Денис Лукаш | Privacy Expert

[Вложение без текста]

Во вложении презентация с сегодняшнего вебинара, где говорил об особенности аудита процессов обработки персональных данных в 2026 году. Кратко по пунктам презентации с учетом заданных после вебинара вопросов: 1. Во время аудита нужно разграничивать базы данных, содержащие ПД и ИСПДн. Многие также путают системы управления базами данных (СУБД) и базы данных (БД), это разные сущности. Для понимания понятия БД смотрим ст. 1260 ГК РФ. Оно широкое и носит гуманитарный характер в отличии от понимания СУБД/ИСПДн. Роскомнадзор отлично понимает разницу и при административных расследованиях в 2025 году отдельно запрашивал информацию о базах данных, содержащих ПД и информацию об ИСПДн. Также напомню, что по букве закона уведомлять Роскомнадзор нужно именно о базах данных (не ИСПДн), которые могут быть не на ваших ИСПДн. Здесь еще можно вспомнить о локализации баз ПД (а не ИСПДн). Раньше можно было более "смазано" к этому относиться. Сейчас если это четко не учтено при аудите, в будущем придется восполнять или даже исправлять ошибки на основе уже сделанных выводов. 2. По результатам аудита должны быть предложены законные варианты обработки ПД без согласий на обработку ПД. Это требует большей квалификации эксперта и его работы, но в долгосрочной перспективе окупится. 3. Аудитор должен проверять сделки по "линии" ПД. Учитывая судебную практику по рискам от "обработчиков", в сложные сделки, связанные с вопросами ПД, нужно вникать с понимания, как и почему юрист/бизнес именно так структурировали сделку, далее смотрится договор и поручение (при наличии). Так снижаем неверную квалификацию сторон с позиции всех потоков данных по сделке, понимаем что улучшить и какие правки в итоге нужны. Вероятность быть наказанным по вине контрагента высокая, вероятность взыскать с него что-то - низкая. 4. Полный комплаенс по ПД - это дорого, а в реализации мероприятии участвует много людей помимо аудитора. Результат аудита обработки ПД - это не ссылки на нарушенную норму, это план мероприятий, который должен быть понятен всем. Еще года через 3 нужно будет понять, почему делались те или иные выводы. Т.е. должны быть и соразмерные мотивировки эксперта. Аудит обработки ПД - это еще не финальные документы, но все же законченная самостоятельная услуга. а не промежуточный результат. 5. Учитывая изложенное, в 2026 году аудитор по ПД – специалист с юридическим бэкграундом (помимо других компетенций). В презентации чуть больше информации. Организаторы обещали запись, скорее всего на следующей неделе.

Завтра в 12:00 выступаю на экспертном круглом столе по ПДн, организованном RTM Group, с темой «Особенности аудита процессов обработки персональных данных в 2026 году». Решил затронуть тему аудита обработки персональных данных и поговорить о том, что должно получать большее внимание в 2026 году. В частности, поговорим по темам: 🔹Влияние тенденции к отказу от избыточных согласий на методику аудита обработки ПДн. 🔹"Ставки" выросли. Понятность, самостоятельность и обоснованность выводов по результатам аудита для всех владельцев бизнес-процессов. 🔹Почему важно исследовать отдельно базы данных ПД и ИСПДн. После выступлений мне и коллегам можно будет задать вопросы. Детали: 26.02, начало в 12:00, участие online Программа и регистрация на мероприятие по ссылке. Рекомендуется быть всем кто планирует проведение аудита процессов обработки персональных данных в 2026 году. Если уже определились с аудитом по ПД и проводите тендер, пишете мне в лс. Команда Lukash & Partners подготовит предложение и проведет индивидуальную презентацию по будущему проекту.

ФСБ: применение СЗКИ обязательно при передаче ПДн за пределы контролируемой зоны и не зависит от уровня защищенности ПДН, а также, их категории.

