политику — уже шаг в правильном направлении.

✅ Лицо в кадре = персональные данные

Если цель видео не требует идентификации человека — размывайте лицо или меняйте ракурс. Обязательно документируйте согласие, если идентификация возможна.

✅ Google Диск — не для чувствительных данных

Чувствительные категории персональных данных (например, данные о здоровье) требуют защищённого хранения. Используйте локальные решения и проверенных провайдеров.

✅ ФИО в договорах — не всегда персональные данные

Если в документах указано только имя и должность подписанта — это не всегда считается персональными данными. Удалять такие договоры не требуется.

✅ CRM — только по делу

Храните в CRM только те данные, которые необходимы для деловых целей. Все личное, лишнее или чувствительное — удаляйте, шифруйте или обосновывайте легитимным интересом.

✅ Даже маленькой компании нужны документы по GDPR

Небольшой бизнес тоже должен показать, что заботится о защите данных. Минимальный набор включает: Privacy Policy (политика приватности), Cookie Policy (описание работы с cookies), RoPA (реестр операций обработки), DPA (договоры с процессорами), SCC (если есть трансграничная передача), Политика обработки запросов субъектов, Data Breach Policy (реагирование на инциденты), Consent Forms (если требуется согласие), Data Protection Policy (внутренние правила).

Напомним: если вы зарегистрировались на ивент до его начала, мы пришлем вам полный конспект и запись.

#events

На Горячей линии Data Privacy Office было... горячо! 🔥

Завтра участники, которые зарегистрировались на вебинар, получат рассылку с записью ивента и конспектом. Следите за своим почтовым ящиком 📩

Те, кто не получил ответ на свой запрос, не отчаивайтесь! Наш менеджер Антон свяжется с вами, чтобы назначить индивидуальную консультацию для разбора ✍🏻

Спасибо за активность! 💚

Алло? Горячая линия Data Privacy Office на связи 📞

📌 Наши эксперты уже в эфире в этом Телеграм-канале. Присоединяйтесь!

Используйте комментарии под этим постом как чат для вопросов. Мы будет мониторить его и постараемся на все ответить 👀

Горячая линия Data Privacy Office — уже через полчаса, в 19.00 (GMT +3) ⚡️

Подключайтесь к эфиру в этом Телеграм-канале. Вместе с нашими экспертами будем разбирать реальные запросы о защите персональных данных.

Чтобы получить запись и конспект ивента, зарегистрируйтесь на сайте 🖇

Ждем вас 💚

Старательно пишем конспекты за вас ✍🏻

Уже сегодня в 19.00 (GMT +3) пройдет Горячая линия Data Privacy Office.

📌 Все, кто зарегистрировался до начала ивента, получит запись и конспект с полезными инсайтами.

У вас осталось 7 часов, но мы еще напомним!

Регистрируйтесь на сайте и становитесь участником первой горячей линии по защите персональных данных 📞

Еще рывок — и вы DPO в международной компании 🚀

21 апреля стартует новый поток курса Global Data Privacy Manager.

Global DPM — это практический курс по созданию системы защиты данных на основе международного стандарта ISO.

📌 В курс входит:

🔹8 онлайн-лекций,
🔹практические задания и тесты,
🔹Q&A-сессии с тренерами, разбор privacy-кейса.

Global DPM учит строить процессы и управлять системой защиты персональных данных в соответствие с различными юрисдикциями. Курс развивает вашу гибкость как специалиста: учит подбирать стратегии под разные компании и требования.

👤 Тренер курса: Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.

Записывайтесь на курс Global Data Privacy Manager и управляйте международными проектами в сфере приватности.

✍🏻 Чтобы присоединиться к курсу, заполните заявку на сайте или напишите нашему менеджеру Антону.

#courses

Делимся новостями сферы privacy за прошедшую неделю 🗞

📎 Европейская комиссия предлагает продлить срок решения об адекватности защиты данных для Великобритании

Срок действия решения об адекватности защиты персональных данных для Великобритании истекает 27 июня. Однако Еврокомиссия предложила продлить его на шесть месяцев — до 27 декабря.

Причина этому — тесное сотрудничество между ЕС и Великобританией по вопросам торговли и правоохранительного сотрудничества.

Помимо этого британский парламент продолжает работу над принятием Data (Use and Access) Bill — Закона об использовании и доступе к данным. Продление срока решения об адекватности сейчас поможет завершить работу над законодательством без дополнительного давления на процедуры проверки адекватности.

Подробнее.

📎 ICO представил пакет мер для стимулирования экономического роста в Великобритании

ICO объявило о новых инициативах для поддержки бизнеса. Комиссар по информации Джон Эдвардс встретился с министром финансов Рэйчел Ривз, чтобы согласовать ключевые направления работы регулятора.

ICO запускает пять важных инициатив:

🔹 Бесплатная обучающая программа по работе с данными для малого бизнеса, которая поможет компаниям сэкономить около 9,1 млн фунтов за три года.
🔹 Пилотный проект, позволяющий компаниям тестировать инновационные решения в области данных под контролем регулятора.
🔹 Новый свод правил для бизнеса по разработке и внедрению искусственного интеллекта.
🔹 Упрощение правил для развития конфиденциальной онлайн-рекламы.
🔹 Новые рекомендации по международной передаче данных для упрощения доступа британских компаний к зарубежным рынкам.

Подробнее.

📎 Французские творческие союзы подали в суд на Meta за нарушение авторских прав при обучении ИИ

Три крупных французских союза — Национальный союз издателей (SNE), Общество литераторов (SGDL) и Национальный союз авторов и композиторов (SNAC) — подали иск против компании Meta в Парижский суд. Причина: компания использовала защищенные авторским правом произведения для обучения своих моделей искусственного интеллекта без разрешения правообладателей.

