Comply. | Комплаенс-бутик

Недавно Артем Дмитриев вел лекцию на курсе RPPA DPO вместе с Кириллом Зюбановым. Рассказывали в том числе про вопросы оснований и поручений. И, к нашему удовольствию, был поднят занятный вопрос - а на каком таком основании обрабатывает ПД обработчик? Скажете, договор-поручения? Но что это за основание такое?

По горячим следам Кирилл подготовил статью. Спасибо! В ней три варианта ответа:

1️⃣«Все обработчики – операторы», то есть две обработки, два одинаковых основания.
2️⃣«Каждому своя обработка», получается, две обработки. Основание для обработчика – указание закона.
3️⃣«Одна обработка правит всеми», а значит - одна обработка, обработчик обрабатывает данные на основании поручения как продолжение оператора и в принципе не нуждается в каком-либо основании.

В ходе же обсуждения рассматривался и 4й вариант: две обработки, основание обработки обработчика – согласие, договор или иное основание оператора.

Мы, скромные практики, не примем ни 1, ни 4 варианты. Почему? Эта позиция опасна для обработчика. Если оператор допустит огрехи в своих согласиях или договорах, то будет отвечать перед РКН по ст. 13.11 КоАП. Хотя перед субъектами обработчик и не ответит.

Более всего нашему духу соответствует концепция 2 или 3. На практике между ними разницы не так уж и много. Обработчик на то и обработчик, что не имеет собственных целей обработки, а, следовательно, не должен и не может определять основание для такой обработки, поскольку является лишь продолжением «тела» оператора. Закон для обработчика – поручение и инструкции оператора, которыми он и ограничен.
Именно поэтому в ортодоксальных европейских доктринах только если обработчик выходит за рамки поручения, он становится оператором со всеми вытекающими обязанностями.

В общем, друзья, казалось бы теоретический вопрос, а имеет весьма прикладное практическое значение.

Так что, товарищи-обработчики:

1️⃣НЕ пишите в своих RoPA’х, что обрабатываете данные на основании чужих «операторских» согласий, и

2️⃣НЕ просите операторов в договорах с ними получать для вас согласия или иные основания обработки.

В противном случае рискуете ответить перед РКН за пороки в «операторских» основаниях обработки ПД.

🙂

IP-мнение от Comply

Реестр блогов коснется компаний, у которых больше 10 000 подписчиков

К концу года окончательно вступят в силу поправки на тему реестра блогов – владельцы страниц в социальных сетях будут обязаны предоставлять сведения о себе в Роскомнадзор, если аудитория на их страницах превышает 10 000 пользователей.

Под новые поправки попадет и бизнес с корпоративными соцсетями с подписчиками более 10к – такая страница должна быть промаркирована и внесена в реестр блогов, который создает РКН.

К тому же появилась информация о правилах маркировки. Она должна включать пометку «А+» и фразу «Включена РКН в перечень персональных страниц».

Последствия отсутствия маркировки серьезные:

🟦страницу могут заблокировать
🟦ее контент нельзя репостить
🟦на странице нельзя будет размещать рекламу

Оставшиеся вопросы

До конца неясно, затронут ли изменения иностранные соцсети или лишь российские платформы, для которых РКН ведет свой реестр.

Вопрос возникает, например, при ведении русскоязычного блога в заблокированной в России сети наподобие LinkedIn. Понятно, что блокировка таким страницам не страшна, но будет ли запрет рекламы в них самостоятельным нарушением – отдельный вопрос. Также стоит учитывать противоположные позиции РКН и ФАС по поводу распространения на них законодательства о рекламе.

К тому же ряд требований заведомо невыполнимы. Маркировка страницы должна быть выполнена тем же шрифтом. Но это зависит только от функционала социальной сети, а не пользователя. Рекомендуем следить за разработкой документов РКН и Минцифры и новыми разъяснениями ведомств.

