Б-152: защита персональных данных

Если SaaS-сервисы выбирает Sales или Product, а условия по ПДн проверяет Legal, этот чек-лист стоит показать обеим сторонам до подписания договора❗️ После такой проверки обычно становится понятно, где не хватает поручения на обработку, контроля подрядчика, сроков уведомления об инцидентах или условий об ответственности. Б-152 помогает проверить SaaS-договоры и определить, какие условия нужно усилить до запуска обработки ПДн. 😎 💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен

#HeadofLegal #Sales #PreSale SaaS подключили, данные ушли подрядчику. КТО ОТВЕЧАЕТ ПРИ УТЕЧКЕ? 💀

Распространенная ошибка: считать, что если персональные данные переданы SaaS-поставщику, то ответственность за них тоже ушла к провайдеру.

На практике это работает иначе. Если компания использует SaaS для своих целей обработки ПДн, она остается оператором. SaaS-провайдер обычно выступает лицом, которое обрабатывает данные по поручению оператора: хранит, технически обеспечивает работу сервиса. По смыслу ч. 5 ст. 6 152-ФЗ ответственность перед субъектами и регулятором остается у оператора. Провайдер может отвечать перед оператором в гражданско-правовом порядке, если нарушение произошло по его вине. Но это не отменяет главный риск: сначала запрос, проверка и штраф придут к оператору. Понять, насколько эта проблема актуальна именно для вашей компании, можно за пару минут. Посмотрите на карточки и посчитайте, сколько красных флагов вы нашли в своих SaaS-договорах.

КАК ОЦЕНИТЬ РИСК 🚫 0–1 красный флаг — достаточно внутренней проверки договора. 🚫 2–3 красных флага — стоит дополнительно разобрать процесс и условия поручения. 🚫 4 и более красных флага — лучше провести диагностику SaaS-контуров и обновить договорную модель.

SaaS может помочь с технологией, но не снимает с оператора ответственность за персональные данные. Снять можно только часть операционных задач, а не обязанность контролировать обработку и доказывать, что поручение было оформлено корректно.

Бросается в глаза сейчас не столько рост числа атак или ужесточение законов, сколько изменения самой среды. Любое действие (вход в аккаунт, звонок, анкета, профиль, даже попытка быстро авторизоваться) все чаще воспринимается как повод для проверки и контроля. Для бизнеса это уже не частный вопрос безопасности. Раньше можно было точечно усиливать защиту, что-то дописывать в регламентах и где-то оставлять удобные сценарии. Сейчас приходится смотреть шире: насколько ваши процессы вообще готовы к ситуации, где идентификация становится жестче, а мошенники учатся подделывать доверие быстрее, чем компании успевают перестраиваться. В этом смысле подборка за неделю получилась показательной: ЗАКОНОДАТЕЛЬСТВО – С 1 июля 2026 года родители смогут получать в банках информацию о счетах и вкладах несовершеннолетних – Госдума приняла закон о профилактике киберпреступлений – Банки и госорганы обяжут уведомлять абонентов о цели массовых обзвонов – В России запретили авторизацию на сайтах через иностранные сервисы ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ – В России могут ограничить оборот сим-карт для интернета вещей и eSIM – Мошенники крадут данные волгоградцев через фальшивые чаты с «начальником» – Минюст разрабатывает систему для выявления дипфейков в видеоконференциях – Астраханец передал в мессенджере персональные данные двух жительниц – В ГД рассказали о новой схеме мошенников с кражей сайтов под видом проверок РКН – В Москве почти на 23% сократилось количество IT-преступлений МВД – МВД пресекло деятельность пяти интернет-площадок, продававших персональные данные – МВД предупредило автомобилистов о фейковом «бензине без очереди» БИОМЕТРИЯ – МФО настраивают идентификацию клиентов по биометрии – Около 60 тыс. мигрантов закрыли въезд в РФ благодаря биометрической идентификации ИИ – ИИ ставит диагнозы, а заодно сдаёт пациентов: по уверенности ответа можно вычислить, чья карта попала в обучение ЗАЯВЛЕНИЯ – Председатель КС РФ заявил о рисках тотального контроля из-за цифровой революции – Мезенцев: незаконная генерация дипфейков должна иметь правовые последствия СТАТЬИ – Один забытый токен Salesforce — и хакеры разом вскрыли десяток крупнейших компаний – Хакеры взломали пять ведущих компаний по информационной безопасности через платформу Klue – Cobalt Strike, Mirai, инфостилеры под одной крышей. Те же площадки кормят и массовый криминал, и сложные операции НОВОСТИ – FT: аэропорты Рима столкнутся с "катастрофой" из-за биометрической системы ЕС Похоже, мы довольно быстро привыкаем к тому, что любой цифровой процесс начинается с проверки личности и заканчивается вопросом о доверии. В такой реальности выигрывает не тот, у кого больше формальностей, а тот, у кого процессы не рассыпаются при первом же новом ограничении или новом сценарии атаки. #ДайджестНовостей 😎

