Zoom Out, Istanbul In: корпоратив команды Comply
Недавно наша legal команда почти в полном составе съездила на корпоратив: мы были в Стамбуле!🇹🇷
Совместная весенняя поездка за новыми впечатлениями, живым общением и обсуждением планов и дальнейшего развития уже стала традицией в Comply.
Такие оффлайн встречи особенно важны — мы живем в разных уголках мира и чаще всего видим друг друга через камеры ноутбуков. Наша команда ежегодно расширяется, и в поездках мы лично знакомимся с новыми коллегами.
В прошлом году мы проехали 30 км на велосипедах по горам Армении🇦🇲 🚴♂️
В этом обошлись без таких спортивных подвигов: были на большой пешеходной экскурсии по Стамбулу, катались по Босфору и даже устроили совместную съемку на память.
Через год расскажем про новую поездку, а может быть кто-то из вас станет частью путешествия в составе нашей команды. Планируем регату, поэтому дополнительное требование для соискателей – «нет морской болезни»🛥
А теперь отдохнувшие возвращаемся к лучшей работе!
Недавно наша legal команда почти в полном составе съездила на корпоратив: мы были в Стамбуле!
Совместная весенняя поездка за новыми впечатлениями, живым общением и обсуждением планов и дальнейшего развития уже стала традицией в Comply.
Такие оффлайн встречи особенно важны — мы живем в разных уголках мира и чаще всего видим друг друга через камеры ноутбуков. Наша команда ежегодно расширяется, и в поездках мы лично знакомимся с новыми коллегами.
В прошлом году мы проехали 30 км на велосипедах по горам Армении
В этом обошлись без таких спортивных подвигов: были на большой пешеходной экскурсии по Стамбулу, катались по Босфору и даже устроили совместную съемку на память.
Через год расскажем про новую поездку, а может быть кто-то из вас станет частью путешествия в составе нашей команды. Планируем регату, поэтому дополнительное требование для соискателей – «нет морской болезни»
А теперь отдохнувшие возвращаемся к лучшей работе!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥39❤8😍6🤩3👍2
IP-мнение от Comply ⚡️
Компании часто сталкиваются с мошенниками, которые мимикрируют под их бизнес, создавая в Сети похожие сайты. Такие злоумышленники могут собирать данные и деньги клиентов компании, что оставляет негативный след на репутации бизнеса.
Как с этим бороться? Через регуляторные или IP-механизмы. Давайте разбираться⬇️
1. Защита товарного знака
Если бренд компании защищается в качестве товарного знака, мошенники обычно не могут его не использовать.
Это дает возможность требовать передачи по суду домена или исключения сайта из поисковой выдачи (работает не для всех поисковиков).
2. Блокировка пиратского контента
Нередко мошенники используют контент оригинального сайта, чтобы быть похожими на компанию-жертву.
Это открывает возможности к блокировке сайта: как через жалобы хостинг-провайдерам, так и через обращение в суд.
Последний способ особенно эффективен, если речь идет про копирование логотипа, текстов или видеороликов. Тогда можно добиваться в Мосгорсуде обеспечительных мер в виде блокировки.
3. Право на забвение
Если на сайте используется недостоверная информация о ключевых персонах компании, сайт может быть исключен из поисковой выдачи «по праву на забвение». Оно защищает граждан не только от неактуальной, но и от недостоверной информации.
Важно помнить, что в этом случае пожаловаться может только гражданин. Компании таким правом в РФ не наделены.
📢 Выводы:
Вариантов борьбы с сайтами злоумышленников гораздо больше, но эти — одни из самых простых.
Как видно, многие из них возможны только при предварительном оформлении прав на IP: регистрации знака, которая может занять больше года, и заключении договоров с авторами контента.
Поэтому, как всегда, важна профилактика, чтобы в нужный момент у компании была возможность защитить себя.
