Минцифры РФ о БПДН. Выдержка из свежего письма на скриншоте, ниже мой вольный пересказ сути:

Между оператором коммерческой биометрической системы и его клиентом отношения НЕ обработчик - оператор, а оператор - оператор. Т.е. поручение на обработку не нужно.

Но если отношения не ограничены исключительно идентификацией и аутентификацией по 572-ФЗ, то возможно потребуется поручение на обработку.

Роскомнадзор: "...полагаем, что саморегулируемая организация и арбитражные управляющие являются операторами, на которых, в том числе, возлагается обязанность по уведомлению Роскомнадзора о начале такой обработки" ⬇️

Напомню, сегодня в 17.00 вебинар по локализации баз персональных данных в связи с изменениями в ч. 5 ст. 18 152-ФЗ с 01 июля 2025 года.

Регистрация по ссылке. Бесплатно.

С сегодняшнего дня вступила в силу новая редакция ч.5 ст.18 №152-ФЗ, касающаяся сбора персональных данных граждан РФ с использованием иностранных баз данных (Федеральный закон от 28.02.2025 № 23-ФЗ).

Как эти изменения затронут российский бизнес? Можно ли передавать персональные данные заграницу и как?

Вчера на вебинаре внешние и внутренние DPO крупных компаний рассмотрели возможности обработки персональных данных в реалиях новой нормы и обсудили проблемные вопросы.

Запись встречи уже доступна на Rutube и VK Видео

Прилагаю презентацию с вебинара, где по результатам добавлено 2 слайда с выводами.

Ответ Минцифры РФ о трансграничной передаче в телеграм. Опубликовано в чате канала. Так как не прикрепилось к комментариям поста, публикую через канал для более широкого круга.

Должность начальника юридической службы ООО «ТРВ-Ахтубинск» Гражданки С. попала под сокращение. Работодателем были предоставлены вакантные должности, от которых Гражданка С. отказалась. В то же время, находясь на рабочем месте, Гражданка С. среди документов случайно увидела копию приказа о приеме на работу Гражданина А. на должность администратора дежурного, которую ей не предлагали. Гражданка С. сняла копию приказа и сохранила у себя для личного пользования. В дальнейшем, в связи с увольнением, проведенным по мнению Гражданки С. с нарушением норм трудового законодательства, она обратилась в суд с иском к ООО «ТРВ-Ахтубинск» о признании увольнения незаконным. В рамках заявленного иска Гражданка С. передала своему представителю копию приказа о приеме на работу Гражданина А. для приобщения к материалам дела. Согласия на обработку своих ПДн и их передачу в суд Гражданин А. не давал и обратился в Роскомнадзор в связи с нарушением 152-ФЗ.

Мировой судья признал Гражданку С. виновной по ч. 1 ст. 13.11 КоАП и назначил штраф в размере 2 000 рублей, указав:
🔹у Гражданки С. отсутствовали полномочия (обязанности в соответствии с должностной инструкцией) и какая-либо необходимость в передаче ПДн Гражданина А. суду;
🔹ходатайства об оказании содействия в собирании и истребовании из ООО «ТРВ-Ахтубинск» копии приказа в отношении Гражданина А. представителем не заявлялось;
🔹под обработкой ПДн в силу закона понимается не только передача (распространение, предоставление, доступ), а также сбор и хранение.

Судьи районного и кассационного судов с выводами согласились, однако, Верховный Суд нашел выводы нижестоящих судов преждевременными, аргументировав следующим:
🔹согласно должностной инструкции ООО «ТРВ-Ахтубинск» начальник юридической службы обязан осуществлять правовое обеспечение деятельности Общества, правовую экспертизу проектов приказов;
🔹вопрос о том, обрабатывались ли Гражданкой С. ПДн Гражданина А. до передачи копии приказа своему представителю для защиты своих прав по гражданскому делу, не был предметом проверки и оценки мирового судьи применительно к положениям п. 1 ч. 2 ст. 1 152-ФЗ (равно как и ее представителем после получения этой копии и ее последующего предъявления суду);
🔹каких-либо доказательств обработки Гражданкой С. ПДн Гражданина А. не для защиты своих прав по гражданскому делу, а также доказательств, свидетельствующих о нарушении прав и законных интересов А. как субъекта ПДн, материалы дела не содержат;
🔹реализация права лица на ведение своих дел в суде через представителей (ст. 48 ГПК РФ) предполагает сообщение представителям информации о других лицах спорных правоотношений;
🔹ходатайство о приобщении к материалам дела было заявлено в целях опровержения представленного ООО «ТРВ-Ахтубинск» штатного расписания, согласно которому должность администратора-дежурного, которая не была предложена Гражданке С., на тот момент была уже занята Гражданином А. Возражений против удовлетворения данного ходатайства не поступило, оно удовлетворено судом.

