Lukash & Partners – партнеры БЮФ2025

Lukash & Partners – юридическая компания, специализирующаяся на защите персональных данных и цифровом праве. Работает по законодательству России, ЕС, СНГ, MENA и Азии.

✔️ Входит в рейтинг Право-300 в категории «Защита персональных данных»
✔️ На постоянном сопровождении компании с миллиардными оборотами
✔️ 36 стран – опыт в международное практике

Lukash & Partners:
🔹Консультируют компании по защите персональных данных и ИТ-праву
🔹 Проводят корпоративное обучение для крупного бизнеса по 152-ФЗ
🔹 Организуют Privacy Club – встречи data privacy экспертов в партнерстве с лидерами рынка
🔹 Ведут Telegram-канал Privacy Expert для специалистов по защите данных (подписывайтесь)

🗓24 апреля, Денис Лукаш - управляющий партнер юридической компании Lukash & Partners, профессиональный DPO и юрист в области информационного права, ранее инспектор Роскомнадзора и отмеченный благодарностью ЦА Роскомнадзора, выступит, в качестве спикера в сессии: "Персональные данные. Аспекты национального регулирования и трансграничной передачи данных " .

📍Зал 1 | 17:10 - 18:30

#партнерыБЮФ2025

24 - 25 апреля в Минске на юридическом форуме. Буду рад встрече за пределами официальной конференции (в Минске):

1. С экспертами/юркомпаниями, занимающимися персональными данными по белорусскому праву для обсуждения возможного партнерства.

2. С руководителями/основателями для обсуждения возможных партнерств в области data privacy по РФ праву.

Писать можно в личку @linfo.

Ниже репост из канала конференции.

22 апреля в 17:00 (Мск) Павел Мищенко проведёт вебинар «Личный опыт: как начать использовать ИИ в своей работе»

Павел — юрист и сооснователь сообщества «Нейросети | ilovedocs», которое объединяет 1 900 практикующих юристов.

На вебинаре Павел поделится:
– как выбрать первую нейросеть и не запутаться;
– какие ошибки чаще всего совершают новички;
– кейсы: юридический дизайн и ускоренная проверка NDA;
– интересные способы применения ИИ, которые он увидел у участников сообщества.

Длительность вебинара — 1 час.

📲 Регистрация доступна в Telegram-боте.

Первое дело в отношении банка и штраф 200 000 по ст. 13.11.2 КоАП РФ за отправку сообщения в Вотсапп (новость).

Дело нашел здесь.

УИД 77MS0365-01-2025-001385-15

Гражданин - выгодоприобретатель получения корреспонденции

🔹 Курьерская служба приняла от гос. органа заказное письмо на имя гражданина (с указанием его фамилии, отчества, адреса места жительства) для дальнейшей пересылки по сети АО «Почта России».

Пересылка осуществлялась с привлечением третьего лица – компании, оказывающей услуги «предпочтовой обработки» на основании договора: подготовку почтового отправления, его упаковку в новый конверт поверх имеющегося (без получения доступа к вложению), присвоение трек-номера и передача АО «Почта России».

🔹 Гражданин обратился с жалобой в прокуратуру в связи с передачей его персональных данных третьему лицу, «не имеющему отношения к доставлению письма», без его согласия.

🔹 Постановлением мирового судьи курьерская служба была привлечена по ч. 1 ст. 13.11 КоАП РФ к наказанию в виде штрафа в размере 60 000 рублей.

🔹 Однако, суд отменил постановление, аргументировав следующим:

1. Выгодоприобретателем получения корреспонденции является сам гражданин как субъект персональных данных, и к тому же участвующий в определенных взаимоотношениях с гос. органом, от которого ему было направлено письмо (в связи с его обращением)

2. Обработка ПДн гражданина отвечала целям их обработки

3. Неправомерного или случайного доступа третьих лиц, не участвующих в договорных отношениях, к ПДн гражданина не допущено

4. Из нормативного регулирования не усматривается, каким образом курьерская служба должна была и имела возможность получить согласие гражданина на обработку его ПДн.

#практика

Судя по составу участников завтра (14.04.2025) состоится одна из значимых конференций по правовым вопросам биометрии на базе ВШЭ. Можно зарегистрироваться для онлайн участия, начало в 10.30 мск.

Страница на сайте ВШЭ
https://pravo.hse.ru/announcements/1026882277.html

Канал ВШЭ с анонсом
https://t.me/pravohse/1493

Среди участников представители ЦБТ, Роскомнадзора, Тбанка, Координационного центра доменов .RU/.РФ и некоторые консалтинговые компании, включая Lukash & Partners.

Получил для канала знак А+.

Получение заняло где-то сутки с момента отправки заявки. Алгоритм подачи заявки требует вникания, но в целом не сложно.

Регистрация делается только через Бот https://t.me/Trustchannelbot . По пользовательскому соглашению бот не только классифицирует канал по реестровой записи Роскомнадзора, но и постоянно мониторит на предмет соблюдения требований к регистрации каналов с 10000 + подписчиками.

О маркировке А+ здесь.

Законный интерес как основание передачи ПДн работника третьему лицу

Работодатель передавал персональные данные сотрудников без их согласия аутсорсинговому агентству, выполняющему функцию по кадровому администрированию и расчету заработной платы.

Сотрудник обратился в суд, попросив обязать прекратить обработку и передачу его ПДн третьим лицам.