#мнение
Компании часто сталкиваются с мошенниками, которые мимикрируют под их бизнес, создавая в Сети похожие сайты. Такие злоумышленники могут собирать данные и деньги клиентов компании, что оставляет негативный след на репутации бизнеса.
Как с этим бороться? Через регуляторные или IP-механизмы. Давайте разбираться
1. Защита товарного знака
Если бренд компании защищается в качестве товарного знака, мошенники обычно не могут его не использовать.
Это дает возможность требовать передачи по суду домена или исключения сайта из поисковой выдачи (работает не для всех поисковиков).
2. Блокировка пиратского контента
Нередко мошенники используют контент оригинального сайта, чтобы быть похожими на компанию-жертву.
Это открывает возможности к блокировке сайта: как через жалобы хостинг-провайдерам, так и через обращение в суд.
Последний способ особенно эффективен, если речь идет про копирование логотипа, текстов или видеороликов. Тогда можно добиваться в Мосгорсуде обеспечительных мер в виде блокировки.
3. Право на забвение
Если на сайте используется недостоверная информация о ключевых персонах компании, сайт может быть исключен из поисковой выдачи «по праву на забвение». Оно защищает граждан не только от неактуальной, но и от недостоверной информации.
Важно помнить, что в этом случае пожаловаться может только гражданин. Компании таким правом в РФ не наделены.
Вариантов борьбы с сайтами злоумышленников гораздо больше, но эти — одни из самых простых.
Как видно, многие из них возможны только при предварительном оформлении прав на IP: регистрации знака, которая может занять больше года, и заключении договоров с авторами контента.
Поэтому, как всегда, важна профилактика, чтобы в нужный момент у компании была возможность защитить себя.
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9👌5❤3👀1
Privacy-мнение Comply ⏬
Количество судебных дел, связанных с ПД, увеличилось на 70% – сообщила Moscow Digital School. И это не просто цифры, это реальный тренд. Комментарий к статье давал управляющий партнер Comply, Артем Дмитриев.
И было бы вредно думать, что privacy-накал будет спадать. Ведь даже несмотря на весну за окном, интерес к этой сфере не уменьшается. А значит, дальше – больше! А теперь разбираемся в причинах этого тренда:
▶️ Общий уровень privacy-осведомленности и требовательности потребителей растет. Каждый из нас сталкивается с передачей ПД в самых, казалось бы, безобидных и рутинных бытовых ситуациях. От принудительного сбора «добровольных» согласий до бесконечных спам-звонков и неочевидного сбора биометрии. Например, недавняя кампания одного известного банка по сбору согласий на передачу биометрии в ЕБС через банкоматы и пуш-уведомления заставила многих потребителей критично посмотреть на практики сбора своих ПД и спровоцировало рост запросов и отзывов согласий в банк.
▶️ Появляется больше «гражданских» инструментов и сервисов в сфере приватности, например, внедряется управление согласиями на Госуслугах. Кроме того, мир privacy пополнился онлайн-инструментом для проверки утечек личных данных. Можно ввести свой email или номер телефона, и сервис быстро проверит, не были ли ваши данные скомпрометированы в интернете. Если ваши данные когда-либо утекали, вы узнаете, из какого именно сервиса это произошло.
▶️ Законодатель намерен передать обществу грозную карающую бизнес дубинку, то есть создать площадку для коллективных исков по ПД. Это рискует стать для бизнеса опаснее оборотных штрафов. Не забываем и про инициативы «наращивания» резервов для выплаты компенсаций субъектам данных, чьи права были нарушены, а также privacy — ОСАГО, о котором мы уже писали.
▶️ Центр помощи субъектам ПД, созданный ФГУП «ГРЧЦ», предлагает субъектам ПД консультации по вопросам обработки ПД онлайн (устно) и письменно, что также делает более доступным мир privacy для населения.
