📣 Дела по ст. 13.11 КоАП переезжают в арбитражные суды

В начале года мы обещали периодически публиковать разбор отдельных изменений в КоАП, которые вступают в силу 30 мая 2025 года (предыдущие публикации про изменения см. здесь и здесь). Возвращаемся к обещанному!

Важное процессуальное изменение, про которое расскажем сегодня — это изменение компетенции судов по делам об административных правонарушениях, предусмотренных ст. 13.11 КоАП.

До 30 мая 2025 года такие дела в первой инстанции рассматривают судьи мировых судов вне зависимости от вида привлекаемого лица (в последующих инстанциях – федеральные судьи системы общей юрисдикции).

С 30 мая 2025 года дела по таким правонарушениям, если они совершены юридическими лицами (их должностными лицами или иными работниками) или ИП, будут рассматривать федеральные судьи государственных арбитражных судов. Для привлекаемых по ст. 13.11 КоАП физических лиц компетенция судов не изменится.

Для чего понадобилось это изменение?

К сожалению, законодатель оставил нас без ответа на этот вопрос, предложив нам подумать об этом самостоятельно. Возможно, штрафы посчитали слишком большими, а дела слишком сложными для того, чтобы рассматривать их в мировых судах? Если у вас есть идеи, давайте обсудим в комментариях. 👇

Что это изменение означает на практике?

⚫️Применение АПК
Дела о правонарушениях по ст. 13.11 КоАП, которые совершены указанными выше лицами, будут рассматриваться с учётом особенностей, предусмотренных нормами главы 25 АПК. Эти нормы (в сравнении с нормами КоАП) значительно более детально регламентируют процедуру судопроизводства.

⚫️Профессиональное представительство
DPO, если он не имеет юридического образования (или статуса адвоката / учёной степени по юридической специальности), не сможет выступать по таким арбитражным делам единственным представителем привлекаемого лица (ч. 3 ст. 59 АПК). Однако, в силу позиции КС РФ (постановление № 37-П от 16.07.2020), он сможет быть одним из представителей, если в деле уже есть другой, «профессиональный», представитель.

❗️Это правило не распространяется на две ситуации, в которых DPO продолжит иметь право быть единственным представителем в таких делах:

(1) если DPO является единоличным органом управления организации (например, генеральным директором);

(2) если в суде рассматривается дело о правонарушении по ст. 13.11 КоАП, производство по которому ведётся против самого DPO как должностного лица.

⚫️Преюдиция
Сейчас в арбитражных судах рассматриваются дела по оспариванию результатов контрольно-надзорных мероприятий, проведенных в отношении юридических лиц. С 30 мая 2025 года стороны таких дел не смогут оспаривать обстоятельства, установленные в судебных актах, принятых по делам об административных правонарушениях, и наоборот (ч. 2 ст. 69 АПК).

Открытым остается вопрос о том, будут ли восприняты арбитражными судами подходы, сформированные судьями мировых судов. Будем наблюдать за этим вместе с вами!

P.s. Благодарим Александра Ганзера, советника IP/IT практики Nextons, за помощь в подготовке 🫶

Неавтоматизированная обработка: подборка кейсов

Во время подготовки материалов для базы знаний PrivacyLine (там есть ответы на разные практические вопросы, с которыми DPO сталкиваются в работе) мы встречаем интересные, а порой забавные и странные кейсы из судебной практики. Недавно мы готовили очередную статью, которая посвящена не самой популярной, но тем не менее важной теме – неавтоматизированной обработке персональных данных. Роскомнадзор выявляет нарушения в такой обработке персональных данных не только при проверках, но и при рассмотрении жалоб субъектов.

Какие полезные и необычные кейсы мы нашли в этот раз?

⚫️Как экономия одного листа бумаги привела к штрафу в 50 000 рублей
Гражданин получил почтовое извещение, напечатанное на оригинале доверенности с персональными данными другого человека. Гражданин такую бережливость не оценил и обратился с жалобой в управление Роскомнадзора. Почтовое отделение объяснило ситуацию невнимательностью сотрудника, который не заменил листы бумаги в принтере, но от штрафа в 50 000 рублей это не спасло (решение).