⚡️Стартует новый поток курса Сегодня начинается обучение на курсе «Техническая защита персональных данных для юристов». Курс подойдет специалистам по ПДн и юристам, которым в работе нужно понимать технический контекст защиты данных: уверенно взаимодействовать с ИБ-службой и ИТ, задавать правильные вопросы подрядчикам, видеть риски не только в документах, но и в реальных процессах компании. Если вы планировали пройти курс, но откладывали решение, набор в текущий поток еще открыт! Посмотреть программу курса и условия участия можно по ссылке 👉 😎

Кажется, еще вчера был понедельник, а сегодня уже пора строить планы на выходные. Перед тем как закрыть рабочие вкладки, оставляем вам свежую подборку вакансий: 🔃 Специалист по работе с персональными данными в АО ФЦДТ СОЮЗ 🔃 Юрист в практику защиты персональных данных в Ozon Офис и Коммерция 🔃 Специалист по защите персональных данных в ООО Звук 🔃 Юрист в сфере персональных данных в Битрикс24 🔃 Специалист по работе с персональными данными (DPO) в ООО "ГРУППА КОМПАНИЙ ЭКОНИВА", Специалисты и руководители 🔃 Менеджер по безопасности третьих сторон и защите данных в Лента 🔃 Руководитель направления по обработке персональных данных в Лента 🔃 Юрисконсульт (по правовому сопровождению обработки персональных данных) в Доринг 🔃 Специалист по работе с персональными данными в eLama Пусть ближайшие два дня принесут больше отдыха, чем уведомлений в мессенджерах 😁 #Вакансии 😎

#CTO #РуководителиИБ #CEO CEO считает ИБ расходом... Как показать, что компания платит за риск заранее, а не после инцидента? 💵 ИБ редко выглядит как инвестиция с прямой окупаемостью. Она не показывает прибыль в отчете и не увеличивает продажи напрямую. Поэтому у CEO возникают понятные вопросы: «У нас еще не было инцидентов, зачем тратить деньги?» «Это дополнительные расходы без прямой прибыли». Но ИБ стоит обсуждать не как набор технических мер, а как управление возможными потерями. 1️⃣Покажите финансовый риск

Самый понятный аргумент для руководства — деньги. Если компания обрабатывает персональные данные, риск утечки уже нельзя оценивать как абстрактный. С 30 мая 2025 года за действия или бездействие оператора, которые привели к утечке, действуют отдельные крупные штрафы. Для компаний штрафы зависят от масштаба утечки: например, при утечке более 100 тыс. записей они могут составлять 10–15 млн руб; за утечку специальных категорий ПДн — также до 15 млн руб. Но штраф — только часть ущерба. К нему добавляются: — простой сервиса — расследование инцидента — восстановление инфраструктуры — уведомления и коммуникации — потеря клиентов — риск срыва тендеров и контрактов CEO важно видеть не стоимость информационной безопасности, а сколько компания может потерять без нее.

2️⃣Переведите ИБ в язык бизнес-сценариев

Фраза «нужна защита информации» звучит слишком размыто. Гораздо сильнее работают конкретные сценарии: — утечка клиентской базы — шифровальщик останавливает сервис — подрядчик с широкими доступами становится точкой входа — крупный клиент запрашивает подтверждение уровня ИБ — тендер требует документы, аудит или оценку эффективности мер защиты Так CEO видит не техническую инициативу, а риск для выручки, договоров, репутации и непрерывности бизнеса.

3️⃣Свяжите ИБ с требованиями регуляторов

Для CEO важно понимать, что часть мер относится к требованиям законодательства и контрактов. Например: — 152-ФЗ — защита персональных данных и обязанности оператора — 187-ФЗ — требования к значимым объектам КИИ, если применимо — требования заказчиков в тендерах — отраслевые стандарты и внутренние регламенты крупных клиентов Полезно подготовить простую таблицу: норма → что требует → риск при нарушении → какие меры нужны. Так бюджет на ИБ перестает выглядеть как дополнительная просьба и становится частью управления обязательствами компании.

