Д
Денис Лукаш | Privacy Expert
17.07.2026 11:22 · 👁 1K
РКН об указании 3-х лиц в договоре
"... в случае передачи оператором персональных данных субъекта персональных данных в адрес третьих лиц, в договоре должны быть указанные конкретные третьи лица, в адрес которых будут переданы персональные данные, либо ссылка на официальный интернет-ресурс оператора, где размещен перечень указанных третьих лиц"
P.S. Спасибо, что делитесь ответами
#практика
Д
Денис Лукаш | Privacy Expert
17.07.2026 09:13 · 👁 1K
Недавно был проведен вебинар, посвященный особенностям обработки персональных данных в холдинговых структурах. Несмотря на наличие множества проблемных зон и нюансов, преимущество структуры с единым управлением может быть использовано для снижения операционных расходов в области защиты персональных данных. Обсуждение длилось час, прозвучало множество вопросов; проведение следующего такого же вебинара запланировано на осень.
Одной из ключевых проблем является назначение ответственного лица за организацию обработки персональных данных. Существуют различные подходы, такие как назначение генеральных директоров, привлечение одного эксперта на частичную ставку, внедрение роли Privacy-чемпионов и другие.
Иногда забывают, что ответственным может выступать стороннее лицо. Публикую слайд из презентации по организации службы DPO с включением в систему «Лукаш и партнеры» как одного из возможных вариантов.
В этой схеме L&P ответственная за организацию обработки ПД для головной компании, головная ответственная за организацию обработки ПД каждой дочерней. Все сложные экспертные вопросы со всего холдинга стекаются в L&P для решения.
Если в вашем холдинге данная проблема остается нерешенной, направляйте запрос на адрес service@lukash.partners. Договоримся со мной о встрече в онлайн-формате по обсуждению вашей структуры ответственных за организацию обработки персональных данных.
Д
Денис Лукаш | Privacy Expert
17.07.2026 08:20 · 👁 1K
Можно читать не только этот канал.
Постепенно с командой наполняем раздел экспертных позиций по персональным данным. Все отсортировано по тегам и источникам.
Уже более 200 записей, доступно без регистрации. Не забывайте пользоваться.
Д
Денис Лукаш | Privacy Expert
13.07.2026 15:01 · 👁 1.7K
Спор о привлечении Банка к ответственности по ч. 5 ст. 13.11 КоАП РФ из-за неуточнения банком данных субъекта о наличии/отсутствии задолженности
Отказ Роскомнадзора в возбуждении дела против Банка за неуточнение ПДн субъекта и передачу их коллекторам признан правомерным судами двух инстанций, однако отменен кассацией из-за процессуального нарушения при подаче жалобы
🔹Суть спора:
Между Истцом и Банком был заключен кредитный договор, по которому образовалась просроченная задолженность. На основании информации о задолженности Банк передал задолженность коллектору.
В ходе отдельного судебного разбирательства было установлено, что Истец погасил кредит и не имеет задолженности.
Истец посчитал, что Банк не имел права передавать его данные коллектору и обязан был внести сведения об отсутствии задолженности. В связи с этим Банк должен быть привлечён к административной ответственности по ч.5 ст.13.11 КоАП РФ.
🔹Позиции сторон:
Истец настаивал, что Банк был осведомлен о решении суда и исполнительном листе, согласно которому должны были быть внесены изменения, но не исполнил в срок требование субъекта персональных данных об уточнении данных (ч.2 ст. 21 152-ФЗ). Передача данных коллекторам является злонамеренной и не соответствует заявленной цели обработки, поскольку задолженности перед Банком, по мнению Истца, не имелось.
Банк, в свою очередь, указывал, что Истец при подписании договора и заявления на кредит дал согласие на обработку персональных данных, обязательства по договору исполнял ненадлежащим образом, в связи с чем образовалась непрерывная просроченная задолженность. Договор был правомерно передан в работу коллекторскому агентству в рамках агентского договора.
🔹Позиции судов:
Первая инстанция
Советский районный суд г. Краснодара пришел к выводу, что Банк и коллекторское агентство обладали правовым основанием для обработки персональных данных Истца: обработка без согласия допускается для исполнения возложенных законом функций оператора либо для исполнения договора (п. 2, 5 ч. 1 ст. 6 152-ФЗ). Право требования, которое может влечь за собой обработку персональных данных, может передаваться без согласия должника (ст. 382 ГК РФ). Кредитор вправе передавать сведения о должнике коллекторским организациям, включенным в госреестр, независимо от согласия должника (п. 5, 6 ст. 6 230-ФЗ). Суд, установив, что вступившее в силу решение Прикубанского районного суда Банку не поступало, признал событие административного правонарушения отсутствующим и оставил определение Роскомнадзора об отказе в возбуждении дела без изменения, а жалобу Истца — без удовлетворения.
