Postagens do Canal Юрист о персональных данных

🔗 ссылка на запись.

Основные тезисы конференции “Персональные данные в иностранных юрисдикциях" Privacy Forum"

🔷 России необходимо разрабатывать собственные модульные правила передачи данных, которые предусматривали бы гарантии защиты и типовые механизмы.

🔷 Главные инструменты ТГП:
◾️ GDPR и стандартные условия договора,
◾️ BCR - базовые корпоративные правила для группы компаний,
◾️ Privacy Framework — передача данных между странами АТЭС,
◾️ Privacy Shield — передача данных между Европой и Америкой.

🔷 Про передачу ПДн из других стран в РФ:
В разных странах одновременно или по отдельности действуют разрешительный и уведомительный порядок передачи данных. В дополнение к разрешению органа может требоваться:
◾️ согласие субъекта (по местному законодательству),
◾️ передача данных в целях исполнения договора,
◾️ подписание SCC,
◾️ передача по PCR — согласование передачи данных с разными органам одновременно, при этом у каждого органа могут быть свои требования,
◾️ модульные условия, утвержденные на региональном уровне.
Комбинации могут быть разные.

🔷 Различия между GDPR и российским законодательством в правовых основаниях:
◾️ широкое трактование понимания Согласия,
◾️ разный набор прав субъекта,
◾️ разные требования к ТГП,
◾️ специальное регулирование сценариев обработки данных.

🔷 Есть 2️⃣ параллельных тренда:
◾️ тренд на эксклюзивность: ввести больше правил и ограничений, которых ни у кого нет.
◾️ тренд на унификацию: стремление к единообразию уже проверенных и работающих процессов.
Это создает риск для DPO: невозможно ответить на запросы органов одной страны, т.к. выполнены требования другой. Соблюдение некоторых требований нарушает операционные процессы, качество аналитики

❗️ Согласие — не главный документ. На него нельзя ссылаться в первую очередь, т.к. необходимо доказать, что оно не дано под давлением. Согласие — неустойчивая конструкция, т.к. сегодня оно есть, завтра его нет, т.е. его вообще можно отозвать.

🔷 Если возникло противоречие между нормативными требованиями законодательств, необходимо проанализировать:
◾️ где оно предусмотрено: в законе о ПДн и его НПА или это отраслевое требование;
◾️ к каким компаниям относится требование: к зарубежным или местным;
◾️ есть ли привязка к месту нахождения Субъектов, к их гражданству или к месту нахождения технических средств, которые обрабатывают данные.
➡️ В итоге противоречий может не оказаться, т.к. требования будут иметь разную сферу применения.

🔷 О чем нужно помнить при ТГП?
◾️ базовое право Субъекта — право на информацию,
◾️ в документе о ТГП должны быть прописаны риски (например, о том, что некоторые данные могут передаваться партнерам или в службы безопасности),
◾️ у Субъекта должно быть право на доступ к копии своих данных или ее уничтожение.

🔷 Чтобы Субъекту было понятно и комфортно с точки зрения безопасности при даче Согласия на обработку данных, ему необходимо объяснять, как происходит этот процесс через:
◾️ интерфейс и видеоролики,
◾️ брошюры и информационные стенды,
◾️ публиковать на общих ресурсах компании и в корпоративных порталах,
◾️ разъяснения, НО! НЕЮРИДИЧЕСКИМ ЯЗЫКОМ.

🔷 В интерфейсе хорошо работает маркетинговый ход: “Мы храним ваши данные только на территории нашей страны и не передаем их западным спецслужбам”.

🔷 Наличие стандартов и сертификатов у компаний, предоставляющих цифровые услуги — это базовая гигиена. Они подтверждают, что компания с точки зрения системы внутреннего контроля, риск-менеджмента и в области ПДн смогла выстроить достаточно зрелые процессы.

🔷 Перед тем, как отправить ПДн в неадекватные страны, необходимо провести оценку контрагента. Для этого можно отправить получателю запрос о мерах, которые они принимают для защиты данных.

❓ Какую информацию следует запрашивать у контрагента, чтобы понять адекватный у него подход к безопасности или нет?
◾️ данные для установления связи с ответственным лицом,
◾️ информацию об актуальных мерах защиты,
◾️ реальный порядок действий в случае инцидентов.

❗️ Наличие сертификатов у компании не дает гарантий отсутствия уязвимостей или непокрытых процессов в контуре.

⚡️ Роскомнадзор зафиксировал 135 утечек баз данных в 2024 году ⚡️

Более 710 млн записей о россиянах утекло в сеть. Главные причины таких случаев — хакерские атаки и недоработки в системах безопасности компаний, которые стали большой проблемой для цифровой безопасности страны.

Для сравнения в 2023 году ведомство зафиксировало 168 утечек персональных данных. В сеть попали около 300 млн записей о россиянах.