4️⃣Покажите конкурентный эффект

ИБ может быть не только защитой от штрафов, но и аргументом в продажах. Для B2B, госсектора, финансовых, инфраструктурных и крупных корпоративных клиентов все чаще важно, может ли поставщик подтвердить уровень защиты. Документы, оценка эффективности, аттестат соответствия, понятные процессы ИБ, подготовленность к проверкам и тендерам — все это повышает доверие к компании. Если конкурент говорит, что у них все безопасно, а вы можете показать подтверждения, это уже преимущество.

5️⃣Не просите на все сразу

CEO чаще отказывает из-за того, что запрос выглядит слишком большим и непонятным. Лучше показать несколько уровней бюджета: 🔵Минимальный: аудит + обучение сотрудников 🔵Оптимальный: аудит, обучение, MFA, резервное копирование 🔵Расширенный: базовые меры + SIEM, пентест, регулярное сопровождение Так руководитель видит выбор и может соотнести меры с рисками, а не просто согласовать или отклонить абстрактную сумму.

Что проверить перед разговором с CEO: — какие реальные инциденты могут остановить бизнес — какие штрафы и требования применимы к компании — какие тендеры или клиенты уже требуют подтверждения ИБ — какие меры закрывают самые дорогие риски — какой минимальный бюджет нужен, чтобы снизить критичные уязвимости Если вам нужно обосновать бюджет на ИБ перед CEO, начните с диагностики: какие риски уже есть в инфраструктуре, какие требования применимы к компании и какие меры дадут наибольший эффект. Б-152 помогает провести такую оценку и подготовить понятную аргументацию для управленческого решения. 😎 💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен

Что меняется после курса по технической защите ПДн❔ Один из частых эффектов после курса — специалисту по ПДн становится проще разговаривать с ИБ, ИТ и подрядчиками. И это не потому, что он внезапно превращается в технического специалиста, а потому что начинает понимать базовую логику защиты данных. Выпускники курса обычно отмечают несколько изменений в работе: 🔵становится понятнее терминология ИБ и технической защиты ПДн, 🔵проще обсуждать задачи с ИБ-службой и ИТ-командой без постоянной синхронизации между подразделениями, 🔵появляется более цельный взгляд на процесс защиты персональных данных, а не только на юридическую часть, 🔵легче оценивать предложения подрядчиков и понимать, какие вопросы задавать до заключения договора, 🔵больше уверенности в рабочих ситуациях, где нужно оценить риск и принять решение. Вот как это формулируют сами выпускники:

💭 «Я научилась задавать правильные вопросы технарям, и они стали меня понимать и отвечать понятно и честно». 💭 «Было супер полезно разобраться в базовых вещах ИБ и техзащиты. Теперь смотрю на процесс защиты под другим углом».

Курс «Техническая защита персональных данных для юристов» подойдет: ➡️ специалистам по ПДн, ➡️юристам, которые сопровождают обработку и защиту персональных данных, ➡️а также тем, кому приходится взаимодействовать с ИБ-службой, ИТ-командой и подрядчиками и понимать технический контекст решений. Новый поток стартует 29 июня. До 27 июня действует текущая стоимость участия! ПРОГРАММА КУРСА 😎

Почему специалисту по ПДн уже недостаточно знать только право: ИТОГИ ВЕБИНАРА 👉 Вчера на вебинаре разобрали реальные ситуации, где специалист по ПДн оказывается между юридическими требованиями, ИБ-службой, ИТ-командой и подрядчиками. Не только в теории, а в рабочих сценариях: когда нужно оценить риск, задать правильный вопрос техническим специалистам, понять границы ответственности и не потерять проблему между подразделениями. 3 ГЛАВНЫХ ВЫВОДА ВЕБИНАРА 1️⃣Специалисту по ПДн не нужно становиться ИБ-специалистом. Но базовую логику защиты данных понимать необходимо: как устроены процессы, где возникают риски, какие меры действительно влияют на безопасность. 2️⃣Многие проблемы появляются не из-за отсутствия документов. Документы могут быть. Но процессы между юристами, ИБ и ИТ при этом не выстроены: кто подключается, на каком этапе, за что отвечает и как передает информацию дальше. 3️⃣Одна из ключевых задач специалиста по ПДн — уметь задавать вопросы. ИБ-службе, ИТ, подрядчикам, владельцам процессов. А еще замечать красные флаги в ответах, такие как слишком общие формулировки, отсутствие конкретики по мерам защиты и неясное распределение ответственности. Что чаще всего становится проблемой на практике:

⚫️Документы по защите ПДн есть, но они не отражают реальные процессы компании. ⚫️ИТ, ИБ и юридическая функция подключаются к задачам поздно и работают разрозненно. ⚫️При запуске новых систем не всегда понятно, кто отвечает за риски и в какой момент должен подключаться. ⚫️Подрядчиков проверяют по договору, цене и срокам, но редко оценивают их подход к информационной безопасности. ⚫️В итоге проблема часто в том, что между подразделениями нет согласованного процесса.

