🔸Интенсив планируется на 4 недели - по 1 занятию еженедельно:
1. Требования локализации персональных данных в РФ
2. Определение баз данных, подлежащих локализации
3. Стратегии локализации: оценка и выбор
4. Практикум: как рассчитать привлекательность стратегий локализации
🔸Интенсив будет особенно актуален для тех, кому необходимо ориентироваться с учетом новой редакции ч.5 ст.18 152-ФЗ, вступающей в силу с 01.07.2025.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇺🇸 Законодатели в США заподозрили Palantir в незаконном использовании ПД американцев
🔸Американские законодатели заподозрили IT-подрядчика Пентагона Palantir в незаконном использовании персональных данных (ПД) граждан США и направили в адрес главы компании письмо с утверждениями о том, что Palantir «обеспечивает условия и зарабатывает на тяжких нарушениях федерального закона администрацией Дональда Трампа».
🔸Законодатели ссылаются на сведения газеты The New York Times. Из них следует, что сотрудничество Palantir с администрацией началось с создания единой базы данных с возможностью поиска в интересах Налоговой службы США (The U.S. Internal Revenue Service, IRS). Позже проект был расширен до централизованной платформы, содержащей данные об американцах, которыми смогут обмениваться федеральные агентства.
🔸Утверждается, что контракт Palantir с IRS нарушает законы страны (Privacy Act), в части требований к правительству извещать общественность об использовании данных американцев в повседневной деятельности, а также раскрывать деятельность и политику агентств в отношении хранения и удаления сведений об американцах.
🔸Американские законодатели заподозрили IT-подрядчика Пентагона Palantir в незаконном использовании персональных данных (ПД) граждан США и направили в адрес главы компании письмо с утверждениями о том, что Palantir «обеспечивает условия и зарабатывает на тяжких нарушениях федерального закона администрацией Дональда Трампа».
🔸Законодатели ссылаются на сведения газеты The New York Times. Из них следует, что сотрудничество Palantir с администрацией началось с создания единой базы данных с возможностью поиска в интересах Налоговой службы США (The U.S. Internal Revenue Service, IRS). Позже проект был расширен до централизованной платформы, содержащей данные об американцах, которыми смогут обмениваться федеральные агентства.
🔸Утверждается, что контракт Palantir с IRS нарушает законы страны (Privacy Act), в части требований к правительству извещать общественность об использовании данных американцев в повседневной деятельности, а также раскрывать деятельность и политику агентств в отношении хранения и удаления сведений об американцах.
🫣 Хакеры слили в Сеть 16 млрд паролей от аккаунтов Apple, Google и Telegram, в т.ч. 455 млн строк связаны с Россией
🔸Хакеры слили в открытый доступ 16 млрд логинов и паролей от аккаунтов Apple, Google, GitHub, Telegram, Instagram, Facebook (последние два принадлежат компании Meta, которая признана в России экстремистской и запрещена) и других популярных сервисов, сообщает портал Cybernews.
🔸По словам специалистов, большая часть этих данных ранее нигде не публиковалась. Это не повторное использование старых баз, а совершенно новые массивы данных. В списке — учетные записи пользователей социальных сетей, корпоративных платформ и порталов разработчиков.
🔸Все слитые данные представлены в стандартной для хакеров форме: URL-адрес, за которым идут логин и пароль. В некоторых случаях также добавлены cookie-файлы, токены и другие метаданные, необходимые для автоматического входа.
🔸Все базы данных находились в открытом доступе лишь короткое время — достаточно, чтобы специалисты успели их заметить, но недостаточно, чтобы выяснить, кто именно их разместил. Многие из них были найдены в незащищенных хранилищах Elasticsearch.
🔸Хакеры слили в открытый доступ 16 млрд логинов и паролей от аккаунтов Apple, Google, GitHub, Telegram, Instagram, Facebook (последние два принадлежат компании Meta, которая признана в России экстремистской и запрещена) и других популярных сервисов, сообщает портал Cybernews.
🔸По словам специалистов, большая часть этих данных ранее нигде не публиковалась. Это не повторное использование старых баз, а совершенно новые массивы данных. В списке — учетные записи пользователей социальных сетей, корпоративных платформ и порталов разработчиков.
🔸Все слитые данные представлены в стандартной для хакеров форме: URL-адрес, за которым идут логин и пароль. В некоторых случаях также добавлены cookie-файлы, токены и другие метаданные, необходимые для автоматического входа.