#мнение 🙂

Privacy-мнение от Comply

И они им тоже данных отсыпать смогут

Они (Минцифры) прорабатывает вопрос передачи им (операторам связи и банкам) ПД из государственных баз. Декларируемая цель – повышение качества и доступности услуг, обеспечение соблюдения бизнесом зак-ва, борьба с мошенниками, снижение нагрузки на цифровую инфраструктуру и прочая благодать 💙

К нам обратился Коммерсантъ с вопросом, а насколько это вот все соответствует актуальному регулированию? Рассказываем:

Инициатива не противоречит 152-ФЗ и может укладываться в предусмотренные законом правовые конструкции.
И точка. Но какие это конструкции? Прежде всего, конечно же, согласие. Так, обращаясь к банку или телеком-оператору клиент может предоставить согласие, которое легализует получение бизнесом таких данных из ГИС и ведомственных колодцев и их использование. А могут иногда согласия собирать и госведомства, и учреждения на своих тач-поинтах – к слову, так предусмотрено, например, в ЕС 🇪🇺

Возможны и более элегантные конструкции получения и использования данных. Например, наличие законного интереса у компании. Но возможность его использования обусловлена рядом дополнительных условий, например, издание подзаконных актов и выпуск разъяснений контролирующими органами о порядке предоставления и использования данных. Без таких пререквизитов вряд ли «законный интерес» успешно полетит несмотря на все расшаркивания бизнеса с информированием клиентов и прочей балансировкой интересов.

Итого, изменения именно в 152-ФЗ вовсе не обязательны, а возможно даже и вредны – итак регуляторный ландшафт в сфере данных не особо предсказуем и драматично переменчив.

Что еще? Не мы такие, а инициативы…поэтому обычно мы их критикуем. Однако эта – очевидно доброе начинание. В случае реализации принесет рынку пользу. Ведь у различных ведомств точно есть данные, которые при корректном использовании способны улучшить качество и доступность ряда социальных сервисов и продуктов, предоставляемых бизнесом. В итоге это должно привести к повышению качества нашей с вами жизни 😇

И особенно отрадно это наблюдать на фоне дата-национализации – скоропостижно принятого закона о создании гос. озера данных. То есть data sharing в обе стороны, а не только в пользу публичных институций. А вообще повышение доступности гос. данных для бизнеса – безусловная предпосылка развития технологий и продуктов в сфере Big Data в России. Так по крайне мере написано в Стратегии развития рынка больших данных.

В ЕС ценность такого шеринга поняли раньше, хоть и по-своему – принятый Data Governance Act регулирует вопросы переиспользования защищаемых данных гос. сектора. Там ПД должны предоставляться только в анонимизированном виде или с использованием иных технологий, обеспечивающих конфиденциальность (секьюрные анклавы, синтетические данные и т.д.). Кроме этого, DGA вводит понятие дата-альтруизма, предполагающего, что субъекты могут «жертвовать» свои данные для публично полезных целей.

Теперь и в России быть экономике данных! Скрестили пальцы, ведь реализация окажется очень сложной 🤞

#мнение

Вебинар «Оборотные штрафы за утечку ПД: как оператор может минимизировать ущерб»

Comply и T.Hunter приглашают на вебинар 15 октября в 10:00. В формате дискуссии между privacy- и ИБ специалистами обсудим:

🟦обзор законопроекта: какую ответственность предусматривает текущий проект закона об оборотных штрафах, что будет считаться утечкой по вине оператора
🟦какие обстоятельства будут считаться смягчающими при утечке
🟦какие минимальные меры по информационной безопасности нужно предпринять оператору, чтобы доказать собственную добросовестность
🟦какие организационные и юридические меры по защите помогут снизить размер штрафа

Спикеры:

🟦Сергей Сайганов, партнер Comply
🟦Лидия Ильченко, аудитор, T.Hunter

Вебинар будет интересен DPO и юристам, специалистам по ИБ и комплаенсу.

Регистрация по ссылке.
 
Задавайте вопросы до мероприятия под этим постом. Чем конкретнее ваш вопрос, тем интереснее будет разговор!

🎉 5 октября был День учителя. И в Comply есть коллеги, которых мы с гордостью поздравляем с праздником!