Тему разбираем глубже на курсе «Техническая защита персональных данных для юристов». Старт — 29 июня. Курс для специалистов по ПДн и юристов, которым важно понимать технический контекст защиты данных, увереннее взаимодействовать с ИБ-службой и подрядчиками и принимать решения с учетом реальных рисков. ПОДРОБНЕЕ О КУРСЕ 😎

🫆ОТПЕЧАТКИ ПАЛЬЦЕВ ДЛЯ ДОСТУПА Удобство для бизнеса или юридический риск? Биометрия все чаще появляется в обычных бизнес-процессах. На уровне продукта все выглядит удобно: человек приложил палец, и система его распознала. Но для privacy это не просто способ входа, а обработка биометрических персональных данных. И здесь долгое время была серьезная неопределенность.

💬 Ранее в разъяснениях регуляторов прослеживалась более жесткая позиция: Использование дактилоскопической информации было возможно только по 128-ФЗ «О государственной дактилоскопической регистрации в РФ». По сути, это ограничивало круг операторов и целей, для которых можно обрабатывать отпечатки пальцев.

Для коммерческого бизнеса это создавало понятный вопрос: можно ли использовать отпечатки в СКУД, фитнес-клубе или офисной системе доступа, если компания не относится к государственным органам?

💬 В новых разъяснениях подход стал практичнее: Если обработка отпечатков пальцев не подпадает под регулирование 572-ФЗ и 128-ФЗ, она должна осуществляться по общим правилам 152-ФЗ, прежде всего по ст. 11 о биометрических персональных данных.

Бизнес может ориентироваться на разъяснения выше, поскольку Минцифры и РКН вправе давать разъяснения в рамках своих компетенций. Это означает, что коммерческая компания может рассматривать обработку отпечатков пальцев как допустимую, но не по умолчанию, а при соблюдении условий. ➡️Первое условие — согласие субъекта в письменной форме. Согласие должно быть оформлено в соответствии с требованиями ч. 4 ст. 9 152-ФЗ. Просто включить пункт в общий текст или сослаться на правила посещения недостаточно. ➡️Второе условие — добровольность. Субъект вправе отказаться от предоставления биометрии. Поэтому у компании должен быть альтернативный способ доступа: карта, брелок, QR-код, пропуск или иной механизм. Если альтернативы нет, биометрия фактически становится обязательной. А это уже риск: удобный сервис превращается в принуждение к сдаче чувствительных данных. ➡️Третье условие — защита системы. Биометрия, как наиболее чувствительные данные, может повысить уровень защищенности информационной системы, а значит, может потребоваться более широкий комплекс организационных и технических мер защиты по требованиям ФСТЭК, в том числе по Приказу № 21. На практике ошибка часто возникает в способе внедрения. Сначала ставят терминал, подключают сотрудников или клиентов, а потом выясняют, что нет согласий, альтернативного прохода, описанного процесса хранения, модели доступа и понимания, кто отвечает за систему. Перед внедрением такой технологии стоит проверить:

— зачем именно используются отпечатки — можно ли достичь цели без биометрии — кто будет субъектами данных: сотрудники, клиенты, посетители — где хранятся биометрические данные — кто имеет доступ к системе — как оформляется письменное согласие — какой альтернативный способ доступа предусмотрен — какие меры защиты нужны для системы

Отпечатки пальцев в коммерческом бизнесе — не простая техническая опция, а чувствительный privacy-процесс, который нужно проектировать до установки оборудования, а не после запуска СКУД. Если такой процесс обычно запускает HR, служба безопасности или офис-менеджер, а отвечает за него Legal/DPO, этот разбор имеет смысл показать обеим ролям. Или обратиться к нам за индивидуальной консультацией. 😎 💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен

⚡️ Сегодня в 12:00 МСК проведем бесплатный вебинар «Почему специалисту по ПДн уже недостаточно знать только право». Коротко и практически разберем, где специалисту по ПДн уже важно понимать логику ИБ: как говорить с ИБ-службой, какие вопросы задавать подрядчикам и как не терять ответственность между подразделениями. Регистрация еще открыта! Подключиться можно после регистрации по ссылке 🔗 😎

СОГЛАСИЕ — ЭТО НЕ СТРАХОВКА 〰️ Есть логика, которая встречается почти везде:

🔵непонятно основание — берем согласие 🔵нужна передача — берем согласие 🔵страшно за сайт — добавляем еще один чекбокс

