Privacy-мнение. Отраслевые стандарты – это ли не чудо?

В чем там дело?

РКН приступил к разработке отраслевых стандартов работы с ПД. Об этом на EDPC заявил Милош Вагнер:

В эти стандарты будут вшиты правила и принципы работы с данными, установленные законом. Они должны быть настроены таким образом, чтобы защищать права субъектов и удовлетворять потребности бизнеса в осуществлении своей деятельности. Это позволит дать четкие инструкции для тех, кто готов соблюдать закон. Мы уже нашли концептуальную поддержку этой инициативы в Минцифры, Минэкономразвития и других профильных федеральных ведомствах.

И буквально утром опубликовали цитату Главы Роскомнадзора Андрея Липова:

Возьмем туризм или образование. Вот две отрасли. В туризме гостиницам можно брать вот такие персональные данные. В образовании - другие. Проанализировать эти перечни с участием профильных ведомств и согласовать их. И дальше в рамках этих отраслевых перечней действовать без согласий. Но не взваливать на плечи гражданина непомерный груз по оценке того, нужны эти персональные данные или не нужны эти персональные данные. Тогда и меньше персональных данных будет скапливаться там, где не надо, и меньше будет утечек.

По сути речь идет о приземлении принципов и требований, установленных 152-ФЗ, для отдельных типовых бизнес-сценариев работы с ПД. Это прекрасная инициатива, которую приветствуют многие представители бизнеса. Это справедливо, конечно, при условии, что это не будет реализовано в форме единственного возможного сценария работы с данными, а в форме рекомендаций РКН. Опять-таки, элемент намоленного мягкого права от РКН и, кто знает, может даже пример win-win подхода для всех участников рынка данных. Это важнее и полезнее для отрасли, чем очередной запрет.

Что происходит сейчас?

С одной стороны, эта активность уже, как минимум отчасти предусмотрена Распоряжением Правительства № 2207-р, например, «определение объема обрабатываемых персональных данных» бизнесом (п. 1 плана мероприятий). С другой – из обновленного законопроекта Антифрод 2 было исключено упоминание разработки составов ПД, допускаемых к обработке. Будем посмотреть, как далее закрутится здесь сюжет.

Есть и еще нюанс. РКН говорил уже не раз, и даже не два:

Мы готовы работать, но не вместо, а вместе.

И правда, теперь видим и сами – много недовольных, но кто предложит что-то дельное? Как показывает практика, все мы много критикуем и потребляем, но креаторов из нас только лишь не все, к сожалению. А для создания таких стандартов как раз-таки нужен глас народа бизнеса.

Что в них может быть?

В таком стандарте кроме стандартных наборов ПД могли бы быть предусмотрены следующие параметры обработок:
🔵перечень типовых целей / процессов обработки ПД;
🔵правовые основания по каждой типовой обработке;
🔵ориентиры по срокам хранения / уничтожения ПД;
🔵типовые категории третьих лиц, которым может передаваться обработка, и условия такой передачи.

Всем хочется как лучше, и вот чтобы так и получилось, крайне важно сразу установить рекомендательный характер такого стандарта, что его примеры и условия не являются исчерпывающими и всеохватывающими. Рекомендательный характер более предпочтителен с учетом того, что стандарт a priori не может покрыть любые процессы обработки ПД, которые могут отличаться у операторов и зависеть от многих переменных. Эта логика основывается, в том числе, на основе зарубежного опыта. Например, европейские надзорные органы издавали и издают такие стандарты в качестве не обязательных, а рекомендательных руководств, а также отдельные штаты Америки определяют в своих законах круг допустимых целей / наборов ПД для действия презумпции минимизации данных 🙂

#Comply #Комплаенс #PrivacyМнение

Концепция предлагает варианты закрепления прав на сгенерированный контент (но они понравятся не всем)

Один из вопросов, поднятых в Концепции – неопределенный правовой статус объектов IP, созданных ИИ. И эту неопределенность планируется устранить в пользу:

🔵провайдера системы ИИ
или
🔵самой системы (!)

Последнее, конечно, вызывает вопросы. Неужели ИИ станет субъектом права до 2030 года? Концепция упоминает возможные правовые статусы «электронного» или «виртуального лица», но сразу же оговаривается, что такая постановка вопроса пока скорее теоретическая.

По сути, предложенная развилка является выбором без выбора. Заведомо непроходной вариант закрепления прав на IP за системой ИИ будет отклонен и права достанутся… бигтеху провайдерам систем ИИ.

Тем самым Концепция элегантно умалчивает про третий вариант: закрепить права за пользователем системы ИИ. Теоретически этот вариант не то чтобы сильно уступает идее сделать правообладателем провайдера ИИ. Ведь когда пользователь пишет промпт, он вносит не меньший вклад, чем когда делает селфи на телефон. С другой стороны, закрепление прав за провайдером системы ИИ дает больше оснований считать результат генерации охраноспособным, даже если промпт был примитивным.