🔸Все базы данных находились в открытом доступе лишь короткое время — достаточно, чтобы специалисты успели их заметить, но недостаточно, чтобы выяснить, кто именно их разместил. Многие из них были найдены в незащищенных хранилищах Elasticsearch.
🇰🇿 В Казахстане возбуждено уголовное дело по факту утечки персональных данных
🔸Заместитель генерального прокурора Казахстана Галымжан Койгельдиев 19 июня 2025 года заявил, что по факту утечки персональных данных граждан возбуждено уголовное дело.
🔸16 июня 2025 года в Казнете появилась информация о том, что в открытый доступ утекли 16,3 млн записей с персональными данными жителей Казахстана. 17 июня в Центре анализа и расследования кибератак (ЦАРКА) заявили, что идет расследование со стороны государства. 18 июня вице-министр юстиции Бекболат Молдабеков отметил, что в связи с этими событиями перевыпускать ИИН или удостоверение личности бессмысленно.
🔸Заместитель генерального прокурора Казахстана Галымжан Койгельдиев 19 июня 2025 года заявил, что по факту утечки персональных данных граждан возбуждено уголовное дело.
🔸16 июня 2025 года в Казнете появилась информация о том, что в открытый доступ утекли 16,3 млн записей с персональными данными жителей Казахстана. 17 июня в Центре анализа и расследования кибератак (ЦАРКА) заявили, что идет расследование со стороны государства. 18 июня вице-министр юстиции Бекболат Молдабеков отметил, что в связи с этими событиями перевыпускать ИИН или удостоверение личности бессмысленно.
🏛️ Подписан закон, позволяющий использовать биометрию при сделках с недвижимостью
🔸Президент России Владимир Путин подписал разработанный Росреестром закон, предлагающий новую меру по защите электронных сделок от мошенничества. Изменения позволят гражданам использовать Единую биометрическую систему (ЕБС) для подачи документов на регистрацию объектов недвижимости в режиме онлайн.
🔸Президент России Владимир Путин подписал разработанный Росреестром закон, предлагающий новую меру по защите электронных сделок от мошенничества. Изменения позволят гражданам использовать Единую биометрическую систему (ЕБС) для подачи документов на регистрацию объектов недвижимости в режиме онлайн.
🏛️ Минцифры опубликовало новую версию поправок, согласно которым силовые органы смогут получать информацию от маркетплейсов и классифайдов
🔸Предыдущая версия была опубликована в мае и разрешала силовикам запрашивать личные данные и информацию о покупках. Сейчас перечень предлагается расширить данными об устройстве, сетевых подключениях и местоположении пользователя этих сервисов. Данные будут запрашиваться через систему межведомственного электронного взаимодействия (СМЭВ, с ее помощью обмениваются информацией федеральные и региональные ведомства, МФЦ, «Госуслуги» и некоторые коммерческие организации).
🔸В Минцифры указывают, что регулятор учел предложения заинтересованных ведомств и отрасли. Силовики не получат данные о геолокации всех пользователей маркетплейсов, заявили в Минцифры. Данные будут запрашиваться при подозрении на мошенничество.
🔸Предыдущая версия была опубликована в мае и разрешала силовикам запрашивать личные данные и информацию о покупках. Сейчас перечень предлагается расширить данными об устройстве, сетевых подключениях и местоположении пользователя этих сервисов. Данные будут запрашиваться через систему межведомственного электронного взаимодействия (СМЭВ, с ее помощью обмениваются информацией федеральные и региональные ведомства, МФЦ, «Госуслуги» и некоторые коммерческие организации).
🔸В Минцифры указывают, что регулятор учел предложения заинтересованных ведомств и отрасли. Силовики не получат данные о геолокации всех пользователей маркетплейсов, заявили в Минцифры. Данные будут запрашиваться при подозрении на мошенничество.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇷🇺👨💻🔥 #пд #privacy #нпа #инициативы #регулирование
Дайджест значимых событий за предыдущие 4 недели, влияющих на регулирование персональных данных в РФ.