В результате документов становится больше, а правовой устойчивости меньше. Самое неприятное случается, когда субъект отзывает согласие или регулятор смотрит в текст и видит: размытые цели, избыточные данные, неопределенный срок, пять разных процессов в одной форме. Одна бумага не может закрыть все, и в момент проверки это становится очевидным. Материалы по теме:

👉Согласия на обработку ПДн: правовые нюансы Где согласие нужно, а где оно ослабляет позицию. 👉Анализ распространенных недостатков согласий Цели, сроки, объем данных, универсальные формы — типичные ошибки, которые всплывают слишком поздно. 👉Отказ от согласия: правовые последствия и практические шаги Иногда один отзыв ломает процесс сильнее, чем кажется. 👉Обработка ПДн без согласия: когда это допустимо Не вся обработка держится на согласии, но каждое основание нужно уметь объяснить.

После этих статей сложно смотреть на согласие как на универсальную заглушку. Скорее захочется взять свои шаблоны и проверить: где нужно, где мешает, где давно пора заменить. Если же не хочется разбирать десятки форм вручную — оставьте заявку. Поможем собрать устойчивую логику обработки без лишних чекбоксов 👍 #СтатьиЭкспертовБ152 😎

На прошлой неделе было сразу несколько новостей, которые сложно пропустить. 🔵В России утвердили правила передачи генетических данных за границу 🔵Мошенники запустили фейковый сайт Роскомнадзора 🔵Число кибератак на транспорт перевалило за 9 тысяч только за квартал 🔵А в Великобритании сотрудник клиники, по версии регулятора, пытался продать данные принцессы Кейт. Звучит как набор новостей из разных миров, но на деле это одна и та же история, где данные становятся слишком ценным активом и слишком удобной мишенью. На этом фоне особенно хорошо видно, куда все движется дальше: государство расширяет цифровой контроль, бизнесу напоминают про уязвимость критической инфраструктуры, а мошенники все быстрее подстраиваются под доверие к брендам, сервисам и привычным сценариям.

Ниже собрали главное за неделю: новые правила, интересные исследования и атаки, которые уже стали частью повседневной реальности:

ЗАКОНОДАТЕЛЬСТВО – Совфед одобрил закон о втором пакете мер против кибермошенников – Аналитическая записка об аккредитации центров ГосСОПКА – Сведения в «цифровой профиль иностранного гражданина» поставляют 14 ФОИВ – постановление – В России утвердили правила передачи генетических данных за пределы страны ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ – МВД: мошенники создали фейковый сайт Роскомнадзора для обмана россиян – 1000 писем о пассивном доходе как схема сбора персональных данных – Число кибератак на транспорт РФ в I квартале превысило 9 тыс. – Хакеры атаковали россиян с помощью зараженных обоев для рабочего стола – Совбез обсудил защиту критической информационной инфраструктуры от кибератак – Эксперт предупредил о мошенничестве через фейковые приложения и сайты аптек ИССЛЕДОВАНИЕ – В 2025 году самыми уязвимыми веб-приложениями стали приложения компаний энергетического сектора и госорганизации – Ozon: более трети молодых россиян запоминают пароли самостоятельно – F6: средний ущерб от кибератак на бухгалтеров вырос до 10 млн рублей ИИ – Опубликованы рекомендации Центробанка по безопасному использованию ИИ в финансовой сфере – ОП: в "Антифрод 3.0" нужны меры борьбы с применяемым кибермошенниками ИИ БИОМЕТИЯ – Биометрия и «биодвойник»: как защитить личность в эпоху копируемого голоса и лица СТАТЬИ – Эстония изолирует госслужбу от писем из зоны .ru. – Почти у каждой третьей финтех-компании есть критические уязвимости – Дипфейки пошли в рост на 600%. Преступники Юго-Восточной Азии обсуждают ИИ-атаки активнее, чем полиция готовится к защите – ИИ теперь не только пишет код, но и ворует пароли и крипту. Новая «фича» через GitHub НОВОСТИ – ICO: сотрудник лондонской клиники пытался продать данные принцессы Кейт Неделя будет насыщенной, но не забывайте и об отдыхе! #ДайджестНовостей 😎

3 ситуации, когда специалисту по ПДн уже недостаточно знания 152-ФЗ 👉 Специалист по ПДн обычно не настраивает системы, не выбирает СЗИ и не администрирует доступы. Но есть рабочие моменты, где перенаправить запрос к ИБ уже не получится.