Таким образом, предоставление копии приказа в отношении работника Общества Гражданина А. было связано с защитой Гражданкой С. своих прав и законных интересов в судебном порядке с целью формирования своей позиции в споре и опровержения доказательств, представленных стороной ответчика.
Верховный суд отменил акты нижестоящих судов и отправил дело на новое рассмотрение ➡️
(Постановление от 20 марта 2025 г. № 25-АД25-1-К4)

#практика

Роскомнадзор: логин и никнейм являются информацией прямо или косвенно относящейся к определенному или определяемому физическому лицу и подпадают под определение «персональные данные» в соответствии с п. 1 ст. 3 Закона.

P.S. Спасибо, что делитесь ответами

УРКН ЦФО о правилах использования рекомендательных технологий и СОПД.

"... основанием для сбора персональных данных является согласие гражданина на обработку его персональных данных в целях сбора сведений о предпочтениях пользователей информационного ресурса. Такое согласие граждане могут дать в любой форме, в том числе посредством совершения конклюдентных действий."

Вопрос касался использования Правил применения рекомендательных технологий, как самостоятельного основания обработки персональных данных.

Из ответа осталось не ясным позиция УРКН: является ли продолжение использования сайта с опубликованными Правилами применения рекомендательных технологий согласием на обработку ПД, данным посредством конклюдентных действий, или нужно отдельное согласие, так как информирование об обработке ПД не является получением согласия.

Если корпоративный формат не подходит и оптимально индивидуальное обучение, то скоро старт следующего потока 2-х дневного курса по персональным данным, где я являюсь преподавателем.

Курс получил расширение преподавательского состава и к программе присоединится Екатерина Ефимова, Руководитель направления персональных данных ФГУП "ГРЧЦ" (повед Роскомнадзора).

Итого, за 2 дня большой концентрат информации от 4-х практиков:

1. Екатерина Ефимова, ГРЧЦ
2. Денис Лукаш, Lukash & Partners
3. Алена Геращенко, ТБанк.
4. Валерий Комаров, ФГУ "Инфогород".

Выводы из решения: размещение ПДн на сайте организации - длящееся правонарушение. Срок привлечения к административной ответственности начинает исчисляться со дня обнаружения размещения, а не со дня, когда соответствующие данные должны были быть удалены.

На сайте ООО «Свердловская автошкола» были размещены ПДн бывшего работника - гражданки О. (ФИО и фото). Гражданка О. согласия на распространение своих ПДн после увольнения не давала и обратилась 08.11.2023 с жалобой в Роскомнадзор.

01.02.2024 в отношении ООО «Свердловская автошкола» составлен протокол об административном правонарушении, предусмотренном ч. 1 ст. 13.11 КоАП.

08.08.2024 постановлением мирового судьи производство по делу прекращено на основании пункта 6 ч. 1 ст. 24.5 КоАП, в связи с истечением срока давности привлечения к административной ответственности. Мировой судья исходил из того, что вмененное обществу административное правонарушение не является длящимся, и указанный срок подлежит исчислению с момента возникновения у общества обязанности прекратить использование ПДн - после увольнения работника 28.02.2023, с 10.03.2023.

➡️ Представитель РКН обратился с жалобой на постановление мирового в судьи в кассационный суд, который, в свою очередь, нашел выводы мирового судьи об истечении срока необоснованными по следующим обстоятельствам:

🔹Согласно ч. 1 ст. 4.5 КоАП срок исковой давности за совершение правонарушения, предусмотренного статьей 13.11 – 1 год. В соответствии с ч. 2 ст. 4.5 КоАП при длящемся административном правонарушении сроки, предусмотренные ч. 1 данной статьи, начинают исчисляться со дня обнаружения административного правонарушения.

🔹Согласно п. 14 постановления Пленума Верховного Суда Российской Федерации от 24.03.2005 № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях», длящимся является такое административное правонарушение (действие или бездействие), которое выражается в длительном непрекращающемся невыполнении или ненадлежащем выполнении предусмотренных законом обязанностей. Днем обнаружения такого правонарушения считается день, когда должностное лицо, уполномоченное составлять протокол об административном правонарушении, выявило факт его совершения.