Истцы требуют полного удаления всех неавторизованных данных из обучающих наборов ИИ. Это первый подобный иск во Франции. Он может создать прецедент для защиты прав авторов от несанкционированного использования их работ в системах ИИ.

Подробнее.

#news

⚠️ Attention ⚠️ Важные новости о Горячей линии Data Privacy Office

По техническим причинам ивент будет проводится в Телеграм-канале «ПРО Приватность».

➕ Плюсы:
Принять участие в ивенте сможет каждый желающий, даже если он не прошел регистрацию.
Все зарегистрировавшиеся — вы не зря оставили свою почту. На нее мы пришлем запись мероприятия и полезные материалы.

➖ Минусы:
Мы не нашли.

Заполните форму, чтобы оставить запрос (сегодня последний день, когда это можно сделать!) и получить запись и полезные материалы.

Ждем вас на Горячей линии 24 марта в 19.00 (GMT +3) и остаемся на связи 📞

#events

С 5 марта EDPB запустил крупнейшую проверку по исполнению права на удаление данных (ст. 17 GDPR). В проверке участвуют 32 страны ЕС, включая Германию, Ирландию, Францию и Нидерланды.

📌 Что стоит за этой инициативой?

EDPB сделал право на удаление данных приоритетным направлением, поскольку это одно из наиболее востребованных прав субъектов данных. Особое внимание уделяется защите персональных данных детей. (Вы же помните про прогноз Анастасии Пархимович на 2025 год?)

Показательный кейс: в 2021 году TikTok оштрафовали на 750 тыс. евро за то, что сервис не предоставлял детям ясных инструкций о праве на удаление их данных. Регуляторы признали, что платформа не адаптировала интерфейс под защиту данных несовершеннолетних.

📌 Практическое значение и этапы реализации

К инициативе присоединились 32 органа по защите данных (DPAs) из стран Европейского Союза, включая Грецию, Латвию, Мальту, Данию, Швецию и другие.

Что проверяют?
🔹 Как быстро и корректно компании удаляют данные пользователей.
🔹 Законность отказов в удалении данных по исключениям статьи 17 GDPR.
🔹 Прозрачность процесса для пользователей.

Например, в Германии органы защиты данных Баден-Вюртемберга и Северного Рейна-Вестфалии планируют провести детальное исследование с помощью специальных анкет для анализа процедур удаления данных разными контроллерами.

«Проверка показала, что единый подход к регулированию процесса удаления данных может существенно снизить количество нарушений и повысить уровень доверия субъектов данных», — утверждают эксперты.

📌 Практические последствия для организаций и пользователей

📎 Для организаций: Инициатива требует пересмотра и улучшения процедур обработки запросов на удаление данных. Контроллеры должны обеспечить прозрачность и оперативность обработки запросов, поскольку проверки будут проводиться как на национальном уровне, так и на уровне ЕС.

Напомним, что Amazon был оштрафован на 746 млн. евро за сложности с удалением персональных данных пользователей и незаконную обработку данных в рекламных целях. На сегодня это крупнейший штраф за нарушение требований GDPR.

📎 Для пользователей: Инициатива особенно важна для родителей, обеспокоенных защитой персональных данных своих детей. Усиленный контроль со стороны DPAs обеспечит соблюдение права на удаление данных и повысит эффективность правовой защиты.

📎 Специалистам в области IT, маркетинга, права и комплаенса важно не только понимать теорию, но и уметь применять правовые нормы на практике.

📌 Основные рекомендации:

🔹 Проводите аудит — регулярно анализируйте внутренние процессы обработки запросов на удаление данных с помощью специальных аудитов и сравнения с рекомендуемыми стандартами.
🔹 Обучайте сотрудников — проводите тренинги и семинары для персонала, чтобы избежать ошибок.
🔹 Разрабатывайте четкую политику — создавайте понятные правила обработки персональных данных, чтобы клиенты и сотрудники понимали механизм реализации права на удаление данных.
🔹 Используйте единые методики — внедряйте инструменты и подходы, разработанные на основе опыта DPAs разных стран. Это позволит оценивать эффективность мер и корректировать их на уровне организации.
🔹 Поддерживайте диалог с регуляторами — развивайте взаимодействие с DPAs и участвуйте в обсуждениях на национальном и европейском уровнях. Это поможет получить обратную связь и совершенствовать свои практики.

📌 Европейский опыт и дальнейшие шаги

Этот механизм имеет значительный потенциал для улучшения защиты данных в ЕС. Страны объединяются для создания единого стандарта обработки запросов на удаление данных. Это улучшит не только локальные процессы, но и укрепит доверие общества к мерам защиты данных.

Горячая линия Data Privacy Office на связи ☎️

Пора знакомиться с нашими «операторами». Именно в их заботливые руки попадают ваши запросы и именно они детально их разберут в прямом эфире.

1. Анастасия Пархимович, CIPP/E, GDPR DPP.

📎 Из штатного юриста в IT-компании в консультанта по защите персональных данных и популяризатора темы приватности в бизнесе.
📎 Автор публикаций для специализированных СМИ.
📎 Спикер образовательных мероприятий.

📞 Анастасия, почему вы решили принять участие в ивенте?
«Общение с коллегами, как мне кажется, — это отличный способ оперативно уточнить необходимую информацию, проверить свой «компас» (насколько правильно мы все понимаем положения законодательства) и получить поддержку от других специалистов по приватности. Это то, что помогает нам расти. А для наших клиентов это дополнительная гарантия того, что они приобретают услуги профессионалов.»