Апелляция
Краснодарский краевой суд подтвердил эти выводы, дополнительно указав, что Истец был уведомлен об условиях кредита и дал согласие на обработку персональных данных при подписании договора, а несогласие заявителя с оценкой доказательств и толкованием норм не свидетельствует о существенных процессуальных нарушениях. Решение районного суда оставлено без изменения, жалоба без удовлетворения.
Кассация (постановление Четвёртого кассационного суда ОЮ от 12 мая 2026 г. № 16-1061/2026)
Кассационный суд отменил решения нижестоящих судов из-за процессуального нарушения. По КоАП РФ (в редакции до 01.07.2025) жалоба должна была подаваться на бумаге с оригинальной подписью, а в суд поступила лишь копия. Районный суд не выяснил это обстоятельство и не истребовал подлинник, краевой суд нарушение не устранил. Дело направлено на новое рассмотрение в Советский районный суд г. Краснодара.
#практика
Д
Денис Лукаш | Privacy Expert
10.07.2026 12:24 · 👁 2.4K
Приглашаю на вебинар «Особенности проведения аудита процессов обработки персональных данных в холдинговых структурах»
На конференции тема вызвала большой интерес участников, поэтому мы решили повторно осветить ее в формате отдельного вебинара, а также ответить на вопросы, которые не обсудили в рамках конференции.
Дата: 14 июля
Время: 12:00 по мск
Участие: бесплатно, по предварительной регистрации.
Зарегистрироваться https://lukash.partners/events/osobennosti-provedeniia-audita
Д
Денис Лукаш | Privacy Expert
10.07.2026 08:34 · 👁 1.9K
Ключевое с конференции "20 лет закону о персональных данных"
По ссылке - материал с повесткой всех обсуждений, ключевыми тезисами экспертов о развитии отраслевого законодательства и вызовах, стоящих перед ним сегодня.
Запись пленарной сессии с участием представителей Центра правовой помощи гражданам в цифровой среде ФГУП «ГРЧЦ», Банка России, АНО «Цифровая экономика», Lukash & Partners и Авито доступна по ссылке.
Благодарим спикеров конференции за уделённое время, готовность делиться опытом, содержательные доклады и профессиональный диалог.
Отдельная благодарность генеральному партнёру, компании Авито, за поддержку в организации мероприятия, активное участие в развитии профессионального сообщества и вклад в повышение прайваси-зрелости компаний.
Выражаем признательность партнёрам за информационную поддержку: РППА, Ciso Club, МКА Арбат, White Square, сообщество по биометрии, канал "Листок бюрократической защиты информации", ЮК Совет, канал "Найти юриста", МКА Покровская застава.
https://privacyforum.ru/
Д
Денис Лукаш | Privacy Expert
24.06.2026 13:22 · 👁 3.3K
Опубликована запись вебинара "История 152-ФЗ: от предупреждений до оборотных штрафов за 20 лет".
Почему стоит посмотреть или просто послушать на фоне всем кто близок к data privacy?
1. Уникальный источник информации об истории 152-ФЗ от бывших инспекторов Роскомнадзора, которые начали заниматься персональными данными почти 20 лет назад, а сейчас DPO корпораций.
2. Краткий экскурс в то, как менялось отношение к согласиям на обработку ПД, законному интересу, поручениям на обработку ПД.
3. Обсудили рост автоматизированной обработки ПД за 20 лет: от бумаг с ПД в мусорке к взломам информационных систем.
4. Поделились интересными наблюдениями, например, как в конце нулевых операторы ПД даже не понимали зачем их проверяли. Мало кто понимал смысл 152-ФЗ (или хотел понять).
5. Высказали мнение почему работа по направлению ПД в Роскомнадзоре - это отличный старт карьеры DPO (если в будущем интересен частный сектор).
Запись.
А если Вы хотите вживую послушать носителей истории 152-ФЗ, приходите на очную конференцию 20 лет закону о персональных данных 2 июля в Москве. Помимо хороших докладов - это нетворкинг и кулуарные обсуждения.
Д
Денис Лукаш | Privacy Expert
22.06.2026 08:18 · 👁 2.7K
Вебинар "История 152-ФЗ: от предупреждений до оборотных штрафов за 20 лет".