🔸Добавлены пункты (отмечены как New):
23. Законопроект о защите данных ФЛ и ИП в Реестре операторов персональных данных
25. Законопроект о втором пакете мер по противодействию телефонному и кибермошенничеству (Антифрод-2)
26. Законопроект об исключении из реестра собственников помещений в домах персональных данных
27. Законопроект о локализации и запрете трансграничной передачи персональных данных клиентов экспедиторов
28. Законопроект о новой редакции ст.13 572-ФЗ от 29.12.2022, регулирующей осуществление биометрической идентификации и (или) аутентификации при проходе на территорию организаций
29. Законопроект о праве родителей получать данные об открытых на несовершеннолетних детей счетах и картах
61. Инициатива обязать юрлица в РФ маркировать созданный ИИ контент
62. Инициатива запрашивать данные о судимости и долгах перед заключением брака
🔸Обновлены пункты (отмечены как Update):
5. Федеральный закон от 07.06.2025 № 133-ФЗ о защите электронных сделок с недвижимостью с
помощью биометрических данных
9. Постановление Правительства РФ от 22.05.2025 №740 о правилах проверки пользователей ГИС для обработки обезличенных персональных данных
10. Постановление Правительства РФ от 28.05.2025 №740 о ГИС для обработки обезличенных персональных данных
24. Законопроект об отдельном оформлении согласий на обработку персональных данных и создании «многофункционального сервиса обмена информацией»
Дайджест значимых событий за предыдущие 4 недели, влияющих на регулирование персональных данных в РФ.
🔸Добавлены пункты (отмечены как New):
23. Законопроект о защите данных ФЛ и ИП в Реестре операторов персональных данных
25. Законопроект о втором пакете мер по противодействию телефонному и кибермошенничеству (Антифрод-2)
26. Законопроект об исключении из реестра собственников помещений в домах персональных данных
27. Законопроект о локализации и запрете трансграничной передачи персональных данных клиентов экспедиторов
28. Законопроект о новой редакции ст.13 572-ФЗ от 29.12.2022, регулирующей осуществление биометрической идентификации и (или) аутентификации при проходе на территорию организаций
29. Законопроект о праве родителей получать данные об открытых на несовершеннолетних детей счетах и картах
61. Инициатива обязать юрлица в РФ маркировать созданный ИИ контент
62. Инициатива запрашивать данные о судимости и долгах перед заключением брака
🔸Обновлены пункты (отмечены как Update):
5. Федеральный закон от 07.06.2025 № 133-ФЗ о защите электронных сделок с недвижимостью с
помощью биометрических данных
9. Постановление Правительства РФ от 22.05.2025 №740 о правилах проверки пользователей ГИС для обработки обезличенных персональных данных
10. Постановление Правительства РФ от 28.05.2025 №740 о ГИС для обработки обезличенных персональных данных
24. Законопроект об отдельном оформлении согласий на обработку персональных данных и создании «многофункционального сервиса обмена информацией»
Яндекс Диск
Дайджест-2025.docx
Посмотреть и скачать с Яндекс Диска
💡Вопрос: Будет ли правомерным осуществлять распространение ПД работника на основе предварительно полученного у работника согласия на распространение его ПД согласно положениям ч.6 ст.10.1 152-ФЗ и с учетом требований приказа Роскомнадзора от 24.02.2021 №18, если согласие было дано работником работодателю не в письменной форме (согласно ст.88 ТК РФ), а непосредственно работодателю с использованием соответствующей информационной системы?
🏛️ Роскомнадзор: В соответствии с ч. 9 ст. 9 152-ФЗ требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, устанавливаются уполномоченным органом по защите прав субъектов ПД. Указанные требования утверждены приказом Роскомнадзора от 24.02.2021 № 18. С учетом изложенного в рассматриваемом случае согласие должно соответствовать требованиям, установленным приказом Роскомнадзора от 24.02.2021 № 18, и быть предоставлено в порядке, установленном ст. 10.1 152-ФЗ.
🏛️ Роскомнадзор: В соответствии с ч. 9 ст. 9 152-ФЗ требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, устанавливаются уполномоченным органом по защите прав субъектов ПД. Указанные требования утверждены приказом Роскомнадзора от 24.02.2021 № 18. С учетом изложенного в рассматриваемом случае согласие должно соответствовать требованиям, установленным приказом Роскомнадзора от 24.02.2021 № 18, и быть предоставлено в порядке, установленном ст. 10.1 152-ФЗ.
