Comply. | Комплаенс-бутик

От рекламы попросят отдачи

Распространители и агенты должны будут отчислять в бюджет 3% дохода

Максим Али, партнер практики интеллектуальной собственности Comply, для Коммерсанта:

Текст поправок сформулирован так, что любой рекламораспространитель в интернете будет вынужден платить 3% отчисления с доходов от рекламы.

Причем речь идет не только о крупных рекламных сетях (Яндекс, ВК и другие), но и вообще обо всем рынке, вплоть до СМИ и телеграм-блогеров. Механизм контроля у государства уже есть – это пресловутая маркировка рекламы.

Что тут сказать? Что сначала за банкет заплатят рекламодатели, а потом – их клиенты. Очевидно, что очередной сбор транслируется в цены. И, значит, в инфляцию. Конечно, такое предложение кажется удивительным в ситуации, когда ЦБ ожесточенно с той же самой инфляцией борется.

Сами поправки декларируют, что они созданы «для оказания мер государственной поддержки» ИТ-отрасли. Хотя, выходит, это уже поддержка не от государства, а от одной отрасли к другой.

К слову, сбор предлагается ввести сейчас, а установить перечень адресатов поддержки (они неизвестны) когда-то потом, и уже на уровне Правительства.

Мы снова видим пример партизанского законотворчества. Поправки предлагается внести в законопроект № 600974-8, который был изначально совсем о другом.

Comply на форуме ЦИФРАПРАВА

Сегодня в Москве проходит форум ЦИФРАПРАВА, и команда экспертов Comply активно делится знаниями о защите данных, предотвращении утечек и подготовке компаний к проверкам.

Мария Пономарева, старший юрист Comply, расскажет, как компании могут продемонстрировать свою добросовестность при рутинной работе с данными и реагировании на произошедшую утечку данных. Мария дает практические советы по формированию комплекта артефактов для представления РКН, чтобы доказать «privacy-совестливость» бизнеса и делится чек-листами:

1️⃣ Стандартный набор документов в запросе РКН для внеплановой проверки
2️⃣ Требования РКН при проведении проверки вследствие утечки

🎙️ Другие выступления от команды Comply:

Максим Али, партнер практики интеллектуальной собственности, поднимет важную тему «Нематериальные блага vs. ИИ?»

Артем Дмитриев, управляющий партнер Comply, будет модератором сессии «Особенности сбора, хранения и защиты данных в цифровом пространстве».

Сomply — партнер номинации конкурса The DEPARTMENT: «Эффективная правовая защита конфиденциальной информации» 🔥

С каждым днем юридические департаменты сталкиваются с новыми вызовами. В 2025 году конкурс The DEPARTMENT совместно с Comply и Ассоциацией Больших Данных запускает новую номинацию — «Эффективная правовая защита конфиденциальной информации».

Номинация создана для того, чтобы отметить компании, которые успешно внедрили передовые программы по защите данных и обеспечению конфиденциальности, используя инновации и технологии для минимизации рисков утечек.

Мы приглашаем департаменты, формирующие лучшие практики в области защиты конфиденциальной информации, подать заявки и показать свои достижения.

➡️А в ноябрьском номере журнала Legal Insight управляющий партнер Comply, Артем Дмитриев, рассказал, почему роль Data Protection Officer (DPO) становится все более значимой для бизнеса.

Вы можете прочитать статью в журнале или у нас на сайте 🙂

Новые требования к контент-комплаенсу: запрет чайлдфри ⚡️

Законодатель не устает генерировать новые виды запрещенного контента. Вчера Госдума приняла в третьем, окончательном чтении так называемый «закон о запрете идеологии чайлдфри». Теперь у нас есть итоговый текст документа. Разбираемся, что конкретно запрещено.

В большинстве случаев запрещена пропаганда отказа от деторождения. Хотя грань между пропагандой и просто информированием бывает действительно весьма тонкой.

Где запрещена пропаганда чайлдфри?

🔴СМИ
🔴Фильмы для российского проката
🔴Контент для несовершеннолетних
🔴Реклама

‼️Важно ‼️ В рекламе запрещена не только пропаганда, но и информация, «демонстрирующая отказ от деторождения». Иными словами, упоминание чайлдфри практически под запретом.

Особое внимание на закон стоит обратить профессиональным контентмейкерам и медиаресурсам: онлайн-кинотеатрам, сетевым СМИ и подобным сервисам. В том числе, провести ревизию контента и редакторских политик, а также убедиться в актуальности возрастной маркировки 18+ 🔞

Пока особых деталей нет, с нетерпением ждем практики и разъяснений (или лучше – не надо). Напомним, размер штрафа достигает 5 млн рублей, а деятельность нарушителя может быть приостановлена до 90 дней. Наказывать нарушителей будут по статье 6.21 КоАП РФ (пропаганда ЛГБТ и смены пола). Уже есть прецеденты, когда нарушение этой статьи путем публикации в Сети признавали длящимся. Значит, контент, который был опубликован когда-то давно, но остается доступен, тоже станет источником рисков.

А пока вспоминаем Саманту из «Секс в большом городе», Клэр из «Карточный домик» и многих других. А вы кого вспомнили / в какой роли❓ Пока вспоминать можно, закон вступит в силу в лучшем случае через пару недель.

Страховщики запустят возмещения от утечек данных в 2025 году

Все мы готовимся к оборотным штрафам и страховые компании тоже. Так, Всероссийский союз страховщиков готовит новый продукт. Суть его в возмещении гражданам ущерба, нанесенного утечкой их данных, а именно:

1️⃣Размер компенсации зависит от категории ПД: 1000 руб. за утечку «простых» ПД, 2000 – за спец.кат. ПД, 5000 – за биометрию.
2️⃣Если есть вред здоровью и имуществу, то размер выплаты должен соответствовать фактическому ущербу, но не более 50 000 руб. Общий лимит на такие случаи – 20% от страховой суммы.
3️⃣Страховая сумма зависит от объема ПД компании: до 1000 ПД – 5 млн руб., а более 1 млн ПД – 1 млрд руб.