🔹Общество в нарушение требований ст. 6 152-ФЗ осуществляло обработку ПДн Гражданки О. путем размещения на официальном сайте после ее увольнения с работы 28.02.2023.
Деяние, по факту которого было возбуждено дело, имеет признаки продолжающегося и является длящимся; о его длящемся характере свидетельствует сам способ распространения информации путем ее размещения на общедоступном и постоянно функционирующем сайте, а также на то, что по состоянию на 09.11.2023 эта информация о персональных данных была доступна для прочтения неограниченному кругу посетителей сайта.

🔹Содержащийся в постановлении мирового судьи вывод о том, что при исчислении срока давности привлечения к административной ответственности следует исходить из момента возникновения у работодателя обязанности по удалению с сайта ПДн уволенного работника в соответствии с ч. 4 ст. 21 152-ФЗ – 10.03.2023, и на момент вынесения постановления данный срок истек, является неправильным.

🔹Основания для возбуждения дела об административном правонарушении выявлены 08.11.2023, соответственно, срок давности привлечения к ответственности начал исчисляться с 08.11.2023 (с момента выявления) и по состоянию на дату рассмотрения дела (08.08.2024) не истек. Дата прекращения трудовых правоотношений между работником и работодателем и возникновения у общества обязанности по прекращению обработки ПДн работника, размещенных на сайте общества, для исчисления срока давности привлечения к ответственности правового значения не имеет. Таким образом, постановление мирового судьи подлежит изменению.
(Постановление Седьмого кассационного суда от 20 мая 2025 г. № 16-2670/2025)

#практика

УРКН по Республике Башкортостан:

"Исходя из вышеуказанного, никнейм (ник) и адрес электронной почты подпадают под определение «персональные данные» в соответствии с п. 1 ст. 3 Закона."

"номер телефона будет являться персональными данными исключительно в совокупности с дополнительной информацией, позволяющей отнести его к конкретному физическому лицу."

а также другие ответы на вопросы.

P.S. Спасибо, что делитесь ответами

Отразится ли планируемая адвокатская монополия на работе DPO?

Текст законопроекта если не видели.

Работа DPO - это больше комплаенс-практика, но есть споры по искам субъектов ПД, дела по КАС и КоАП. Если DPO не станет адвокатом, для большинства DPO в профессии можно работать в партнерстве с адвокатом. Безусловно, есть и будут исключения и специализации у DPO, но для большинства статус не нужен.

Выше написанное для полноты поста. Основная его суть ниже. Она о возможностях DPO, которые будут начинать в профессии в случае принятия законопроекта.

Появляется риск снижения качества экспертов в профессии с точки зрения бизнеса. Одна из конечных целей работы DPO - это соблюдение прав субъектов персональных данных, и, что бизнесу важнее, принять правовое решение для оператора ПД в условиях неопределенности закона.

Работа DPO включает мышление на уровне доказательств, которые могут быть приняты Роскомнадзором и судом. Учитывается и формальный процесс, и правовая логика и много еще всего.

Возьмем пример, где Оператором ПД используются иностранные системы. Насколько точный вывод по уровню правового риска и необходимым мерам может дать DPO клиенту или работодателю, о том, что в суде не будет штрафа 1 - 6 млн. рублей за не локализацию баз ПД. В среднем, точнее рекомендацию даст DPO с практическим судебным опытом или без него? Здесь от судебного прогноза будут зависеть не только оценка риска по штрафам, но и решение по инвестициям в ИТ, это еще миллионы.

Или если DPO сопровождает проверку Роскомнадзора, насколько клиент или работодатель может положиться на предложенную стратегию сопровождения проверки, если он практически с процессом по КАС и КоАП не работал?

Роскомнадзор в большинстве случаев не составит протокол, если по доказательствам наказание мало вероятно. В Роскомнадзоре накоплен большой процессуальный опыт, а статистические результаты судебной практики для него имеют большое значение.

Я всегда говорил, что DPO должен быть отчасти процессуалистом. Практический навык работы можно получить только профессионально участвуя в судах (как процессуальная сторона). Не постоянно. Хотя бы в начале карьеры, хотя бы в паре десятков. Лучше практиковать периодически, если еще не руководишь теми, кто должен иногда ходить в суды и набираться этого опыта.

В случае принятия законопроекта об адвокатской монополии возможностей для практического набора судебного опыта у DPO станет меньше.

Позитивный момент: умение выстраивать коллаборации с экспертами других специализаций - это уже сейчас норма для DPO, коллаборации с судебными юристами компаний-клиентов, адвокатами станут плотнее.