Наш управляющий партнер Артем Дмитриев преподает в НИУ ВШЭ, где был признан лучшим преподавателем Юридического факультета. А также регулярно читает лекции в МГУ, на курсах Moscow Digital School и DPO RPPA.

👩‍🎓 А еще наши юристы Мария Пономарева и Артем Сафьянников тоже проводят лекции в рамках курса «Защита персональных данных» от Moscow Digital School.

Кстати, курс DPO в RPPA уже стартовал, в ближайшее время Артем вместе с Кириллом Зюбановым проведет лекцию на тему «Правовые основания обработки ПД. Поручение обработки - это когда?». Они обсудят важные вопросы:

🔵 Способы подтверждения наличия правовых оснований
🔵 Когда и как применять законный интерес
🔵Способы подписания согласий
🔵Оператор и обработчик: сущность, выбор и оформление ролей

А вообще поздравляем всех наших учителей и тепло любим — сложно переоценить вашу роль 💙 🙂

Privacy-мнение от Comply

Трансграница: уроки Uber и новые SCC

❗️ Недавно Uber был оштрафован на 290 млн евро в Европе за нарушение правил трансграничной передачи данных водителей в США. Нарушение касалось передачи данных от нидерландской дочки в материнскую компанию в Сан-Франциско.

Что произошло ❓

Надзорный орган выяснил, что с 2021 по 2023 год, вплоть до присоединения американского Uber к Data Privacy Framework, голландская дочка передавала данные водителей без надлежащих гарантий по ст. 44 GDPR. При этом и Uber, и надзорный орган согласились с тем, что в отношении этой обработки компании – совместные контроллеры.

Обычно для передачи данных в США внутри группы компаний используются стандартные договорные условия (SCC) или обязывающие корпоративные правила (BCR). Однако Uber в 2021 году исключил SCC из договоров между нидерландской и американской компаниями, сославшись на разъяснения Еврокомиссии. Согласно этим разъяснениям действующие SCC не могут применяться, если обработка данных получателем также подпадает под действие GDPR. Но это не убедило нидерландский надзорный орган.

Еврокомиссия обещала ещё в 2021 году разработать специальные SCC для передачи данных получателям, на которых распространяется экстерриториальное действие GDPR. Но до сих пор этого не сделала. Только после наложения штрафа на Uber Еврокомиссия объявила, что планирует опубликовать проект таких условий к концу года. Выходит, обещанного по три года ждут не только у нас, но и там. Ждем 🧐

К слову, позиция Uber была довольно экзотичной. Все же большинство компаний продолжали использовать стандартные SCC, даже если получатель данных также подчинялся GDPR. Однако в следующем году ситуация изменится: появятся новые SCC, разработанные специально для таких случаев.

Что это значит на практике ❓

Компании, действующие на европейском рынке, будут вынуждены пересмотреть договоры с получателями данных в третьих странах. Ведь текущие SCC могут стать просто недействительными в ряде случаев. Несмотря на то, что для сугубо российских компаний вопрос соблюдения GDPR стал от чего-то менее актуальным, это может стать серьёзной проблемой для тех, кто переехал из России в ЕС и иные юрисдикции (ОАЭ, Армения, Грузия и т.д.), сохранив корпоративные связи с Россией и иными странами.

❗️ Продолжаем следить за публикацией новых SCC. Вероятно, они будут проще и короче текущих, но, что важно, могут содержать новые индивидуальные условия, требующие особого внимания 🙂

#мнение

Privacy-мнение от Comply

Штраф за утечку? Нет, если докажешь свою privacy-совестливость.

Вновь обсуждают законопроект об оборотных штрафах. А мы как раз успели свериться с трендами административной и судебной практики по делам об утечках за очередные 12 месяцев. Вот к какому выводу мы пришли: только 5 из 40 компаний удалось избежать штрафа за утечку ПД. Мало? Удивительно, что кое-кому удалось!