⚫️Не стоит выбрасывать документы с персональными данными в урну (особенно при клиенте)

Клиент, обратившийся в офис для изменения своих данных, заметил, что оператор распечатала его заявление с ошибками, а на обороте был текст с персональными данными другого человека. Оператор порвала документ на две части в присутствии клиента, выбросила их в урну и распечатала новое заявление. Но новое заявление тоже содержало ошибки и тоже было напечатано на листе с персональными данными другого человека. Гражданин испугался за безопасность своих данных, попросил вернуть ему разорванные документы и обратился в управление Роскомнадзора с жалобой. Компании повезло больше, чем почтовому отделению в предыдущем деле, потому что дело завершилось всего лишь предупреждением (решение).

⚫️Не стоит развешивать претензии с персональными данными на территории предприятия

Если организация получает претензию от гражданина, которая содержит его персональные данные, то не стоит распечатывать её на листе А3 и развешивать по территории предприятия. Иначе можно получить штраф в размере 25 000 рублей, как это произошло с одним хлебопекарным предприятием (решение).

⚫️Аргументация для смелых: форма не является типовой, если оператор не утвердил её

Коротко напомним, что Постановление № 687, посвященное неавтоматизированной обработке, содержит ряд требований, применимых к типовым формам документов (они должны содержать определенные сведения, поля для проставления согласия и т.д.). При проверках Роскомнадзор смотрит, соответствуют ли типовые формы этим требованиям.

В одном из дел оператору удалось оспорить предписание Роскомнадзора, содержащее замечания к типовым формам, с элегантной аргументацией. Оператор указал, что ряд документов, в отношении которых были предъявлены претензии, не являются типовыми формами, потому что они не обязательны для использования и оператор не утверждал их в качестве типовых. Суд первой инстанции согласился с этим. По мнению суда, с учетом таких обстоятельств дела нельзя утверждать, что оспариваемые формы документов являются именно документами типовой формы. Суд апелляционной инстанции также поддержал эту позицию (решение).

Не уверены, что эта аргументация сработает в других подобных делах, но в отсутствие более удачных альтернатив даже такая аргументация может выглядеть выигрышно (особенно, в сравнении с никакой).

Тёмные паттерны: как сервисы манипулируют пользователями (и как это нарушает закон)

Цифровые сервисы любят использовать хитрости — тёмные паттерны (dark patterns), которые вводят пользователя в заблуждение и вынуждают его согласиться на то, чего он на самом деле не хочет. В случае с приватностью такие хитрости выражаются в использовании механик, которые позволяют собрать как можно больше персональных данных пользователя.

Некоторые типичные примеры тёмных паттернов:

⚫️ Вредные «подталкивания»
Пользователю предлагают согласиться на всё в один клик, а чтобы выбрать только необходимые настройки — вынуждают пройти сложный путь. Например, принять все cookies можно одним кликом, а согласиться только на часть cookies или отказаться от них можно только внутри сложно устроенного cookie-баннера.

⚫️Отсутствие приватности по умолчанию
Настройки, предполагающие наибольший сбор и распространение данных, включены по умолчанию и требуют усилий для изменения. Например, в соцсети ваши посты по умолчанию видны всем, а не только друзьям.

⚫️Конфирмшейминг (Confirmshaming)
Пользователя заставляют чувствовать себя неловко за отказ от чего-то. Например, кнопка отказа от рассылки может быть подписана как «Нет, я не не хочу получать наиболее подходящие для меня предложения».

⚫️Манипулятивные тексты (Biased Framing)
Варианты выбора представлены необъективно. Формулировки подчеркивают плюсы варианта, выгодного компании, но при этом скрывают риски, важные для пользователя. Например, могут использоваться формулировки вроде: «Поделитесь историей поиска для лучшего опыта» — без упоминания, что это приведёт к сбору и использованию большого объёма персональных данных и таргетингу.

⚫️Пакетное согласие (Bundled Consent)
Пользователю предлагают в один клик дать согласие на разные цели обработки данных, без возможности выбрать конкретные цели. Например, согласие на регистрацию профиля на сайте включает и подписку на маркетинговые рассылки.

Использование любого из этих паттернов может привести к нарушению законодательства о защите прав потребителей и Закона о персональных данных, в особенности, требований ч. 1 ст. 9 (согласие пользователя, полученное с использованием темных паттернов может быть признано несвободным и неинформированным).

Например, совсем недавно суд признал ничтожным получение банком согласия, указав, что формулировка «Продолжая, вы соглашаетесь на использование биометрических данных», размещенная в нижней части стартового окна, не содержит прямых сведений о возможности отказа и вводит в заблуждение клиента о предоставлении такого согласия путем обычного входа в мобильное приложение банка. Есть и другие судебные решения, в которых суд вставал на сторону субъектов, которые столкнулись с использованием тёмных паттернов.