▶️ Все еще готовится ко второму чтению пакет законопроектов, усиливающих ответственность за утечки ПД. Но и без того хватает рисков. Ведь РКН развивает свой инструментарий для дистанционного мониторинга сайтов. РКН учится автоматизировано выявлять privacy-нарушения на сайтах без предупреждений компаний, узнавать их адреса, IP-адреса, серверы электронной почты, данные владельцев и много-многое другое.
Потому несмотря на действующий мораторий на проведение проверок, бизнесу важно убедиться в первую очередь во front-end compliance и быть начеку. Кто забыл — ниже в карточках напоминаем, что это такое, и почему так важно сейчас контролировать свою privacy-виктимность⏬
#мнение
Количество судебных дел, связанных с ПД, увеличилось на 70% – сообщила Moscow Digital School. И это не просто цифры, это реальный тренд. Комментарий к статье давал управляющий партнер Comply, Артем Дмитриев.
И было бы вредно думать, что privacy-накал будет спадать. Ведь даже несмотря на весну за окном, интерес к этой сфере не уменьшается. А значит, дальше – больше! А теперь разбираемся в причинах этого тренда:
Потому несмотря на действующий мораторий на проведение проверок, бизнесу важно убедиться в первую очередь во front-end compliance и быть начеку. Кто забыл — ниже в карточках напоминаем, что это такое, и почему так важно сейчас контролировать свою privacy-виктимность
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤4
От Цифрового кодекса ждут юридических определений IT-терминов
Разрозненное законодательство стало отставать от прогресса информационных технологий.
В России может появиться особый свод законов, который обеспечил бы деятельность всей IT-отрасли. Над проектом так называемого Цифрового кодекса (ЦК), учитывающего те или иные аспекты правоотношений с использованием информационно-коммуникационных технологий и искусственного интеллекта, продолжают работать в Минцифры. Документ необходим в том числе, а если точнее, то в первую очередь, для юридической унификации нынешнего разнообразия бытующих в этой сфере терминов.
О необходимости появления ЦК говорится и в проекте стратегии развития отрасли связи до 2035 года: оптимальным видом законодательного акта, позволяющим сформировать стройную взаимоувязанную систему отраслевых правовых норм, является Цифровой кодекс, обеспечивающий комплексное регулирование развития и использования информационных технологий и инфраструктуры связи. Результатом должна стать «сбалансированная цифровизация».
Максим Али, партнер Comply, пояснил «НГ»:
Подробнее на сайте Независимой газеты.
Разрозненное законодательство стало отставать от прогресса информационных технологий.
В России может появиться особый свод законов, который обеспечил бы деятельность всей IT-отрасли. Над проектом так называемого Цифрового кодекса (ЦК), учитывающего те или иные аспекты правоотношений с использованием информационно-коммуникационных технологий и искусственного интеллекта, продолжают работать в Минцифры. Документ необходим в том числе, а если точнее, то в первую очередь, для юридической унификации нынешнего разнообразия бытующих в этой сфере терминов.
О необходимости появления ЦК говорится и в проекте стратегии развития отрасли связи до 2035 года: оптимальным видом законодательного акта, позволяющим сформировать стройную взаимоувязанную систему отраслевых правовых норм, является Цифровой кодекс, обеспечивающий комплексное регулирование развития и использования информационных технологий и инфраструктуры связи. Результатом должна стать «сбалансированная цифровизация».
Максим Али, партнер Comply, пояснил «НГ»:
Идея о разработке ЦК обсуждается, например, в юридическом обществе уже достаточно давно. С одной стороны, в действующем законе об информации накопилось множество дублирующих друг друга норм. Самый яркий пример – это порядок блокировок, эффективнее было бы привести его к единому знаменателю. С другой стороны, широкое понятие о цифровой отрасли затрагивают разные правоотношения, включая пиратство, распространение порочащих сведений, защиту детей от вредной информации и т.д. Так что объединять все это в рамках одного документа будет настоящим вызовом для его разработчиков.