Как такое вообще возможно!? Не будем скромничать 😉 2 таких процесса в этом году вели мы – и компании штрафы не получили. А еще 2 таких же успешных кейса для нас было в прошлом году. Итого, мы знаем противоядие против штрафов. Забегая вперед скажем, противоядие есть, но вряд ли оно всем «по зубам». Ведь все знаем, как правильно, но правильно – сложно. В любом случае мы верим, что предупрежден – вооружен. А наши читатели уж точно самые privacy-совестливые.

Законопроект об оборотных штрафах обещают принять до конца 2024 г. Пока Правительство ко 2-му чтению прорабатывает механизмы смягчения наказания. Так, чтобы рассчитывать на смягчение наказания оператор должен:

➡️Инвестировать в ИБ в размере n-рублей в год.
➡️Выплатить пострадавшим компенсацию.
➡️Подтвердить соблюдение требований к защите ПД.
➡️Не иметь обстоятельств, отягчающих ответственность.

Что тут важно? Условия смягчения наказания все еще дорабатываются, но уже очевидно, что отношение оператора к ПД до утечки будет оцениваться так же строго, как и его действия по реагированию на инцидент. На практике, такой подход уже применяется РКН, эти же обстоятельства учитывают суды при принятии решения о назначении наказания. Именно такой подход и помог нам избавить компании от штрафов. А после принятия закона об оборотных штрафах это не только не изменится, а наоборот – станет куда более актуально.

Как оператору доказать privacy-совестливость? Чтобы избежать штрафов за утечку, придется доказать сперва РКН, а затем и суду – все, что можно и нужно было сделать для предотвращения утечки и минимизации ее последствий, вы своевременно и в полном объеме сделали. Итого, есть две группы доказательств, которые необходимо собрать: 1️⃣ доказательства рутинных privacy-процедур по предотвращению утечек и 2️⃣ доказательства надлежащего реагирования на утечку для минимизации ее последствий.

Мы подготовили чек-лист мероприятий и артефактов, которые нужны для 1-й группы. Они помогут убедить РКН и суд, что вы не так уж и плохи, несмотря на утекшие ПД. Безусловно набор мероприятий корректируется в зависимости от типа и контура утечки, но чек-лист даст понимание, как нам удалось защитить клиентов, и в какую сторону вам двигаться.

Отдельно еще обязательно поделимся мнением про 2-ю группу артефактов – реагирование на инциденты и минимизация их последствий 🙂

#мнение

Уведомлять ли?
Разобрали ваши ответы

Недавно мы рассказывали об уведомлениях РКН, а вы заполняли анкеты для оценки целесообразности подачи уведомлений. Пора подводить итоги, ведь у нас скопилось много анкет. Делимся интересными результатами.

Уведомление об обработке ПД:

1️⃣ Фарма опять ТОП. Больше всего ответов мы получили именно от фарма-бизнеса. Традиционно фармацевты наиболее комплаентые. Только компании этой отрасли отметили, что для них критичен риск получения штрафа за невключение в Реестр. Остальные оценили, что этот риск маловероятен / нематериален или вовсе неприменим к ним.

2️⃣ Такой себе штраф…пока что! B2B-компании в целом же не воспринимают штрафы за невключение в Реестр. А вот потенциально увеличенные штрафы за это же нарушение оценивают уже как критичные. К слову, нематериальные последствия из отсутствия компании в Реестре пугают уже половину респондентов. К ним относится, в первую очередь, признание неуведомления РКН в качестве отягчающего обстоятельства при рассмотрении privacy-нарушений, а также невозможность уведомить РКН о ТГП.

3️⃣ И им даже не стыдно! Большинство НЕ беспокоит провал при privacy-проверке, проводимой контрагентом. Это может свидетельствовать о том, что большинство компаний в целом не проводит такую проверку. А мы рекомендуем делать privacy-чек ваших контрагентов!

4️⃣ Подадимся, а РКН все равно. Большинство компаний не связывают факт уведомления РКН об обработке ПД с его последующим повышенным вниманием. И действительно, у нас нет подтверждения какого-то особого внимания РКН к новичкам в Реестре.