Конечно, провайдеры систем ИИ обычно (а крупные – всегда) и так регулируют вопросы распределения прав на IP в пользовательских соглашениях. Но идея закрепить распределение прав «по умолчанию» выглядит здравой, т.к.:

🔵 Тогда мы устраним оставшиеся (даже после дела Рефейс Технолоджис) сомнения в том, что результаты генерации в принципе могут быть охраноспособны.
🔵 Поймем, как распределяются права, если, например, пользовательское соглашение будет признано незаключенным.
🔵 Перейдем к следующим вопросам: является ли сам промпт объектом авторского права, должны ли мы считать сгенерированный объект производным произведением с вытекающими из этого последствиями и т.д.

Так что за судьбой прав на IP в Концепции продолжаем следить и в следующем посте расскажем про аспекты privacy в ней 🙂

#Comply #IPмнение #Комплаенс

Продолжаем. Концепция не обделила вниманием и ПД, хотя конкретных механизмов нет.

Концепция предлагает:

🔵расширять случаи формирования наборов ПД  гос. органами, компаниями и предоставлять их разработчикам;
🔵создавать условия для внедрения облачных технологий и ИТ-аутсорсинга на фин. рынке, включая новые методы обработки ПД;
🔵совершенствовать механизмы распространения, шеринга и метчинга ПД.

Пока это декларации, а не готовые механизмы. Сейчас видим, что:

🔵В РФ де-факто отсутствует рабочее регулирование «открытых» ПД и наблюдается, увы, обратный процесс. Статус многих пром. данных сложно определим из-за множества отраслевых ограничений (национальных и стратегических интересов). Это давно пытается преодолеть АБД.

🔵Регулирование продвинутых методов обработки ПД (PETs – технологий повышения конфиденциальности) неопределенно. Законопроекты обсуждаются, но пока, увы, нет единого мнения о подходе к таким технологиям с учетом консервативного регулирования обезличивания и средств защиты ПД в отечестве нашем.

🔵ЭПР в сфере ПД еще не заработали, хотя уверенные шаги были: внесение изменений в закон об ЭПР, предоставление законного основания для обработки обезличенных ПД в «песочницах» и др. Но ЭПРы по обезличиванию и обмену через доверенного посредника, увы, но пока без успеха. Отдаем должное – много ЭПР запущено в сфере беспилотников и мед. устройств.

🔵Исключения для обработки обезличенных ПД, прописаных в законе, не решают проблему: разработка и обучение моделей весьма с трудом укладываются в рамки «аналитики» или «статистики». Ценность «Госозера данных» для бизнеса по-прежнему неясна.

Для сравнения, в Южной Корее обезличенные ПД допускаются к использованию в научных, аналитических целях, для разработки и обучения ИИ-моделей, при соблюдения ряда тех. и орг. гарантий. Законодатель рассматривает новое исключение: разрешать использование ПД для обучения ИИ без их обезличивания, если цель обучения совместима с исходной целью их сбора и при разрешении регулятора 🔥 Если цели различаются, то для правового основания применяется законный интерес, который признается применимым для разработки и использования ИИ, как и в ЕС.

🔵Принцип недискриминации алгоритмов. По сути, это требование debiasing, что означает доступ к большим и чувствительным наборам данных (в т.ч. из специальных категорий ПД). Как это должно работать в текущей правовой конструкции, где доступ к специальным категориям ПД возможен только с письменных согласий – вопрос широко открытый. В ЕС для этого AI Act конкретизировал исключение для обработки специальных категорий ПД в публичных интересах для целей устранения предвзятостей моделей.

Что ожидать?

Отдельного регулирования ИИ пока не планируется, но в концепции признаются «локальные регуляторные проблемы» и заявлен гибридный подход: сочетание саморегулирования, мягкого права и точечных поправок в законодательство. Это отличает РФ от других юрисдикций: в ЕС, Корее, Японии, США и Бразилии принято или готовится к принятию отдельное комплексное регулирование ИИ.

Мечтается, развитие приведет к позитивным изменениям в области ПД:

🔵институционализация доверенных посредников;
🔵развитие практики применения «законного интереса» для ИИ;
🔵уточнение исключений для работы с обезличенными данными;
🔵появление отдельного регулирования промышленных данных.

Авторы обещают подготовить план изменений за 6 месяцев после утверждения концепции. Но принять ключевые акты планируют лишь к 2030 г. Работа по отдельным направлениям активно ведется с привлечением контролирующего органа и бизнеса.

В итоге документ дает вектор, но для практиков в сфере ПД и ИИ все еще нет понятного инструментария. Надеемся на конкретные шаги. Начать можно было бы с институционализации доверенных посредников и работы по методике применения законного интереса. То есть уже начали, надеемся на окончание 🙂

#Comply #PrivacyМнение

Privacy-мнение. Новая реальность дел по ПД – какова она?

РКН сообщил, что с момента вступления в силу поправок в КоАП в суды были направлены 15 дел об утечках ПД. Кстати, с начала года было зафиксировано 103 утечки, снова по информации РКН. И все же с трепетом ждем решений по этим делам, ведь именно они рискуют заложить фундамент новой практики по утечкам. То есть вопрос и правда фундаментальный. Напомним, вот уже с лета дела по ПД рассматриваются арбитражными судами.

А пока мы в предвкушении, решили посмотреть уже имеющуюся арбитражную практику. Дел не так много, но есть симпатичные.