Подробнее на сайте Независимой газеты.
👍9❤4🔥4
Privacy-мнение от Comply ⬇️
Обезличивание: компромисс или всего лишь эксперимент?
Держите карман шире! Ни то, ни другое, а дата-национализация.
Обезличивание подразумевает действия, в результате которых невозможно определить, кому принадлежат данные без дополнительной информации (п. 9 ст. 3 152-ФЗ). В терминах GDPR – псевдонимизация. Обезличенные данные остаются персональными, поскольку сохраняется возможность связи данных с субъектом посредством дополнительной информации.
Обезличивание позволяет усилить конфиденциальность и несколько митигировать риски из утечек за счет того, что данные хранятся не в открытом виде, а также сформировать «гигиену данных».
Что же тогда с обезличиванием не так❓
Прежде РКН неоднократно заявлял, что в текущем правовом поле у бизнеса нет права обезличивать данные, такое право дано лишь госорганам и отдельным организациям в соответствии с Приказом № 996. Однако в последнее время РКН отмечает, что Приказ могут использовать и коммерческие организации при определенных условиях.
Есть нюанс. РКН считает, что обезличивать данные можно только на основании предварительного согласия, в котором выделено обезличивание как способ обработки. То есть, чтобы обезличить данные, сперва получите на это согласие. Хотя, казалось бы, это нужно, в первую очередь, для защиты интересов субъектов… Что ж, еще больше согласий.
Устарели и сами рекомендации РКН от 2013 года по процедуре обезличивания. Есть и иные методики, не предусмотренные Приказом. Например, дифференциальная приватность, которая предполагает добавление шума и минимизацию запросов к дата-сету так, чтобы из него нельзя было вычленить данные, относящиеся к определяемому лицу. Регуляторы постепенно разрабатывают новые методики, но ни одна из них пока не увидела официальный свет.
В 2021 году внесен законопроект о поправках в 152-ФЗ, который допускал возможность бизнесу обезличивать данные на «особых» условиях. В 2023 году этот проект, с многочисленными поправками, перешел ко второму чтению. Казалось бы, успех так близко! Но нет.
Согласно законопроекту, операторы будут обязаны предоставлять ПД в государственное «озеро данных» для обезличивания и сборки дата-сетов. Первые три года доступ к обезличенным дата-сетам будут иметь только госорганы и подведомственные организации. А затем, доступ смогут получить и другие компании, одобренные правительственной комиссией. Процедура обезличивания будет устанавливаться регулятором, а финансироваться – в т.ч. за счет бизнеса. Таким образом, законопроект не только стремится сильнее урегулировать обезличивание, усилить контроль над данными, но и (!) национализировать их.
Но и бизнес не бездействует. Есть предложения ограничить бесплатную передачу данных государству только для нужд национальной безопасности, а доступ к остальным данным осуществлять на основе справедливой тарификации.
Кроме этого, индустрия пытается развивать институт экспериментальных правовых режимов (ЭПР). Так, Ассоциация Больших Данных выступила инициатором ЭПР «Доверенный посредник», который предполагает создание платформы для безопасной обработки обезличенных и промышленных данных. В рамках ЭПР могли бы тестироваться методологии обезличивания и санитизации данных, а также риск-модели оценки обезличенных данных. Цель ЭПР – выработать подход к обезличенным данным, институционализировать их оборот и деятельность дата-посредников. Иными словами, это попытка предложить рабочий компромисс между интересами власти и бизнеса.
Наблюдаем за развитием проектов и рассчитываем все же не на радикализацию регулирования, а win-win подход, когда учитываются интересы и государства, и бизнеса, и даже пользователей. Ну а пока не отобрали – обезличивайте [с согласия] [и в статистических целях]🙂
#мнение
Обезличивание: компромисс или всего лишь эксперимент?
Держите карман шире! Ни то, ни другое, а дата-национализация.