К нам обратился РБК (а до этого и RSpectr) с просьбой оценить предлагаемый размер «морального ущерба» и спрогнозировать спрос на такой вид страхования со стороны компаний пострадавшим.

Нам с учетом грядущих оборотных штрафов данная концепция видится весьма актуальной, а в перспективе – востребованной. Все потому, что планируются поправки в законопроект об оборотных штрафах. В соответствии с такими правками компенсация субъектам ПД нанесенного утечкой ущерба будет признаваться смягчающим обстоятельством. То есть в случае утечки наличие privacy-ОСАГО снизит размер штрафа. Если же страхование и компенсации субъектам не будут легально признаны в качестве смягчающего обстоятельства, то перспективы такого страхования весьма неоднозначны.

Размер именно «морального» ущерба может и покрывается такими незначительными суммами. По крайней мере, так видят это суды сегодня. Ведь редко когда размер компенсаций в таких случаях выше 5 000 руб. Хотя уже и сегодня бывают исключения. К примеру, Центр правовой помощи взыскивал по этой категории судебных дел и по 150 000 руб. Однако ситуация была специфическая: пострадавшая имела проблемы со здоровьем, что усугубило ее морально-нравственные страдания от незаконного оформленного на ее имя кредита.

В любом случае, размер компенсации, вероятно, не оправдает ожидания пострадавших от утечек граждан. При этом опыт ЕС показывает, что при сегодняшнем кросс-курсе компенсации составляют 25 000 – 50 000 руб., а могут быть и выше 🙂

Privacy-мнение от Comply

Стратегия работы с данными – марафон, но может и спринтом обернуться

Недавно мы завершили увлекательный проект по подготовке стратегии управления данными в группе компаний. Мы отвечали именно за юридическую сторону стратегии, а наши партнеры – за бизнес и технологический аспекты дата-коммерциализации. Стратегия и ее реализация это про игру в долго и дорого. Ведь там и изменение IT-ландшафта, и внедрение фреймворка документов и процессов, и многое другое. Оттого критичным становится прогнозируемость регуляторного ландшафта в сфере данных. А что у нас с этим? В целом, так себе, потому что:

1️⃣ Вчерашняя хайповая инициатива, сегодня став законом, обрушит подготовленные, казалось бы, совсем недавно еще легальные бизнес-кейсы по использованию данных. То есть данные вы вполне себе легально соберете, но утратите потенцию делать с ними запланированное.

2️⃣ А ведь таких инициатив (в том числе уже ставших реальностью) дурное количество! Там и оборотные штрафы, институт «специальных» операторов ПД, единое окно для управления согласиями через Госуслуги, критика мульти-операторских согласий, отраслевые стандарты работы с ПД, а также уже принятые поправки о дата-национализации, для которой уже разработан обширный перечень оснований для запроса данных у бизнеса и многое другое. В общем нормативная инфляция разгоняется, не иначе.

3️⃣ Мало того, что взаимоисключающих инициатив очевидно много, так и не всегда понятно их соотношение друг с другом. Например, РКН заявляет, что согласия морально устарели, да и бизнес ими пользоваться не особо разумеет как, поэтому следует их «подсушить» – согласия, а соответственно и бизнес, их использующий. Одновременно с этим в первом чтении принят законопроект Хинштейна, предусматривающий сбор согласий отдельно от других документов.

На что в таком случае прикажите ориентироваться порядочному бизнесу?

Чтобы все-таки это был марафон, а не спринт с препятствиями. Для построения эффективной долгосрочной бизнес-стратегии в сфере работы с данными НЕдостаточно хорошо разбираться в том, как правильно сегодня. Куда важнее уметь спрогнозировать, как БУДЕТ правильно завтра, какие есть тренды. Выходит, DPO – стратеджист и дальновидец? Выходит, что так.

Какие это тренды на данный момент, и что же делать?

1️⃣ Ну, например, токсичность согласий и грядущий крестовый поход против них, а значит уже сегодня следовало бы, по возможности, планировать внедрение альтернатив «консентопоборам», например, акционных механик, программ лояльности со множественностью лиц на стороне исполнителя и др.

2️⃣ Принятие законопроекта об «отделении» согласий ожидается до конца года. Бизнес уже готовится к перестройке CJM и «тачпоинтов» – ранее зашитое в договор согласие придется вынести в отдельный документ. А это в свою очередь приведет к необходимости менять процессы, учитывать и хранить новые согласия, корректировать IT-системы и менять печатные формы.

3️⃣ Или другой пример – продолжат расти стандарты доказывания наличия согласий и управления ими. А значит технологические инструменты для этого должны уже сегодня иметь «запас прочности». А не «oops, наша система умеет учитывать только одну галочку…».

За сим продолжаем держать руку на пульсе и улавливать тренды. Всем отличных выходных!

➡️ Многое из этого вовсе не юристы обсуждали на конференции наших добрейших партнеров CDI Conf – YouTube или Rutube. Приятного просмотра! 🙂

Оборотные штрафы и другие инициативы — дискуссия с АБД

Через пару минут начинается еще одна интересная сессия в рамках EDPC. В этот раз поговорим про статус законодательной инициативы по оборотным штрафам, опыт иных юрисдикций, что и когда ждать у нас.

Страновую подборку разобрать в прямом эфире не успеем, поэтому оставляем ссылку на нее здесь — презентация коллег из АБД.

А если хотите присоединиться к нам в онлайне, то тут:

⏩трансляция в ВКонтакте
⏩трансляция YouTube

DPO - это руководитель! 🔥

Через пару минут начинается стрим сессии про DPO с яркими и уважаемыми представителями этой самой функции.