2. Елена Себякина, CIPP/E, Strategic privacy by design; GDPR DPP, Global DPM, DPT.

📎 В прошлом — глобальный DPO в международной группе IT компаний.
📎 Занимается разработкой общей теории права информационной приватности и имеет публикации в международных научных изданиях.
📎 Специалист по защите персональных данных с дополнительным образованием в сфере лидерства, менеджмента и управления командами.

📞 Елена, почему вы решили принять участие в ивенте?
«Сейчас темой номер 1 в приватности принято считать искусственный интеллект. После небольшой паузы в практике мне хотелось бы проверить — действительно ли это актуальная тема для практиков «в полях» или очередной горячий пирожок, сменивший трансграничку, бигдату, кукис, анонимизацию и прочие.

На этом ивенте будет интересно узнать, с какими новыми вызовами и проблемами сталкиваются прайвасисты и какие решения может предложить теория права для их разрешения.»

Регистрируйтесь на Горячую линию Data Privacy Office, задавайте вопросы о защите персональных данных и получайте помощь экспертов в прямом эфире 24 марта ☎️

#events

Делимся новостями сферы privacy за прошедшую неделю 🗞

🖇 Европейский комиссар рассуждает о возможных изменениях в GDPR

В ответ на изменения в политике США Европейская комиссия рассматривает возможность смягчения цифрового регулирования. Главная цель — сохранить соглашение о передаче данных между ЕС и США (Data Privacy Framework), которое приносит более 1 триллиона долларов в год.

Европейский комиссар Майкл Макграт подтвердил приверженность соглашению, несмотря на неопределенность вокруг независимых проверок жалоб граждан ЕС. Это заявление прозвучало после того, как органы по защите данных Дании, Норвегии и Швеции выпустили новые рекомендации по передаче данных в США.

ЕС также планирует упростить требования GDPR для малого и среднего бизнеса (компании менее 500 сотрудников), сохраняя при этом основные принципы защиты персональных данных. Однако позиция по регулированию крупных технологических компаний остается неизменной — правила едины для всех, независимо от страны происхождения.

Подробнее

🖇 В Мексике создан новый орган по защите персональных данных

В конце 2024 года в Мексике был упразднен независимый Национальный институт прозрачности, доступа к информации и защиты персональных данных (INAI). Его функции передали новому органу — Министерству по борьбе с коррупцией и эффективному управлению.

В отличие от INAI, который был полностью независимым органом с конституционным статусом, новое министерство подчиняется исполнительной власти. Эксперты считают это шагом назад в вопросах защиты персональных данных.

Подробнее

🖇 Финский регулятор оштрафовал сервис сравнения кредитов на 950 000 евро за нарушение безопасности данных

Компания Sambla Group серьезно нарушила правила защиты персональных данных. Из-за уязвимости в системе безопасности третьи лица могли получить доступ к персональным данным заемщиков через личные URL-адреса. Злоумышленники использовали фишинг и получили доступ к контактным данным клиентов, информации об их доходах, расходах на жилье и семейном положении.

После расследования компании пришлось приостановить обработку данных, уведомить клиентов об инциденте и улучшить систему безопасности. Регулятор назначил крупный штраф в размере 950 000 евро за несоблюдение требований GDPR.

Подробнее

🖇 EDPB выпустил новое руководство по обработке данных авиапассажиров

Европейский совет по защите данных (EDPB) обновил правила обработки данных авиапассажиров — Passenger Name Record Directive. Теперь авиакомпании смогут хранить персональные данные пассажиров не более 6 месяцев. После этого срока информацию можно хранить только при наличии обоснованной необходимости. Новые правила затрагивают такие данные как имена пассажиров, даты путешествий, маршруты, места в самолете, багаж и контактную информацию.

Подробнее

🖇 Вышло новое руководство по EU AI Act для малого бизнеса

Основные положения для малых и средних предприятий (МСП) в ЕС:

🔹 Регуляторные «песочницы»: МСП получат приоритетный бесплатный доступ к специальным фреймворкам для тестирования ИИ-продуктов с упрощенными правилами.
🔹 Снижение затрат на соответствие: сборы за оценку соответствия будут пропорциональны размеру МСП.
🔹 Участие в стандартизации: МСП смогут участвовать в разработке стандартов и консультативном форуме по ИИ.
🔹 Упрощенная документация: будут разработаны специальные формы технической документации для МСП и организовано обучение.
🔹 Специальные каналы коммуникации: выделены каналы для поддержки МСП в соблюдении требований закона.
🔹 Пропорциональные обязательства: требования для поставщиков моделей ИИ общего назначения будут соразмерны типу поставщика.

Подробнее

#news

Даже если неделя была тяжелой, помните: зато у вас аура сильная!

Даже если неделя была тяжелой, помните: зато у вас аура сильная!

Даже если неделя была тяжелой, помните: зато у вас аура сильная!

Вакансии в data privacy в Азии: чего жду работодатели?

Мы проанализировали вакансии специалистов по защите персональных данных в Восточной и Южной Азии, и вот, какие требования встречаются чаще всего:

1. Знание законов о защите данных, в том числе и GDPR.
2. Отличное владение английским языком.
3. Опыт работы в сфере защиты персональных данных от 2-3 лет.
4. Сильные soft skills.
5. Профильное образование (право, ИТ или схожие направления).
6. Опыт работы с системами защиты данных и сертификациями — BS 10012, GDPR, ISO 27701, TPIPAS.
7. Международный опыт работы.