Обезличивание подразумевает действия, в результате которых невозможно определить, кому принадлежат данные без дополнительной информации (п. 9 ст. 3 152-ФЗ). В терминах GDPR – псевдонимизация. Обезличенные данные остаются персональными, поскольку сохраняется возможность связи данных с субъектом посредством дополнительной информации.
Обезличивание позволяет усилить конфиденциальность и несколько митигировать риски из утечек за счет того, что данные хранятся не в открытом виде, а также сформировать «гигиену данных».
Что же тогда с обезличиванием не так
Прежде РКН неоднократно заявлял, что в текущем правовом поле у бизнеса нет права обезличивать данные, такое право дано лишь госорганам и отдельным организациям в соответствии с Приказом № 996. Однако в последнее время РКН отмечает, что Приказ могут использовать и коммерческие организации при определенных условиях.
Есть нюанс. РКН считает, что обезличивать данные можно только на основании предварительного согласия, в котором выделено обезличивание как способ обработки. То есть, чтобы обезличить данные, сперва получите на это согласие. Хотя, казалось бы, это нужно, в первую очередь, для защиты интересов субъектов… Что ж, еще больше согласий.
Устарели и сами рекомендации РКН от 2013 года по процедуре обезличивания. Есть и иные методики, не предусмотренные Приказом. Например, дифференциальная приватность, которая предполагает добавление шума и минимизацию запросов к дата-сету так, чтобы из него нельзя было вычленить данные, относящиеся к определяемому лицу. Регуляторы постепенно разрабатывают новые методики, но ни одна из них пока не увидела официальный свет.
В 2021 году внесен законопроект о поправках в 152-ФЗ, который допускал возможность бизнесу обезличивать данные на «особых» условиях. В 2023 году этот проект, с многочисленными поправками, перешел ко второму чтению. Казалось бы, успех так близко! Но нет.
Согласно законопроекту, операторы будут обязаны предоставлять ПД в государственное «озеро данных» для обезличивания и сборки дата-сетов. Первые три года доступ к обезличенным дата-сетам будут иметь только госорганы и подведомственные организации. А затем, доступ смогут получить и другие компании, одобренные правительственной комиссией. Процедура обезличивания будет устанавливаться регулятором, а финансироваться – в т.ч. за счет бизнеса. Таким образом, законопроект не только стремится сильнее урегулировать обезличивание, усилить контроль над данными, но и (!) национализировать их.
Но и бизнес не бездействует. Есть предложения ограничить бесплатную передачу данных государству только для нужд национальной безопасности, а доступ к остальным данным осуществлять на основе справедливой тарификации.
Кроме этого, индустрия пытается развивать институт экспериментальных правовых режимов (ЭПР). Так, Ассоциация Больших Данных выступила инициатором ЭПР «Доверенный посредник», который предполагает создание платформы для безопасной обработки обезличенных и промышленных данных. В рамках ЭПР могли бы тестироваться методологии обезличивания и санитизации данных, а также риск-модели оценки обезличенных данных. Цель ЭПР – выработать подход к обезличенным данным, институционализировать их оборот и деятельность дата-посредников. Иными словами, это попытка предложить рабочий компромисс между интересами власти и бизнеса.
Наблюдаем за развитием проектов и рассчитываем все же не на радикализацию регулирования, а win-win подход, когда учитываются интересы и государства, и бизнеса, и даже пользователей. Ну а пока не отобрали – обезличивайте [с согласия] [и в статистических целях]
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10👌5
Персданные должников по алиментам объединят в общедоступной базе: чего опасаться
Согласно новому закону, в реестр будут включены сведения о должниках по алиментным обязательствам, привлеченных к административной и (или) уголовной ответственности за неуплату средств на содержание несовершеннолетних или нетрудоспособных детей, достигших восемнадцатилетнего возраста, либо нетрудоспособных родителей и (или) объявленных судебным приставом-исполнителем в розыск.