Этот пост подготовлен на основе совместного отчёта ICO и CMA. По мотивам примеров из этого отчёта мы при помощи ИИ создали небольшой интерактивный прототип. Смотрите и исследуйте упомянутые в посте паттерны ➡️здесь⬅️ (и не забудьте показать это коллегам из отдела маркетинга).

Локализация персональных данных (версия 2.0)

С 1 июля 2025 года вступает в силу новая версия требования о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных).

Что изменится?

⚫️До 1 июля 2025: операторы обязаны при сборе персональных данных граждан РФ обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, которые находятся в РФ.

⚫️После 1 июля 2025: при сборе персональных данных граждан РФ запрещены запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных с использованием баз данных, находящихся за пределами РФ.

Коллеги по цеху уже делились своим мнением по поводу этих изменений. См. например:
��Большая презентация Privacy Advocates
📎Справка Lukash & Partners
📎Аналитика Comply
📎Алерт Nextons
📎Мнение Кирилла Зюбанова
📎Мнение Михаила Емельянникова раз и два

Пока неясно, будет ли Роскомнадзор так же активно привлекать к ответственности российские компании, как это происходит с иностранными. Однако оценить риски на случай реализации «худшего сценария» можно уже сейчас.

Мы подготовили карточки с актуальной статистикой по делам о локализации персональных данных. Но напомним, что с 30 мая 2025 года дела по ст. 13.11 КоАП РФ (включая нарушения норм о локализации) будут рассматривать арбитражные суды, что может изменить сложившиеся подходы.

Почему так мало дел в отношении российских компаний? Видим несколько причин:

⚫️Требование о локализации персональных данных изначально вводилось с прицелом на иностранные сервисы. Это следовало из контекста его принятия и в целом подтверждается дальнейшей практикой правоприменения.

⚫️Вероятно, российские организации просто быстрее исправляли нарушения после получения замечаний от Роскомнадзора. Например, в 2022 году Роскомнадзор сообщил, что порядка 50 организаций устранили нарушения без привлечения к административной ответственности.

⚫️Не забываем и о действии моратория на плановые проверки российских операторов, который ограничивает возможности Роскомнадзора для выявления нарушений.

📣Уголовная ответственность в сфере персональных данных: разбираем новую статью 272.1 УК РФ

В конце прошлого года в КоАП РФ и УК РФ были внесены важные изменения, касающиеся ответственности за различные нарушения в сфере персональных данных. Про изменения в КоАП РФ мы уже рассказывали. Сегодня пришло время рассказать про изменения в УК РФ.

Напомним, что 11 декабря 2024 года вступила в силу новая статья 272.1 УК РФ. Если говорить коротко, то эта статья ввела уголовную ответственность за незаконную обработку персональных данных, полученных незаконным путём. Фактически, появились два новых состава преступления:

⚫️чч. 1–5 ст. 272.1 УК РФ: незаконное использование, передача, сбор или хранение персональных данных, полученных незаконным путём, а также ряд квалифицированных составов;

⚫️ч. 6 ст. 272.1 УК РФ: создание или обеспечение функционирования информационных ресурсов, заведомо предназначенных для незаконного хранения или распространения персональных данных, полученных незаконным путём.

Формулировки новой статьи вызывают у экспертов много вопросов — и мы не исключение 🙂. Как статья будет применяться на практике, покажет только время. Но мы уже попробовали разобраться в изменениях и подготовили для вас подробный обзор. Надеемся, он будет полезным!

Читайте обзор по ссылке ➡️здесь⬅️

Дайджест постов канала «DPO отвечает» за период с января по февраль

В январе и феврале у канала появилось много новых читателей (🫶), поэтому мы решили сделать для вас дайджест публикаций.

Разбор изменений и трендов регулирования:

⚫️Изменения в контроле и надзоре
28 декабря 2024 года приняли поправки в закон о госконтроле. Мы разобрали изменения, которые затронут контроль за обработкой персональных данных. Теперь внеплановые документарные проверки требуют согласования с прокуратурой, а утечка данных в интернет — повод для проверки.

⚫️Обзор основных изменений регулирования за 2024 год
На бизнес-завтраке для фармбизнеса рассказали про ключевые изменения и тренды в регулировании обработки персональных данных. Презентация — по ссылке.