🇸🇯 Норвежский надзорный орган Datatilsynet пришёл к выводу, что информация о посещении пользователем разделов сайта nhi.no, содержащих медицинский контент (например, страницы об эпилепсии, мигрени и других диагнозах), относится к специальным категориям персональных данных в смысле статьи 9 GDPR.
🔸Даже если пользователь не вводил данные напрямую, само его поведение — выбор и просмотр определённых страниц — позволяет сделать обоснованный вывод о состоянии его здоровья. Передача таких сведений через Meta Pixel третьей стороне (Meta/Facebook) без получения явного и информированного согласия нарушает требования ст. 6 и 9 GDPR. Данная позиция учитывает решения CJEU: C-184/20, Vyriausioji tarnybinės etikos komisija; C-252/21, Bundeskartellamt; C-21/23, Lindenapotheke.
🔸Datatilsynet подчеркнул, что согласие, полученное через cookie-баннер, не было действительно добровольным и осознанным, поскольку использовались «тёмные паттерны» и вводящие в заблуждение формулировки. В результате владелец сайта получил официальное предупреждение и обязана запрашивать валидное согласие при последующем использовании трекеров.
🔸Даже если пользователь не вводил данные напрямую, само его поведение — выбор и просмотр определённых страниц — позволяет сделать обоснованный вывод о состоянии его здоровья. Передача таких сведений через Meta Pixel третьей стороне (Meta/Facebook) без получения явного и информированного согласия нарушает требования ст. 6 и 9 GDPR. Данная позиция учитывает решения CJEU: C-184/20, Vyriausioji tarnybinės etikos komisija; C-252/21, Bundeskartellamt; C-21/23, Lindenapotheke.
🔸Datatilsynet подчеркнул, что согласие, полученное через cookie-баннер, не было действительно добровольным и осознанным, поскольку использовались «тёмные паттерны» и вводящие в заблуждение формулировки. В результате владелец сайта получил официальное предупреждение и обязана запрашивать валидное согласие при последующем использовании трекеров.
🏛️ Президент России Владимир Путин подписал закон о новой многофункциональной цифровой платформе обмена данными, которая объединит функции мессенджера и сервисы государственных и муниципальных услуг - в частности, платформа позволит подтверждать возраст без предъявления паспорта.
🔸Пользователи нового многофункционального сервиса смогут подписывать документы с помощью усиленной электронной подписи. Также сервис позволит гражданам РФ удостоверять свою личность при помощи цифрового ID - это приравнивается к предоставлению физического оригинала.
🔸Организацию, которая будет отвечать за запуск и работу сервиса, определит правительство РФ. Она должна соответствовать ряду требований. Это должно быть российское юрлицо, чье программное обеспечение включено в национальный реестр и в состав которого входит социальная сеть с суточной аудиторией более 500 тысяч пользователей.
🔸Закон вступает в силу со дня официального опубликования, за исключением ряда норм. Так, требование об обязательной предустановке сервиса на смартфоны, планшеты и другие устройства вступает в силу с 1 сентября 2025 года. С этой же даты начнет действовать норма о том, что согласие на обработку персональных данных должно оформляться отдельно от иных документов.
🔸Пользователи нового многофункционального сервиса смогут подписывать документы с помощью усиленной электронной подписи. Также сервис позволит гражданам РФ удостоверять свою личность при помощи цифрового ID - это приравнивается к предоставлению физического оригинала.
🔸Организацию, которая будет отвечать за запуск и работу сервиса, определит правительство РФ. Она должна соответствовать ряду требований. Это должно быть российское юрлицо, чье программное обеспечение включено в национальный реестр и в состав которого входит социальная сеть с суточной аудиторией более 500 тысяч пользователей.
🔸Закон вступает в силу со дня официального опубликования, за исключением ряда норм. Так, требование об обязательной предустановке сервиса на смартфоны, планшеты и другие устройства вступает в силу с 1 сентября 2025 года. С этой же даты начнет действовать норма о том, что согласие на обработку персональных данных должно оформляться отдельно от иных документов.