Смотреть сейчас тут:
⏩трансляция в ВКонтакте
⏩трансляция YouTube

А мы к сессии делимся полезным артефактом – базовым примером RACI матрицы для DPO. Делить зоны ответственностей и ролей в компании крайне важно! Не столько ради переноса ответственности DPO за какой-либо блок, но нормализации процессов ради.

💠И пара важных дисклеймеров, куда же без них:

💠 это только пример для заполнения,
💠 многое зависит от организационного ландшафта компании
💠 и, конечно же, от целей этой матрицы.

Без понятного и прозрачного сплита ролей вам будет крайне тревожно! Расставляйте буковки R A C I

🙂

Comply на Евразийском конгрессе по защите данных

Уже завтра и в пятницу в онлайн формате пройдет EDPC — Евразийский конгресс по защите данных. Артем Дмитриев, управляющий партнер Comply, будет модерировать несколько сессий.

А сессии точно будут интересными. Там и представители Роскомнадзора и ГРЧЦ, и яркие умы, и опытные практики!

➡️Подробная информация и ссылки на трансляцию — на сайте мероприятия.

И, кстати, поговаривают, что места на офлайн нетворкинги в Москве и Петербурге закончились. Но в онлайне хватит места всем 👌

Недавно Артем Дмитриев вел лекцию на курсе RPPA DPO вместе с Кириллом Зюбановым. Рассказывали в том числе про вопросы оснований и поручений. И, к нашему удовольствию, был поднят занятный вопрос - а на каком таком основании обрабатывает ПД обработчик? Скажете, договор-поручения? Но что это за основание такое?

По горячим следам Кирилл подготовил статью. Спасибо! В ней три варианта ответа:

1️⃣«Все обработчики – операторы», то есть две обработки, два одинаковых основания.
2️⃣«Каждому своя обработка», получается, две обработки. Основание для обработчика – указание закона.
3️⃣«Одна обработка правит всеми», а значит - одна обработка, обработчик обрабатывает данные на основании поручения как продолжение оператора и в принципе не нуждается в каком-либо основании.

В ходе же обсуждения рассматривался и 4й вариант: две обработки, основание обработки обработчика – согласие, договор или иное основание оператора.

Мы, скромные практики, не примем ни 1, ни 4 варианты. Почему? Эта позиция опасна для обработчика. Если оператор допустит огрехи в своих согласиях или договорах, то будет отвечать перед РКН по ст. 13.11 КоАП. Хотя перед субъектами обработчик и не ответит.

Более всего нашему духу соответствует концепция 2 или 3. На практике между ними разницы не так уж и много. Обработчик на то и обработчик, что не имеет собственных целей обработки, а, следовательно, не должен и не может определять основание для такой обработки, поскольку является лишь продолжением «тела» оператора. Закон для обработчика – поручение и инструкции оператора, которыми он и ограничен.
Именно поэтому в ортодоксальных европейских доктринах только если обработчик выходит за рамки поручения, он становится оператором со всеми вытекающими обязанностями.

В общем, друзья, казалось бы теоретический вопрос, а имеет весьма прикладное практическое значение.

Так что, товарищи-обработчики:

1️⃣НЕ пишите в своих RoPA’х, что обрабатываете данные на основании чужих «операторских» согласий, и

2️⃣НЕ просите операторов в договорах с ними получать для вас согласия или иные основания обработки.

В противном случае рискуете ответить перед РКН за пороки в «операторских» основаниях обработки ПД.

🙂

IP-мнение от Comply

Реестр блогов коснется компаний, у которых больше 10 000 подписчиков

К концу года окончательно вступят в силу поправки на тему реестра блогов – владельцы страниц в социальных сетях будут обязаны предоставлять сведения о себе в Роскомнадзор, если аудитория на их страницах превышает 10 000 пользователей.

Под новые поправки попадет и бизнес с корпоративными соцсетями с подписчиками более 10к – такая страница должна быть промаркирована и внесена в реестр блогов, который создает РКН.

К тому же появилась информация о правилах маркировки. Она должна включать пометку «А+» и фразу «Включена РКН в перечень персональных страниц».

Последствия отсутствия маркировки серьезные:

🟦страницу могут заблокировать
🟦ее контент нельзя репостить
🟦на странице нельзя будет размещать рекламу

Оставшиеся вопросы

До конца неясно, затронут ли изменения иностранные соцсети или лишь российские платформы, для которых РКН ведет свой реестр.

Вопрос возникает, например, при ведении русскоязычного блога в заблокированной в России сети наподобие LinkedIn. Понятно, что блокировка таким страницам не страшна, но будет ли запрет рекламы в них самостоятельным нарушением – отдельный вопрос. Также стоит учитывать противоположные позиции РКН и ФАС по поводу распространения на них законодательства о рекламе.

К тому же ряд требований заведомо невыполнимы. Маркировка страницы должна быть выполнена тем же шрифтом. Но это зависит только от функционала социальной сети, а не пользователя. Рекомендуем следить за разработкой документов РКН и Минцифры и новыми разъяснениями ведомств.

#мнение 🙂

Privacy-мнение от Comply

И они им тоже данных отсыпать смогут

Они (Минцифры) прорабатывает вопрос передачи им (операторам связи и банкам) ПД из государственных баз. Декларируемая цель – повышение качества и доступности услуг, обеспечение соблюдения бизнесом зак-ва, борьба с мошенниками, снижение нагрузки на цифровую инфраструктуру и прочая благодать 💙

К нам обратился Коммерсантъ с вопросом, а насколько это вот все соответствует актуальному регулированию? Рассказываем:

Инициатива не противоречит 152-ФЗ и может укладываться в предусмотренные законом правовые конструкции.
И точка. Но какие это конструкции? Прежде всего, конечно же, согласие. Так, обращаясь к банку или телеком-оператору клиент может предоставить согласие, которое легализует получение бизнесом таких данных из ГИС и ведомственных колодцев и их использование. А могут иногда согласия собирать и госведомства, и учреждения на своих тач-поинтах – к слову, так предусмотрено, например, в ЕС 🇪🇺

Возможны и более элегантные конструкции получения и использования данных. Например, наличие законного интереса у компании. Но возможность его использования обусловлена рядом дополнительных условий, например, издание подзаконных актов и выпуск разъяснений контролирующими органами о порядке предоставления и использования данных. Без таких пререквизитов вряд ли «законный интерес» успешно полетит несмотря на все расшаркивания бизнеса с информированием клиентов и прочей балансировкой интересов.