⚫️Новые правила проведения профилактических визитов
Разобрали изменения в регулировании профилактических визитов. Теперь они стали больше похожи на проверки. Сравнительная табличка старого и нового регулирования — по ссылке.

Интересные судебные решения:

⚫️Кейс: удалить не значит уничтожить
Свежий кейс напомнил нам, что удаление данных — не то же самое, что их уничтожение, а контроль обработчиков входит в задачи операторов.

⚫️Отсутствие учета процессов обработки = штраф?
Классический случай: компанию оштрафовали за неопубликованную политику обработки данных и отсутствие учёта процессов после проверки прокуратуры. Рассказали подробности дела и подготовили статью о том, как вести такой учет с помощью реестра процессов — читайте здесь.

⚫️Кейс: утечка длиною в жизнь
Рассмотрели дело о повторной утечке, в котором суд признал нарушение длящимся и расценил уведомление об утечке как подтверждение факта нарушения.

Про организацию и автоматизацию задач DPO:

⚫️Privacy Tech в гостях у Git.Legal
В конце 2024 года обсудили с Иваном Мелиховым (Git.Legal) автоматизацию задач DPO и сервис PrivacyLine. Интервью доступно на RuTube, а также в подкастах на Я.Музыке и Podster.

⚫️Персональные данные и ИИ
Как использовать персональные данные для обучения ИИ в рамках закона? Мы рассмотрели основания обработки и подсказали, где искать вдохновение.

⚫️Фреймворки для DPO: Data Protection Audit Framework
Начали серию постов о международных фреймворках и сделали обзор Data Protection Audit Framework от ICO. Это руководство помогает структурировать работу DPO. Адаптированный перевод части фреймворка про учёт процессов — по ссылке.

Мы продолжим рассказывать про тренды регулирования, интересные кейсы, автоматизацию задач DPO и многое другое. Спасибо, что читаете! ❤️

DPO отвечает | #дайджест

✏️ Кейс: Утечка длиною в жизнь

Через три месяца вступит в силу штраф за повторную утечку персональных данных (ч. 15 и 18 ст. 13.11 КоАП РФ). И это не просто штраф, а штраф в процентах от оборота компании. Мы решили проверить, привлекались ли компании ранее к ответственности за повторные утечки, и нашли несколько судебных решений. Сегодня разберем одно из них — достаточно свежее решение суда от сентября 2023 года.

Обстоятельства дела:

Управление Роскомнадзора по ЦФО в ходе мониторинга интернет-ресурсов обнаружило в открытом доступе базу данных ПАО «ВымпелКом», содержащую персональные данные клиентов: ФИО, номера телефонов, паспортные данные и адреса прописки. Компания уведомила Роскомнадзор об этой утечке 2 и 4 июня 2023 года, указав, что в базе содержатся данные, актуальные на 2006 год, и что они были распространены неустановленным третьим лицом.

Роскомнадзор квалифицировал этот инцидент как повторное нарушение и составил протокол по ч. 1.1 ст. 13.11 КоАП РФ, поскольку в феврале 2023 года компания уже привлекалась к ответственности по ч. 1 ст. 13.11 КоАП РФ — тоже за утечку.

Позиция защиты:

Защитник компании заявил, что отсутствуют признаки повторности, а срок давности привлечения к административной ответственности истек, ведь база данных была размещена в сети Интернет еще в 2006 году. Кроме того, он подчеркнул, что направление уведомления об утечке — это не признание вины, а просто исполнение обязанности, предусмотренной законом.

Что решил суд?

Суд признал нарушение длящимся. Днём обнаружения правонарушения была определена дата, когда в сети была размещена информация об утечке — 1 июня 2023 года. Это подтверждалось уведомлениями компании об утечке и скриншотами.

Суд отклонил довод защиты о том, что уведомление об утечке не может быть основанием для возбуждения дела. Суд указал, что добровольное сообщение об утечке не препятствует возбуждению производства, если событие правонарушения установлено. Однако учел это как смягчающее обстоятельство со ссылкой на п. 3 ч. 1 ст. 4.2 КоАП РФ (добровольное сообщение о совершенном административном правонарушении). В итоге штраф составил минимальные 100 000 рублей.

О чём нам напоминает это решение?