В этом году исполняется 20 лет со дня принятия Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
В 2006 - 2007 году еще не существовало ни профессиональных DPO, ни специализированных юристов по персональным данным.
Первыми экспертами-практиками стали инспекторы Роскомнадзора, которые со временем начали проводить проверки и разбирать обращения граждан.
Решил провести вебинар в кругу лиц, стоявших у истоков правоприменения 152-ФЗ. На вебинаре выступят бывшие инспекторы Роскомнадзора, принимавшие участие в становлении правоприменительной практики, а позднее ставшие DPO крупных федеральных компаний.
Уникальная возможность пообщаться с людьми, которые 20 лет назад навсегда связали свою жизнь с законодательством о персональных данных и знают всю его историю.
Вебинар будет полезен действующим DPO, юристам по персональным данным, всем кто хочет развиваться в области информационной приватности.
Спикеры:
Екатерина Егорова, руководитель правового управления по вопросам персональных данных крупного банка. Ранее - заместитель руководителя УРКН по Северо-западному федеральному округу.
Сергей Носуля - менеджер по защите персональных данных крупной логистической компании. Ранее - ведущий специалист-эксперт УРКН по Мурманской области.
Не смотря на то, что я тоже работал в органах Роскомнадзора в то время, займу позицию ведущего вебинара.
Дата и время: 24 июня (среда), в 12:00 по мск.
Формат: онлайн трансляция, бесплатно.
Регистрация на сайте.
Д
Денис Лукаш | Privacy Expert
19.06.2026 09:05 · 👁 2.5K
УРКН по Курской области:
1. Использование ЦОД по модели IaaS при запрете доступа к данным со стороны ЦОД: нужно поручение на обработку ПД и согласие на обработку ПД.
2. ИТ подрядчик имеет доступ к ПД, но из периметра оператора ПД: нужно поручение на обработку ПД и согласие на обработку ПД.
3. Исполнитель (обработчик) по тревел-поддержке: нужно согласие на обработку ПД работников (кроме поручения).
Для удобства вопросы и ответы сокращены через мое восприятие до смыслов. Более подробные вопросы ниже, ответы в прилагаемом файле.
Спасибо, что делитесь вопросами и ответами.
_______
Вопросы, поставленные ТО Роскомнадзора:
1. Если компания планирует перенос своих внутренних ИТ-систем (содержащих персональные данные работников) в облачный ЦОД (расположенный на территории РФ) по модели IaaS (Infrastructure as a Service — «инфраструктура как услуга») и в договоре с провайдером прямо закреплен запрет доступа его работников к размещаемым системам, в том числе и к обрабатываемым данным, рассматривается ли это как «поручение обработки персональных данных» провайдеру? Требуется ли в таком случае получать согласие работников?
2 Если для технического обслуживания ИТ-систем привлекается подрядчик, который выполняет работы, имея доступ к персональным данным работников исключительно из нашего корпоративного периметра (через нашу сеть), для обеспечения функционирования систем и работ компании: достаточно ли уведомить работников о таком привлечении подрядчика, указав перечень данных, которые будут ему доступны, и правовые основания или требуется оформлять отдельное поручение обработки персональных данных в адрес подрядчика и получать отдельное согласие каждого работника на такую передачу?
3. Если подрядчик действует по поручению компании для оказания услуг (бронирование отелей, оформление виз, бронирование авиа и жд билетов и т.п.), требуется ли в этих случаях получать отдельное согласие каждого работника на передачу персональных данных?
#практика
Д
Денис Лукаш | Privacy Expert
17.06.2026 13:50 · 👁 2.3K
Из интересного по персональным данным в официальном отчете Роскомнадзора за 1 квартал 2026 года об итогах работы с обращениями граждан:
По персональным данным поступило больше всего обращений граждан - 38% из 13 018.
В 1 квартале 2025 года (год назад) было 30% обращений по ПД, в 1 квартале 2022 года - 17%, в 1 квартале 2019 года - 28,8% (но обращений в целом в 2,5 раза меньше чем в 1 кв. 2026).
Статистика показывает, что вполне работают все способы обращений (не только сайт РКН или госуслуги). Принимают даже телеграммы.
Все способы направления обращений в 1 кв. 2026 года с количеством:
По электронной почте - 1951
С официального сайта Роскомнадзора - 4704
Устные обращения («горячие», «прямые» телефонные линии) - 14
Почтовое отправление - 767
МЭДО - 4008
Фельдсвязь - 73
Портал государственных услуг - 34
Курьер - 105
Платформа обратной связи - 1360
Телеграмма - 2
Источник здесь.