Ранее (https://t.me/privacyexpert/1831) писал о процессуальных особенностях в деле ОАО "РЖД", где компанию привлекли к административной ответственности за утечку персональных данных. На днях арбитражный суд апелляционной инстанции отменил наказание, сославшись на основание, которое многие заявляли в судах по утечкам, но суды не принимали: действия третьих лиц не связаны с виной привлекаемого лица. Суд отменяя наказание указал следующее: "Согласно позиции Конституционного Суда Российской Федерации, вина юридического лица проявляется в виновном действии (бездействии) соответствующих физических лиц, действующих от его имени и допустивших правонарушение..." "В силу ч. 2 ст. 2.1 Кодекса Российской Федерации об административных правонарушениях юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению." Кажется, что это недоработка со стороны Роскомнадзора и надеяться на системную практику в подобных делах преждевременно. Во-первых - это арбитражный суд. Период рассмотрения дел по ст. 13.11 КоАП РФ в арбитражных судах был временным (с 30.05.2025 до 01.01.2026). Теперь снова в первой инстанции рассматривают мировые суды. Во-вторых, в недавнем (https://t.me/privacyexpert/1878) решении по Минтруду ВС РФ, привлекая к административной ответственности, указал, что бездействие заключается в невыполнении мер, предусмотренных ст. 18.1, 19 152-ФЗ. Например, не проводили внутренний контроль, значит виноваты в утечке, неважно, что атаковали злоумышленники (т.е. по логике суда если бы выполняли, то атака бы не сработала). В решении апелляционной инстанции оценка выполнения мер по защите ПД по ст. 18.1 и ст. 19 152-ФЗ не описана. У Роскомнадзора есть все шансы вернуть дело в лоно устоявшегося подхода: взломали - сам виноват. В третьих, где ОАО "РЖД", а где рядовой оператор персональных данных.

С 1 января 2026 года в ОАЭ вступил в силу федеральный указ «О цифровой безопасности детей» (Federal Decree by Law Regarding Child Digital Safety), цель которого — защита прав несовершеннолетних в цифровой среде. В отличие от американского Children’s Online Privacy Protection Act, действие которого ограничено детьми младше 13 лет, эмиратский указ охватывает значительно более широкую категорию — всех лиц, не достигших 18 лет (ст. 1). Тем самым законодатель существенно расширяет круг защищаемых субъектов. Центральным для указа является понятие цифровой платформы. Под ней понимается любое электронное средство, обеспечивающее взаимодействие и общение между пользователями в цифровом пространстве и предоставляющее цифровые услуги или контент (ст.1). На деятельность цифровых платформ приходится основная масса новых требований и ограничений. Для таких платформ вводится обязанность создания системы классификации рисков, которая будет закреплена отдельным нормативным актом. Любая цифровая платформа, обрабатывающая персональные данные граждан ОАЭ, должна разработать и внедрить процедуры контроля цифровой безопасности детей с учётом своей принадлежности к той или иной группе риска. Отдельные и более жёсткие правила установлены для обработки персональных данных детей младше 13 лет. Согласно ст. 7, такая обработка допускается только при одновременном соблюдении следующих условий: ● согласие на обработку персональных данных должно быть получено от родителей или законных представителей ребёнка; ● должен быть предусмотрен простой и понятный механизм отзыва такого согласия; ● политика обработки персональных данных должна быть понятна как родителю (законному представителю), так и самому ребёнку, то есть изложена простым и доступным языком; ● доступ к персональным данным детей подлежит строгому ограничению; ● запрещается использование персональных данных детей в маркетинговых целях, включая показ таргетированной рекламы и отслеживание активности детских аккаунтов за пределами целей, указанных в политике обработки и полученных согласиях. Из указанных правил предусмотрены исключения для образовательных и медицинских организаций, осуществляющих обработку персональных данных детей. Помимо этого, на операторов цифровых платформ возлагается обязанность внедрить механизмы верификации возраста пользователей. Платформы должны устанавливать возрастные ограничения и применять фильтры контента в зависимости от возрастной категории пользователя. Обязательной становится и функция родительского контроля, позволяющая ограничивать время использования цифровой платформы ребёнком. Аналогичные системы фильтрации контента должны быть внедрены и интернет-провайдерами. Все эти, а также иные требования, предусмотренные указом, подлежат реализации в течение 2026 года (ст. 18). Судя по всему, данные правила - часть тенденции на ограничение доступа несовершеннолетних к части контента в интернете и наличие отдельных правил по защите их персональных данных (ограничения в данной сфере ужесточились в Великобритании, Австралии и возможно во Франции в виде ограничения доступа к социальным сетям для лиц до 15 лет).

