Б-152: защита персональных данных

👀 Посмотрели, кого сейчас ищут компании в нашей области, и аккуратно сложили все в одну подборку: 🔃 Вакансия 572: Начальник отдела защиты данных (ИБ) в ОТП Банк. IT 🔃 Специалист/Ведущий специалист по информационной безопасности в ФАКТОР (zolla) 🔃 Старший аудитор процессов обработки и защиты ПДн (Personal Data Protection) в Альфа-Банк 🔃 Руководитель отдела защиты ПДн в Faberlic 🔃 Юрисконсульт по работе с персональными данными в ЦБУ 🔃 Руководитель практики...

🤒 Разбор кейса В организации внедрена DLP-система. Контролируется корпоративная почта, анализируются вложения, фиксируются попытки передачи файлов через внешние носители. Формально меры защиты реализованы. При этом фактическая передача информации (в т.ч. персональные данные) происходит через мессенджеры: как корпоративные, так и публичные. Это могут быть веб-версии, мобильные приложения или передача ссылок на облачные хранилища. Часто это выглядит как пересылка ссылок, выгрузка на облачный диск, пересылка фрагментов в чат или отправка с личного устройства...

Это не рандомные слова, а то, что мы детально обсудили на зимних вебинарах Privacy Pro 🔥 Да что там, это фактически были настоящие мастер-классы! Вчерашний вебинар про определение операторов и обработчиков стал кульминацией. Поэтому делимся материалами с него: 🔵запись вебинара 🔵презентация с вебинара 🔵поручение обработки персональных данных Больше практики и реальных кейсов на нашем курсе Privacy Professional, который закончило уже более 630, многие из которых в этом чате. ➡️25 часов теории и 28 часов...

❔ В прошлом месяце мы уже использовали такой формат: вы выбрали темы, и именно они легли в основу февральских разборов. Формат оказался рабочим, поэтому продолжаем. Ниже несколько направлений, которые сейчас чаще всего вызывают вопросы у компаний в части ПДн и ИБ...

Пост по Федеративному обучению Пост 1 из цикла Пост 2 из цикла Пост 3 из цикла Пост 4 из цикла ➖➖➖➖➖➖➖➖➖➖➖ Федеративное обучение: «ДАННЫЕ НЕ УХОДЯТ» НЕ ЗНАЧИТ, ЧТО «РИСКОВ НЕТ» Как это работает: ↪️ Модель отправляют на устройства / узлы (филиалы, мобильные, медицинские организации, банки); ↪️ Локально считают обновления (градиенты / параметры); ↪️ В центр уходят обновления, а не сырые данные; ↪️ Центр агрегирует и улучшает общую модель. Где ПДн все равно прячутся: 🔃 В метаданных и обновлениях (в...

Пост по Федеративному обучению Пост 1 из цикла Пост 2 из цикла Пост 3 из цикла ➖➖➖➖➖➖➖➖➖➖➖ RAG (поиск + генерация по вашим документам) Почему это часто лучший вариант для ПДн 🤒 Идея простая: Модель сама по себе "общая". А ваши знания находятся в вашей базе. Когда пользователь задает вопрос, система: 1️⃣ Находит релевантные фрагменты (поиск/векторный поиск); 2️⃣ Подставляет их в контекст запроса; 3️⃣ Модель формирует ответ. Почему RAG снижает риск: ➖ данные не превращаются в веса модели (меньше риск...

Пост по Федеративному обучению Пост 1 из цикла Пост 2 из цикла ➖➖➖➖➖➖➖➖➖➖➖ ПРОМТЫ И КОНТЕКСТ Модель не учится, но утечка ПДн происходит легко 🤒 Сценарий знакомый всем: Сотрудник вставляет в чат-бота: “Вот переписка с клиентом / договор / жалоба / паспортные данные. Помоги ответить”. Технически модель может не обучаться на вашем тексте. Но юридически вы все равно: 👉 передали ПДн третьему лицу (провайдеру сервиса), если он внешний 👉 создали риск трансгранички/локализации (в зависимости от размещения...

Как остановить сбор данных и защитить свою приватность 🔍 Мы все уже привыкли к рекомендациям в TikTok, Instagram и других платформах, но задумывались ли вы, сколько эти сервисы знают о вас? 🤔 Ваши лайки, поисковые запросы, время просмотра видео — все это лишь верхушка айсберга. Алгоритмы собирают десятки тысяч поведенческих данных, которые помогают строить точные профили пользователей. Эти данные не только обучают нейросети и генерируют рекламу, но также создают риски: от штрафов до утечек личной...

Где проходит граница между 152-ФЗ и GDPR? «Законный интерес» — одно из самых гибких и при этом самых спорных правовых оснований обработки персональных данных. Его ценность понятна: в ряде ситуаций он позволяет обрабатывать ПДн без получения согласия, если интерес оператора объективно оправдан и не нарушает права субъекта. Регулятор в публичных позициях неоднократно подчеркивал: согласие не должно становиться универсальным основанием на всякий случай. ➡️ Закон допускает и другие основания, при условии, что они применяются осознанно и корректно...

Пост по Федеративному обучению Пост 1 из цикла ➖➖➖➖➖➖➖➖➖➖➖ ДООБУЧЕНИЕ (fine-tuning) и LoRA Вы не храните датасет, но обязанности по ПДн никуда не делись 👀 Есть базовая модель (например, языковая). Вы даете ей набор своих примеров: диалоги, письма, карточки обращений, шаблоны ответов и получаете модель, которая лучше говорит “как вы”. Две популярные формы: ⚫️ Fine-tuning — полноценная настройка весов модели; ⚫️ LoRA/PEFT — «легкие адаптеры» (часто проще внедрять и откатывать, но юридически это все равно обучение на данных)...

Продолжаем просветительский цикл по Федеративному обучению, большой пост по которому мы публиковали еще совсем недавно... ЦЕНТРАЛИЗОВАННОЕ ОБУЧЕНИЕ (классика): почему тут больше всего юридических рисков? 🤒 Как работает (в 3 шага): 1️⃣ Вы собираете данные в единое хранилище (DWH/даталейк/CRM-выгрузки); 2️⃣ Чистите/размечаете; 3️⃣ Обучаете модель на этих данных и получаете веса модели + метрики. Где тут ПДн, юридически: Персональные данные — это любая информация о прямо/косвенно определяемом человеке...