5️⃣ Лучше бы податься, а мы и не сомневались. В анкете был заложен скоринг, да-да, у каждого ответа свой вес. Чем больше баллов, тем желательнее компании подать уведомление. И вот кроме трех (!) респондентов все набрали такое количество баллов, что грех не включиться в Реестр. Другими словами, почти никто не оценил риски настолько неприменимыми, чтобы можно было смело игнорировать уведомление РКН.

Уведомление о ТГП:

1️⃣ Ниже травы, тише воды. В отличие от уведомления об обработке ПД большинство связывают факт уведомления РКН о ТГП с его последующим повышенным вниманием к ним.

2️⃣ Удивлены, что не 100%! При подаче уведомления только для 60% респондентов критичны запрет, ограничения РКН на ТГП и непрогнозируемость его решений о запрете ТГП в будущем. Трусами вас не назвать!

3️⃣ ИТ-вайбы. Наиболее «расслабленными» компаниями при оценке риска получения штрафа за неуведомление РКН о ТГП стали ИТ-компании. Мы даже и не сомневались 👏😉

Спасибо вам за вовлеченность! 🙂

Privacy-мнение от Comply 🤓

ч. 5.1 ст. 21 152-ФЗ: баг или фича?

Спойлер – выходит, что все-таки баг. А еще по этой ссылке вас ждет инсайт от РКН.

Как писали ранее, в 152-ФЗ есть несколько механизмов прекращения обработки ПД. Это и ч. 5, и ч. 5.1 ст. 21. Хотя формулировки почти не отличаются, сроки реагирования – разные.

Если ч. 5 прямо ссылается на согласие, то в ч. 5.1 такого нет. Казалось бы, что в этом и должно быть различие между нормами. Но при этом ч. 5.1 предусматривает исключения для прекращения обработки ПД. Эти исключения касаются большинства оснований…кроме согласий. То есть если читать буквально, то и ч. 5.1 годится для прекращения обработки ПД на основании согласия. В общем ровно как и ч. 5. Неразбериха! 🧐

❗️РКН высказался на сей счет. Из ответа следует, что ч. 5 применяется в случае отзыва согласия, а ч. 5.1 применяется «если направлено требование в соответствии с ч. 1 ст. 14 Закона».

Посмотрим на ч. 1 ст. 14. К нашему вопросу применимо только то, что субъект ПД имеет право требовать от оператора блокирования или уничтожения его ПД, «если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми…».

Можно предположить, что ч. 5.1 ст. 21 будет применяться, если субъект доказал, что его ПД неполные, неточные или неактуальные, но он не хочет их дополнять, уточнять и актуализировать, а хочет именно прекратить их обработку, или если его ПД были незаконно получены и незаконно обрабатываются без правовых оснований.

Ок. Да, кажется разумным, что ч. 5.1 была изначально предусмотрена именно для случаев незаконной обработки ПД. Как кажется, цель этой нормы как раз и состояла в том, чтобы дать субъекту право оперативно требовать уничтожения своих ПД, незаконно обрабатываемых оператором. Этот вывод поддерживается и общей направленностью реформы 152-ФЗ того времени – реагирование на утечки.

Однако и этот, казалось бы сравнительно стройный ответ, оставляет вопросы. Больше чем было до ответа РКН… Например, ч. 3 ст. 20 уже предусматривает, что оператор обязан уничтожить ПД в срок, не превышающий 7 дней со дня представления субъектом ПД сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми. То есть эта норма тоже устанавливает срок уничтожения ПД, которые нелегитимно обрабатываются. Как это соотносится со сроком из ч. 5.1? Опять неразбериха.