Суд отказал в удовлетворении исковых требований по следующим основаниям:

🔹 работодатель осуществлял обработку ПДн работника в связи с необходимостью выполнения обязательств в рамках подписанного с работником трудового договора

🔹 с учетом специфики трудовых отношений у работодателя возникли дополнительные обязанности, прямо предусмотренные трудовым законодательством (ст. 22 ТК РФ) в связи с соблюдением иного отраслевого законодательства: налогового, бухгалтерского и т.д.

Таким образом, обработка ПДн осуществлялась в рамках исполнения трудового договора, закона и не могла и не могла ставиться под условие получения согласия. Иное привело бы к невозможности заключения и исполнения договора, соблюдения требований закона.
 
🔹Для достижения целей исполнения трудового договора и исполнения закона допускается передача ПДн работников третьим лицам без письменного согласия, если при этом не нарушаются их права и свободы, а именно:

- передача ПДн ограничена достижением целей, связанных с реализацией трудовых отношений, вытекает из исполнения работодателем обязанностей, предусмотренных законом

- обеспечивается защита ПДн от неправомерных действий с ними (между работодателем и агентством подписано поручение на обработку ПДн, предусматривающее соблюдение конфиденциальности полученных данных и принятие мер по их защите).

🔹 «Работники, как правило, сами заинтересованы в надлежащем и полном выполнении работодателем своих обязанностей»

Таким образом, обработка ПДн осуществлялась в рамках законного интереса и не могла ставиться под условие получения согласия. Иное привело бы к существенному ограничению прав работодателя как юридического лица.

Учитывая вышеизложенные обоснования, суд пришел к выводу, что работодатель правомерно осуществлял обработку ПДн сотрудника и передавал их третьему лицу для осуществления расчета заработной платы без отдельного дополнительного согласия.

#практика

Статья Марины Юфы и Влада Симоненко.

Как работница оспаривала обращение работодателя к внешнему юристу для помощи в трудовом споре (опираясь на ФЗ о персональных данных).

Ссылка на статью.

По результатам обсуждения письма МЦ об общедоступных источниках ПД у Кирилла родилась статья, которую уже опубликовал.

Не все комментарии телеграм прикрепляет к посту. Если вступить в чат, который прикреплен к постам для комментариев (таков механизм телеграм), то можно будет увидеть больше комментариев про общедоступные источники ПД.

Свежее письмо Минцифры РФ по общедоступным источникам, соответствующее ранее приведенной позиции Роскомнадзора.

Рабочий механизм для легализации корпоративных справочников в группах компаний.

P.S. Спасибо, что делитесь ответами

Запрет рекламы на ресурсах нежелательных и запрещённых организаций

25 марта 2025 года Госдума окончательно одобрила законопроект, который вводит запрет на распространение рекламы на информационных ресурсах иностранных или международных неправительственных организаций, признанных нежелательными, запрещёнными и ограниченными на территории РФ.

Закон вступит в силу с 1 сентября 2025 года (при одобрении Советом Федерации и Президентом).

🔹Нельзя будет распространять рекламу:
1. На ресурсах организаций, деятельность которых признана нежелательной.
2. На ресурсах организаций, деятельность которых запрещена (экстремистские и террористические).
3. На иных ресурсах, доступ к которым ограничен по решению Роскомнадзора (можно проверять на сайте РКН).

🔹Ответственность за нарушения будут нести как рекламодатели, так и рекламораспространители.

🔹Штрафы составят:
⦁ для ФЛ: от 2 000 до 2 500 руб.;
⦁ для ДЛ: от 4 000 до 20 000 руб.;
⦁ для ЮЛ: от 100 000 до 500 000 руб.

🔹На обсуждении законопроекта Хинштейн А.Е. отметил, что «ответственность, безусловно, будет наступать в отношении тех действий, которые произойдут с момента вступления закона в силу».

Однако пока не устоится практика привлечения к ответственности за нарушения новых требований, мы не можем утверждать, что не будут привлекать за уже размещенную рекламу. Такая вероятность есть, по аналогии, например, с практикой привлечения к ответственности по ч. 16 ст. 14.3 КоАП РФ (дело о несоблюдении требований к маркировке рекламы, размещенной до утверждения Требований) и практикой привлечения к ответственности по ч.1 ст.20.3 КоАП РФ (дело о размещение в соц.сети сообщений с символикой организации, впоследствии признанной экстремистской)

В обоих случаях, суды аргументировали свою позицию тем, что правонарушением является сам факт демонстрации ненадлежащего контента без учета даты ее первого распространения.

Из пояснительной записки к законопроекту следует, что он направлен на прекращение финансирования российскими пользователями владельцев запрещенных информационных ресурсов, на которых распространяется запрещенная в РФ информация.

Рекомендуется провести аудит рекламных кампаний до сентября 2025 года, а также планомерно переходить на другие рекламные площадки.

Легализация обработки персональных данных тесно связана с другими направлениями информационного права (да и не информационного тоже).

В команде Lukash & Partners давно предлагают размешивать в канале тему ПДн смежными правовыми событиями, имеющими высокое воздействие на предпринимательскую среду. Тем более, что мы смежные вопросы тоже закрываем для наших клиентов ⬇️

Ранее давал ссылку на первый в 2025 году номер  журнала "Внутренний контроль в кредитной организации", где я и Юлия Белякова опубликовали статью

"Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами".