🏛️Требование о локализации и запрете трансграничной передачи ПД клиентов экспедиторов
🔸Федеральный закон от 07.06.2025 № 140-ФЗ
с 01.09.2025 дополняет ст.4 87-ФЗ от 30.06.2003 "О транспортно-экспедиционной деятельности" следующими пунктами:
▪️6. Экспедитор обязан хранить на территории Российской Федерации информацию о заключенных договорах транспортной экспедиции, сторонах этих договоров, лицах, привлекаемых к выполнению этих договоров, свойствах грузов, фактах приема, обработки, погрузки, хранения, разгрузки, передачи, выдачи грузов, маршрутах следования, видах транспорта, осуществляющего их перевозку, иную информацию, размещаемую в информационных системах, используемых при оказании экспедиционных услуг, в течение трех лет со дня окончания исполнения этих договоров.
▪️11. Не допускается передача за пределы территории Российской Федерации информации, содержащей персональные данные клиентов, за исключением случая передачи персональных данных клиентов, являющихся стороной договора транспортной экспедиции при оказании услуг по организации международных перевозок грузов, если передача такой информации допускается международными договорами Российской Федерации и Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".
🔸Федеральный закон от 07.06.2025 № 140-ФЗ
с 01.09.2025 дополняет ст.4 87-ФЗ от 30.06.2003 "О транспортно-экспедиционной деятельности" следующими пунктами:
▪️6. Экспедитор обязан хранить на территории Российской Федерации информацию о заключенных договорах транспортной экспедиции, сторонах этих договоров, лицах, привлекаемых к выполнению этих договоров, свойствах грузов, фактах приема, обработки, погрузки, хранения, разгрузки, передачи, выдачи грузов, маршрутах следования, видах транспорта, осуществляющего их перевозку, иную информацию, размещаемую в информационных системах, используемых при оказании экспедиционных услуг, в течение трех лет со дня окончания исполнения этих договоров.
▪️11. Не допускается передача за пределы территории Российской Федерации информации, содержащей персональные данные клиентов, за исключением случая передачи персональных данных клиентов, являющихся стороной договора транспортной экспедиции при оказании услуг по организации международных перевозок грузов, если передача такой информации допускается международными договорами Российской Федерации и Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".
🏛️ Усилена ответственность за незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, совершенные организованной группой, причинившие крупный ущерб, совершенные из корыстной заинтересованности либо повлекшие тяжкие последствия
🔸Внесенными изменениями: из санкции части 3 статьи 183 УК РФ исключается основное наказание в виде штрафа и вводится нижний порог наказания в виде лишения свободы от 2 лет с одновременным установлением дополнительного наказания в виде штрафа в размере до 5 млн рублей.
🔸Кроме того, в части 4 статьи 183 УК РФ устанавливается нижний порог наказания в виде лишения свободы от 3 лет с одновременным введением дополнительного наказания в виде штрафа в размере от 1 до 5 млн рублей.
🔸Внесенными изменениями: из санкции части 3 статьи 183 УК РФ исключается основное наказание в виде штрафа и вводится нижний порог наказания в виде лишения свободы от 2 лет с одновременным установлением дополнительного наказания в виде штрафа в размере до 5 млн рублей.
🔸Кроме того, в части 4 статьи 183 УК РФ устанавливается нижний порог наказания в виде лишения свободы от 3 лет с одновременным введением дополнительного наказания в виде штрафа в размере от 1 до 5 млн рублей.
🏛В ГД предложили РКН пересмотреть перечень стран для передачи персональных данных
🔸Члены Совета Федерации РФ Андрей Клишас, Артем Шейкин, Александр Савин совместно с депутатами внесли в Госдуму законопроект, которым предлагается при утверждении перечня стран, способных защитить права субъектов персональных данных (это делает Роскомнадзор (РКН)), учитывать фактическое принятие иностранными государствами эффективных мер защиты при их обработке.
🔸Как объяснил сенатор Клишас, сейчас в законе «О персональных данных» такими государствами могут быть страны, являющиеся стороной Конвенции Совета Европы № 108 «О защите физических лиц при автоматизированной обработке персональных данных». Только в них можно передавать данные. Но в этом перечне находятся и недружественные страны, которые не препятствуют преступлениям в этой сфере.
🔸Чтобы обеспечить защиту персональных данных российских граждан, необходимо проверять не только документарную форму безопасности, но и реальные действия, подчеркнул Клишас.
🔸Члены Совета Федерации РФ Андрей Клишас, Артем Шейкин, Александр Савин совместно с депутатами внесли в Госдуму законопроект, которым предлагается при утверждении перечня стран, способных защитить права субъектов персональных данных (это делает Роскомнадзор (РКН)), учитывать фактическое принятие иностранными государствами эффективных мер защиты при их обработке.