Среди специфических требований — знание китайского или японского языка и знание особенностей региональной безопасности и международных отношений в Азиатско-Тихоокеанском регионе.

📝 Общая тенденция, которую можно проследить — комплексность и разносторонний подход.
Работодатели в Азии делают акцент на мультиязычности кандидатов, понимании как региональной специфики, так и международных стандартов, в особенности ISO. От кандидатов ожидается знание как локального, так и международного законодательства в сфере защиты данных, а также способность эффективно взаимодействовать в мультикультурной среде.

Стать экспертом в азиатском законодательстве по защите персональных данных за 3 недели — на коучинге CIPP/A с Ксенией Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/C, CIPP/A, AIGP.

Вы открываете новые горизонты, а мы — делаем их безопаснее

Команда Data Privacy Office запускает новую услугу «Оценка соответствия требованиям EU AI Act».

В ходе услуги:

🔹 Проанализируем, как искусственный интеллект используется в компании и как можно достичь соответствия.
🔹 Определим риски, связанные с ИИ, и разделим их на уровни в соответствие с EU AI Act.
🔹 Оценим инфраструктуру и поймем, насколько она соответствует требованиям.
🔹 Найдем пробелы в обеспечении прозрачности, безопасности и этических норм.
🔹 Проверим существующую систему контроля.
🔹 Разработаем индивидуальную дорожную карту. В нее будут входить конкретные шаги по тому, как достичь соответствия, необходимые ресурсы и ответственные. Это не просто решение «под ключ», это — индивидуальный план, который основывается на бизнес-процессах компании.

🙌🏻 Этот проект объединил в себе системность нашего классического Roadmap, лучшие практики EU AI Act и богатый опыт работы с искусственным интеллектом команды Data Privacy Office.

Больше о новой услуге «Оценка соответствия требованиям EU AI Act» — по ссылке.

Забронируйте бесплатную консультацию, чтобы задать интересующие вопросы о соответствии EU AI Act и познакомиться с экспертами Data Privacy Office, у нашего менеджера Антона.

#consulting

Новости сферы privacy за прошедшую неделю 🗞

🖇 Исландский надзорный орган оштрафовал медицинское учреждение на 33 854 евро за нарушения при интеграции медицинских систем

Центр первичной медицинской помощи в столичном регионе Исландии получил штраф за незаконную обработку персональных данных. Учреждение интегрировало системы медицинских карт с одиннадцатью организациями без получения необходимых разрешений от Министерства здравоохранения и надзорного органа.

Подробнее

🖇 Адвокат столкнулся с санкциями за использование фиктивных судебных цитат, сгенерированных искусственным интеллектом

Адвокат Рафаэль Рамирес предстал перед судом за использование несуществующих судебных решений в своих документах. В ходе разбирательства выяснилось, что он использовал ИИ для составления юридических документов, который создал фальшивые цитаты и ссылки на несуществующие судебные дела. Рамирес признал, что не проверял достоверность сгенерированных ИИ цитат, полагая, что они являются реальными. После инцидента адвокат прошел дополнительное обучение по использованию ИИ в юридической практике и теперь использует только проверенные ИИ-инструменты.

Подробнее

🖇 Налоговое управление Австралии провело аудит регулирования ИИ

Согласно отчету Национального аудиторского управления Австралии (ANAO), 56 государственных организаций уже внедрили искусственный интеллект в свою работу. Хотя ИИ обещает улучшить качество услуг и повысить эффективность, он также несет потенциальные риски. В связи с этим правительство Австралии проводит два параллельных расследования по использованию и управлению системами ИИ в государственном секторе. Налоговая служба Австралии (ATO) стала первым ведомством, где проводится такой аудит, что может стать примером для других государственных учреждений в вопросах контроля над ИИ-технологиями.

Подробнее

🖇 EDPB запускает проверку соблюдения права на удаление данных в 2025 году

Европейский совет по защите данных (EDPB) объявил о старте масштабной проверки того, как компании соблюдают «право на забвение» в рамках GDPR. В проверке примут участие 32 надзорных органа по защите данных со всей Европы. Особое внимание будет уделено тому, как организации обрабатывают запросы на удаление персональных данных.

Подробнее

#news

DPIA как инструмент, а не формальность: основные принципы работы

DPIA (Data Protection Impact Assessment) — один из основных инструментов управления рисками в сфере персональных данных. Однако на практике компании часто превращают этот процесс в простую формальность, где рекомендации так и остаются на бумаге.

Рассмотрим несколько эффективных подходов к проведению DPIA ⬇️

✅ DPIA как часть Privacy by Design

Включение DPIA в Privacy by Design (PbD) — способ предотвратить риски, а не устранять их постфактум. PbD обеспечивает защиту данных на этапе проектирования. DPIA становится неотъемлемой частью архитектурного решения.

📌 Рекомендации:

🔹 Проводите DPIA должна не в конце, а на этапе проектирования обработки данных.
🔹 При проведении DPIA фиксируйте не только риски, но и механизмы их снижения, встроенные в систему.
🔹Помните: все рекомендации по DPIA должны быть технически выполнимыми.

✅ Отказ от формальных чек-листов

Формальный подход к DPIA не позволяет выявить реальные угрозы и сводится лишь к демонстрации соответствия требованиям. Вместо этого DPIA должна основываться на глубоком анализе контекста компании: бизнес-модель, технологический стек и применимые юрисдикции. Особенно важен качественный анализ рисков в сложных сценариях, например, при использовании ИИ или машинного обучения, где шаблонные вопросы не могут охватить все потенциальные угрозы..