Теперь статья не только в доступе по подписке, но и бесплатно для подписчиков канала (полный текст статьи во вложении).

Спасибо издательскому дому "Регламент".

Опубликован проект приказа "Об утверждении требований к обезличиванию
‎персональных данных и методов обезличивания
‎персональных данных".

Ключевое:

🔹В продолжение 152-ФЗ обезличивание является способом обработки персональных данных, осуществляемым по определенной документированной методике.

🔹Проект приказа определяет концептуально методы обезличивания, детальная методика по обезличиванию будет устанавливаться оператором.

🔹Оценка достаточности разработанной оператором методики обезличивания остается под ответственностью оператора.

🔹До обезличивания и после это будут персональные данные. От соблюдения требований 152-ФЗ обезличивание не освободит.

🔹При обезличивании необходимо предпринять перечисленные в проекте приказа меры (безопасность, определение субъектов ПД и перечней ПД, учет действий/операций с ПД и т.п.).

P.S Если в поручениях на обработку каким-то образом указано обезличивание, повод убрать (иначе объясняться) или определить в договоре "обработчику" методику (ее определяет оператор). Аналогично и с ЛНА по ПД.

Если у Вас не было времени посмотреть все секции конференции Privacy Forum 2025, можно быстро прочитать основные тезисы по секциям.

Подборку тезисов разместили на сайте.

🔹Проблемы внутреннего контроля за обработкой персональных данных в России
🔹Персональные данные в иностранных юрисдикциях
🔹Персональные данные в образовательных организациях
🔹Точки пересечения персональных данных, интеллектуальной собственности и рекламы
🔹Персональные данные в IT-компаниях

Сами записи всех секций доступны на платформах VK и Rutube.

🗂 Одна папка – множество возможностей. 100 правовых каналов, которые всегда под рукой. Они помогут не терять время на поиск нужной информации.

Подписывайтесь на нашу ПАПКУ и расширяйте круг профессиональных знаний и знакомств!

➡️ Вот ссылка на папку: https://t.me/addlist/Bnr3Vi5iHJthNTIy
Просто нажмите на неё и добавьте все нужные Вам каналы нажатием одной кнопки!

Приходите 7 апреля 2025 года в Холидей ИНН Сокольники (Москва). Пройдет конференция "Защита данных".

В секции с 16.15 до 18.00 выступлю с темой "Новая ответственность за нарушения в области обработки персональных данных. Взгляд практикующего DPO" с коллегами из Газпромбанк, ГК «Гарда», ГК Infowatch.

Вторая часть секции - это дискуссия со спикерами под модераторством Евгения Царева (RTM Group). Сможем пообщаться по темам ниже. Участие бесплатное.

К обсуждению будут:

1. Обзор актуальных изменений в нормативных актах – что нового и как это затронет компании.
2. Персональные данные и риски – на что обратить внимание, чтобы избежать нарушений.
3. Инциденты и штрафы – почему важно выстраивать процедуры реагирования и какие санкции предусмотрены в 2025 году.
4. Практика расследования нарушений – реальные кейсы, ошибки компаний и рекомендации по защите данных.
5. Как эффективно подготовиться к новым требованиям, минимизировать риски и выстроить надежную систему защиты данных

Полная программа и регистрация на конференцию https://datasec.ib-bank.ru/

Запрос сведений об обработке ПДн в Банк по электронной почте.

Гражданин направил по электронной почте Банку претензию относительно неправомерного направления на номер его мобильного телефона СМС- сообщения рекламного характера, а также просил предоставить ему сведения относительно его персональных данных (в силу части 7 статьи 14 №152-ФЗ). Банк не предоставил запрашиваемые сведения в установленный срок, и гражданин обратился в суд с иском о признании незаконным бездействия Банка.

Суд первой инстанции требования гражданина удовлетворил, указав что:

- гражданин реализовал право на получение информации об обработке его ПДн, направив
соответствующий запрос, однако Банк свою обязанность по ответу в 10-дневный срок не выполнил, хотя был обязан предоставить ответ на запрос вне зависимости от того, какого характера ответ - положительного или отрицательного;

- факт получения письма с претензией подтверждается электронным отчетом о доставке.

Также суд отметил, что части 1, 3 статьи 20 № 152-ФЗ предусматривают две самостоятельные обязанности оператора ПДн, а именно:

1. предоставление информации (направления ответа на запрос);

2. предоставление субъекту ПДн возможности ознакомления с его персональными данными. Банк вне зависимости от предоставления ответа на запрос (письменного изложения перечня запрашиваемой информации), мог направить гражданину разъяснение о способе, месте и времени его ознакомления с персональными данными, и при наличии сомнений в личности обратившегося лица, устранить их перед непосредственным ознакомлением субъекта с персональными данными.
 
Вышестоящие судебные инстанции не согласились с данным выводом, аргументируя следующим:

- оператор обязан предоставить ответ на запрос субъекта ПДн, направленный посредством электронной почты, только в случае подписания такого запроса усиленной квалифицированной подписью (УКЭП);

- у Банка отсутствовала объективная возможность идентифицировать лицо, направившее требование в нарушение установленного законом порядка;

-  направление ответа Банком на запрос, не подписанный УКЭП, являлось бы нарушением законодательства, запрещающего распространение данных клиентов неустановленным источникам;
 
- имелись основания для освобождения банка от обязанности предоставить гражданину информацию об обработке его ПДн, связанные с заключенным между сторонами договором банковского обслуживания;

- действия гражданина могут расцениваться как злоупотребление правом с целью формирования условий для искусственного создания обстоятельств, формально влекущих к возникновению видимости нарушения Банком прав гражданина и необоснованному возникновению обязанности у Банка по выплате гражданину денежного возмещения.