Индия запустила новый режим защиты персональных данных (DPDPA (https://dpdpa.com/)) 🔹13 ноября 2025 года Министерство электроники и информационных технологий Индии (MeitY) опубликовало Правила защиты цифровых персональных данных 2025 года. Этому предшествовало почти 10 месяцев ожидания: проект Правил был обнародован 3 января 2025 года и прошёл длительный этап обсуждений и доработки. 🔹С появлением Правил впервые начинает полноценно действовать Закон о защите цифровых персональных данных 2023 года (DPDPA) - это первый в истории Индии комплексный закон о защите персональных данных. Хотя сам закон был принят парламентом ещё в августе 2023 года, до настоящего момента он оставался во многом рамочным: в нём были заложены принципы и общие обязанности, но отсутствовали чёткие механизмы реализации. Эти механизмы определены через новые Правила. 🔹DPDPA приходит на смену прежнему регулированию - Правилам об информационных технологиях 2011 года, действовавшим на основании Закона об информационных технологиях 2000 года. При этом переход будет постепенным: старый режим продолжит применяться до завершения поэтапного внедрения нового закона. 🔹Для бизнеса это означает начало масштабного переходного периода. Компании, работающие в Индии, обязаны выполнить основные требования DPDPA в течение 12-18 месяцев. В их числе: ● назначение менеджеров по согласиям и специалистов по защите персональных данных; ● внедрение систем, обеспечивающих получение явного и проверяемого согласия пользователей; ● создание процедур для уведомления о нарушениях безопасности персональных данных в течение 72 часов. 🔹Таким образом, Индия переходит от фрагментарного и устаревшего регулирования к полноценной, структурированной системе защиты персональных данных, которая будет напрямую влиять как на бизнес, так и на права пользователей. P.S. Есть контакты коллег из Индии, можем организовать совместный проект DPDPA (https://dpdpa.com/) + 152-ФЗ для ориентированных на данный регион Российских компаний. Подробности в л.с.

Доступна для просмотра запись секции "Легализация персональных данных в службах безопасности" конференции Privacy Forum 2026 (https://privacyforum.ru/) В дискуссии обсудили практические аспекты обработки персональных данных службами безопасности: от организации СКУД и проверки кандидатов до использования полиграфа и работы с данными родственников. Модератор: Юлия Белякова, адвокат, председатель президиума МКА «Покровская Застава» Участники: - Амина Рушанова, юрист по защите персональных АО «ГК «ЕКС» - Екатерина Альперович, эксперт по информационной безопасности и защите персональных данных Управления безопасности ООО «РТК ИТ» - Роман Уланкин, руководитель направления по экономической безопасности ООО «РТК ИТ» - Денис Лукаш, управляющий партнер «Lukash & Partners (https://lukash.partners/)» 📹 Смотреть запись VKvideo (https://vkvideo.ru/playlist/-228500415_2/video-228500415_456239033?linked=1&t=9s)

Доступна для просмотра запись секции "Разделение функций DPO и отдела ИБ" конференции Privacy Forum 2026 (https://privacyforum.ru/) Эксперты разобрали ключевые вопросы взаимодействия специалистов по защите персональных данных и службы информационной безопасности: от подчиненности и контроля до распределения ответственности. Модератор: Денис Лукаш, управляющий партнер «Lukash & Partners (https://lukash.partners/)» Участники: - Евгений Царев, руководитель RTM Group, эксперт в области персональных данных. - Артемий Новожилов, руководитель архитекторов систем ИБ ГК «ГАРДА» - Валерий Комаров, начальник отдела обеспечения осведомленности управления информационной безопасности - Департамента информационных технологий города Москвы 📹 Смотреть запись VKvideo (https://vkvideo.ru/playlist/-228500415_2/video-228500415_456239034?linked=1)

Запись секции "Персональные данные в маркетинге и продажах" Privacy Forum 2026 (https://privacyforum.ru/) Участники: - Станислав Румянцев, старший юрист, юридическая фирма «Городисский и партнеры» - Наталия Балекина, operations Privacy Expert, Wildberries&Russ - Андрей Турчин, заместитель руководителя направления в Центре правовой защиты технологий и данных ПАО Сбербанк - Андрей Корсунский, заместитель руководителя юридического отдела ГК «Родная Речь» Модератор: Марина Чурова, ведущий юрист «Lukash & Partners (https://lukash.partners/)», DPO ООО «АкадемСити» Что обсудили эксперты: 🔹формирование профиля посетителя в ритейле/ведение статистики/опознавание эмоций/присвоение ID/использование собранных данных для показа персонализированной рекламы 🔹правовые основания обработки для маркетинговой аналитики и коммуникаций/продажа данных для таргетинга 🔹требования в части соблюдения 152-ФЗ в случае привлечения к работе маркетинга CRM платформ Запись доступна VKvideo (https://vkvideo.ru/playlist/-228500415_2/video-228500415_456239031?linked=1)