🔸Как объяснил сенатор Клишас, сейчас в законе «О персональных данных» такими государствами могут быть страны, являющиеся стороной Конвенции Совета Европы № 108 «О защите физических лиц при автоматизированной обработке персональных данных». Только в них можно передавать данные. Но в этом перечне находятся и недружественные страны, которые не препятствуют преступлениям в этой сфере.
🔸Чтобы обеспечить защиту персональных данных российских граждан, необходимо проверять не только документарную форму безопасности, но и реальные действия, подчеркнул Клишас.
🏛️ Опубликовано Постановление Правительства РФ от 26.06.2025 № 966 о правилах взаимодействия между уполномоченным органом и операторами в целях формирования составов обезличенных ПД
🔸Согласно правилам взаимодействия Минцифры и операторов ПД для обезличивания, бизнес сможет предоставить нужную регулятору информацию следующим образом. Для формирования дата-сетов Минцифры направляет оператору в личный кабинет запрос о предоставлении уже обезличенных данных в «госозеро» (ГИС «НСУД»). Если диалог между ними происходит с помощью СМЭВ (системы межведомственного электронного взаимодействия), то такое требование может быть направлено через нее. По запросу Минцифры оператор направляет министерству уже обезличенные ПД для «госозера». При этом регулятор «вправе» предоставить компаниям некую программу для обезличивания ПД.
🔸Если доступа к ГИС у оператора нет, то он подключается к ней, используя средства криптографической защиты информации, сертифицированные ФСБ. После получения требования и совершения необходимых действий (определения выборки ПД и ее обезличивания) оператор загружает обезличенные ПД в информационную систему Минцифры с помощью СМЭВ или личного кабинета в ГИС.
🔸Согласно правилам взаимодействия Минцифры и операторов ПД для обезличивания, бизнес сможет предоставить нужную регулятору информацию следующим образом. Для формирования дата-сетов Минцифры направляет оператору в личный кабинет запрос о предоставлении уже обезличенных данных в «госозеро» (ГИС «НСУД»). Если диалог между ними происходит с помощью СМЭВ (системы межведомственного электронного взаимодействия), то такое требование может быть направлено через нее. По запросу Минцифры оператор направляет министерству уже обезличенные ПД для «госозера». При этом регулятор «вправе» предоставить компаниям некую программу для обезличивания ПД.
🔸Если доступа к ГИС у оператора нет, то он подключается к ней, используя средства криптографической защиты информации, сертифицированные ФСБ. После получения требования и совершения необходимых действий (определения выборки ПД и ее обезличивания) оператор загружает обезличенные ПД в информационную систему Минцифры с помощью СМЭВ или личного кабинета в ГИС.
🏛️ Опубликовано Постановление Правительства РФ от 26.06.2025 № 961 о формировании составов обезличенных ПД и о порядке предоставления доступа к составам таких ПД
🔸Обезличивание данных проводится по правилам, утверждённым правительством РФ по согласованию с ФСБ, чтобы исключить возможность идентификации конкретного человека.
🔸Доступ к обезличенным наборам данных предоставляется только внутри защищённого контура ГИС: извлекать, копировать или передавать их за пределы системы запрещено.
🔸Государственные и муниципальные органы получают доступ к данным сразу, бизнес — только через год после их поступления в ГИС и при соблюдении ряда требований (например, отсутствие иностранного участия, судимостей у руководства и др.).
🔸Запрещается обработка и предоставление данных, если это может нанести вред жизни, здоровью, правам граждан, окружающей среде, обороне страны, безопасности государства или иным охраняемым законом ценностям; также запрещён доступ к результатам обработки иностранным лицам и организациям.
🔸В Москве создаётся отдельная региональная система с аналогичными принципами работы.
🔸Обезличивание данных проводится по правилам, утверждённым правительством РФ по согласованию с ФСБ, чтобы исключить возможность идентификации конкретного человека.
🔸Доступ к обезличенным наборам данных предоставляется только внутри защищённого контура ГИС: извлекать, копировать или передавать их за пределы системы запрещено.
🔸Государственные и муниципальные органы получают доступ к данным сразу, бизнес — только через год после их поступления в ГИС и при соблюдении ряда требований (например, отсутствие иностранного участия, судимостей у руководства и др.).