#практика

18 марта 2025 года прошел традиционный вебинар «Как защитить бизнес?» для юристов и руководителей промышленных предприятий Псковской области, организованный МКА Арбат.

Напомнил участникам об ужесточении административной ответственности с 30 мая 2025 года за нарушения в области персональных данных и рассказал что делать, чтобы минимизировать риски получения штрафов.

Запись вебинара по ссылке.

Роскомнадзор: хранение и передача способ обработки ПД, при делегировании нужно поручение.
Вопрос задавался в контексте необходимости поручения обработки персональных данных между провайдером хостинга и оператором ПД.

P.S Спасибо, что делитесь ответами

Общаться можно не только в комментариях. Еще есть Прайваси чат, где я и другие эксперты обсуждаем проблемные вопросы легализации обработки ПД. Чат модерируется, нет "потоков сознания" и неконструктивного общения.

Сегодня последний срок подачи уведомлений в Роскомнадзор по изменениям в обработке ПД, произошедшим в феврале 2025 года. Операторы по ч. 7 ст. 22 152-ФЗ должны подавать сведения ежемесячно не позднее 15-го числа за предыдущий месяц.

Решил, что буду напоминать периодически. В прошлом напоминании я и подписчики отметили, что за неподачу ничего не будет. По КоАП ответственность не большая, но давайте посмотрим шире. Спойлер: возможность подавать изменения - ваш индикатор зрелости privacy-комплаенса.

Трудозатраты по сравнению с ответственностью.

1. За не подачу уведомления об изменениях ответственность по 19.7 КоАП РФ (3-5 тысяч руб.). В то же время нужно организовать ежемесячный (считай постоянный) контроль изменений параметров обработки ПД в компании / группе компаний (цели обработки, перечни ПД, субъекты ПД, нахождение баз данных у обработчиков). Помимо того, что это трудозатратно само по себе, процесс будет работать при высокой зрелости организации процессов обработки ПД в целом. Последнее достижимо не только благодаря ресурсам, но и таким аспектам как культура, поддержка руководства, квалификация и т.д.

2. С 30 мая 2025 года будет действовать новая ч. 10 ст. 13.11 КоАП, где указано "Невыполнение или несвоевременное выполнение ... обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных". Слово намерение корреспондирует с ч. 1 ст. 22 152-ФЗ (первичное уведомление), а не с ч. 7 ст. 22 152-ФЗ (уведомление об изменениях). По моему мнению, новая ч. 10 не будет распространяться на уведомление об изменениях.

Конечно, со временем РКН может подтянуть какую-то казуистику, но:
- если посмотрим на применение ст. 3 ч. 13.11 КоАП РФ, то мы не наблюдаем непризнание политик обработки ПД таковыми, если пропущен один или несколько обязательных условий (аналогия правоприменения).
- выявить однозначно расхождения в реестре и при фактической обработке ПД можно при проверке (но есть нюансы ниже).

Если ответственность не большая, то зачем?

1. Сведения в реестре операторов персональных данных все больше становятся ключевой точкой контроля Роскомнадзора операторов персональных данных. Также со временем субъекты ПД будут опираться на реестр операторов при жалобах.
Здесь можно упомянуть проект приказа Минцифры РФ (систематические наблюдения по жалобам субъекта) и уже действующие индикаторы риска (не соответствие сведений на сайте и в реестре операторов ПД).
Еще подведомственная организация Роскомнадзора (ФГУП ГРЧЦ) развивает функции автоматического контроля сведений о ПД на сайтах.

Непрямая ответственность за не уведомление об изменениях будет выше.

2. Обязанность по ежемесячному уведомлению Роскомнадзора может стать драйвером изменения процессов обработки ПД в лучшую сторону.

Небольшой пример.

Если руководитель отдела продаж (РОП), согласует договор (без DPO/юриста) и соглашается на цель обработки ПД "обработчика" в поручении обработки, а не указывает свою цель оператора (по. ч. 3 ст. 6 152-ФЗ в поручении указывается цель обработки), то у оператора появляется новая цель. Это требует уведомления Роскомнадзора в следующем месяце.
Если РОП понимает, что форсировав согласование договора он не уменьшил свою операционную нагрузку, а даже увеличил, будет более внимательно относится к параметрам обработки ПД в поручениях на обработку (в лучших практиках бизнес участвует в определении и контроле параметров обработки ПД). Для РОПа это будет не просто "хотелка" DPO, а приземленное требование.

3. Возможность ежемесячных уведомлений Роскомнадзора об изменениях в обработке персональных данных является индикатором зрелости privacy-комплаенса. Подумайте, смогли бы Вы сегодня уведомить об изменениях в обработке ПД в прошлом месяце? На сколько достоверно? Если с достоверностью 50%, что мешает дойти до 90% в следующем месяце?