Итого, изменения именно в 152-ФЗ вовсе не обязательны, а возможно даже и вредны – итак регуляторный ландшафт в сфере данных не особо предсказуем и драматично переменчив.

Что еще? Не мы такие, а инициативы…поэтому обычно мы их критикуем. Однако эта – очевидно доброе начинание. В случае реализации принесет рынку пользу. Ведь у различных ведомств точно есть данные, которые при корректном использовании способны улучшить качество и доступность ряда социальных сервисов и продуктов, предоставляемых бизнесом. В итоге это должно привести к повышению качества нашей с вами жизни 😇

И особенно отрадно это наблюдать на фоне дата-национализации – скоропостижно принятого закона о создании гос. озера данных. То есть data sharing в обе стороны, а не только в пользу публичных институций. А вообще повышение доступности гос. данных для бизнеса – безусловная предпосылка развития технологий и продуктов в сфере Big Data в России. Так по крайне мере написано в Стратегии развития рынка больших данных.

В ЕС ценность такого шеринга поняли раньше, хоть и по-своему – принятый Data Governance Act регулирует вопросы переиспользования защищаемых данных гос. сектора. Там ПД должны предоставляться только в анонимизированном виде или с использованием иных технологий, обеспечивающих конфиденциальность (секьюрные анклавы, синтетические данные и т.д.). Кроме этого, DGA вводит понятие дата-альтруизма, предполагающего, что субъекты могут «жертвовать» свои данные для публично полезных целей.

Теперь и в России быть экономике данных! Скрестили пальцы, ведь реализация окажется очень сложной 🤞

#мнение

Вебинар «Оборотные штрафы за утечку ПД: как оператор может минимизировать ущерб»

Comply и T.Hunter приглашают на вебинар 15 октября в 10:00. В формате дискуссии между privacy- и ИБ специалистами обсудим:

🟦обзор законопроекта: какую ответственность предусматривает текущий проект закона об оборотных штрафах, что будет считаться утечкой по вине оператора
🟦какие обстоятельства будут считаться смягчающими при утечке
🟦какие минимальные меры по информационной безопасности нужно предпринять оператору, чтобы доказать собственную добросовестность
🟦какие организационные и юридические меры по защите помогут снизить размер штрафа

Спикеры:

🟦Сергей Сайганов, партнер Comply
🟦Лидия Ильченко, аудитор, T.Hunter

Вебинар будет интересен DPO и юристам, специалистам по ИБ и комплаенсу.

Регистрация по ссылке.
 
Задавайте вопросы до мероприятия под этим постом. Чем конкретнее ваш вопрос, тем интереснее будет разговор!

🎉 5 октября был День учителя. И в Comply есть коллеги, которых мы с гордостью поздравляем с праздником!

Наш управляющий партнер Артем Дмитриев преподает в НИУ ВШЭ, где был признан лучшим преподавателем Юридического факультета. А также регулярно читает лекции в МГУ, на курсах Moscow Digital School и DPO RPPA.

👩‍🎓 А еще наши юристы Мария Пономарева и Артем Сафьянников тоже проводят лекции в рамках курса «Защита персональных данных» от Moscow Digital School.

Кстати, курс DPO в RPPA уже стартовал, в ближайшее время Артем вместе с Кириллом Зюбановым проведет лекцию на тему «Правовые основания обработки ПД. Поручение обработки - это когда?». Они обсудят важные вопросы:

🔵 Способы подтверждения наличия правовых оснований
🔵 Когда и как применять законный интерес
🔵Способы подписания согласий
🔵Оператор и обработчик: сущность, выбор и оформление ролей

А вообще поздравляем всех наших учителей и тепло любим — сложно переоценить вашу роль 💙 🙂

Privacy-мнение от Comply

Трансграница: уроки Uber и новые SCC

❗️ Недавно Uber был оштрафован на 290 млн евро в Европе за нарушение правил трансграничной передачи данных водителей в США. Нарушение касалось передачи данных от нидерландской дочки в материнскую компанию в Сан-Франциско.

Что произошло ❓

Надзорный орган выяснил, что с 2021 по 2023 год, вплоть до присоединения американского Uber к Data Privacy Framework, голландская дочка передавала данные водителей без надлежащих гарантий по ст. 44 GDPR. При этом и Uber, и надзорный орган согласились с тем, что в отношении этой обработки компании – совместные контроллеры.

Обычно для передачи данных в США внутри группы компаний используются стандартные договорные условия (SCC) или обязывающие корпоративные правила (BCR). Однако Uber в 2021 году исключил SCC из договоров между нидерландской и американской компаниями, сославшись на разъяснения Еврокомиссии. Согласно этим разъяснениям действующие SCC не могут применяться, если обработка данных получателем также подпадает под действие GDPR. Но это не убедило нидерландский надзорный орган.

Еврокомиссия обещала ещё в 2021 году разработать специальные SCC для передачи данных получателям, на которых распространяется экстерриториальное действие GDPR. Но до сих пор этого не сделала. Только после наложения штрафа на Uber Еврокомиссия объявила, что планирует опубликовать проект таких условий к концу года. Выходит, обещанного по три года ждут не только у нас, но и там. Ждем 🧐

К слову, позиция Uber была довольно экзотичной. Все же большинство компаний продолжали использовать стандартные SCC, даже если получатель данных также подчинялся GDPR. Однако в следующем году ситуация изменится: появятся новые SCC, разработанные специально для таких случаев.