🔵Образец более гибкого подхода – суд по причине малозначительности нарушения отказал в привлечении к ответственности за отсутствие на сайте компании куки-баннера / иного основания обработки куки. На сайте используется Яндекс Метрика. Дело было по ч. 1 ст. 13.11 КоАП. Занятно, такое нам нравится!

🔵Некоторые суды пока в стадии отрицания новой реальности и отказывают в рассмотрении дел по 13.11 КоАП в связи с … неподсудностью. Аргумент, например, такой: дело связано не с предпринимательской деятельностью, а с необходимостью соблюдения законодательства о ПД. Это забавно, но сойдет ли в качестве аргумента против рассмотрения дела об утечке в арбитражном суде?

🔵И они туда же… Суд посчитал, что только лишь номер телефона вовсе не ПД, конечно, если без привязки к другим идентификаторам (ФИО, СНИЛС, паспортные данные). Хотя суть дела была в том, что на номер субъекта поступило нежелательное СМС!

🔵Уже многие смотрели интересное решение по делу об утечке РЖД. Один из самых спорных моментов – суд согласился с РКН и определил подходящий состав нарушения по старой редакции ст. 13.11 КоАП. Ок, ведь утечка, судя по всему, имела место до вступления в силу поправок. НО размер штрафа был определен уже по новой редакции. Кажется, судья попросту забыл проверить редакцию КоАП, актуальную на момент утечки.

🔵А что по тактике защиты РЖД? Вот и нам стало интересно. Факт утечки РЖД отважно не подтверждал, даже когда получил запрос РКН по утечке. Затем – внеплановая проверка. В суде среди аргументов РЖД видим только референс на Политику безопасности, что, по понятным причинам, суд не впечатлило – только лишь наличие документа не свидетельствует о его исполнении. Верим, что больший эффект на суд произвели бы артефакты, демонстрирующие наличие реальных privacy-процедур и контролей. Об этом подробнее в нашем чек-листе.

Мы сохраняем оптимистичный настрой в отношении передачи дел по 13.11 КоАП арбитражным судам и ожидаем более гибкого подхода к разрешению дел по ПД. Всего в арбитражных судах сейчас рассматривается более 50 дел по ПД. Так что в самое ближайшее время увидим новые и, возможно, неожиданные тейки и подходы судов.

Кстати, кто-то мог видеть новости о том, что уже имеется позитивная практика, когда компаниям удалось прекратить административное расследование, не доводя дела до суда. Хотелось бы верить в лучшее, но по словам РКН пока только по одному административному расследованию факт утечки не был подтвержден. Поэтому, как и раньше, больше верим в возможность добиться прекращения дела в суде, чем на этапе расследования дела РКН. Но не стоит забывать, что для благоприятного разрешения дела судом крайне важно выстроить корректную линию поведения и на этапе взаимодействия с РКН 🙂

А по вашему мнению, как изменение подсудности дел по ПД скажется на правоприменительной практике? Пишите в комментариях: 🕊️, 😐 или 😈

🕊️ – Ожидаю более либерального и гибкого подхода.
😐 – Думаю, принципиально ничего не поменяется.
😈 – Практика будет только жестче.


#Comply #Комплаенс #PrivacyМнение

💙Privacy.Seasons – поехали!💙

В серии подкастов один за другим делятся лучшими практиками те, кто знает о защите данных не понаслышке – легенды премии The Department от Legal Insight в номинации «Эффективная защита ПД». Только реальные кейсы, рабочие практики и ответы на те вопросы, которые обычно спрятаны за кадром.

Артем Дмитриев, управляющий партнер, Comply и Екатерина Ефимова, руководитель направления ПД ГРЧЦ Роскомнадзор, направляют беседу и добавляют экспертную глубину.

Первый выпуск уже готов.
В гостях – Екатерина Липова, начальник отдела контроля процессов с ПД Альфа-Банка. Да-да, именно она расскажет, как это работает изнутри в одном из крупнейших банков страны. Среди прочего обсуждаем и немного подглядываем:

🔵Выстроенная Программа по управлению ПД
🔵Активная работа с ИИ ассистентами по ПД
🔵Privacy-культура в Банке
🔵Кросс-функциональная База знаний по ПД

Основная цель Privacy.Seasons – повысить уровень качества и культуры использования ПД на рынке. Актуальность этой темы сегодня неоспорима, что лишь подтверждает необходимость создавать подобный контент и максимально широко делиться им с рынком, так как это актуально для любого бизнеса.

Артем Дмитриев, управляющий партнер, Comply

Пора менять парадигму: защита данных – это не про запреты, а про грамотные процессы. Учиться на лучших кейсах, а не на своих ошибках –правильная стратегия для любого бизнеса.

Екатерина Ефимова, руководитель направления ПД ГРЧЦ, Роскомнадзор

Работаете с ПД или просто регулярно с ними сталкиваетесь? Тогда первый выпуск Privacy.Seasons – ваш must-watch.

📍А в гостях следующего подкаста – Авито! Кстати, у них интересные новости про работу с ПД.

Смотреть:
Youtube
Rutube

Слушать:
Mave
Telegram-плеер

#Сomply #Kомплаенс #PrivacySeasons #ГРЧЦ

Нейросети: как ими пользоваться и не создать проблем?

Ранее мы уже рассуждали про развитие ИИ и возможности его регулирования. Если же посмотреть с более практической точки зрения, то использование ИИ касается почти каждого бизнеса.