Первая ситуация — вас назначили ответственным за ПДн. Техническую защиту реализуют ИБ и ИТ, но отвечать за общий результат все равно придется вам. Значит, нужно понимать, какие вопросы задавать и как проверить, что меры действительно закрывают риски. Вторая — компания выбирает меры защиты или подрядчика. Без базового понимания ИБ сложно отличить необходимое решение от избыточного, а понятный риск от красивой презентации. Третья — персональные данные уходят в облако, сервис или подрядчику. Здесь уже важны не только согласия и политика, но и договор, поручение, распределение ответственности, хранение данных и реальные процессы обработки.

Во всех этих ситуациях юридическая экспертиза, конечно, нужна. Просто ее уже недостаточно. Уже завтра, 23 июня в 12:00 МСК, мы проведем бесплатный вебинар «Почему специалисту по ПДн уже недостаточно знать только право». 📆 Отметьте событие в календаре, чтобы не потерять его среди рабочих созвонов и задач! Разберем реальные кейсы и рабочие ситуации, где специалисту по ПДн нужно понимать логику ИБ, не превращаясь при этом в технического специалиста. РЕГИСТРАЦИЯ 😎

Если последние пять дней были насыщенными, эта подборка никуда не денется. Но вдруг именно сейчас найдется пара минут посмотреть, какие вакансии открыты в нашей сфере: 🔃 Комплаенс эксперт в информационную безопасность в ПАО ДОМ.РФ Другие подразделения 🔃 Специалист по работе с персональными данными в Федерация хоккея России 🔃 Специалист по информационной безопасности в ПОБЕДА, кондитерская фабрика 🔃 Старший специалист по организации обработки персональных данных (юрист) в Полюс 🔃 Эксперт, Дирекция защиты персональных данных в АО Банк ЦентрКредит 🔃 Специалист по защите персональных данных в Ситидрайв Хороших выходных и побольше времени на себя. #Вакансии 😎

Privacy-документы готовы. А как понять, что они работают? Во многих компаниях privacy-проект считается завершенным, когда появились политика, регламенты, реестр процессов обработки ПДн, формы согласий и другие документы. Но наличие документов еще не означает, что система защиты персональных данных работает. Сотрудники могут не знать новых правил и не понимать, какие данные когда удалять. Главный вопрос для DPO: встроены ли документы в работу подразделений. 1️⃣Проверьте внешний контур

Начните с того, что видно извне: сайты, формы сбора данных, cookie-баннеры, уведомления, сервисы веб-аналитики. На практике именно здесь часто находятся заметные нарушения: политика размещена не на всех страницах, под формой заявки нет документа-основания обработки, cookie-баннер не указывает провайдеров веб-аналитики, а уведомление Роскомнадзора уже не совпадает с процессами. Что проверить: — актуальна ли политика конфиденциальности по п. 2 ч. 1 ст. 18.1 152-ФЗ — есть ли под формами согласия или иные документы-основания — используется ли cookie-баннер при сборе аналитических данных — нет ли иностранных сервисов с рисками по локализации — актуально ли уведомление об обработке ПДн — нужно ли уведомление о трансграничной передаче Здесь DPO почти всегда работает вместе с маркетингом и IT. Без них документы останутся нерабочими.

2️⃣Встройте документы во внутренние процессы

Этот этап затрагивает HR, продажи, поддержку, юристов, IT и подразделения, которые работают с клиентами, работниками, кандидатами и контрагентами. По работникам и соискателям проверьте, что: 🔵сотрудники ознакомлены с документами по ПДн под подпись, 🔵локальные акты внедрены как основания обработки в трудовых процессах, 🔵согласия переподписаны при изменении процессов, 🔵при первом контакте с кандидатами собираются необходимые согласия, 🔵а при ведении кадрового резерва есть положение о нем. По клиентам и контрагентам проверьте основания обработки: договор/согласие, а также механизм их сбора. Если контрагент обрабатывает ПДн по поручению компании, должно быть оформлено поручение.

3️⃣Проверьте процессы, которые теряются между отделами

Есть требования, которые не принадлежат одному подразделению, поэтому за них легко никто не отвечает. Первое 👉хранение бумажных документов с ПДн. В каждом подразделении, где есть материальные носители, должны быть правила: где они лежат, кто имеет доступ и как исключается несанкционированный доступ. Второе 👉уничтожение данных. Нужен не только срок хранения, но и реальный процесс удаления: автоматический алгоритм в системе или ручная процедура у ответственного подразделения. После уничтожения должны формироваться акты. Третье 👉запросы субъектов ПДн. Компания должна понимать, кто принимает обращение, кто ищет данные, кто готовит ответ и фиксирует доказательства исполнения.