🔸Запрещается обработка и предоставление данных, если это может нанести вред жизни, здоровью, правам граждан, окружающей среде, обороне страны, безопасности государства или иным охраняемым законом ценностям; также запрещён доступ к результатам обработки иностранным лицам и организациям.
🔸В Москве создаётся отдельная региональная система с аналогичными принципами работы.
🏛️💡Заместитель руководителя Роскомнадзора Милош Вагнер — об автоматизированной системе мониторинга прав субъектов ПД в Интернете
🔸Для мониторинга интернет-ресурсов на предмет соблюдения требований законодательства о защите персональных данных (ПД) Роскомнадзор использует автоматизированную систему мониторинга прав субъектов персональных данных в сети Интернет (АС МПДн).
🔸В 2024 году система выявила признаки нарушения требований законодательства на 77% ресурсов, то есть более чем три четверти интернет-ресурсов работали некорректно. За полгода 2025-го провели уже почти 27 тыс. проверок, признаки нарушения требований законодательства обнаружены в 84% случаев.
🔸Система настроена таким образом, что в проверку попадают в первую очередь ресурсы из тех сфер деятельности, на которые больше всего жалуются граждане нам, в Роскомнадзор, — организации финансового сектора, интернет-магазины, учреждения сферы образования и жилищно-коммунальной отрасли.
🔸В 2024 году в организации направили около 6,5 тыс. требований о приведении деятельности сайта в соответствие с законодательством, в 2025 году — уже 8 тыс. требований.
🔸Точность выявления нарушений в автоматическом режиме в среднем составляет 89%, то есть практически в девяти из десяти случаев система срабатывает верно. В целом для подобных сервисов это достаточно высокий показатель, учитывая, что выявляются семантические данные, а не просто цифры.
🔸АС МПДн способна обнаруживать сервисы, которые продают информацию о гражданах, так называемые сервисы пробива. Благодаря этому инструменту с начала 2025 года Роскомнадзор заблокировал 195 сайтов-зеркал, распространяющих персональные данные россиян, из Telegram удалили 1388 ботов по продаже личных сведений.
🔸Для мониторинга интернет-ресурсов на предмет соблюдения требований законодательства о защите персональных данных (ПД) Роскомнадзор использует автоматизированную систему мониторинга прав субъектов персональных данных в сети Интернет (АС МПДн).
🔸В 2024 году система выявила признаки нарушения требований законодательства на 77% ресурсов, то есть более чем три четверти интернет-ресурсов работали некорректно. За полгода 2025-го провели уже почти 27 тыс. проверок, признаки нарушения требований законодательства обнаружены в 84% случаев.
🔸Система настроена таким образом, что в проверку попадают в первую очередь ресурсы из тех сфер деятельности, на которые больше всего жалуются граждане нам, в Роскомнадзор, — организации финансового сектора, интернет-магазины, учреждения сферы образования и жилищно-коммунальной отрасли.
🔸В 2024 году в организации направили около 6,5 тыс. требований о приведении деятельности сайта в соответствие с законодательством, в 2025 году — уже 8 тыс. требований.
🔸Точность выявления нарушений в автоматическом режиме в среднем составляет 89%, то есть практически в девяти из десяти случаев система срабатывает верно. В целом для подобных сервисов это достаточно высокий показатель, учитывая, что выявляются семантические данные, а не просто цифры.
🔸АС МПДн способна обнаруживать сервисы, которые продают информацию о гражданах, так называемые сервисы пробива. Благодаря этому инструменту с начала 2025 года Роскомнадзор заблокировал 195 сайтов-зеркал, распространяющих персональные данные россиян, из Telegram удалили 1388 ботов по продаже личных сведений.
🏛️💡Заместитель руководителя Роскомнадзора Милош Вагнер — о необходимости исключить обработку ПД только в силу согласия и о "спецоператорах ПД"
🔸Мы считаем, что согласие на обработку ПД можно получать у человека, только если закон прямо предписывает оператору брать такое согласие. В таком случае при разработке и «прохождении» нормативного акта будет гарантирована добровольность предоставления согласия и человек не будет находиться в зависимом положении при предоставлении такого согласия.