✅ DPIA должна завершаться внедрением мер

DPIA считается юридически завершенной только после полного внедрения корректирующих мер. Для этого необходимо разработать детальный Action Plan с четко назначенными ответственными и сроками выполнения, обеспечить постоянный мониторинг внедрения мер и фиксировать все принятые действия в реестре обработок (ROPA). Такой подход гарантирует, что DPIA не останется просто формальным отчетом, а станет действенным инструментом в общей программе управления приватностью.

✅ DPIA ≠ только информационная безопасность

Распространенная ошибка — рассматривать DPIA только как инструмент анализа технических рисков. Полноценная оценка воздействия должна включать более широкий спектр рисков для субъектов данных, включая потенциальную дискриминацию, манипуляцию данными и профилирование. Кроме того, важно учитывать юридические и этические аспекты обработки данных, особенно когда речь идет о возможной предвзятости алгоритмов.

✅ Включение продуктовой команды в DPIA

DPIA должна учитывать реальные технические возможности и ограничения продукта.

📌 Рекомендации:

🔹 Включайте разработчиков, аналитиков и UX-дизайнеров в DPIA для оценки влияния на пользовательский опыт.
🔹 Не навязывайте нереализуемые меры — проводите обсуждения технических и бизнес-ограничений.
🔹 Создавайте практически применимые рекомендации, которые можно интегрировать в продукт без потери функциональности.

✅ Управление DPIA через сквозную оценку рисков

DPIA не должна быть разрозненной процедурой. Компании стоит интегрировать системный подход к оценке рисков.

📌 Методы интеграции:

– Реестр обработок + баллы риска → каждая обработка получает рейтинг риска, при превышении порога запускается DPIA.
– Автоматизированная классификация данных по рисковым категориям (например, использование биометрии, автоматизированное профилирование).

✅ Ориентация на практику: изучение DPIA других компаний

Чтение отчетов надзорных органов, анализ DPIA других компаний и изучение штрафных кейсов помогают избежать критических ошибок.

📌 Что учитывать?

🔹 Как компании обосновывали необходимость или ненужность DPIA.
🔹 Какие меры были признаны недостаточными и привели к штрафам.
🔹 Как DPIA помогло минимизировать риски и защитить компанию в ходе проверок.

Важно помнить: управление рисками в сфере персональных данных не должно останавливаться после проведения одной DPIA. Регулярный пересмотр мер защиты, контроль внедрения рекомендаций и отслеживание изменений в законодательстве — необходимые элементы устойчивой privacy-программы.

Спешим поделиться с вами свежеопубликованной статьей нашего старшего консультанта Елены Себякиной: «Правовоотношения инфоприватности», которая в декабре прошлого года увидела свет в Sorbonne Doctoral Law Review! ⚡️

Wow! Гордимся нашими консультантами!

Современная юридическая литература рассматривает приватность как многогранное явление, но Елена объясняет этот феномен через концепцию правовоотношений, ранее не применявшуюся в этом контексте.

📌 Инсайты:

🔹 Объект субъективного права на информационную приватность — установленная и поддерживаемая самим субъектом степень неизвестности его персональных данных.
🔹 Согласие на обработку персональных данных — акцепт запроса оператора на согласие (оферты).
🔹 Уведомление об обработке персональных данных — правопорождающий юридический факт и юридически значимое сообщение.
🔹 Политика приватности — публичное заверение об обстоятельствах.
🔹 Таксономия правоотношений информационной приватности — система из 10 частных и публичных правовоотношений (схему прилагаем к посту).

🔗 Ссылка на статью.

Любая дискуссия — приветствуется!

#article

☎️ Алло? У вас проблемы с комплаенсом? Соединяем вас cо специалистом!

Data Privacy Office организует онлайн-ивент нового формата — горячая линия с экспертами по вопросам защиты персональных данных. Это возможность задать любой интересующий вопрос по теме и получить консультацию от нашей команды.

📌 Как это работает?

Вы задаете вопрос или описываете проблему в форме регистрации. Наши консультанты проанализируют запрос и разработают список рекомендаций, которые помогут вам на пути достижения комплаенса.

📌 Кому подойдет такой формат?

🔹 Тем, кто столкнулся с вопросами в процессе организации защиты персональных данных в компании.
🔹 Тем, кто хочет узнать, как организовать качественное непрерывное обучение (как свое, так и в компании).
🔹 Тем, кто испытывает трудности с применением теоретических знаний на практике.
🔹 Тем, кто стремится узнать о best practices сферы: услышать советы экспертов и в будущем знать, как поступать в той или иной ситуации.

📌 А что, если мы не успеем ответить на все запросы?

Если запросов будет очень много и мы не успеем разобрать каждый в прямом эфире, мы ответим вам лично после ивента на бесплатной консультации.

📌 Кто будет разбирать запросы?

Для этого мероприятия мы подключили двух старших консультантов из нашей команды. Операторами первой горячей линии Data Privacy Office станут:

🔹 Елена Себякина, CIPP/E, Strategic privacy by design, GDPR DPP, Global DPM, DPT.
🔹 Анастасия Пархимович, CIPP/E, GDPR DPP.

И помните: не бывает глупых вопросов. Глуп тот вопрос, который не был задан.

Регистрируйтесь на горячую линию и задавайте свои вопросы по ссылке.

Когда? 24 марта 19.00 (GMT +3)
Где? Zoom
Сколько по времени? 1 час
Сколько стоит? Бесплатно

#events

Все о защите персональных данных в Азии в 600 страницах 📖

Рассказываем про учебное пособие тренера коучингов Data Privacy Office, Ксении Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP, FIP — «CIPP/A & CIPP/CN Study Guide 2024: Hong Kong, Singapore, India, China data privacy frameworks».