Что это значит на практике ❓

Компании, действующие на европейском рынке, будут вынуждены пересмотреть договоры с получателями данных в третьих странах. Ведь текущие SCC могут стать просто недействительными в ряде случаев. Несмотря на то, что для сугубо российских компаний вопрос соблюдения GDPR стал от чего-то менее актуальным, это может стать серьёзной проблемой для тех, кто переехал из России в ЕС и иные юрисдикции (ОАЭ, Армения, Грузия и т.д.), сохранив корпоративные связи с Россией и иными странами.

❗️ Продолжаем следить за публикацией новых SCC. Вероятно, они будут проще и короче текущих, но, что важно, могут содержать новые индивидуальные условия, требующие особого внимания 🙂

#мнение

Privacy-мнение от Comply

Штраф за утечку? Нет, если докажешь свою privacy-совестливость.

Вновь обсуждают законопроект об оборотных штрафах. А мы как раз успели свериться с трендами административной и судебной практики по делам об утечках за очередные 12 месяцев. Вот к какому выводу мы пришли: только 5 из 40 компаний удалось избежать штрафа за утечку ПД. Мало? Удивительно, что кое-кому удалось!

Как такое вообще возможно!? Не будем скромничать 😉 2 таких процесса в этом году вели мы – и компании штрафы не получили. А еще 2 таких же успешных кейса для нас было в прошлом году. Итого, мы знаем противоядие против штрафов. Забегая вперед скажем, противоядие есть, но вряд ли оно всем «по зубам». Ведь все знаем, как правильно, но правильно – сложно. В любом случае мы верим, что предупрежден – вооружен. А наши читатели уж точно самые privacy-совестливые.

Законопроект об оборотных штрафах обещают принять до конца 2024 г. Пока Правительство ко 2-му чтению прорабатывает механизмы смягчения наказания. Так, чтобы рассчитывать на смягчение наказания оператор должен:

➡️Инвестировать в ИБ в размере n-рублей в год.
➡️Выплатить пострадавшим компенсацию.
➡️Подтвердить соблюдение требований к защите ПД.
➡️Не иметь обстоятельств, отягчающих ответственность.

Что тут важно? Условия смягчения наказания все еще дорабатываются, но уже очевидно, что отношение оператора к ПД до утечки будет оцениваться так же строго, как и его действия по реагированию на инцидент. На практике, такой подход уже применяется РКН, эти же обстоятельства учитывают суды при принятии решения о назначении наказания. Именно такой подход и помог нам избавить компании от штрафов. А после принятия закона об оборотных штрафах это не только не изменится, а наоборот – станет куда более актуально.

Как оператору доказать privacy-совестливость? Чтобы избежать штрафов за утечку, придется доказать сперва РКН, а затем и суду – все, что можно и нужно было сделать для предотвращения утечки и минимизации ее последствий, вы своевременно и в полном объеме сделали. Итого, есть две группы доказательств, которые необходимо собрать: 1️⃣ доказательства рутинных privacy-процедур по предотвращению утечек и 2️⃣ доказательства надлежащего реагирования на утечку для минимизации ее последствий.

Мы подготовили чек-лист мероприятий и артефактов, которые нужны для 1-й группы. Они помогут убедить РКН и суд, что вы не так уж и плохи, несмотря на утекшие ПД. Безусловно набор мероприятий корректируется в зависимости от типа и контура утечки, но чек-лист даст понимание, как нам удалось защитить клиентов, и в какую сторону вам двигаться.

Отдельно еще обязательно поделимся мнением про 2-ю группу артефактов – реагирование на инциденты и минимизация их последствий 🙂

#мнение

Уведомлять ли?
Разобрали ваши ответы

Недавно мы рассказывали об уведомлениях РКН, а вы заполняли анкеты для оценки целесообразности подачи уведомлений. Пора подводить итоги, ведь у нас скопилось много анкет. Делимся интересными результатами.

Уведомление об обработке ПД:

1️⃣ Фарма опять ТОП. Больше всего ответов мы получили именно от фарма-бизнеса. Традиционно фармацевты наиболее комплаентые. Только компании этой отрасли отметили, что для них критичен риск получения штрафа за невключение в Реестр. Остальные оценили, что этот риск маловероятен / нематериален или вовсе неприменим к ним.

2️⃣ Такой себе штраф…пока что! B2B-компании в целом же не воспринимают штрафы за невключение в Реестр. А вот потенциально увеличенные штрафы за это же нарушение оценивают уже как критичные. К слову, нематериальные последствия из отсутствия компании в Реестре пугают уже половину респондентов. К ним относится, в первую очередь, признание неуведомления РКН в качестве отягчающего обстоятельства при рассмотрении privacy-нарушений, а также невозможность уведомить РКН о ТГП.

3️⃣ И им даже не стыдно! Большинство НЕ беспокоит провал при privacy-проверке, проводимой контрагентом. Это может свидетельствовать о том, что большинство компаний в целом не проводит такую проверку. А мы рекомендуем делать privacy-чек ваших контрагентов!

4️⃣ Подадимся, а РКН все равно. Большинство компаний не связывают факт уведомления РКН об обработке ПД с его последующим повышенным вниманием. И действительно, у нас нет подтверждения какого-то особого внимания РКН к новичкам в Реестре.

5️⃣ Лучше бы податься, а мы и не сомневались. В анкете был заложен скоринг, да-да, у каждого ответа свой вес. Чем больше баллов, тем желательнее компании подать уведомление. И вот кроме трех (!) респондентов все набрали такое количество баллов, что грех не включиться в Реестр. Другими словами, почти никто не оценил риски настолько неприменимыми, чтобы можно было смело игнорировать уведомление РКН.