Новая редакция ст. 13.11 КоАП выделяет утечку персональных данных в отдельное правонарушение. Но риски, вытекающие из этого судебного решения, останутся актуальными:

⚫️Утечка как длящееся нарушение. Если данные продолжают находиться в открытом доступе, суды могут квалифицировать это как длящееся правонарушение. Срок давности в таких случаях отсчитывается с момента фактического обнаружения нарушения или когда оно могло быть обнаружено. Даже если утечка произошла до 30 мая 2025 года, есть риск, что штрафы будут накладываться по новым составам ст. 13.11 КоАП РФ (несмотря на то, что закон не имеет обратной силы).

⚫️Уведомление как подтверждение нарушения. Суд может расценить уведомление об утечке как подтверждение факта нарушения.

Решение было оставлено в силе в апелляции. Более того, похожие аргументы позже были использованы в решении суда по другому делу.

Новые правила проведения профилактических визитов

28 декабря 2024 года вступил в силу Федеральный закон № 540-ФЗ, который внес целый ряд изменений в порядок осуществления контроля и надзора (наш пост с общим обзором изменений). Сегодня подробнее разберём новые правила проведения профилактических визитов. В последнее время они стали одним из основных инструментов регуляторов. Активно ими пользуется и Роскомнадзор.

Ожидаем, что в развитие этих изменений в обозримом будущем будут внесены соответствующие изменения и в Положение о контроле за обработкой персональных данных.

Подготовили для вас сравнительную таблицу нового и старого регулирования — смотреть тут.

🔎На что DPO стоит обратить особенное внимание?

⚫️Изменение правил проведения обязательных профилактических визитов. Обязательный профилактический визит (ст. 52.1 ФЗ № 248) инициируется контрольным (надзорным) органом в случаях, предусмотренных законом. Отказ от такого визита теперь невозможен.

Непосредственно из закона следует, что такие визиты должны проводиться в отношении объектов высокого риска. Периодичность проведения визитов для объектов значительного, среднего и умеренного рисков должна быть определена Правительством по отдельным видам контроля (но пока такая периодичность не определена). С учетом внесенных изменений обязательные визиты становятся похожими на полноценные проверки.

Важно, что на профилактические визиты не распространяется мораторий, установленный Постановлением Правительства № 336.

⚫️Расширение полномочий инспектора. При обязательном визите инспектор теперь вправе не только запрашивать документы и информацию, но и проводить осмотр, инструментальное обследование, испытания, а также экспертизу.

⚫️Возможность выдать предписание. При обнаружении нарушений в рамках обязательного визита теперь может быть выдано предписание об их устранении, если такие нарушения не устранены до окончания проведения визита.

Персональные данные и ИИ

Использование персональных данных для обучения ИИ давно перестало быть теоретическим вопросом и стало реальной проблемой задачей для DPO. Так, если датасет, используемый для обучения ИИ, потенциально содержит персональные данные, необходимо оценить:

1) Возможности для предварительной анонимизации данных в датасете, чтобы они больше не могли быть отнесены к персональным, но датасет при этом остался полезным;

2) Возможное основание обработки персональных данных, которые не могут быть исключены из датасета.

С точки зрения российского законодательства о персональных данных потенциально применимыми могут быть несколько оснований:

⚫️Согласие на обработку персональных данных (практически нереалистичный вариант, который с учетом права субъекта на отзыв согласия еще и не очень надежен).

⚫️ Обработка персональных данных в исследовательских целях (в целом рабочее основание, которое, однако, плохо сочетается с любого рода коммерциализацией).

⚫️ «Законный интерес». По сути, единственное основание, которое может применяться относительно универсально. При этом оператор должен соблюсти требование об отсутствии "нарушения прав и свобод субъекта персональных данных". Пределы указанных прав и свобод весьма размыты, особенно, в условиях отечественного правоприменения.

Как мы видим, очевидно надежных и универсальных решений непосредственно в законе не обнаруживается. Пока российский надзорный орган хранит молчание по вопросу, DPO может черпать вдохновение в творчестве зарубежного регулятора.

EDPB опубликовал в декабре 2024 года рекомендации, связанные с соблюдением privacy при работе с ИИ. В них рассмотрены такие вопросы, как, например, анонимизация персональных данных, возможность использования законного интереса в качестве основания для разработки ИИ, последствия незаконной обработки данных, использование сторонних датасетов.

Тем же, кто хочет погрузиться в тему более глубоко, может быть интересен опыт экспертов сообщества RPPA, которые уже работают с ИИ в контексте персональных данных. Практические нюансы такой работы будут разбираться на курсе AI Governance.