📌 Зачем нужно пособие?

С помощью него можно подготовиться сразу к двум экзаменам на международные сертификации IAPP — CIPP/A (Гонконг, Сингапур и Индия) и CIPP/CN (Китай).

📌 Что входит в пособие?

🔹 Анализ ключевых законов о защите персональных данных указанных юрисдикций.
🔹 Исторический контекст законов.
🔹 Практическое применение требований.
🔹 Два полноценных экзаменационных теста — один для сертификации CIPP/A и один для сертификации CIPP/CN.

Как и в случае с коучингом, пособие дает не просто сухую теорию для сдачи экзамена. Оно систематизирует и углубляет понимание требований законов. Его материалы помогут тем, кто хочет получить сертификацию и тем, кто хочет работать с этими юрисдикциями.

Напомним: 5 апреля стартует поток первого в русскоязычном пространстве коучинга по подготовке к экзамену на сертификацию CIPP/A. Все участники программы CIPP/A получат бумажную версию пособия бесплатно.

Записывайтесь на программу по ссылке, чтобы стать экспертом по нескольким востребованным юрисдикциям ⚡️

Делимся новостями из сферы privacy за прошедшую неделю 🗞

🔹 В Великобритании начали расследование об использовании персональных данных детей социальными сетями.
🔹 Ирландская Комиссия по защите данных вынесла предварительное решение по расследованию в отношении TikTok.
🔹 Комитет Конгресса США запускает новый диалог о федеральном законе о приватности.

#news

C наступлением весны, друзья!

Желаем вам вдохновения и сил в этом сезоне и рассказываем, на какие программы записаться в марте и апреле 2025 года ☀️

📌 UAE Data Protection based on GDPR

Интенсивный курс о требованиях законодательства ОАЭ и свободных экономических зон (DIFC, ADGM) в сравнении с GDPR.

Даты: 10 марта → 18 марта
Тренер: Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.
Узнать подробнее: у нашего менеджера Антона.
Важно: курс проходит на английском языке.

📌 AI Tools for DPO

Практический курс по автоматизации работы privacy-специалиста с помощью ИИ.

Даты: 24 марта → 16 апреля
Тренер: Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.
Узнать подробнее: у нашего менеджера Антона.
Важно: курс проходит на английском языке.

📌 Коучинг CIPP/A

Единственная в русскоязычном пространстве программа подготовки к сертификации IAPP по азиатскому законодательству.

Даты: 5 апреля → 27 апреля
Тренер: Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP, FIP.
Узнать подробнее: на сайте.
Важно: занятия будут проходить по субботам и воскресеньям.

📌 Global Data Privacy Manager

Практический курс по созданию системы защиты данных на основе международного стандарта ISO.

Даты: 21 апреля → 19 мая
Тренер: Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.
Узнать подробнее: на сайте.

📌 Вебинар «Горячая линия Data Privacy Office»

Разбираем ваши запросы о защите персональных данных в прямом эфире с экспертами.

Дата: 24 марта
Время: 19:00 (GMT +3)
Эксперты: Елена Себякина, CIPP/E, Strategic privacy by design; GDPR DPP,Global DPM, DPT;
Анастасия Пархимович, CIPP/E, GDPR DPP.
Стоимость: бесплатно.
Регистрация: на сайте.

Начните сезон с новых знаний и навыков ☀️

#courses #events

Как настроить cookie banner в соответствии с GDPR? 🍪

Cookie banner — это обязательный элемент для соответствия требованиям защиты персональных данных: файлы cookie отслеживают поведение пользователей и могут содержать персональные данные.

GDPR требует явного согласия пользователя на обработку всех файлов cookie, кроме необходимых. При этом контролёр должен проверять используемые cookie и учитывать рекомендации национальных регуляторов по их классификации. Это поможет избежать ситуации, при которой рекламные cookie замаскированы под функциональные, что противоречит GDPR. Если на сайте нет корректного механизма управления согласием на использование файлов cookie, это приведет к нарушениям и штрафам от регуляторов.

📌 Основные требования к cookie banner

🔹 Прозрачность и информирование
Cookie banner должен четко объяснять цели сбора данных, предоставлять ссылку на политику приватности и информировать пользователей о типах cookie (сессионные, постоянные, аналитические, маркетинговые и т. д.) и их сроках хранения.

🔹 Равнозначность выбора
Кнопки «Принять» и «Отказаться от всего» должны быть равнозначными по форме, размеру, цвету и размещению. Пользователь не должен сталкиваться с затемнением кнопки отказа. Также пользователь не должен проходить сложный путь через дополнительные настройки, чтобы дать отказ.

🔹 Контроль и изменение согласия
Пользователь должен в любое время иметь возможность изменить свое решение. Для этого рекомендуем добавить кнопку для повторного вызова cookie-баннера или доступный раздел в настройках сайта.

🔹 Строго необходимые cookie
До получения согласия должны загружаться только необходимые cookie, которые обеспечивают базовую работу сайта. К ним относятся:

📎 Cookie аутентификации — позволяют пользователям входить в учетную запись и оставаться в системе без необходимости повторного входа.
📎 Cookie безопасности — защищают сайт от атак, предотвращают подделку запросов (CSRF) и обеспечивают защиту от взломов.
📎 Cookie сессии пользователя — хранят временные данные о действиях пользователя, например, содержимое корзины в интернет-магазине или состояние формы.
📎 Cookie для управления предпочтениями — сохраняют выбранные настройки, такие как язык интерфейса или параметры отображения.