Многие компании уже активно применяют ИИ-инструменты для генерации контента. Причем даже если руководство не внедряло их официально, сотрудники или подрядчики могут использовать нейросети самостоятельно. А некоторые компании активно подталкивают работников к использованию ИИ, вводят соответствующие KPI, считая, что, не сделав этого, они безвозвратно отстанут в конкурентной гонке.

❕Такая ситуация, по сути, означает скрытое принятие юридических рисков без должной оценки.

Казалось бы, ИИ – это просто инструмент. Но его использование автоматически влечет за собой:

🔵отсутствие гарантий юридической чистоты контента;
🔵риски нарушения авторских прав;
🔵потенциальные претензии правообладателей.

Так стоит ли доверять генерацию контента ИИ без корпоративного регламента?
Не станет ли это "миной замедленного действия"?

Наше мнение смотрите в видео к посту 🙂

#Comply #IP

Всем привет 🙌 Готовимся к 2026 на позитивных вайбах – за год мы стали быстрее / выше / сильнее и уже амбициозно запланировали свершения на год вперед! Поэтому…

➡️ ищем уверенных Middle / Middle-up privacy-консультантов 🔥

У нас есть только ПЯТЬ пожеланий:

🔵PQE 3+ года;
🔵privacy-опыт 2+ года и желание развиваться в privacy & TMT;
🔵понимание бизнес-процессов и IT-ландшафта;
🔵soft skilled, проактивность, ма-ни-а-каль-на-я внимательность;
🔵настрой создавать бескомпромиссный delivery.

Если узнаешь себя, то кроме полностью удаленной работы и, при желании, оплачиваемых коворкингов, ДМС, flexible-графика, вознаграждения в рынке и бонусной системы, обучения, есть еще ПЯТЬ куда более ценных аргументов:

🔵участие в 360° аудитах, DPO-поддержке и НЕоднотипных проектах для крупнейших и великих компаний из разных сегментов;
🔵соучастие в лучшем privacy/IP-бутике [по версии рейтингов и клиентов], где создаем реальную ценность, а не странички отчетов;
🔵легендарная команда с дружелюбным вайбом (и зарубежными корпоративами), прямая работа с партнерами без бюрократии и формализма;
🔵уверенность, что НЕ тратишь время, а ежедневно развиваешься + искренние благодарности клиента за помощь, а не копипаст;
🔵возможность при желании вовлекаться в IP, продуктовые, TMT и другие смежные проекты.

Итого: мы растем вместе, слушаем друг друга и создаем возможность реализовывать свои сильные стороны и самые смелые профессиональные амбиции с поддержкой команды, с тебя – желание брать ответственность и становиться полноправным privacy-гуру.

Направить CV сюда – office@comply.ru

До встречи 🙂

#Comply #Комплаенс

В недавнем выпуске «Ъ FM» заинтересовался судебным кейсом Atlantica Bistro и ресторанного критика Максима Костина

Деловая репутация – важный актив для HoReCa, который при этом непросто отстоять в суде. Недавно критик Михаил Костин смог добиться отмены 200 000 руб. компенсации за негативную рецензию о ресторане, которая, по мнению истца, порочила репутацию заведения.

В комментарии для «Ъ FM» Максим Али рассказал, почему апелляционный суд мог встать на сторону ресторанного критика:

🔵Суд мог счесть, что достоверность информации, касающейся обсуждения зарплаты сотрудниками, была подтверждена.
🔵Апелляция могла признать спорную фразу не утверждением о факте, а личным мнением автора, которое не подлежит судебной защите.

➡️ Полную версию комментария можно прослушать, кликнув на картинку к посту 🙂

#Comply #IP #ТМТ #ComplyСМИ

Юристам вместо подарка: ⭐️ Обзор Digital Omnibus ⭐️

Еврокомиссия официально представила свой проект изменений цифрового законодательства ЕС, направленный на упрощение GDPR, e-Privacy и развитие инноваций. Проект почти полностью повторяет более раннюю утечку. Кардинальных сюрпризов почти нет – кроме определения спецкатегории данных (убрали идею, что они только «прямые», а не дедуцируемые / выводимые косвенно).

📍 Ключевые изменения

1️⃣ ПД = «относительная» логика
Позиция из дела SRB v. EDPS кодифицируется: статус псевдонимизированных (обезличенных) данных как ПД зависит от «разумных средств идентификации» конкретного лица. Комиссия сможет через акт признавать псевдонимизированные данные «не ПД» для отдельных случаев.

2️⃣ DSAR: платно или отказ
Запрос можно отклонить или взять плату, если цели заявителя явно не связаны с защитой данных, например, при увольнениях и служебных расследованиях. Да, сейчас так тоже можно, если запрос manifestly unfounded, но уточнение можно приветствовать, как минимум, в части HR-запросов.

3️⃣ Утечки: пороги и сроки
Предлагается уведомлять только об инцидентах с высоким риском (сейчас такая планка только для уведомлений субъектов). Срок – 96 часов, не 72. Отчётность – через единую точку (ENISA).