🔸Насчет расширения других правовых оснований. Мы только приветствуем введение в деловой оборот практики их применения. Ничего на законодательном уровне делать не требуется. Мы открыты к диалогу и готовы вместе (но не вместо) с компаниями провести анализ их процессов, чтобы перейти от сбора согласий к более зрелому и ответственному поведению по отношению к человеку. С некоторыми организациями мы уже проводим такие консультации и видим ощутимый прогресс на этом пути.
🔸Необходимо сформулировать четкие инструкции соблюдения принципов обработки ПД. Строгие отраслевые стандарты должны определить перечень данных и сроки их обработки, необходимые именно этому бизнесу именно в этой сфере отношений, что позволит исключить при этом необходимость получения согласия человека на их обработку.
🔸Подобные отраслевые стандарты должны разрабатываться профильными ведомствами по направлению деятельности: здравоохранение, образование, финансы, жилищно-коммунальное хозяйство и прочие при согласовании с Роскомнадзором.
🔸Доверить хранение и обработку значительных объемов ПД (от 100 тыс. записей ПД) можно только компаниям, действительно подтвердившим способность организовать безопасную обработку ПД. К таким компаниям необходимо предъявлять повышенные требования по обеспечению безопасности. Такой оператор должен быть российским юридическим лицом, иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз ПД оператора. У него должно быть финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем ₽100 млн. Он должен использовать для обработки ПД базы данных только на территории РФ и подтверждать (а не декларировать), что обработка ПД граждан осуществляется с учетом требований по обеспечению информационной безопасности.
🔸Менее крупные операторы ПД будут получать у таких крупных операторов сервис «под ключ» по работе с данными и их защите, комплаенс с законодательством о ПД и практически нулевую вероятность административной ответственности за утечки ПД.
🔸Мы считаем, что согласие на обработку ПД можно получать у человека, только если закон прямо предписывает оператору брать такое согласие. В таком случае при разработке и «прохождении» нормативного акта будет гарантирована добровольность предоставления согласия и человек не будет находиться в зависимом положении при предоставлении такого согласия.
🔸Насчет расширения других правовых оснований. Мы только приветствуем введение в деловой оборот практики их применения. Ничего на законодательном уровне делать не требуется. Мы открыты к диалогу и готовы вместе (но не вместо) с компаниями провести анализ их процессов, чтобы перейти от сбора согласий к более зрелому и ответственному поведению по отношению к человеку. С некоторыми организациями мы уже проводим такие консультации и видим ощутимый прогресс на этом пути.
🔸Необходимо сформулировать четкие инструкции соблюдения принципов обработки ПД. Строгие отраслевые стандарты должны определить перечень данных и сроки их обработки, необходимые именно этому бизнесу именно в этой сфере отношений, что позволит исключить при этом необходимость получения согласия человека на их обработку.
🔸Подобные отраслевые стандарты должны разрабатываться профильными ведомствами по направлению деятельности: здравоохранение, образование, финансы, жилищно-коммунальное хозяйство и прочие при согласовании с Роскомнадзором.
🔸Доверить хранение и обработку значительных объемов ПД (от 100 тыс. записей ПД) можно только компаниям, действительно подтвердившим способность организовать безопасную обработку ПД. К таким компаниям необходимо предъявлять повышенные требования по обеспечению безопасности. Такой оператор должен быть российским юридическим лицом, иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз ПД оператора. У него должно быть финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем ₽100 млн. Он должен использовать для обработки ПД базы данных только на территории РФ и подтверждать (а не декларировать), что обработка ПД граждан осуществляется с учетом требований по обеспечению информационной безопасности.
🔸Менее крупные операторы ПД будут получать у таких крупных операторов сервис «под ключ» по работе с данными и их защите, комплаенс с законодательством о ПД и практически нулевую вероятность административной ответственности за утечки ПД.
🏛️ Премьер-министр России Михаил Мишустин поручил Минцифры, МВД, Роскомнадзору и Банку России проработать создание базы биометрических данных лиц, занимающихся мошенничеством.
🔸Ведомствам также поручено до 1 апреля 2026 года выработать единый системный подход к обязательному использованию банками информации от операторов связи. Это позволит оперативно защитить клиентов при выявлении признаков мошеннических действий.
🔸Ведомствам также поручено до 1 апреля 2026 года выработать единый системный подход к обязательному использованию банками информации от операторов связи. Это позволит оперативно защитить клиентов при выявлении признаков мошеннических действий.