В 2022 году в сеть утекли 600 млн записей. Тогда Роскомнадзор зафиксировал более 140 утечек.

По данным ведомства слитые базы данных содержат персональную информацию граждан, которую могут легко использовать мошенники:

◼️ ФИО,
◼️ номера телефонов,
◼️ адреса,
◼️ сведения о финансовых операциях,
◼️ другие конфиденциальные данные.

❗️ С 30 мая 2025 года вступают в силу поправки в КоАП РФ с увеличением штрафов и ужесточением ответственности за утечку данных. Эти меры направлены на повышение ответственности компаний и усиление их работы по предотвращению подобных инцидентов.

Поправки касаются:

☑️ незаконной передачи информации физических лиц,
☑️ нелегального распространения персональных данных специальных категорий,
☑️ неправомерного распространения биометрических персональных данных,
☑️ неуведомления Роскомнадзора об утечке,
☑️ повторных утечек.

☝️ Помните, что повышение квалификации юристов вашей компании и своевременное реагирование отдела информационной безопасности на уязвимости и угрозы уменьшают риски подобных утечек.

👉 Чтобы проанализировать готовность вашей организации (Оператора) к выполнению требований по минимизации утечек прямо сейчас, я подготовила чек-лист. Сохраняйте себе ⬇️

Как бизнесу и юристам понять друг друга? На этот вопрос пытается ответить в своем канале адвокат Глеб Плесовских.

Помимо прочего там часто появляются полезные образцы документов и инструкции. Например:
- памятка «Как вести себя в случае обыска?»
- как получить записи с камер наблюдения системы «Безопасный город»
- образцы типовых коммерческих предложений
- образцы соглашений об оказании юридической помощи

Здесь нет тонн скучной судебной практики: только реальные кейсы адвоката и его коллег, тонкости взаимодействия между юристами и их клиентами, полезные образцы документов и многое другое!

Делюсь ссылкой на канал: @advocate_plesovskikh

🎉 С Международным днём защиты персональных данных! 🎉

Коллеги, поздравляю вас с профессиональным праздником!

Пусть ваши опыт и внимание к деталям помогают персональным данным оставаться под надежной охраной, а компаниям и организациями быть уверенными в соблюдении всех правовых норм.

Желаю, чтобы клиенты ценили ваши знания, а законы и регуляторы радовали ясностью и последовательностью 😉

⏰ В честь праздника в 11:00 приглашаю вас на онлайн-конференцию Privacy Forym. Вместе с другими экспертами мы обсудим трансграничную передачу данных и разберем следующие вопросы:

☑️ Требования и инструменты для легализации передачи персональных данных между Россией и зарубежными странами.

☑️ Конфликты законодательств: что делать, если законы одной страны требуют то, что в другой – запрещено? Разберем на примерах.

☑️ Разные подходы к обеспечению защиты прав субъектов при передаче их данных за границу.

☑️ Киберугрозы и безопасность данных: требования к безопасности данных зарубежом, их отличия от российских стандартов.

☑️ Проверка зарубежных партнеров: документы и сертификаты соответствия национальному законодательству SOC2, ISO27701.

☑️ Отличия подходов зарубежного и российского бизнесов в повышении прозрачности и осведомленности субъектов ПДн.

☝️ На конференции у вас будет возможность задать вопросы нескольким экспертам одновременно и услышать живые рассуждения.

📎 Регистрация по ссылке:
https://privacyforum.ru/

Присоединяйтесь! 🎉

Продолжаю серию эфиров с юристами, адвокатами и экспертами на самые животрепещущие темы в моем Телеграм-канале !

Так, 30.01.2025 в 17:00 мск (четверг) у меня в гостях будет Наталья Алешкова

▪️Юрист по защите персональных данных с юридическим стажем более 15 лет
▪️Преподаватель онлайн-школы PRIMAWERA
▪️Член Сообщества профессионалов в области приватности (RPPA)
▪️Автор курса “Обработка персональных данных в РФ”
▪️Наставник и ментор по сертификации в области приватности.

Тг-канал I Сайт

На эфире мы с Натальей обсудим тему ☄️Продвижение в Телеграм: личный опыт юриста по персональным данным

▪️Как выстроить систему развития канала?
▪️Как продвигаться малобюджетными способами?
▪️Стоит ли делегировать ведение канала?
▪️Сколько нужно набрать подписчиков, чтобы канал приносил деньги, а не только лайки?

В общем, нас ждет незабываемая встреча!

Мы с Натальей будем рады видеть вас на эфире 30.01.2025 в 17:00 мск!


*Включите уведомление, чтобы не пропустить!
**Запись эфира будет, если Телеграм не заглючит)

#эфир_с_Кондаковой

С уважением, Ольга Кондакова
🔡🔡

У меня комплексный подход к работе с клиентами.