Сразу оговорю 2 момента:

1. Относительно Инхаус-DPO. В суды смогут ходить работники оператора персональных данных (помимо адвокатов), т.е. DPO в штате. Если в группе 50 компаний, а DPO устроен в 1 или даже в 5 ключевых, то появляются сложности и здесь. Сотрудничество с адвокатом понадобится. Будет небольшое окно и в мировых судах, где статус адвоката не будет нужен, но для профессионального судебного опыта этого мало. Кстати, в чатах обсуждают, что возможность временного трудоустройства для возможности участия в суде прикроют (при прошлой попытке ввести адвокатскую монополию это работало).

2. Относительно юробразования DPO.
Кто-то скажет, что работает DPO вообще без юробразования и в суды не ходит.
Во-первых, если Вы работаете несколько лет, то уже научились мыслить как юрист. Я не знаю как работать несколько лет DPO и не научиться мыслить гуманитарно, не общаться с другими юристами и не обмениваться опытом.
Во-вторых, здесь можно привести пример со знанием английского языка. Можно ли жить и работать без него? Можно. Но если знать, профессиональное мышление и возможности становятся шире.

Как юрист и инженер (по первому образованию), скажу свое мнение. Работа DPO - это во многом работа правового характера, хотя без технических знаний и навыков тоже не обойтись.

Процессуальный опыт - неотъемлемая часть этой профессии, если есть желание играть в первой лиге и выше.

Вопросы о конкуренции норм ТК РФ и ФЗ "О коммерческой тайне", направленные Роскомнадзору. Следующим постом ответ Роскомнадзора.

Полностью поставленные вопросы во вложении, ниже копипаст ключевых.

Вопрос 1.
Вправе ли правообладатель по договору коммерческой концессии истребовать у пользователя сведения о лицах (работниках пользователя), которым предоставлен доступ к коммерческой тайне правообладателя?

Вопрос 2.
Является ли пункт 3 части 2 статьи Федерального закона «О коммерческой тайне», пункт 1 части 3 статьи 6 Федерального закона «Об информации, информационных технологиях и о защите информации» правовым основанием для обработки персональных данных работника пользователя, в том числе для их передачи правообладателю для осуществления контроля правообладателем за соблюдением своего режима коммерческого тайны.

Вопрос 3.
Если пользователем не получено согласие работника на передачу персональных данных правообладателю, то обязан ли пользователь в целях соблюдения прав обладателя коммерческой тайны передать персональные данные
правообладателю, или это является основанием для отказа в такой передаче? (И соответственно невозможностью для правообладателя контролировать соблюдение своего режима коммерческой тайны).

Из контекста ответа УРКН ЦФО следует, что преобладает ТК РФ.

P.S. Спасибо, что делитесь ответами.

Законы меняются, задач становится все больше. В Lukash & Patners открываем сразу 2 вакансии по Data Privacy.

Ключевое:
1. Уровень от Junior+ до Middle.
2. Опыт работы в ПДн от 2 лет или TMT/IP/IT и т.п. с совмещением DP от 4 лет.
3. Самодисциплина, свехвнимательность к деталям, и даже перфекционизм. Знаете ощущение, когда видишь чужой документ и не можешь не поправить ошибку? Здесь почти об этом.
4. Уметь ясно излагать правовые тексты в письменном виде, понимание основ legal дизайна.
5. Английский от уровня "B", обязательно высшее юридическое образование.

О работе:
1. Первое время работать с аналитическими текстами, презентациями и "внешними" материалами. По мере погружения и притирки - больше консалтинга, задачи самые разные. Можно без опыта в консалтинге, но время погружения будет больше.
2. Можно работать удаленно, но с возможностью посещать Мск.
3. Получите большой опыт работы с лидерами рынка, сможете стать внешним DPO наших клиентов.

По зарплате договоримся, но сразу обозначьте свой уровень. Отталкиваясь от вашего уровня будет небольшое тестовое задание. Возможно совмещение до 2 мес. с переходом.

Резюме на [email protected].

Этим летом крупные девелоперы обсуждают как быть с биометрическими СКУД на стройках.

Причиной этому стало Распоряжение Департамента информационных технологий города Москвы и Департамента градостроительной политики города Москвы от 27.06.2025 № 64-16-307/25/22 (update, добавлена ссылка ниже).

Основная суть: при строительстве в интересах г. Москвы на строй площадках должен быть БПДн СКУД, Застройщик должен пропускать через него.