Напомню о деле 2018 года

В рамках договора оказания услуг общество поручило обработку персональных данных соискателей на замещение вакантных должностей третьему лицу. При этом Общество не запрашивало отдельных согласий у кандидатов, а в качестве основания обработки ПДн использовало «Соглашение об оказании услуг по содействию в трудоустройстве…», опубликованное на сайте по поиску работы. По данному соглашению владелец сайта являлся оператором, которому соискатель давал согласие на обработку своих персональных данных. Владелец сайта также мог поручить обработку ПДн соискателей привлекаемых третьим лицам.

Роскомнадзор признал действия Общества нарушением требований части 3 статьи 6 Закона о персональных данных. Суды согласились с регулятором, отметив, что в данном случае оператором, осуществляющим обработку ПДн соискателей и поручившим обрабатывать их третьему лицу, является само Общество, а не владелец площадки. Общество обязано было взять у каждого такого соискателя соответствующее согласие.

#практика

Как мы увидели Решение Суда:

1. Добровольное уведомление РКН о факте неправомерной передачи ПДн подтверждает добросовестность оператора в исполнении обязанности по уведомлению, но не свидетельствует об отсутствии вины за «утечку»

2.Договор на оказание услуг по технической защите конфиденциальной информации мог бы освободить компанию от ответственности за «утечку» ПДн (нужна лицензия ТЗКИ) и переложить ее на исполнителя по договору

Общество заключило договор на оказание услуг с ИП по сопровождению и технической поддержке информационных систем. Исполнитель обязан был осуществлять полное обслуживание инфраструктуры ИТ заказчика. В результате хакерской атаки персональные данные работников и клиентов Общества стали доступны неопределенному кругу лиц, о чем Общество уведомило РКН. В нарушение положений ч.1 ст. 6, ст. 7 и ст. 10.1 Федерального закона № 152-ФЗ Общество допустило раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, в связи с чем Общество было привлечено к ответственности по ч.1 ст. 13.11 КоАП РФ.

Отрицая наличие своей вины, Общество указало на следующие обстоятельства:

- Общество предприняло меры, направленные на защиту персональных данных сотрудников, а именно, заключило договор на оказание услуг по сопровождению и технической поддержке информационных систем;

- РКН стало известно о предоставлении неправомерного доступа к базе данных Оператора только ввиду добросовестности Общества, которое добровольно направило уведомление в РКН.

Позиция РКН:
- заключенный договор не содержит в себе услуги по технической защите конфиденциальной информации, в этой связи позиция Общества, что ответственность за данные нарушения несет ИП – ошибочна;

- действия Общества по добровольному обращению в РКН не свидетельствуют об отсутствии вины Общества, так как в данном случае оно действовало добросовестно во исполнение требований ч. 3.1 ст. 21 Федерального закона № 152-ФЗ по уведомлению РКН в случае установления факта неправомерной передачи персональных данных.

Суд поддержал позицию РКН, отметив, что:
- постороннее вмешательство в информационную систему Общества (хакерская атака) при наличии договора с ИП является подтверждением факта неисполнения Обществом обязанности, предусмотренной ст. 7 Федерального закона № 152-ФЗ не раскрывать персональные данные третьим лицам без согласия субъекта персональных данных, а также подтверждением неисполнения или ненадлежащего исполнения обязательств по договору ИП.

На сайте Восьмого кассационного суда общей юрисдикции отсутствуют сведения об обжаловании решения.

#практика

Как Вы легализуете передачу персональных данных "внешним" аудиторам? Если согласиями, то такие согласия не правомерные, так как берутся не в интересах субъектов персональных данных (см. ч. 1 ст. 9 152-ФЗ). Даже если согласия взяли с работников, что в отношении других субъектов (представители контрагентов, самозанятые и т.п.)?

Я и Юлия Белякова написали статью для журнала "Внутренний контроль в кредитной организации", где рассказали о легализации обработки персональных данных при при обязательном внешнем аудите, "не обязательном" внешнем аудите, внутреннем аудите.

Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами

Сейчас статья доступна только по платной подписке на журнал. Позже сможем сделать ее в общем доступе.

Решили командой собрать новостные изменения за февраль по ПДн, положить внутрь ссылки на наши справки и комментарии.
https://lukash.partners/content/PDn_february_2025.pdf

Еще один ответ об использовании ст. 8 152-ФЗ "общедоступные источники" как способ легализации обработки всем "видимых" ПД работников внутри групп компаний. Первый здесь.

Текст вопроса для полноты:

Прошу разъяснить, могут ли внутренние справочники или иные системы организации, функционирующие в целях информационного обеспечения, доступ к которым имеют исключительно работники организации, а также лица, заключающие с организацией договоры гражданско-правового характера, относиться к общедоступным источникам данных по смыслу статьи 8 Федерального закона от 27.07.2006 N 152-ФЗ (далее – ФЗ-152)?

Также прошу разъяснить, должно ли согласие субъекта персональных данных на обработку его персональных данных в общедоступных источниках, оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, если такие согласия, также, оформляются в письменной форме, согласно требованиям части 4 статьи 9 ФЗ-152 и, в свою очередь, не требуют оформления отдельно от иных согласий субъекта персональных данных на обработку его персональных данных?

P.S. Спасибо, что делитесь ответами Роскомнадзора

Не забываем про отношение Роспотребнадзора к перечню третьих лиц в договоре.

Общество включило в договор страхования (Полис) с потребителем согласие на передачу персональных данных в сторонние организации, при этом не указав конкретный перечень третьих лиц, которым оно вправе передать персональные данные потребителя.