Что делать? Увы, в отсутствие каких-либо логичных разъяснений вчитываться в формулировки запроса и исходить из того, что потребовал субъект ПД – либо отозвать согласие (если оно вообще было), либо прекратить обработку его ПД. Если же субъект не отзывает согласие или требует прекращения обработки ПД, а просит «вернуть его ПД и никогда больше не обрабатывать», «реализовать его право на забвение», «остановить обработку ПД на основании его согласия», то очевидно, безопаснее в случае любых сомнений толковать запрос в пользу ч. 3 ст. 20 или ч. 5.1 ст. 21 в силу более коротких сроков реагирования. Итого, уничтожаем ПД:

🔵ИЛИ в течение 7 рабочих дней, если есть риск признания обработки ПД нелегитимной,

🔵ИЛИ в течение 10 рабочих дней, если предшествующая запросу субъекта ПД обработка была вполне себе легитимна.

Да, конечно, уничтожить ПД надо, только если у вас нет дальнейшего законного основания для обработки. Если иное законное основание есть, вы вправе и дальше обрабатывать его ПД. Например, договор с клиентом продолжает действовать или данные клиента нужны вам для целей урегулирования возможных споров и т.д.

Отвечая на наш же опрос без лишних вводных и условий, мы бы рекомендовали подтвердить с клиентом удаление его аккаунта и в течение 10 дней 🙈 уничтожить все его данные из деактивированного профиля, конечно же, кроме тех, которые необходимы нам для целей налогового / бухгалтерского учета и урегулирования потенциальных споров. Почему 10 дней? Потому что не применимы ч. 5 ст. 21 (согласия нет) и ч. 3 ст. 20 (обработка была легитимной, но далее цель обработки отпадает при деактивации профиля). Вот и остается методом исключения ч. 5.1, то есть 10 дней.

Всем отличных выходных! 🙌

#мнение

Privacy-мнение от Comply

Всем привет! Разберем очередной не самый простой кейс 🤓

Итак, вы – DPO интернет-магазина, и получили запрос клиента с требованием отозвать согласие на обработку его ПД. Из ПД в вашем распоряжении – только данные аккаунта клиента, необходимые для исполнения заказа. Каких-либо согласий на обработку ПД вы не берете, клиент присоединяется к условиям продажи при регистрации, которые легализуют обработку ПД.

Что будете делать? Есть из чего выбирать:

👍 уничтожите ПД в течение 30 дней, поскольку запрос нужно трактовать как запрос на отзыв согласия (ч. 5 ст. 21 152-ФЗ), даже если согласия нет,

🙈 уничтожите ПД в течение 10 дней, поскольку это – фактически запрос на прекращение обработки ПД (ч. 5.1 ст. 21 152-ФЗ), пускай даже клиент и пишет про отзыв согласия,

🦄 уничтожите ПД в течение 7 дней, т.к. такой срок предусмотрен ч. 3 ст. 20 152-ФЗ,

💅 пффф…мне за это не платят – не реагируете на подобный запрос.

Причина сомнений – ч. 5.1 ст. 21 152-ФЗ, появившаяся в законе в 2022 г. Этой новации уже почти два года, но постичь ее истинное значение нам пока не удалось. Наверняка вы уже пытались понять соотношение обязанностей по прекращению обработки, ведь вопрос имеет и практическое значение – в зависимости выбранной опции оператор обязан прекратить обработку в разные сроки.

Давайте попробуем разобраться вместе. Своими соображениями на этот счет мы поделимся в следующем privacy-мнении. А пока голосуйте реакциями 👍 🙈 🦄 💅 и делитесь мыслями 🔽

#мнение

Согласие на рекламные рассылки и звонки. Как все соблюсти, чтобы не получать штрафы

Какую информацию можно отправлять клиентам без их согласия? Нужно ли согласие на push-уведомления? Какие возможны способы получения согласия на сайте? Насколько рискованно указывать предустановленные галочки? Что должно быть в согласии на получение рекламы? Эта статья о том, какая сложилась практика в судах и ФАС по поводу рекламных рассылок и звонков.

Рассказывает Управляющий партнер Comply Артем Дмитриев.

Читайте здесь.

@shortreadlaw

IP-мнение: что такое аффидевиты и почему они не устроили Верховный Суд?

Суть спора

Carte Blanche Greetings обратилась с иском о защите прав на мишку из Blue Nose Friends 🧸

Чтобы подтвердить права на персонажа, иностранная компания представила аффидевит. Именно он и стал камнем преткновения в ВС РФ.