4️⃣ Чувствительные данные для ИИ
Можно обрабатывать спецкатегории для разработки/эксплуатации модели, но:
🔵нужно доказать, что принимались меры по недопущению их обработки на уровне разработки и уничтожать обнаруженные данные;
🔵если удалить невозможно – не выводить данные в outputs или иным образом предоставлять третьим лицам.

5️⃣ Биометрия для верификации
Еще одно новое исключение – можно обрабатывать биометрию, если данные и средства находятся под полным контролем пользователя (on-device). Формулировка пока вызывает вопросы, но направление мысли понятно и можно приветствовать.

6️⃣ Законный интерес для ИИ
Прямо разрешен при надлежащих гарантиях и отсутствии высокорисковой обработки. Если локальное право требует согласие или обработка несет высокий риск (например, данные детей) – законный интерес, увы, не спасет.

7️⃣ DPIA: единые списки
На уровне ЕС появятся списки EDPB:
🔵что требует DPIA;
🔵что не требует DPIA.
Национальные списки отменяются (прощай, зоопарк).

8️⃣ Cookie → под GDPR
Правила «хранения или доступа к данным на устройстве», если речь о ПД, перейдут из ePrivacy в GDPR.
🔵Новые исключения (без согласия): агрегированная first-party аналитика и безопасность (примерно как в недавно принятом UK DUAA). А потенциально и иные основания из ст. 6 кроме согласия – законный интерес?! Справедливо заметить, что и сейчас некоторые надзорные органы уже применяли аналогичные исключения (например, CNIL).
🔵Если нет ПД вообще, будет применяться ePrivacy в более строгой версии. Довольно странная логика, но скорее всего это пофиксят в ходе обсуждения законопроекта.

9️⃣ Согласие: отказ в один клик
Отказ должен быть одним кликом (в принципе, что и сейчас требуют надзорные органы, но, как мы видим, соблюдают до сих пор не все). При отказе нельзя повторно просить согласие 6 месяцев. Планируется принять единые технические стандарты отказа от трекеров на уровне браузера / устройства.

🕊️ Пока это только предложение. Дальше – борьба в Парламенте и Совете. Очевидно, и как заявили европолитики на ежегодной конференции IAPP в Брюсселе, без правок не обойдется, но направление очень явно: ЕС берет курс на упрощение цифрового комплаенса. Безусловно не все насущные проблемы операторов могут быть решены представленным омнибусом и многие из правок и так вытекают из фактического текста GDPR, но дело начато 🙂

#Comply #Комплаенс #Privacy #GDPR

🏆 Comply в рейтинге «Право-300»: признание экспертизы

Вчера наша команда снова поднялась на сцену ежегодной церемонии, чтобы получить награду в ключевой для нас категории – 🥇 Защита персональных данных.

Это ежегодная традиция, за которой стоят постоянные усилия и отличные результаты.

Рейтинг высоко оценил развитие наших практик:
🥈Комплаенс
🥈Цифровая экономика
🥈Интеллектуальная собственность (консультирование)
🥈Интеллектуальная собственность (судебные споры)
🥈ТМТ

🏆 Днем ранее Российская газета выпустила индивидуальный рейтинг юристов, где команда Comply также получила широкое признание:
🔵Артём Дмитриев, управляющий партнер - в номинации Управление цифровыми активами
🔵Сергей Сайганов, партнер – в номинации Управление цифровыми активами
🔵Максим Али, партнер – в номинации Интеллектуальная собственность
🔵Мария Пономарева, старший юрист – в номинации Международные проекты

Этот успех стал возможен благодаря сложным и интересным проектам, которые нам доверяют клиенты. За каждой строчкой в рейтинге – ваше доверие и кропотливый труд нашей команды.

Артём Дмитриев, управляющий партнер Comply

Благодарим наших клиентов и всех коллег за то, что мы снова в числе сильнейших юридических фирм страны 🙂

#Comply #Право300 #RG #Комплаенс #ЦифроваяЭкономика #ИнтеллектуальнаяСобственность #ТМТ

Уже почти завершаем выступления года на форуме FCongress Пульс цифровизации. Форум лидеров цифрового развития

Артем Дмитриев принял участие в панельной дискуссии «Экономика доверия: киберустойчивость, данные и биометрия», где рассказал, как сегодня выстраивать защиту данных и создавать устойчивые системы в условиях новых технологических вызовов.

Острые вопросы безопасности и биометрии

Участники дискуссии обсудили безопасность использования биометрии бизнесом. CIO крупнейших компаний поделились своими опасениями: бизнес испытывает серьезный дискомфорт из-за растущих рисков атак с использованием заранее скомпрометированных или синтетических данных. В такой ситуации компаниям становится крайне сложно доказать свою невиновность и защитить репутацию.

Методы защиты

Тем не менее, как отметил Артем:

📍 Российские суды рассматривают ежегодно 50-60 дел об утечках ПД, при этом каждая восьмая компания избегает штрафа.
📍 Успешная защита возможна при наличии адекватного комплаенса – не огромных регламентов, а реальных рабочих процедур, исполнимость на практике которых компания может подтвердить.
📍 С передачей дел о ПД из судов общей юрисдикции в арбитражные суды у бизнеса появилось больше возможностей для защиты своей позиции. Пока есть поводы для оптимизма.
📍 Эффективная подготовка к изменениям в компаниях включает: контроль новых процессов, выстраивание работы с контрагентами, обучение сотрудников, минимизацию обрабатываемых данных.