Уведомление о ТГП:

1️⃣ Ниже травы, тише воды. В отличие от уведомления об обработке ПД большинство связывают факт уведомления РКН о ТГП с его последующим повышенным вниманием к ним.

2️⃣ Удивлены, что не 100%! При подаче уведомления только для 60% респондентов критичны запрет, ограничения РКН на ТГП и непрогнозируемость его решений о запрете ТГП в будущем. Трусами вас не назвать!

3️⃣ ИТ-вайбы. Наиболее «расслабленными» компаниями при оценке риска получения штрафа за неуведомление РКН о ТГП стали ИТ-компании. Мы даже и не сомневались 👏😉

Спасибо вам за вовлеченность! 🙂

Privacy-мнение от Comply 🤓

ч. 5.1 ст. 21 152-ФЗ: баг или фича?

Спойлер – выходит, что все-таки баг. А еще по этой ссылке вас ждет инсайт от РКН.

Как писали ранее, в 152-ФЗ есть несколько механизмов прекращения обработки ПД. Это и ч. 5, и ч. 5.1 ст. 21. Хотя формулировки почти не отличаются, сроки реагирования – разные.

Если ч. 5 прямо ссылается на согласие, то в ч. 5.1 такого нет. Казалось бы, что в этом и должно быть различие между нормами. Но при этом ч. 5.1 предусматривает исключения для прекращения обработки ПД. Эти исключения касаются большинства оснований…кроме согласий. То есть если читать буквально, то и ч. 5.1 годится для прекращения обработки ПД на основании согласия. В общем ровно как и ч. 5. Неразбериха! 🧐

❗️РКН высказался на сей счет. Из ответа следует, что ч. 5 применяется в случае отзыва согласия, а ч. 5.1 применяется «если направлено требование в соответствии с ч. 1 ст. 14 Закона».

Посмотрим на ч. 1 ст. 14. К нашему вопросу применимо только то, что субъект ПД имеет право требовать от оператора блокирования или уничтожения его ПД, «если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми…».

Можно предположить, что ч. 5.1 ст. 21 будет применяться, если субъект доказал, что его ПД неполные, неточные или неактуальные, но он не хочет их дополнять, уточнять и актуализировать, а хочет именно прекратить их обработку, или если его ПД были незаконно получены и незаконно обрабатываются без правовых оснований.

Ок. Да, кажется разумным, что ч. 5.1 была изначально предусмотрена именно для случаев незаконной обработки ПД. Как кажется, цель этой нормы как раз и состояла в том, чтобы дать субъекту право оперативно требовать уничтожения своих ПД, незаконно обрабатываемых оператором. Этот вывод поддерживается и общей направленностью реформы 152-ФЗ того времени – реагирование на утечки.

Однако и этот, казалось бы сравнительно стройный ответ, оставляет вопросы. Больше чем было до ответа РКН… Например, ч. 3 ст. 20 уже предусматривает, что оператор обязан уничтожить ПД в срок, не превышающий 7 дней со дня представления субъектом ПД сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми. То есть эта норма тоже устанавливает срок уничтожения ПД, которые нелегитимно обрабатываются. Как это соотносится со сроком из ч. 5.1? Опять неразбериха.

Что делать? Увы, в отсутствие каких-либо логичных разъяснений вчитываться в формулировки запроса и исходить из того, что потребовал субъект ПД – либо отозвать согласие (если оно вообще было), либо прекратить обработку его ПД. Если же субъект не отзывает согласие или требует прекращения обработки ПД, а просит «вернуть его ПД и никогда больше не обрабатывать», «реализовать его право на забвение», «остановить обработку ПД на основании его согласия», то очевидно, безопаснее в случае любых сомнений толковать запрос в пользу ч. 3 ст. 20 или ч. 5.1 ст. 21 в силу более коротких сроков реагирования. Итого, уничтожаем ПД:

🔵ИЛИ в течение 7 рабочих дней, если есть риск признания обработки ПД нелегитимной,

🔵ИЛИ в течение 10 рабочих дней, если предшествующая запросу субъекта ПД обработка была вполне себе легитимна.

Да, конечно, уничтожить ПД надо, только если у вас нет дальнейшего законного основания для обработки. Если иное законное основание есть, вы вправе и дальше обрабатывать его ПД. Например, договор с клиентом продолжает действовать или данные клиента нужны вам для целей урегулирования возможных споров и т.д.

Отвечая на наш же опрос без лишних вводных и условий, мы бы рекомендовали подтвердить с клиентом удаление его аккаунта и в течение 10 дней 🙈 уничтожить все его данные из деактивированного профиля, конечно же, кроме тех, которые необходимы нам для целей налогового / бухгалтерского учета и урегулирования потенциальных споров. Почему 10 дней? Потому что не применимы ч. 5 ст. 21 (согласия нет) и ч. 3 ст. 20 (обработка была легитимной, но далее цель обработки отпадает при деактивации профиля). Вот и остается методом исключения ч. 5.1, то есть 10 дней.

Всем отличных выходных! 🙌

#мнение

Privacy-мнение от Comply

Всем привет! Разберем очередной не самый простой кейс 🤓

Итак, вы – DPO интернет-магазина, и получили запрос клиента с требованием отозвать согласие на обработку его ПД. Из ПД в вашем распоряжении – только данные аккаунта клиента, необходимые для исполнения заказа. Каких-либо согласий на обработку ПД вы не берете, клиент присоединяется к условиям продажи при регистрации, которые легализуют обработку ПД.

Что будете делать? Есть из чего выбирать:

👍 уничтожите ПД в течение 30 дней, поскольку запрос нужно трактовать как запрос на отзыв согласия (ч. 5 ст. 21 152-ФЗ), даже если согласия нет,

🙈 уничтожите ПД в течение 10 дней, поскольку это – фактически запрос на прекращение обработки ПД (ч. 5.1 ст. 21 152-ФЗ), пускай даже клиент и пишет про отзыв согласия,

🦄 уничтожите ПД в течение 7 дней, т.к. такой срок предусмотрен ч. 3 ст. 20 152-ФЗ,

💅 пффф…мне за это не платят – не реагируете на подобный запрос.