Положительные моменты:

1. Безопасность строительных объектов (с позиции Москвы).

2. Можно подключиться к региональному сегменту ЕБС. Первое время проходы (аутентификация) будут для застройщика бесплатными. Можно транзакционно без коммерческой биометрической системы.

Настораживающие моменты:

1. Все строители (и кто еще захочет пройти на стройку) должны обязательно сдать добровольную биометрию в ЕБС.

Примечание. Есть 2 трека сдачи: 1. для граждан РФ и РБ 2. для граждан других стран.

2. Стройка может начаться условно" в картофельном поле", где должен быть уже канал связи.

3. Само оборудование и техподдержка стоят денег (хотя по меркам стройки не больших).

Если второе и третье, скорее хозяйственный вопрос, то в первом - правовая коллизия, которую нужна разрешать на стороне застройщика. Разрешить ее с Правительством Москвы на практике не получится (или быстро не получится).

Работник, работник подрядчика могут в любой момент отозвать согласие на биометрию (как через госуслуги, так и у застройщика), а уволить его за ненужностью не получится. Трудовая инспекция и суд будут против. Думаю, еще сложно быстро сменить подрядчика, если бригада рабочих по какой-то причине отозвала согласие на БПДн.

P.S. Если Вы застройщик, пишите в личку, есть наработки по управлению рисками в этом вопросе.

UPDATE.
Ссылка на упомянутое распоряжение на портале mos.ru https://www.mos.ru/dgp/documents/view/325040220/
Еще один релевантный документ https://www.mos.ru/dgp/documents/view/325041220/

О внешнем DPO

На недавней встрече экспертов по персональным данным, организованным АЛРУД и RPPA, кулуарно обсуждали внешнего ответственного за организацию обработки персональных данных (далее - Ответственный для краткости).

Например, ООО "Лукаш и Партнеры" можно указать Ответственным и в реестровой записи оператора ПД появится отметка как на скриншоте.

Основной вопрос - какой смысл, если от штрафов не убережет.

Ниже поясню, почему нас выбирали Ответственным (не могу говорить за других). Но, начну с причин, по которым выбирали нас на сопровождение в целом (с функцией ответственного ли без).

Некоторые из них:

1. Специалист по узкому вопросу стоит дорого, для него нет работы на 8 часовой рабочий день. Кому-то для текущей поддержки достаточно 10-20-30 часов в месяц.
2. Команда в целом тянет функцию, но нужна экспертиза на острее опыта или второе мнение, так как решения связанны с изменением бизнес-процессов на большие суммы. Плюс иногда не хватает рук.
3. Сейчас свободных специалистов от уровня Middle+ на рынке почти нет, будет долгий и рискованный найм или нужна зарплата существенно выше рынка. Иногда это вопрос не "жалко денег", а вопрос корпоративной культуры, где не могут увеличить индивидуально ставку для отдельной позиции того же грейда.
4. Если в компании планируется единственный специалист, то без другого специалиста сложно определить насколько кандидат опытен, есть риски (здесь кстати можно привлекать, например нас, для собеседований). Кто-то обжегся или в затяжном поиске.
5. Завершили проект по ПД, все знаем о состоянии дел, проще работать с нами, так как не подводили.
6. Иногда причина проста, мы как "внешние" обходимся дешевле.

В первую очередь компании делали выбор на основе причин выше, когда уже берут на сопровождение мы предлагаем 2 варианта: с включением нас в реестр Роскомнадзора или без.

Т.е. в большинстве случаев - это опция, которая дополнительно снизит боль назначения Ответственного за организацию обработки персональных данных внутри компании. Если мы закрываем ключевые вопросы по ПД, несем гражданско-правовую ответственность за данные рекомендации, то сразу можем снять боль назначения непрофильного работника (напомню, штрафы на должностное до 800 000 р.). Не видел, что бы ходили по рынку только ради услуги ответственного, это часть комплексной услуги. У нас она не стоит отдельной суммы, ключевое условие - выкупить определенное количество абонентских часов (для каждой компании разное).

С опытом оказания услуги Ответственного, у нас накопился опыт, например, как это встраивать в группы компаний, иногда договоры включают такую опцию, но нас не вносят, оставляя резервным вариантом, а пока назначают работника и т.д.

Если у Вас есть вопросы по внешнему Ответственному, напишите мне в личку @linfo. Встретимся онлайн, расскажу все плюсы и минусы, выжимку того, как это работает на практике у нас. Так как здесь больше о том, как мы работаем, то за такое денег не берем (кстати, как и за многое при сопровождении).