Я считаю, что рекомендации юриста не должны ограничиваться документами и соблюдением норм законодательства. Ведь чтобы правильно описать алгоритм обработки ПДн, нужно знать, как это происходит на практике и какие системы в нем участвуют.

При работе с персональными данными важно понимать бизнес-процессы организации и разбираться в технической стороне дела. Без этого у юриста не получится сделать все правильно.

Часто клиенты спрашивают, как реализовать какой-то процесс или какие программные средства использовать. Поэтому в моей команде есть технический специалист. Его знания и опыт помогают клиентам переводить абстрактные требования закона в конкретные работающие механизмы внутри организации.

Если вы хотите самостоятельно разобраться в технических вопросах и расширить свои компетенции, рекомендую курс моих коллег “Privacy Engineering”.

На курсе вы сможете:

🔶 разобраться в технических особенностях обработки персональных данных,
🔶 познакомиться с современными технологиями обработки данных,
🔶 научиться моделировать потенциальные угрозы приватности и рационально устанавливать контроли.

☝️ Огромный блок курса “Privacy Engineering” посвящен управлению и правильному взаимодействию со смежными отделами и командами специалистов. Это важно для понимания и правильной постановки задачи.

Курс проходит 1 раз в год и стартует в феврале 2025 года.

Подробнее о программе здесь.

Рекомендую 👍

⚡️ Последние тенденции и изменения законодательства о персональных данных в серии конференций "Privacy Forum" ⚡️

28 января в Международный день защиты персональных данных я буду спикером на
"Privacy Forum".

Приглашенные эксперты из консалтинга и инхаус будут обсуждать практические вопросы data privacy на серии встреч за круглым столом.

Главные темы конференции:

◼️ Проблемы внутреннего контроля за обработкой персональных данных в России.

◼️ Персональные данные в иностранных юрисдикциях.

◼️ Персональные данные в образовательных организациях.

◼️ Точки пересечения персональных данных, интеллектуальной собственности и рекламы.

◼️ Персональные данные в IT-компаниях.

Слушатели конференции смогут задать вопросы нескольким экспертам одновременно и услышать живые рассуждения.

📅 Дата 28 января 2025 года.
⏰ Начало в 10.00 по мск.
💻 Формат: онлайн.
💳 Стоимость участия: бесплатно.

Приглашаю всех!

📎 Ознакомиться с программой и зарегистрироваться можно по ссылке ⬇️
https://privacyforum.ru/

Год только начался, а голова кругом 🤯 Этот пост — крик души!

Бывает, я думаю о большом количестве дел, которые предстоит сделать, и у меня сразу зашкаливает уровень тревожности. В сутках только 24 часа, а мне не хватает времени на все планы и хотелки.

В течение дня приходится отвлекаться на решение бытовых и семейных вопросов. Даже звонки и сообщения в соцсетях иногда раздражают и крадут мое время.

Все это сжирает энергию и отнимает силы. Катастрофа!

📋 А я так хочу

☑️ обновить мой флагманский курс — это задача номер один на сегодня;

☑️ читать больше специализированной литературы;

☑️ успевать следить за новостями в сфере персональных данных;

☑️ писать больше статей и чаще участвовать в мероприятиях;

☑️ посмотреть вебинары по информационной безопасности, которые давно хотела;

☑️ пройти обучение по GDPR.

И это только в профессиональном плане! 
Кроме этого я мечтаю

🛋️ наслаждаться отдыхом и не думать, что в это время лучше бы послушать какой-то вебинар;

📚 читать больше развлекательных книг;

🎬 наконец-то посмотреть сериалы, которые скопились в моем вишлисте;

🏃 чаще заниматься спортом.

Пока нашла для себя такой выход: делать понемногу, но каждый день. Уделять 20 минут чтению книги, спорту или просмотру вебинара лучше, чем ничего не делать.

Поделитесь, как вы справляетесь с большим количеством дел?

⁉️ Можно ли отнести никнейм к персональным данным?

Закон о персональных данных №152-ФЗ не дает однозначного ответа на этот вопрос. У государственных органов и судов также нет официальной позиции по такой проблеме.

По смыслу пункта 1 статьи 3 Закона о персональных данных никнейм можно отнести к персональным данным, если он позволяет установить сведения о владельце.

👉 Например, никнейм в соцсети, который позволит найти аккаунт с изображением человека, его именем и другими сведениями, относится к ПДн. А никнейм «urist15» на форуме без указания ФИО, телефона и фото нельзя назвать персональными данными.

В то же время Федеральный закон от 07.07.2003 № 126-ФЗ «О связи» относит псевдоним гражданина к сведениям ограниченного доступа. Согласно ст. 53 Оператор имеет право распространять такие данные только с согласия абонентов.

☝️ Даже если пользователи сайта не указывают никакую информацию о себе, кроме никнейма, необходимо получить их согласие на обработку данных. Такая мера предосторожности поможет избежать конфликтов с владельцами ПДн.