4️⃣Настройте периодический контроль

Privacy-документы работают только до тех пор, пока соответствуют реальным процессам. А процессы меняются, ведь появляются новые формы, сервисы, подрядчики, HR-практики, интеграции, каналы коммуникации. Контроль соответствия — не формальность, а способ вовремя увидеть расхождение между документами и реальностью. Это также обязанность лица, ответственного за организацию обработки ПДн, по п. 1 ч. 4 ст. 22.1 152-ФЗ. В контроль можно включить: 🔵проверку актуальности документации, 🔵получение согласий, аудит бизнес-процессов, 🔵уничтожение ПДн, 🔵обучение сотрудников, 🔵контроль новых сервисов и подрядчиков.

Хороший privacy-проект заканчивается понятной системой: кто собирает данные, на каком основании, где они хранятся, кто имеет доступ, когда данные удаляются и кто отвечает за каждое действие. Если документы уже подготовлены, но есть сомнения, что они реально работают в процессах, начните с проверки внедрения: она покажет, где компания защищена только текстом документа, а где privacy встроена в работу. 😎

⚡️ PRIVACY-ДОЛГ ЦИФРОВОГО БИЗНЕСА: ТРИ НЕЗАКРЫТЫХ PRIVACY-РИСКА ДЛЯ IT, SAAS ИЛИ E-COMMERCE Вы SaaS или Ecom и ваш процессный стек состоит из десятков интеграций: аналитика, CRM, платежки, AI-API, рекламные кабинеты, облако? Каждая из них может незаметно нарушать 152-ФЗ, а с 2025 года это уже не 60 тысяч, а оборотный штраф вплоть до 3% выручки. РЕГИСТРАЦИЯ НА ВЕБИНАР В следующий четверг, 25 июня разбираем три серые зоны, в которые влетает почти каждый цифровой бизнес, и где сидит существенный риск, и показываем, как закрыть их за 90 дней: 🔹Трансграничка — иностранные SaaS, AI-API, платежки, аналитика и передача в материнскую компанию. Почему это трансграничная передача по ст. 12, даже если вы не думали об экспорте, и что нужно сделать до начала. 🔹Персданные в маркетинге — cookie, метрики, ретаргетинг, lookalike, обогащение баз и рассылки. Где согласие обязательно (ст. 15), почему «согласен с политикой» не работает и кто несет бремя доказывания. 🔹Локализация данных и документов — где первичная база граждан РФ должна физически находиться (ч. 5 ст. 18 в новой редакции 2025 года) и почему GDPR-копипаст в политике вас не защищает. На вебинаре вы получите карту собственных рисков и дорожную карту по исправлениям за 90 дней❗️ Дата и время: 25 июня, 12:00, онлайн Длительность: ~60 минут с ответами на вопросы Участие: бесплатно, по регистрации. Запись получат все зарегистрированные участники. РЕГИСТРАЦИЯ НА ВЕБИНАР 😎

ИБ БЕЗ НАЙМА КОМАНДЫ Аудит, аутсорсинг или точечные меры❔ ИТ-отдел завален задачами, инциденты по ИБ повторяются, а ресурсов на отдельный ИБ-отдел нет. Для среднего бизнеса это частая ситуация: защита информации уже нужна, но нанимать полноценную команду дорого, долго и не всегда оправданно. Обычно в таком случае есть три рабочих варианта: аудит ИБ, аутсорсинг ИБ или точечные меры. 🔃 АУДИТ ИБ

Аудит помогает понять, что реально происходит с защитой информации: где есть несоответствия, какие риски накопились и с чего начинать. Можно проверить не только документы, но и уязвимости сайтов, уровень знаний сотрудников, возможные утечки ПДн, настройки систем и зрелость процессов. Когда нужен: ⚫️непонятно, с чего начать; ⚫️компания готовится к тендеру или проверке; ⚫️был инцидент, но причины не ясны; ⚫️нужно обосновать бюджет на ИБ. Что дает: ⚫️объективную оценку; ⚫️план действий с приоритетами; ⚫️понимание критичных рисков; ⚫️основу для соответствия 152-ФЗ, 187-ФЗ и другим требованиям. Нюанс: аудит не устраняет проблемы сам по себе. Он показывает, что исправлять и в каком порядке.

🔃 АУТСОРСИНГ ИБ

Аутсорсинг подходит, когда нужен не разовый отчет, а постоянная экспертиза: сопровождение процессов, помощь с инцидентами, взаимодействие с регуляторами и поддержка требований по защите информации. Когда нужен: ⚫️инциденты повторяются; ⚫️нет ответственного за ИБ или не хватает экспертизы; ⚫️нужно выстроить процессы без найма отдела; ⚫️требуется регулярное сопровождение. Что дает: ⚫️доступ к senior-экспертизе; ⚫️поддержку по вопросам ИБ; ⚫️помощь в расследовании инцидентов и утечек; ⚫️подготовку отчетных документов; ⚫️сопровождение роли ответственного за защиту информации в согласованной зоне. Нюанс: аутсорсинг работает только при вовлеченности компании. Если внешнюю команду блокируют, эффекта не будет.