Управление Роспотребнадзора по Республике Татарстан установило, что включение таких условий ущемляет права потребителя, и вынесло постановление о привлечении Общества к административной ответственности по части 2 статьи 14.8 КоАП РФ.

Суды согласились с позицией регулятора, отметив, что перечень третьих лиц, кому в дальнейшем будут переданы персональные данные по поручению страховой компании, установить невозможно. У третьих лиц, получивших доступ к персональным данным потребителя, не возникает обязанности сохранять конфиденциальность таких данных. Таким образом, подписав данные условия, потребитель фактически согласился с возможностью обработки его персональных данных третьими лицами. При этом обществом не были учтены установленные законом специальные требования к письменному согласию субъекта персональных данных (ч.4 ст. 9 Закона о персональных данных).

Кроме того, суды отметили, что включение в договор страхования вышеуказанного условия не охвачено самостоятельной волей и интересом потребителя, лишает возможности согласия или отказа в согласии на обработку персональных данных и не соответствует требованиям статьи 16 Закона о защите прав потребителей.

#практика

Сегодня в СФ РФ рассматривают поправки по ужесточению требований к локализации баз персональных данных (ч. 5 ст. 18 152-ФЗ).

Направляю для свободного использования мнение о применении новых требований к локализации баз персональных данных.

В справке приведены примеры различий правоприменения до 01.07.2025 и после. В том числе, упомянута локализация первичным вводом и локализация «транспортными» каналами.

О последствиях планируемых изменений по систематическим наблюдениям Роскомнадзора в области персональных данных (далее СН ПД). Если не видели, ссылка на Проект приказа Минцифры РФ.

3 момента через субъективный взгляд:

1. Можно будет проводить СН ПД оператора по жалобе субъекта ПД.

Например, субъект персональных данных может сообщить, что сведения в размещенной политике не соответствуют сведениям в уведомлении Роскомнадзора. РКН издаст приказ на СН ПД, подтвердит. А раз это официальный СН ПД, еще и трансграничку с не уведомлением может найти (если есть Гугл Аналитика, например).

2. Будут требования об удалении незаконно собранных ПД.

Теоретически возможный пример. Вместо согласия на Яндекс.Метрику использовали безальтернативное информирование, значит согласия, как основания обработки, не было, данные собраны незаконно. Вот кейс: информирование не является согласием.
Придется удалить все собранные данные по метрике и сообщить о выполнении.

3. С удалением незаконно собранных данных на стороне "обработчика" будет работать поручивший оператор ПД.

Например, кадровое агентство, действующее по поручению оператора-работодателя, не удалило резюме кандидатов после завершения проекта. Роскомнадзор может направить требование работодателю, работодатель будет разбираться не только у себя (если не удалил), но и с кадровым агентством. Узнать Роскомнадзор может из жалобы кандидата.

❗️Завтра последний день подачи изменений по обработке ПД в Роскомнадзор.

Тем, кто ранее уведомлял Роскомнадзор о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 152-ФЗ), нужно не забыть уведомить об изменениях, произошедших в январе 2025 года (относительно направленных ранее сведений).
Основание: ч. 7 ст. 22 152-ФЗ.
Форма уведомления об изменениях на сайте Роскомнадзора: ссылка.

У Вас же есть процессы по ежемесячной оценке необходимости подачи изменений?

Ключевые тезисы 1-й секции конференции PrivacyForum, проведенной 28 января 2025 года.

Полная запись секции доступна здесь.

В начале февраля в Государственную Думу поступил законопроект о внесении изменений в КоАП РФ в части увеличения административных штрафов и срока давности привлечения к ответственности до 1 года за нарушения правил защиты информации (статья 13.12 КоАП РФ).
Разработчик законопроекта - ФСТЭК России.

Для наглядности подготовил сравнительную таблицу текущих и планируемых штрафов.

Напомню, что мы помогаем с легализацией обработки персональных в рекрутинговых и кадровых процессах. Партнером этого трека выступает Василий Шавин, к.ю.н, адвокат, эксперт по трудовому праву. Ссылка на нашу презентацию.

Сегодня Василий решил поделиться небольшой справкой по вопросу применения «дисциплинарного бонуса». Хотя это не совсем про ПД, решил опубликовать. Если Вы "кадровик", будет полезно. Ее можно обсудить в комментариях.

Зачастую работники используют ошибки работодателя в работе с ПДн в качестве аргументов в трудовых спорах, осведомленность граждан о правах в области защиты личной информации растет.

В статье январского номера журнала "Трудовые споры" эксперты разобрали, против чего выступают сотрудники в спорах, касающихся персональных данных, и рассказали, как компаниям защититься от внутренних privacy-активистов.

Опубликовали сегодня завершающую секцию Privacy Forum 2025 "Персональные данные в IT-компаниях".

В рамках темы эксперты поделились своими рассуждениями о том, как создать баланс взаимоотношений в поручениях на обработку, обсудили вопрос последующей обработки, а также много дискутировали о разграничении ответственности за утечки ПДн.