Несмотря на то, что информация о должниках будет обрабатываться в соответствии с законодательством об исполнительном производстве, данные о них будут общедоступными. По задумке, до включения в реестр должнику должно поступить СМС с уведомлением о таком включении, и в течение суток он сможет предпринять действия, чтобы избежать публикации, то есть либо оспорить, либо оплатить долг.
Эксперты полагают, что новый реестр может стать неким инструментом социального рейтинга.
Комментирует Артем Дмитриев, управляющий партнер Comply:
Подробнее читайте на сайте RSpectr.
Согласно новому закону, в реестр будут включены сведения о должниках по алиментным обязательствам, привлеченных к административной и (или) уголовной ответственности за неуплату средств на содержание несовершеннолетних или нетрудоспособных детей, достигших восемнадцатилетнего возраста, либо нетрудоспособных родителей и (или) объявленных судебным приставом-исполнителем в розыск.
Несмотря на то, что информация о должниках будет обрабатываться в соответствии с законодательством об исполнительном производстве, данные о них будут общедоступными. По задумке, до включения в реестр должнику должно поступить СМС с уведомлением о таком включении, и в течение суток он сможет предпринять действия, чтобы избежать публикации, то есть либо оспорить, либо оплатить долг.
Эксперты полагают, что новый реестр может стать неким инструментом социального рейтинга.
Комментирует Артем Дмитриев, управляющий партнер Comply:
До социального рейтинга еще слишком далеко, но определенные аллюзии, конечно, напрашиваются. Ведь реестр создается в целях социального давления или «доски позора», хотя и благой цели ради – мотивировать выплату алиментов.
Любая регуляторная инициатива должна предполагать компромисс между интересами/правами одних и свободами других. Предлагаемое решение не бесспорно, но не приводит к дисбалансу прав и интересов. Ведь инициатива направлена на поддержку наименее защищенных слоев населения.
Важно, чтобы реестр со временем не приводил бы к наложению вторичных санкций. Например, увольнению с работы, отказу в предоставлении государственных услуг, повышенным ставкам кредитов и прочим неприятностям.
Подробнее читайте на сайте RSpectr.
👍8👌3
Privacy-мнение от Comply
Они будут говорить: «Начни работу с Положения об обработке ПД! Это privacy-база». Но прости их и разработай Положение о кадровом резерве, Положение об архиве и прочие, казалось бы, «лишние» документы.
Разбираемся, кто прав. Начиная разработку документов важно понимать, а зачем это все. Конечно, в первую очередь чтобы управлять комплаенс-рисками. Но рисков много, и не все они равнозначны.
1️⃣ Только несколько рисков носят имидиативный (immediate) характер. Что это значит? Если РКН выявит нарушение, то сможет сразу вас, например, оштрафовать. Большинство же нарушений не повлечет для компании негативные последствия сразу. А все потому, что у вас будет срок на исполнение предписания РКН. Неотложные риски связаны c дефектами оснований обработки ПД или отсутствием политики обработки ПД. Иные «документарные» риски носят отсроченный характер.
2️⃣ Дополнительный критерий приоритизации документов: сложность и трудоемкость их подготовки. То есть Положение об обработке ПД «на минималках», отвечающее стандартам РКН, можно сделать за 1..2..3..4...готово! А вот, например, сформировать акты об уничтожении ПД за прошлый год или пересобрать согласия от подписчиков оперативно не выйдет.
3️⃣ Наконец, last but not least критерий приоритизации – влияние на privacy-виктимность. То есть очевидно или что документа нет, или что он плох, либо же обнаружить это почти невероятно. Вот, например, отсутствие или дефекты Политики на сайте – селфхарм, ибо слишком очевидно.