Новая арбитражная практика рассмотрения дел об утечках пока демонстрирует больше обоснованной лояльности к бизнесу – и это позитивный сигнал для компаний, готовых выстраивать грамотный комплаенс.

Подробнее о выступлении 🙂

#Comply #Комплаенс

В завершение года издания любят подводить юридические итоги и спрашивать у экспертов о прогнозах на предстоящий. А мы любим делиться экспертизой!

Артем подытожил главные события в области регулирования ПД и рассказал о предстоящих вызовах в итоговом номере Legal Insight и спецвыпуске “Цифровое право” от Коммерсантъ.

Privacy-ИТОГО

🔵 AI-фобия прайвасиста: не осталось ни одного, кто не анализировал бы privacy-риски из использования моделей и одновременно не применял бы их в своей работе. Любовь и ненависть.

🔵 Изысканный контроль РКН: он активизировал дистанционный мониторинг и начал применять новый контроль – административные расследования, а мораторий на внеплановые проверки канул в небытие.

🔵 Жесткая кара за нарушения: введены новые, в том числе оборотные штрафы по 13.11 КоАП, а также начала применяться «криминальная» статья 272.1 УК РФ, создающая риски признания «privacy-бандитом» за рутинные практики работы с ПД.

🔵 Утечки ПД: несмотря на рост числа утечек, каждая 8-я компания избегает штрафов, доказывая свою privacy-совестливость, но общий чек инцидента ИБ существенно подрос (цифры в статье).

🔵 Годный диалог РКН и бизнес-сообщества: ведомство активно взаимодействует и выстроило диалог, выпустило ряд симпатичных тейков, а еще готовит несколько добрых инициатив для реновации правоприменения.

🔵 Каминг-аут операторов: штраф за неуведомления РКН об обработке уже применяется на практике, латентных операторов ПД стало существенно меньше, а дальше – еще меньше.

⚠️ Кстати, зная волатильность творцов законов надо понимать, что 2025 еще может хлопнуть дверью. Так вот уже одно предсказание отчасти заруинили – из Антифрода-2 скоропостижно (временно?) исключили необходимость рутирования согласий через ЕСИА. И этим все же не стоит обольщаться – баланс, а вернее дисбаланс, оснований обработки ПД очевидно изменится. Ибо крестовый поход на культ согласий уже не остановить!

А какие privacy-предсказания вы можете сделать на 2026 год? 🙂

#Comply #Комплаенс #ComplyСМИ

В сентябре мы запустили Комплайтеку – первую профильную базу разъяснений госорганов в сфере Privacy и TMT. Сегодня она содержит уже более 200 разъяснений.

Новый ресурс создан как профессиональный инструмент для юристов, DPO и специалистов по комплаенсу.

Комплайтека предоставляет централизованный доступ к более чем 200 проверенным позициям госорганов, включая РКН, Минцифры, ФАС, Роструд и другие ведомства.

Сервис систематизирует правовые позиции по более чем 10 направлениям, включая:
🔵 обработку ПД
🔵 цифровые сервисы и платформы
🔵 телеком и ИИ

Возможности Комплайтеки:
🔵 поиск по ключевым словам, категориям и фильтрам
🔵 доступ к ссылкам на первоисточники
🔵 экспорт позиций по запросу на почту
🔵 регулярные обновления и верификация данных редакцией

Этот сервис был задуман нами как органичный ответ на запрос профессионального сообщества. Он бесплатный, оперативно и качественно обновляемый, преследует единственную цель – делать работу экспертов комфортней. У сервиса уже появились подражатели – значит, решение отличное!

Артем Дмитриев, управляющий партнер Comply

В Комплайтеке реализована система контрибуции: специалисты могут делиться разъяснениями, которые они получили. Мы сделали свой вклад в формирование инфраструктуры доверия и поддержки специалистов. Теперь можете сделать свой вклад и вы! А пока рекордсмен по privacy-донатам – Кирилл Зюбанов из Шёпотом ПРО ПД и ПЕРСОНЕМОВ 🤝

Приглашаем complyteka.ru 🙂

#Comply #Комплаенс #TMT #Privacy

Privacy-мнение
В канале "Шёпотом про ПД" была поднята крайне важная и актуальная тема – Legal UX. Также, коллеги провели мероприятие и опубликовали материалы по его итогам.

В продолжение темы там же вышла трилогия постов Максима Своевского.

Полезный контент про то, как подружить право и продукт. Поэтому с удовольствием поделимся ключевыми мыслями (и вовсе не шепотом!).

🔣Вклад DPO в интерфейс может быть куда ощутимее, чем многие думают

По сути, продукт юриста / DPO – это рабочий правовой порядок. Тот кусочек права, который живёт внутри компании, экосистемы или конкретного сервиса: кто на что согласился, какие данные можно обрабатывать, когда отношения заканчиваются и что происходит после этого и т.д.

В цифровых сервисах этот порядок не висит в воздухе – он зашит в интерфейсы: экран регистрации и «галочки» под ним, настройки профиля и кнопка «удалить аккаунт», формы обращений и управления данными, страница с юридическими документами и многое другое.