Модератор - Денис Лукаш, управляющий партнёр "Lukash & Partners"

Участники:
🔹Михаил Кравцов, главный юрист по персональным данным, ГК "Иннотех"
🔹Анастасия Котенева, руководитель юридического направления по странам Евразии группы компаний "Infobip"
🔹Станислав Румянцев, старший юрист, "Городисский и партнеры"
🔹Кристина Боровикова, CDPO в международной финтех компании, соучредитель RPPA.pro
🔹Евгений Царев, руководитель RTM Group, эксперт в области персональных данных

Запись доступна на платформах:

VK video

Rutube

В сообществах поделились ответом Роскомнадзора по Биометрии. Вроде все как всегда в ответе, но обратил внимание на этот нюанс:

"При этом, используя СКУД необходимо обрабатывать только те данные, которые определены в ч. 4 ст. 3 Закона № 572-ФЗ" (добавил ссылку для удобства).

Данную фразу можно понять двояко, но если в строгой интерпритации, то по мнению РКН в биометрических СКУД может быть только фото или голос, никаких там отпечатков ладошек и другой биометрии. Т.е. если хотим обойти 572-ФЗ, используя не голос и не фото, то РКН будет не согласен.

P.S. Спасибо, что делитесь ответами.

⚡️18-19 февраля "Безопасность 360" вместе с ведущими российскими экспертами в области Data Privacy приглашают на курс "Обработка персональных данных в организации".

Программа курса ориентирована на должностных лиц, являющихся ответственными за обработку ПДн, DPO, руководителей подразделений, занимающихся обработкой ПДн, юристов и комплаенс-менеджеров.

‼️ Как известно, в конце 2024 года в РФ были приняты поправки, усиливающие ответственность на нарушения требований обработки и утечки ПДн, а также введена уголовная ответственность за незаконное использование ПДн. Если раньше на организации, допустившие утечки ПДн налагались символические штрафы, то теперь в зависимости от количества пострадавших субъектов суммы штрафов будут составлять от 3 до 15 млн руб. для ИП и организаций и от 200 до 400 т.р. для должностных лиц.

Повторные нарушения влекут за собой оборотные штрафы на суммы не менее чем 20 млн руб.

⚠️ Такие наказания становятся серьезным риском для любого бизнеса. Но эти риски можно снизить, если организация соблюдала требования к защите данных и инвестировала в информационную безопасность.

Все законодательные новшества, наряду с устоявшимися положениями нормативно-правового регулирования в области ПДн рассматриваются на предлагаемом курсе. Обучение проводят известные эксперты-практики в области правовой защиты ПДн и технической защиты информации: Денис Лукаш, Алена Геращенко и Валерий Комаров.

✅ Особое внимание на курсе уделяется вопросам приведения бизнес-процессов в соответствие законодательным требованиям, легализации обработки ПДн для различных бизнес-целей, взаимоотношениям оператора, обработчика и надзорных органов, трансграничной передаче и анализу судебной практики в области защиты прав субъектов ПДн.

▶️ Зарегистрироваться

✅ При регистрации 2 и более человек от одной организации - скидки от 10%.

По всем вопросам обращайтесь в Безопасность 360:
📞 +7 (901) 189-50-50
📩 general@360sec.ru
ТГ: t.me/bezopasnost_360

ЕРИД 2Vtzqv5jz4c

Предпоследняя часть прошедшей конференции Privacy Forum 2025 доступна для просмотра.

В этой секции эксперты рассмотрели основные коллизии между нормами о персональных данных и привычными конструкциями гражданского законодательства, разобрали интересный судебный кейс, поговорили о проблемах несогласованной рекламной интеграции и излишних целях обработки персональных данных, а также о том, как эти вопросы влияют на рекламные рассылки.

Модератор - Кирилл Митягин, старший партнер Nevsky IP Law

Участники:
🔹 Марина Чурова, ведущий юрист"Lukash & Partners", экcперт в области информационного права
🔹Наталья Мирошниченко, партнер, руководитель практики Nevsky IP Law
🔹Герман Сабиров, руководитель направления правовой защиты данных и интеллектуальной собственности крупной финансовой организации
🔹Юлия Липатова, руководитель отдела правового сопровождения сервисов в IT-компании

VK video

Rutube

Выше репост с канала Михаила Хохолкова, который посчитал полезным для этого.

От себя добавлю ниже.

Роскомнадзор давно считает метрические данные, собираемые Google Analytics, персональными c признаками трансграничной передачи.
Выше письмо РКН и сводка позиций РКН к GA.

Вроде бы уведомить, и проблема решится.

На самом деле РКН получит информацию, которая будет для оператора ПД миной замедленного действия. Если политическая ситуация измениться, можно будет сказать, что оператор собирает ПД через обработчика (GA) не на территории России (сейчас по отношению к пользователям GA таких претензий не встречается).

Еще могут быть сложности с проведенной оценкой трансграничной передачи (ч. 5 ст. 12 152-ФЗ). Достоверность таких оценок РКН пока не проверяет, но когда-то дойдет время и до них.

Вводимые с июня 2025 года штрафы за нарушения в области ПД (в ст.13.11 КоАП РФ) не затрагивают отсутствие уведомлений по трансграничной передаче. Но они тесно связаны с целями и перечнями ПД, которые включаются в уведомление о намерении осуществлять обработку ПД. Здесь с июня будет штраф от 100 000 на юрлиц.

GA на сайтах + РКН

Вчера Алексей Березовой в своем канале Как устроены медиа отметил, что редакциям стали поступать требования от Роскомнадзора об удалении с сайтов Google Analytics.