🔹 Регулярная инвентаризация cookie
Важно регулярно проверять все cookie, которые используются на сайте, удалять устаревшие файлы, актуализировать политику приватности и проверять соответствие требованиям законодательства.

📌 Отличие требований в Европе (GDPR) и США (CCPA)

🔹 GDPR требует явного согласия на обработку всех cookie (кроме необходимых), а CCPA (США) предлагает более гибкий подход.
🔹 В Европе кнопка «Отказаться от всего» — хоть и не обязательное требование, но считается лучшей практикой. В США достаточно возможности отрегулировать настройки вручную.
🔹 По GDPR все cookie изначально отключены. CCPA не требует явного согласия на использование cookie, но пользователи должны иметь возможность отказаться от них.

📌 Будущее без cookie: какие технологии их заменят?

🔹 Fingerprinting
Метод создает уникальный идентификатор на основе параметров устройства и браузера пользователя. Подпадает под регулирование GDPR при возможности идентификации личности.

🔹 Искусственный интеллект
Анализирует поведение пользователей и прогнозирует интересы без сбора персональных данных, используя анализ взаимодействия с контентом.

🔹 Контекстный таргетинг
Размещает рекламу на основе содержимого страницы, а не данных пользователя. Полностью соответствует GDPR и CCPA.

🔹 Privacy Sandbox
Инструменты Google для приватности в рекламе для группировки пользователей по интересам без отслеживания. Однако технологии Privacy Sandbox все еще оцениваются регуляторами ЕС.

📝 Советуем адаптироваться к новым технологиям и соблюдать баланс между эффективностью рекламы и приватностью. Помните: продвижение компании не должно быть приоритетнее, чем безопасность клиентов.

Приближаемся к сезону расцвета и обновлений! ⚡️

Предлагаем освежить свои рабочие чаты с дополненным набором стикеров Data Privacy Office. Теперь в нем еще больше стильных реакций на все случаи жизни privacy-эксперта ⬇️

🗞 Новости из мира приватности за прошедшую неделю

🔹 Microsoft прекратит поддержку функции истории местоположения в Windows.
🔹 Сенат США возобновляет обсуждение закона о безопасности детей в интернете.
🔹 Ларри Эллисон предлагает объединить все данные США в единой системе Oracle для изучения с помощью ИИ.
🔹 В США разгорается конфликт из-за доступа к персональным данным граждан.

#news

Расширяем границы ваших профессиональных навыков 🗺
(во всех смыслах)

Европейское законодательство — хорошая база сфере защиты персональных данных: как в обучении, так и в комплаенсе. Но для того, чтобы стать DPO международного уровня этого недостаточно.

5 апреля стартует новый поток коучинга CIPP/A — единственной в русскоязычном пространстве программы подготовки к сертификации IAPP по азиатскому законодательству.

📌 Коучинг CIPP/A — это интенсивная подготовка к сдаче экзамена для получения сертификации CIPP/A. Тренер поможет не просто заучить теорию и автоматически решать тесты, а погрузиться в контекст азиатского законодательства, обобщить знания и перенести их в практику специалиста.

Несмотря на то, что экзамен IAPP требует знания требований Сингапура, Гонконга и Индии, программа коучинга включает в себя детальный разбор китайского законодательства по защите персональных данных.

📌 В курс входит:

🔹 6 онлайн-занятий по 3,5 часа,
🔹 бесплатная печатная версия учебника Ксении Лапутько об азиатском законодательстве в сфере защиты персональных данных для каждого студента,
🔹 решение пробных экзаменационных тестов.

Тренер курса: Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP, FIP.
Даты: 5 апреля — 27 апреля.
Важно: занятия будут проходить по субботам и воскресеньям.

Коучинг по подготовке к CIPP/A — это возможность освоить новое для себя законодательство с нуля и подтвердить свои знания на экзамене.

✍🏻 Записывайтесь на курс на сайте или у нашего менеджера Антона.

#courses

Расширяем границы ваших профессиональных навыков 🗺
(во всех смыслах)

Европейское законодательство — хорошая база сфере защиты персональных данных: как в обучении, так и в комплаенсе. Но для того, чтобы стать DPO международного уровня этого недостаточно.

5 апреля стартует новый поток коучинга CIPP/A — единственной в русскоязычном пространстве программы подготовки к сертификации IAPP по азиатскому законодательству.

📌 Коучинг CIPP/A — это интенсивная подготовка к сдаче экзамена для получения сертификации CIPP/A. Тренер поможет не просто заучить теорию и автоматически решать тесты, а погрузиться в контекст азиатского законодательства, обобщить знания и перенести их в практику специалиста.

Несмотря на то, что экзамен IAPP требует знания требований Сингапура, Гонконга и Индии, программа коучинга включает в себя детальный разбор китайского законодательства по защите персональных данных.

📌 В курс входит:

🔹 6 онлайн-занятий по 3,5 часа,
🔹 бесплатная печатная версия учебника Ксении Лапутько об азиатском законодательстве в сфере защиты персональных данных для каждого студента,
🔹 решение пробных экзаменационных тестов.

Тренер курса: Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP.
Даты: 5 апреля — 27 апреля.
Важно: занятия будут проходить по субботам и воскресеньям.

Коучинг по подготовке к CIPP/A — это возможность освоить новое для себя законодательство с нуля и подтвердить свои знания на экзамене.

✍🏻 Записывайтесь на курс на сайте или у нашего менеджера Антона.