Причина сомнений – ч. 5.1 ст. 21 152-ФЗ, появившаяся в законе в 2022 г. Этой новации уже почти два года, но постичь ее истинное значение нам пока не удалось. Наверняка вы уже пытались понять соотношение обязанностей по прекращению обработки, ведь вопрос имеет и практическое значение – в зависимости выбранной опции оператор обязан прекратить обработку в разные сроки.

Давайте попробуем разобраться вместе. Своими соображениями на этот счет мы поделимся в следующем privacy-мнении. А пока голосуйте реакциями 👍 🙈 🦄 💅 и делитесь мыслями 🔽

#мнение

Согласие на рекламные рассылки и звонки. Как все соблюсти, чтобы не получать штрафы

Какую информацию можно отправлять клиентам без их согласия? Нужно ли согласие на push-уведомления? Какие возможны способы получения согласия на сайте? Насколько рискованно указывать предустановленные галочки? Что должно быть в согласии на получение рекламы? Эта статья о том, какая сложилась практика в судах и ФАС по поводу рекламных рассылок и звонков.

Рассказывает Управляющий партнер Comply Артем Дмитриев.

Читайте здесь.

@shortreadlaw

IP-мнение: что такое аффидевиты и почему они не устроили Верховный Суд?

Суть спора

Carte Blanche Greetings обратилась с иском о защите прав на мишку из Blue Nose Friends 🧸

Чтобы подтвердить права на персонажа, иностранная компания представила аффидевит. Именно он и стал камнем преткновения в ВС РФ.

Что такое аффидевит?

Это письменное показание под присягой, принятое в англосаксонском праве. Оно удостоверяется нотариусом или подобным лицом.

В данном деле аффидевит был дан финансовым директором истца.

Позиция ВС РФ

Нижестоящие суды приняли аффидевит как доказательство принадлежности исключительного права.

Но Верховный Суд не согласился с подходом нижестоящих судов. По его мнению, такой аффидевит лишь подтверждал факт существования произведения на определенную дату и то, что сам истец считает себя правообладателем. Этого недостаточно для подтверждения правообладания.

Мнение Comply

Подход ВС РФ оценивают как «выпад» против иностранных правообладателей. Но в действительности этот подход не противоречит практике.

В IP-спорах истцам сначала нужно доказать принадлежность прав. Как правило, речь идет про договоры с авторами – именно их ожидает увидеть суд.

ВС РФ не изменил этому подходу, он лишь не стал делать поблажку иностранному истцу, который просто представил документ, где компания фактически сама себя назвала правообладателем.

Понятно, что новый подход осложнит иностранным правообладателям сбор доказательств, но они будут поставлены в те же условия, что и российский бизнес.

К тому же определение ВС РФ вовсе не ставит крест на аффидевитах. Оно содержит намек на то, при каких условиях аффидевит может быть принят судом: в нем должны быть сведения об авторах, истории и дате создания произведения, переходе прав на него и т.д.

Так что мы возможно еще увидим в судах аффидевиты, но уже в другой форме. Однако позиция ВС РФ может помочь ответчикам в тех спорах, которые рассматриваются уже сейчас. Вовсе не факт, что в начатых процессах истцы успеют собрать нужные доказательства правообладания – тем более, что на стадии обжалования судебных актов их обычно уже невозможно предоставить в дело 🙂

#мнение

Comply.Pulse: цугцванг, а не уведомление РКН

Уведомления в Роскомнадзор могут быть разными, сегодня обсудим:

1️⃣ уведомления о намерении осуществлять обработку персональных данных (ПД),
2️⃣ о трансграничной передаче ПД (ТГП).

Оператор обязан уведомить РКН о своем намерении обрабатывать ПД и осуществлять ТГП. РКН включает эту информацию в общедоступный реестр операторов ПД (Реестр). В Реестре содержатся данные об операторе, о целях и правовых основаниях обработки, категориях обрабатываемых ПД, информация о ТГП и иные данные. Реестр, как privacy–ЕГРЮЛ, обеспечивает публичную достоверность содержащихся в нем сведений. Если операторы пытаются подорвать эту достоверность, несвоевременно или не в полном объеме предоставляя сведения, они рискуют понести наказание.

То есть, казалось бы, очевидным, что уведомительный порядок взаимодействия с РКН позволит митигировать риски. Но как показывает практика, такие уведомления, митигируя одни риски, создают другие. Целесообразность уведомлений РКН необходимо рассматривать в контексте оценки рисков именно для вашей компании. С учетом специфики бизнеса и субъективной интерпретации рисков итоги могут разительно отличаться. Есть много разумных аргументов как «за», так и «против» уведомлений РКН. Поэтому мы не будем рекомендовать (не) уведомлять РКН, но, что важнее, сформулируем список аргументов для взвешенного ответа на этот вопрос.

Спойлер: можно ознакомиться с критериями в файле в формате PDF или заполнить упрощенную анонимную онлайн анкету – «Уведомление о намерении осуществлять обработку ПД» и «Уведомление о ТГП».

В анкетах указаны аргументы, которые помогут определиться с отношением к уведомлению РКН.

Все мы знаем как надо, но не всегда так как надо – правильно. Поэтому НЕ уведомляйте, если не согласны с приведенными в анкете аргументами, считаете их неприменимыми к вашей ситуации или оцениваете риск их реализации для компании как низкий или вовсе теоретический. И наоборот – уведомляйте, если согласны! Вопрос веры, не иначе 🙂

К Сбербанку пришли за QR-платежом

Компания ФИТ, разработавшая сервис бесконтактной оплаты PayQR, требует от Сбербанка 2,9 млрд руб. компенсации за нарушение ее исключительных прав. Компания считает, что используемые банком обозначения «Плати QR» и SberPay QR сходны до степени смешения с ее знаками обслуживания, пишет Коммерсантъ.