Почти все проблемы Legal UX вырастают из одной базовой вещи: расхождения между тем, что пользователь чувствует и делает, и тем, что происходит юридически.

Пользователь нажимает «удалить аккаунт» и ожидает, что «мы с сервисом расстались и все данные исчезли». В реальности: пользовательское соглашение продолжает действовать, часть данных остаётся в резервных копиях и логах, e-mail всё ещё может использоваться для «сервисных сообщений». Всё это, вероятно, и неплохо, но можно же прямо сказать об этом пользователю в момент удаления аккаунта, верно?

Отсюда базовый принцип Legal UX: чем ближе фактическое действие в интерфейсе к понятному объяснению его юридического смысла — тем лучше.

🔣Качественный клиентский путь сам по себе исключает множество споров с пользователями и существенно снижает риски нарушения закона.

Чем прозрачнее и честнее юридический смысл действий в интерфейсе, тем больше вопросов решается внутри сервиса. Пользователю не нужно писать в поддержку или сразу регулятору, чтобы просто понять, «удалили ли вы мои данные». Жалобы превращаются в нормальный канал обратной связи, а не только «триггер риска».

Более того, качественный UX в части юридических обращений поможет сформировать метрики для оценки различных сценариев взаимодействия с продуктом. Отдельная история – UX юридических обращений. Если запрос на доступ / удаление / ограничение обработки можно сделать в пару кликов, вы получаете живую статистику: по каким сценариям людям чаще всего «больно».

🔣Реализация на практике основных принципов Legal UX
Для начала надо запросить у поддержки статистику по DSR. Далее рассматриваем путь пользователя к одному из болезненных сценариев как правоотношение: основания возникновения, субъекты, содержание и прекращение.

И дальше задаём себе неприятные, но полезные вопросы:

🔵

Показываем ли мы человеку, что именно «включается» юридически на этом шаге? Как от его действий меняется наш (и его) маленький правовой порядок?

🔵

Где он сейчас может посмотреть свой статус: что принял, от чего отказался, какие обращения направил?

🔵

Что произойдёт, если он передумает — есть ли понятный путь прекращения отношений прямо в интерфейсе?

Почти всегда на такой карте проявляются лакуны:

🔵

Технически аккаунт уже удалён, а юридически договор ещё жив;

🔵

Пользователь нажал три разные галочки с разными согласиями, но в одном месте посмотреть, какие действуют сейчас, не может;

🔵

Все пути для реализации прав — только через поддержку, а то и через «заказное с уведомлением» на юридический адрес.

Также важно предоставить пользователю возможность совершить хотя бы основные юридические действия внутри интерфейса: отозвать согласие, запросить удаление данных и т.д.

В качестве бонуса – метрики оценки Legal UX на картинке к посту, чтобы вы, вдохновленные после прочтения, сразу могли приступить к совершенствованию своего продукта! Метрики составляли совместно с Шепотом про ПД.

Делитесь в комментариях примерами знакомых вам b2c сервисов, Legal UX которых на должном уровне, а действия в сервисе согласуются с их юридическими последствиями 🙂

#Comply #Комплаенс #PrivacyМнение

✨ Что сбылось в 2025, а что ждать от 2026? Privacy-гадания!

Да, почти последняя неделя года, пора! Год назад гадали на 2025. Теперь подводим итоги, поздравляем победителя и запускаем новые гадания – на 2026 год!

Что же сбылось из прошлогодних предсказаний?

💙Какой максимальный штраф за утечку в 2025 году?
Такой себе – 150 тыс. рублей. Но были и штрафы выше, только не за утечки.

💙Кому первым назначат оборотный штраф?
Никому! Не успели.

💙Запретят ли хранение ПД за рубежом?
Нет, рано беспокоиться, хотя уже почти в яблочко! И все же изменения в законе на это не повлияли... Пока!

💙Будет ли громкий кейс с уголовкой для DPO?
Нет, ничего не было, это статья для хакеров! Privacy-бандиты пока дышат свободой. Но мы все же позволим себе быть на чеку.

💙Разрешат ли бизнесу обезличивание?
Да, но перечень методов закрытый, и риск-ориентированный подход пока не ожидается.

💙Введут ли институт коммерческих дата-посредников?
Нет, не ввели, слишком радикальная затея... Уже не верим и грустим.

💙Издаст ли Роскомнадзор белые списки для минимизации ПД?
Нет, пока не ввели, но РКН активно работает над их формированием.

💙Отменят ли мораторий на плановые проверки бизнеса?
Нет, не отменили, играем по старым правилам.

💙Ждём ли спецоператоров ПД?
Нет, не дождались, и рады этому.

💙Упростят ли наконец согласия для работников?
Нет, не упростили, все остается по-прежнему. Но уже вот-вот!

💙Законный интерес заиграет новыми красками?
Да, РКН активно работает в форматах рабочих групп над разработкой, например, методики оценки применимости законного интереса.

🩵 По традиции награждаем того, кто оказался реалистичнее всех в предсказаниях, и дарим Telegram Premium на год. В этом году privacy-оракулом становится: @non***nta. Наше почтение!

✨ А мы снова приглашаем всех включить интуицию на максимум и поделиться предсказаниями на 2026 год ➡️ по ссылке! ✨

Если решите подкрепить гадания практикой, наши коллеги из Moscow Digital School недавно разбирали, как юристы используют AI-помощников на реальных задачах. Без магии, но с понятными выводами.