Получается, что не все документы одинаково полезны. А «незаменимое» Положение об обработке ПД заслуживает ваше самое скромное внимание – см. схему. Лично мы НЕ адепты культа бумажного комплаенса. И вам советуем критично приоритизировать разработку и актуализацию документов.
👉 Делимся шпаргалкой с топ-50 privacy-документов 🙂
#мнение
Они будут говорить: «Начни работу с Положения об обработке ПД! Это privacy-база». Но прости их и разработай Положение о кадровом резерве, Положение об архиве и прочие, казалось бы, «лишние» документы.
Разбираемся, кто прав. Начиная разработку документов важно понимать, а зачем это все. Конечно, в первую очередь чтобы управлять комплаенс-рисками. Но рисков много, и не все они равнозначны.
Получается, что не все документы одинаково полезны. А «незаменимое» Положение об обработке ПД заслуживает ваше самое скромное внимание – см. схему. Лично мы НЕ адепты культа бумажного комплаенса. И вам советуем критично приоритизировать разработку и актуализацию документов.
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥9👏7
Поможет ли «специальный оператор» защите персональной информации
ИТ-комитет Госдумы, Роскомнадзор и Минцифры прорабатывают вопрос создания «спецоператора обработки персональных данных», сообщил глава комитета Александр Хинштейн на ПМЭФ-2024.
Артем Дмитриев, управляющий партнер Comply, комментирует инициативу:
Подробнее читайте в статье RSpectr по ссылке.
ИТ-комитет Госдумы, Роскомнадзор и Минцифры прорабатывают вопрос создания «спецоператора обработки персональных данных», сообщил глава комитета Александр Хинштейн на ПМЭФ-2024.
Артем Дмитриев, управляющий партнер Comply, комментирует инициативу:
Как кажется, все же крупные компании стремятся сохранить свое исключительное право на собранные и обрабатываемые данные. То есть для B2C сегмента данные, конечно же, актив, ценность, конкурентное преимущество и далее по списку. И, что важно, такой бизнес, желая оставаться экономическим бенефициаром данных, безусловно осознает и необходимость быть владельцем связанных с этими данными рисками.
А не хотят ли данные национализировать, не предоставив выбор бизнесу? Уверен, бизнес сам способен решить, есть ли необходимость в таких «спецоператорах». Лично я, несмотря на активную GR повестку, ни разу не слышал от бизнеса и ассоциаций таких мыслей. Хотя допускаю, что малый бизнес и возможно B2B средний бизнес будут не против снять с себя часть рисков, лишившись при этом своего «экономического титула» на данные. Но пока вопросов больше, чем ответов. Например, по каким правилам и SLA будет осуществляться взаимодействие между бизнесом и «спецоператором».
И говоря о том, что эта концепция вообще как-то позволит снизить риски, мы, конечно же, остаемся оптимистами. Централизация хранения персональных данных может и снижает нагрузку на бизнес, позволяя ему делегировать защиту данных «спецоператору», но сосредотачивает риск утечки данных в одном месте, делая его более привлекательным для злоумышленников.
Важно понимать, что оператором ПД по-прежнему остается бизнес, даже если он делегирует их хранение или иную обработку «спецоператору». В законодательстве нет какого-то особого статуса «спецоператора», поэтому пока что он больше всего похож на обработчика по поручению. А у обработчика, как известно, ответственности за утечку не особо много. Поэтому, если уж и пытаться в этой инициативе найти пользу, то необходимы изменения механизмов применения уже грядущих оборотных штрафов, распределение ответственности между бизнесом и «спецоператором».
И к слову, возможно было бы правильнее апробировать эту концепцию через экспериментальный правовой режим (ЭПР), включая правовые и организационно-технологические процессы. Как раз в рамках ЭПР можно было бы понять, насколько эта модель может быть вообще востребована бизнесом, так чтобы сгладить острые углы до выпуска концепции в законодательный «продакшн».
Подробнее читайте в статье RSpectr по ссылке.
👍8👌3