#courses

Вернемся к проблеме дискриминации в работе ИИ-системы. Причиной в данном случае стали данные для обучения модели — разработчики использовали информацию, в которой женщины статистически реже занимали руководящие должности.

Давайте рассмотрим вопрос дискриминации в работе ИИ-систем подробнее.

С углублением интеграции ИИ растет риск дискриминации. Он обусловлен данными для обучения. Это не просто техническая проблема — она способна усилить существующее неравенство и привести к дискриминационным решениям.

📌 Почему ИИ может принимать дискриминирующие решения?

Дискриминация в ИИ — это систематические ошибки в работе алгоритмов. Основная причина — обучающие данные с социальными предубеждениями, которые система может усиливать.

📌 Примеры из практики

🔹 Рекрутинг: Amazon отказался от ИИ-инструмента подбора кадров, так как он занижал рейтинг женских резюме. Причина — обучение на данных, где доминировали мужчины.
🔹 Правосудие: Алгоритм COMPAS, используемый для оценки риска рецидива преступлений, чаще ошибочно причислял темнокожих людей к группе высокого риска.
🔹 Поисковые системы: При поиске «CEO» большинство изображений показывают мужчин, даже если женщин-руководителей немало.

📌 Как снизить дискриминацию в ИИ?

ИИ может быть предвзятым, если обучается на данных, где уже есть неравенство. Например, если система найма обучена на резюме только мужчин, она может игнорировать женщин. Чтобы этого избежать, нужно тщательно работать с данными, тестировать алгоритмы и учитывать человеческий фактор.

🔹 Работа с данными

— Проверяйте данные перед обучением ИИ. Например, если ИИ анализирует резюме, убедитесь, что в обучающем наборе есть как мужчины, так и женщины, люди разных возрастов и национальностей.

— Документируйте контроль качества. Фиксируйте, откуда берутся данные и как они проверялись. Это помогает избежать скрытых ошибок.

— Используйте разнообразные наборы данных. Например, если ИИ анализирует кредитную историю, он должен учитывать не только данные из большого города, но и из сельской местности.

🔹 Тестирование алгоритмов

— Проверяйте, нет ли дискриминации с помощью специальных метрик:

✅ Disparate impact — оценивает, не получает ли одна группа (например, женщины) значительно хуже результаты, чем другая (например, мужчины).
✅ Equalized odds — проверяет, делает ли ИИ одинаковое количество ошибок для всех групп. Например, если система безопасности чаще ошибочно подозревает темнокожих людей, это нарушение равных шансов.
✅ Demographic parity — оценивает, сбалансированы ли результаты модели между разными группами.

— Используйте adversarial testing. Это метод, когда ИИ специально «подкидывают» сложные или провокационные примеры, чтобы проверить его реакцию. Например, чат-боту могут задавать вопросы про религию и политику, чтобы проверить, не склонен ли он к предвзятым ответам.

— Применяйте объяснимый ИИ:

✅ SHAP показывает, какие именно факторы повлияли на решение модели. Например, если система отклоняет кредит, SHAP может объяснить, что это произошло из-за низкого дохода, а не из-за пола или национальности.
✅ LIME работает похожим образом, но помогает понять, как модель принимает решения, даже если она сложная и непрозрачная. Например, LIME может показать, какие слова в резюме повлияли на отказ в приёме на работу.

🔹 Алгоритмические решения

— Используйте fairness-модели. Эти алгоритмы корректируют работу ИИ, чтобы он не был предвзятым. Например, если ИИ при найме чаще отказывает женщинам, fairness-модель изменит критерии так, чтобы шанс на успех был одинаковым при равных навыках.

— Настраивайте алгоритмы по принципу Equal Opportunity. Это значит, что ИИ должен давать одинаковые шансы на успех разным группам людей, если у них схожие исходные данные.

— Применяйте Equalized Odds. Это правило говорит, что модель должна делать одинаковое количество ошибок для всех групп, иначе она может быть несправедливой.

— Используйте дифференциальную приватность. Это метод, который добавляет небольшие «помехи» в данные, чтобы защитить личность человека, но при этом сохранять общие закономерности. Например, если исследование показывает, что в каком-то районе высокий уровень диабета, ИИ не должен раскрывать, у кого именно болезнь.

🔹 Человеческий фактор

— Привлекайте экспертов по этике и праву. Они помогут найти и исправить возможную дискриминацию.

— Проводите регулярный аудит решений ИИ. Это как техосмотр машины — он помогает вовремя обнаружить проблемы.

— Учитывайте разные точки зрения. Если разработку ведут люди с разным опытом, это снижает риск создания предвзятого ИИ.

📌 Главное правило: постоянное совершенствование

Полностью исключить дискриминацию невозможно, но можно минимизировать ее влияние. Это требует комплексного подхода: качественных данных, грамотных алгоритмов, тестирования и участия человека. Только так ИИ сможет стать справедливым инструментом, полезным для всех.

Под конец зимы уже не хватает жизненных сил на активную работу и развитие, а до весны как-то дожить надо…

Предлагаем вдохновиться цитатами Ксении Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP. Она как тренер коучингов имеет огромный опыт в подбадривании даже самых отчаявшихся 🥲

Дополнительная доза вдохновения к развитию — в интервью с Ксенией по ссылке.

🚀 Получить неограниченный доступ к неисчерпаемому источнику мотивации и знаний для сдачи экзамена на сертификацию IAPP на 9 недель можно на коучинге CIPP/E.

Старт потока 28 февраля. Записывайтесь на сайте или у нашего менеджера Антона ✍🏻

#tool_and_tips #courses