Что такое аффидевит?

Это письменное показание под присягой, принятое в англосаксонском праве. Оно удостоверяется нотариусом или подобным лицом.

В данном деле аффидевит был дан финансовым директором истца.

Позиция ВС РФ

Нижестоящие суды приняли аффидевит как доказательство принадлежности исключительного права.

Но Верховный Суд не согласился с подходом нижестоящих судов. По его мнению, такой аффидевит лишь подтверждал факт существования произведения на определенную дату и то, что сам истец считает себя правообладателем. Этого недостаточно для подтверждения правообладания.

Мнение Comply

Подход ВС РФ оценивают как «выпад» против иностранных правообладателей. Но в действительности этот подход не противоречит практике.

В IP-спорах истцам сначала нужно доказать принадлежность прав. Как правило, речь идет про договоры с авторами – именно их ожидает увидеть суд.

ВС РФ не изменил этому подходу, он лишь не стал делать поблажку иностранному истцу, который просто представил документ, где компания фактически сама себя назвала правообладателем.

Понятно, что новый подход осложнит иностранным правообладателям сбор доказательств, но они будут поставлены в те же условия, что и российский бизнес.

К тому же определение ВС РФ вовсе не ставит крест на аффидевитах. Оно содержит намек на то, при каких условиях аффидевит может быть принят судом: в нем должны быть сведения об авторах, истории и дате создания произведения, переходе прав на него и т.д.

Так что мы возможно еще увидим в судах аффидевиты, но уже в другой форме. Однако позиция ВС РФ может помочь ответчикам в тех спорах, которые рассматриваются уже сейчас. Вовсе не факт, что в начатых процессах истцы успеют собрать нужные доказательства правообладания – тем более, что на стадии обжалования судебных актов их обычно уже невозможно предоставить в дело 🙂

#мнение

Comply.Pulse: цугцванг, а не уведомление РКН

Уведомления в Роскомнадзор могут быть разными, сегодня обсудим:

1️⃣ уведомления о намерении осуществлять обработку персональных данных (ПД),
2️⃣ о трансграничной передаче ПД (ТГП).

Оператор обязан уведомить РКН о своем намерении обрабатывать ПД и осуществлять ТГП. РКН включает эту информацию в общедоступный реестр операторов ПД (Реестр). В Реестре содержатся данные об операторе, о целях и правовых основаниях обработки, категориях обрабатываемых ПД, информация о ТГП и иные данные. Реестр, как privacy–ЕГРЮЛ, обеспечивает публичную достоверность содержащихся в нем сведений. Если операторы пытаются подорвать эту достоверность, несвоевременно или не в полном объеме предоставляя сведения, они рискуют понести наказание.

То есть, казалось бы, очевидным, что уведомительный порядок взаимодействия с РКН позволит митигировать риски. Но как показывает практика, такие уведомления, митигируя одни риски, создают другие. Целесообразность уведомлений РКН необходимо рассматривать в контексте оценки рисков именно для вашей компании. С учетом специфики бизнеса и субъективной интерпретации рисков итоги могут разительно отличаться. Есть много разумных аргументов как «за», так и «против» уведомлений РКН. Поэтому мы не будем рекомендовать (не) уведомлять РКН, но, что важнее, сформулируем список аргументов для взвешенного ответа на этот вопрос.

Спойлер: можно ознакомиться с критериями в файле в формате PDF или заполнить упрощенную анонимную онлайн анкету – «Уведомление о намерении осуществлять обработку ПД» и «Уведомление о ТГП».

В анкетах указаны аргументы, которые помогут определиться с отношением к уведомлению РКН.

Все мы знаем как надо, но не всегда так как надо – правильно. Поэтому НЕ уведомляйте, если не согласны с приведенными в анкете аргументами, считаете их неприменимыми к вашей ситуации или оцениваете риск их реализации для компании как низкий или вовсе теоретический. И наоборот – уведомляйте, если согласны! Вопрос веры, не иначе 🙂