Дополню. Не только СМИ, но и обычным компаниям. На скрине требование, которое получил интернет-магазин.

Сайты, на которых установлен счетчик, возможно, находит нейронка РКН в автоматическом режиме. К требованию РКН приложен скриншот исходного кода сайта, где Analytics выделен и подчеркнут.

Если сайт попадет под мониторинг Роскомнадзора, то требованием об удалении только одного счетчика, конечно, не ограничатся. Проверят абсолютно все, что касается обработки персональных данных на сайте: политики, согласия, формы.

Отмечу, что за такие истории не всегда сразу штрафуют. Наблюдаю лояльное отношение Роскомнадзора — предоставляется 10-дневный срок для устранения замечаний или выражения несогласия. Главное, не пропустить письмо с уведомлением.

➡️Вот что еще нужно знать про метрики на сайтах

#ПерсональныеДанные #Интернет #СМИ

Опубликовали третью запись c конференции Privacy Forum 2025.

Тема секции посвящена тонкостям работы с персональными данными слушателей/студентов образовательных организаций.

Со-модератор - Дарья Неверова, Генеральный директор "Безопасность 360"
Со-модератор - Денис Лукаш, управляющий партнер "Lukash & Partners"

Участники:
🔹 Татьяна Матвеева, заместитель директора правового департамента группы компаний "Академ Сити"
🔹 Эльшан Мамедов, эксперт по защите информации Академии "Softline"
🔹 Марина Чурова, ведущий юрист "Lukash & Partners", экcперт в области информационного права

Rutube

VK video

📚 Подборка из 10-ти юридических каналов, на которые можно подписаться.

Трудовые споры - канал о судебной практике по трудовому праву

Privacy Advocates - защита персональных данных, лайвхаки на проверках

РАПСИ – Российское агентство правовой и судебной информации

Налоговые споры - оперативный анализ важных судебных решений, связанных уплатой

ЧТО СКАЗАЛ СУД — жизненные ситуации в формате вопрос-ответ со ссылками на решения судов

Бывший прокурор - про прокуратуру и всё, что с ней связано

Судебный караульный - обзоры, аналитика, комментарии по судебным прецедентам

Денис Лукаш | Privacy Expert - канал о защите персональных данных в бизнесе

Налоговый советник -  изменения законодательства, cудебная практика и позиции госорганов по налогам

4 мнения - канал и подкаст от юристов для юристов и не только. Четыре юриста говорят о важном в профессии

Похоже подбираемся к закладыванию подходов Privacy by design & Privacy by default в 152-ФЗ.

Милош Вагнер, заместитель руководителя Роскомнадзора, на Саммите развития:

"... мы не вправе ... перекладывать на человека бремя оценки рисков и оценивать к чему может привести применение той или иной технологии..."

"Правильно со стороны бизнеса проектировать сервисы, которые позволяли бы человеку менять свои привычки, что бы они не нанесли вред в случае компрометации сведений о нем".

Доступна к просмотру вторая дискуссия Privacy Forum 2025 - "Персональные данные в иностранных юрисдикциях", в рамках которой эксперты обсудили трансграничную передачу персональных данных.

Модератор - Евгений Ким, ассоциированный партнер отдела информационных технологий и ИТ-рисков, "Б1"

Участники:
🔹Илья Дубовцев, эксперт по защите данных, ПАО "МТС"
🔹 Кирилл Зюбанов, CDPO Wildberries
🔹Наталья Алешкова, руководитель юридической службы в ООО "Гловис Рус" (ГК "Хендэ")
🔹 Борис Покровский, руководитель команды правового сопровождения сервисов по вопросам персональных данных, Яндекс
🔹 Елизавета Молоснова, Privacy Expert в международной IT компании

VK video

Rutube

Опубликовали видеозапись дискуссии "Проблемы внутреннего контроля за обработкой персональных данных в России", проведенную в рамках конференции Privacy Forum 28.01.2025.

Модератор - Юлия Белякова, адвокат, Председатель президиума МКА "Покровская Застава".

Участники дискуссии:

🔹Денис Лукаш, управляющий партнер "Lukash & Partners"
🔹Леонид Гольдман, Т-Банк (Росбанк)
🔹Алена Геращенко, комплаенс-менеджер, Т-Банк
🔹Екатерина Елисеенкова, руководитель направления контроля банковской группы, крупный российский банк

VK Видео

Rutube

Постепенно выложим записи других секций.

Уже завтра состоится онлайн - конференция Privacy Forum, я являюсь ее организатором. Начало в 10.00.

Запланированы следующие панельные дискуссии:

1. Проблемы внутреннего контроля за обработкой персональных данных в России.
К обсуждению приглашены участники из банковского сектора.

2. Персональные данные в иностранных юрисдикциях.
Участие примут эксперты из крупнейших международных компаний.

3. Персональные данные в образовательных организациях.
Приглашены эксперты непосредственно работающие и или консультирующие в сфере образования.

4. Точки пересечения персональных данных, интеллектуальной собственности и рекламы.
Подобрали интересные вопросы, привлекли известных консультантов в области интеллектуальной собственности и 2-х экспертов из корпораций.

5. Персональные данные в IT- компаниях.
Всех экспертов данной секции знаю лично, все сталкивались и решали нестандартные проблемы с ПД.

Программа здесь.
Решили открыть доступ к эфиру в Яндекс.Трансляции, ссылка.
Будет запись, но не сразу.