Выигрывайте приз и звание privacy-оракула 2026! 🙂

Словосочетание года 🎄

Для нас уже стало традицией выбирать слово года – то самое единственное, ёмкое и символичное. Такое, которое должно зафиксировать общее настроение и охарактеризовать уходящий год… и при этом не быть нецензурным и запрещенным РКН! Если смотреть на этот год в privacy-реальности, то становится понятно: одного слова явно недостаточно. Слишком много слоёв, слишком много полутонов и слишком много «зависит от контекста».

В течение года о чем только мы не говорили: о борьбе с культом согласий, минимизации обрабатываемых данных и росте регуляторных аппетитов, цифровом суверенитете и прагматичном бизнес-реализме. В одних и тех же обсуждениях соседствовали тонкий юмор, судебная практика и попытки объяснить бизнесу, что бесконечный сбор согласий на всевозможные процессы – не всегда лучшее решение.

Поэтому в этот раз предлагаем несколько иной формат – выбрать не слово, а словосочетание года, которое:
🔵чаще всего звучало на встречах с бизнесом и РКН;
🔵вызывало нервный или счастливый смех у DPO и юристов;
🔵неожиданно стало нашей «новой реальностью».

📍Правила простые: выбирайте свой вариант из списка или пишите свой вариант в комментариях с коротким пояснением, почему выбрали именно его.

Посмотрим, какое выражение 2025 года действительно останется в нашей privacy-памяти 🙂

Privacy.Seasons – долгожданное продолжение
🎄 🎄 🎄 🎄 🎄

Так как наш канал про пользу, то и поздравлять с наступающим Новым годом будем подарком – вторым выпуском познавательного подкаста, где легенды премии The Department от Legal Insight в номинации «Эффективная защита ПД» делятся своими лучшими практиками и личным опытом.

Дарим вам увлекательное зрелище и желаем максимальной privacy-безопасности в 2026 году! 🎁

Артем Дмитриев, управляющий партнер Comply и ведущий подкаста

💙Неизменная соведущая – Екатерина Ефимова, руководитель направления ПД ГРЧЦ Роскомнадзор, добавляет экспертную глубину и поясняет взгляд контролирующего органа.

💙Новый гость – Марина Юфа, руководитель практики защиты данных в Авито, которые, между прочим, стали privacy-победителями The Department в этом году!

В выпуске делимся полезными наработками и обсуждаем:
🔵метрики внедрения privacy-культуры;
🔵управление согласиями работников;
🔵генерацию актов уничтожения ПД;
🔵электронный реестр процессов обработки ПД.

Когда privacy-функция встроена в структуру компании правильно, это перестает быть головной болью юристов и становится конкурентным преимуществом. Авито доказывает: защита данных может работать на бизнес.

Марина Юфа, Avito

Второй выпуск Privacy.Seasons уже доступен на площадках и ждет всех, кто работает и связан с ПД!

Смотреть:
YouTube
RuTube

Слушать:
Telegram-плеер
Mave

📍А если вы еще не смотрели/слушали первый выпуск с Альфа Банком – welcome 🙂

#Comply #Комплаенс #PrivacySeasons

Недолго музыка играла… до 1 января

Не успели многие (мы – не исключение) начать пестрить аффирмациями о кажущемся смягчении практики по делам о ПД благодаря их передаче арбитражным судам, как Госдумой скоропостижно был принят законопроект. И вот уже послезавтра дела о ПД вернутся в родную гавань судов общей юрисдикции…

Кстати, соответствующую норму, по обыкновению, включили в законопроект, который к тематике ПД относится, мягко говоря, весьма косвенно.

За эти короткие (но счастливые) 7 месяцев арбитражные суды успели рассмотреть более 20 дел о ПД. Многие увидели в этой практике тренд на более либеральный и гибкий подход. Яркое тому подтверждение – высокий процент предупреждений / прекращения производства, а не штрафов, даже за утечки. Если раньше избежать штрафа за утечку удавалось каждой 8-й компании, то за время нахождения дел о ПД в подсудности арбитражных судов удача улыбалась каждой 2-й (!). Несколько примеров либерального подхода арбитражных судов:

🔵 Моментом обнаружения утечки суд признал момент выявления / остановки утечки оператором. Раньше суды чаще признавали моментом обнаружения утечки обнаружение ее РКН. То есть момент начала течения сроков давности в руках операторов, а не РКН.

🔵 Штраф в 150 000 руб. за утечку 26 млн строк. Развернутой аргументации в пользу такого решения суд не привел. Вот уж действительно либеральный подход!

🔵 Предупреждение за распространение ПД на сайте без правового основания. На сайте компании без согласия была размещена фотография и имя субъекта ПД. Суд принял во внимание, что:
🔣 нарушение в сфере ПД совершено впервые;
🔣 субъекту не нанесен вред;
🔣 компания оперативно убрала публикацию с сайта.

Это был красивый и короткий роман 💔 Будем надеяться, что мировые судьи будут принимать во внимание либеральную практику и идеи, которые успели родиться в стенах арбитражных судов 🙂

#Comply #Комплаенс