🔃 ТОЧЕЧНЫЕ МЕРЫ

Точечные меры помогают быстро закрыть конкретные проблемы: фишинг, слабые пароли, отсутствие MFA, незащищенные рабочие станции, нехватку базового контроля. Когда нужны: ⚫️нужно быстро снизить конкретный риск; ⚫️бюджет ограничен; ⚫️известны слабые места; ⚫️нужно срочно закрыть часть требований тендера или клиента. Примеры: ⚫️MFA / 2FA; ⚫️антивирусная защита; ⚫️NGFW; ⚫️DLP; ⚫️обучение сотрудников; ⚫️базовое журналирование и контроль доступов. Нюанс: точечные меры дают быстрый эффект, но не заменяют комплексную защиту.

КАК ВЫБРАТЬ? Если непонятно, с чего начать — аудит. Если нет ответственного или экспертизы — аутсорсинг. Если бюджет ограничен и есть конкретная боль — точечные меры. Если готовитесь к тендеру — чаще нужен аудит + приоритетные меры. ➖➖➖➖➖➖➖➖➖➖➖ ИБ без найма отдельной команды возможна. Главное не закрывать все хаотично, а сначала понять текущее состояние и выбрать подходящую модель. Если хотите определить, какой формат подойдет вашей компании, оставьте заявку. Мы поможем оценить состояние ИБ, выбрать приоритетные меры и выстроить защиту без лишних затрат и найма отдельного отдела. 😎 💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен

Юрист говорит: «Нужно закрыть риск по 152-ФЗ». ИБ отвечает: «Технически так не работает». И оба, что неприятно, могут быть правы. 23 июня на бесплатном вебинаре «Почему специалисту по ПДн уже недостаточно знать только право» разберем именно такие ситуации: когда юрист и ИБ-служба вроде бы обсуждают одну задачу, но на самом деле смотрят на нее с разных сторон. Юрист видит штраф, претензию регулятора, спор с субъектом ПДн, слабое основание обработки. ИБ-служба видит доступы, угрозы, уязвимости, архитектуру и реализуемость мер защиты. Когда эти взгляды не согласованы, решения начинают зависать: кто отвечает за риск, какие меры действительно нужны, и что делать в первую очередь. По данным исследования Б-152, 38% специалистов, участвовавших в исследовании, связаны с функцией ИБ, 22% работают в юридическом блоке. При этом задачи по ПДн нередко распределены между HR, ИТ, ИБ и юристами без отдельной роли DPO. То есть за один процесс отвечают сразу несколько подразделений. Но смотрят на него с разных сторон. На вебинаре разберем реальные кейсы и типичные рабочие ситуации, в которых юридических знаний уже недостаточно. Покажем, какие вопросы стоит задавать ИБ-службе и подрядчикам, чтобы не терять ответственность между подразделениями. 👍 Дата: 23 июня Время: 12:00 МСК 🔗 РЕГИСТРИРУЙТЕСЬ ПО ССЫЛКЕ 😎

РАЗБИРАЕМ ВАРИАНТЫ 👆 Про увольнение или депремирование — да, это шутка. Но только отчасти: практика показывает, что именно здесь компании иногда пытаются так сказать дожать процесс административно. При этом Закон № 152-ФЗ прямо исходит из того, что предоставление биометрии не может быть обязательным. И главное — оператор не вправе отказывать человеку в обслуживании, если тот отказался сдавать биометрию.

В ситуации со СКУД это означает простую вещь: если работник не хочет использовать биометрию, у компании должен быть заранее предусмотрен и реально работающий альтернативный способ прохода.

Например, обычный электронный пропуск вместо сканера лица или отпечатка пальца. Если такого плана нет, его лучше разработать и внедрить до первого отказа, а не после конфликта. 📌 Итог СКУД — не только безопасность периметра, но и обработка ПДн. Если в системе есть биометрия, а альтернативного способа прохода нет, то это уже риск. Если альтернатива предусмотрена и реально работает, процесс уже выглядит гораздо устойчивее. Итоги опросов разберем в ближайших постах. Если у вас СКУД уже работает или только планируется, можем помочь проверить модель, документы и альтернативный маршрут так, чтобы процесс не ломался и не создавал лишний риск. 😎