В 2014 году ФИТ разработала сервис бесконтактной оплаты товаров и услуг с помощью мобильного телефона, в 2015 году компания стала резидентом «Сколково». Знаки обслуживания на программный комплекс PayQR ФИТ зарегистрировала в Роспатенте в 2016 году с приоритетом от сентября 2014 года. Кроме того, в 2014–2017 годах компания зарегистрировала ряд программ для ЭВМ «Сервис PayQR».

Комментирует партнер практики интеллектуальной собственности Максим Али:

Важно, что обозначения истца зарегистрированы не просто в словесной форме, а вместе с логотипами, но для победы в суде компании нужно делать акцент именно на словах PayQR.

Наверняка картинка была добавлена в знаки неспроста. Иначе Роспатент изначально мог отказать в регистрации. Ведь знаки должны обладать различительной способностью и не могут быть описательными, то есть просто указывать на название услуги.

Поэтому ключевой вопрос – какой из элементов мы считаем более сильным – «картинку» или «текст». Здесь могут быть идти в ход разные доказательства и аргументы: соц.опросы, анализ обозначений по методикам Роспатента, те пояснения, которые давала сама компания «ФИТ» в ходе делопроизводства в Роспатенте.

Судя по тому, что Сбер уже направлял возражение в Роспатент, он уже прорабатывал довод об отсутствии различительной способности в товарных знаках PayQR.

Неизвестно, почему банк отозвал возражение – возможно, была какая-то мирная договоренность с оппонентами. Другой варинат – Сбер уже получил в процессе разбирательства в Роспатенте пояснения правообладателя.

Нужно понимать, что правообладатель находится меж двух огней. С одной стороны, он должен делать акцент на словах PayQR, чтобы выиграть суд с банком. С другой – такой акцент сместит фокус с картинки и знаки могут признать неохраноспособными. А занимать противоречивую позицию в разных делах нельзя.

Банк также может повторно обратиться в Роспатент с возражением или даже заявить, что слова PayQR утратили различительную способность как некогда слово «ксерокс».

Все это не значит, что процесс будет совсем уж простым для Сбера. «ФИТ» наверняка будет ссылаться на проведенный среди потребителей соц.опрос, который сам по себе выступает сильным доказательством. Стоит ожидать критики методики опроса от Сбера и проведения нового соцопроса.

Аналогичная ситуация и с оценкой прав на товарные знаки. Истец получил отчет оценщика, где стоимость использования определили почти в 1,5 млрд рублей. Именно эту сумму «ФИТ» умножил на два для расчета компенсации. Хотя и тут остаются контрдоводы. Годовой оборот истца – всего 360 тыс. Такая колоссальная разница не бьется с идеей о том, что компенсация призвана заменить убытки истца. Поэтому отдельная «ветка» спора будет и вокруг суммы исковых требований.

Конечно, сторонам проще всего договориться мирно – например, Сбер может выкупить товарные знаки, чтобы снять претензии. Но если это не удастся сделать, спор может затянуться на долгое время и забрать много ресурсов у каждой из сторон. У банка эти ресурсы очевидно есть, но есть ли они у «ФИТ»?

Подробнее читайте на сайте газеты Коммерсантъ.

Как институт уполномоченных операторов ПД (не)поможет бизнесу

Глава ИТ-комитета Госдумы Александр Хинштейн предложил создать такой институт для того, чтобы снизить нагрузку на средний и малый бизнес в вопросах кибербезопасности. Однако инициатива требует тщательной проработки, чтобы, наоборот, не привести к лишь только одним дополнительным издержкам и обременениям.

Комментарии от управляющего партнера Comply Артема Дмитриева:

🔵Эффективность будет во многом зависеть от того, как инициатива будет реализована, а пока деталей совсем нет. Например, если передача ПД не будет добровольной, то это больше будет походить на очередную меру по дата-национализации. Принуждение бизнеса, и без того способного обеспечить адекватную защиту ПД, приведет только к дополнительным издержкам, а уровень защиты ПД не факт что повысится. Увы.

🔵И наоборот, если передача ПД будет добровольной, то и инициатива возможно окажется полезной для рынка. Так, например, бизнес, который не планирует инвестировать в ИБ, не планирует монополизировать данные, сможет передать данные «уполномоченному» оператору с тем, чтобы сократить риски из утечек ПД именно из своей инфраструктуры.

🔵Судя по всему, ПД в любом случае будут первоначально оседать на стороне «неуполномоченного» оператора, а только потом передаваться «уполномоченному». А далее осуществить передачу всех имеющихся у бизнеса ПД – нелегкая задача. Бизнесу необходимо будет «инвентаризировать» имеющиеся ПД, систематизировать их, доработать алгоритмы работы с ПД и научиться работать с «внешними» источниками по запросу. Еще сложнее это делать в real-time. Это все временные и денежные затраты.

🔵Неясен механизм передачи ПД от «неуполномоченных» операторов «уполномоченным»: насколько он будет безопасен, бюрократичен, быстр, как и чем будет регулироваться, как распределяются риски в момент передачи, как и кто доказывает источник утечки ПД и другие вопросы. Пока что вопросов больше, чем ответов. А как показывает практика, когда так происходит, то «в конце дня» это вряд ли приносит рынку пользу.

🔵Да, передача хранения ПД в руки уполномоченных операторов могла бы снять с бизнеса ответственность за защиту ПД и тем самым снизить риски. А могла бы и ограничить абсолютное большинство компаний в имеющихся у них сейчас правах без явной пользы кому-либо. Но все будет зависеть от названных выше нюансов этой регуляторной инновации.

Подробнее о том, как нововведение отразится на компаниях, читайте в материале RSpectr.