Бизнес-завтрак Nextons для фармацевтического бизнеса

Вопросы обработки персональных данных актуальны для любой компании, и фармацевтический бизнес не исключение. Помимо стандартных процессов обработки персональных данных, в фарме есть и свои особенности: обработка данных в рамках клинических исследований и фармаконадзора, при работе с KOL и развитии цифровых сервисов.

Сегодня на бизнес-завтраке Nextons для фармацевтического бизнеса обсудили главные события и инициативы 2024 года в сфере регулирования персональных данных. Событий и инициатив было много, но мы выбрали ключевые:
⚫️Изменение ответственности в КоАП РФ и УК РФ;
⚫️Изменения в правилах контрольной (надзорной) деятельности, включая новые правила проведения профилактических визитов;
⚫️Введение специального порядка обезличивания персональных данных для создания датасетов и тренировки ИИ.

Также вспомнили инициативы прошлого года, которые могут получить свою реализацию в 2025 году:
��ужесточение требования о локализации персональных данных;
🔷требование оформлять согласие на обработку персональных данных отдельно от других документов;
🔷введение института уполномоченных операторов;
🔷введение обязательных стандартов работы с персональными данными.

Прикладываем презентацию, подготовленную для мероприятия:

📖 Читать презентацию здесь

Privacy Day 🎉

Каждый год 28 января мы наблюдаем рост количества публикаций о важности приватности и защиты данных. Почему? Потому что в этот день, уже 44 года назад, был принят один из ключевых международных документов в области защиты частной жизни — Конвенция № 108.

В этот день мы предлагаем вспомнить не только о защите данных (хотя мы уверены, что вы об этом и не забывали), но и подумать о чаяниях тех, кто стоит на страже этой самой защиты — о DPO. Чего же не хватает DPO?

Отсутствие учёта процессов обработки данных = штраф?

Сегодня разберем дело из судебной практики (июнь 2023 года), которое является достаточно классическим примером привлечения к ответственности за такое нарушение, как неопубликование политики обработки персональных данных. Но помимо этого, это дело напоминает нам о важности такой составляющей комплаенса, как инвентаризация и подготовка реестра процессов обработки персональных данных.

Обстоятельства дела:

Транспортная прокуратура провела проверку в отношении компании, которая вела деятельность по бронированию авиаперевозок. Проверка выявила несколько нарушений: (1) не опубликована политика в отношении обработки данных, (2) не организована обработка обращений субъектов персональных данных, а также (3) не разработаны документы, которые определяют для каждой цели обработки параметры, установленные в п. 2 ч. 1 ст. 18.1 Закона о персональных данных:

⚫️Категории и перечень обрабатываемых персональных данных;
⚫️Категории субъектов, персональные данные которых обрабатываются;
⚫️Способы обработки персональных данных;
⚫️Сроки обработки и хранения персональных данных;
⚫️Порядок уничтожения персональных данных.

Прокуратура потребовала привлечь к административной ответственности по ч. 3 ст. 13.11 КоАП РФ директора общества, которая была назначена ответственной за организацию обработки персональных данных.

Что решил суд:

Суд установил, что материалы проверки транспортной прокуратуры подтверждают нарушение и назначил директору (как должностному лицу) наказание в виде штрафа в минимальном размере, поскольку к моменту рассмотрения дела нарушения уже были устранены.

Чем интересно это решение:

⚫️Это дело — хорошее напоминание о том, что не только Роскомнадзор может составлять протокол об административном правонарушении. Прокуратура тоже может возбуждать дела об административных правонарушениях в сфере персональных данных. Мы изучили немало судебной практики и с уверенностью можем сказать, что прокуратура активно пользуется этим правом.

⚫️Суд при обосновании ответственности директора прямо указал на факт назначения его лицом, ответственным за обработку персональных данных, а также указал на неисполнение обязанности ответственного лица в качестве основания для назначения наказания.

⚫️И прокуратура, и суд назвали в качестве основания назначения наказания не только неопубликование политики, но и отсутствие документов, определяющих параметры обработки персональных данных.

Основой исполнения обязанностей по ч. 2 ст. 18.1 Закона о персональных данных является инвентаризация и документирование процессов обработки персональных данных. Как делать это с помощью реестра процессов обработки и о том, как вести его правильно и удобно, написали отдельную статью (читать ➡️ здесь ⬅️).