Privacy-мнение от Comply ⬇️
Обезличивание: компромисс или всего лишь эксперимент?
Держите карман шире! Ни то, ни другое, а дата-национализация.
Обезличивание подразумевает действия, в результате которых невозможно определить, кому принадлежат данные без дополнительной информации (п. 9 ст. 3 152-ФЗ). В терминах GDPR – псевдонимизация. Обезличенные данные остаются персональными, поскольку сохраняется возможность связи данных с субъектом посредством дополнительной информации.
Обезличивание позволяет усилить конфиденциальность и несколько митигировать риски из утечек за счет того, что данные хранятся не в открытом виде, а также сформировать «гигиену данных».
Что же тогда с обезличиванием не так❓
Прежде РКН неоднократно заявлял, что в текущем правовом поле у бизнеса нет права обезличивать данные, такое право дано лишь госорганам и отдельным организациям в соответствии с Приказом № 996. Однако в последнее время РКН отмечает, что Приказ могут использовать и коммерческие организации при определенных условиях.
Есть нюанс. РКН считает, что обезличивать данные можно только на основании предварительного согласия, в котором выделено обезличивание как способ обработки. То есть, чтобы обезличить данные, сперва получите на это согласие. Хотя, казалось бы, это нужно, в первую очередь, для защиты интересов субъектов… Что ж, еще больше согласий.
Устарели и сами рекомендации РКН от 2013 года по процедуре обезличивания. Есть и иные методики, не предусмотренные Приказом. Например, дифференциальная приватность, которая предполагает добавление шума и минимизацию запросов к дата-сету так, чтобы из него нельзя было вычленить данные, относящиеся к определяемому лицу. Регуляторы постепенно разрабатывают новые методики, но ни одна из них пока не увидела официальный свет.
В 2021 году внесен законопроект о поправках в 152-ФЗ, который допускал возможность бизнесу обезличивать данные на «особых» условиях. В 2023 году этот проект, с многочисленными поправками, перешел ко второму чтению. Казалось бы, успех так близко! Но нет.
Согласно законопроекту, операторы будут обязаны предоставлять ПД в государственное «озеро данных» для обезличивания и сборки дата-сетов. Первые три года доступ к обезличенным дата-сетам будут иметь только госорганы и подведомственные организации. А затем, доступ смогут получить и другие компании, одобренные правительственной комиссией. Процедура обезличивания будет устанавливаться регулятором, а финансироваться – в т.ч. за счет бизнеса. Таким образом, законопроект не только стремится сильнее урегулировать обезличивание, усилить контроль над данными, но и (!) национализировать их.
Но и бизнес не бездействует. Есть предложения ограничить бесплатную передачу данных государству только для нужд национальной безопасности, а доступ к остальным данным осуществлять на основе справедливой тарификации.
Кроме этого, индустрия пытается развивать институт экспериментальных правовых режимов (ЭПР). Так, Ассоциация Больших Данных выступила инициатором ЭПР «Доверенный посредник», который предполагает создание платформы для безопасной обработки обезличенных и промышленных данных. В рамках ЭПР могли бы тестироваться методологии обезличивания и санитизации данных, а также риск-модели оценки обезличенных данных. Цель ЭПР – выработать подход к обезличенным данным, институционализировать их оборот и деятельность дата-посредников. Иными словами, это попытка предложить рабочий компромисс между интересами власти и бизнеса.
Наблюдаем за развитием проектов и рассчитываем все же не на радикализацию регулирования, а win-win подход, когда учитываются интересы и государства, и бизнеса, и даже пользователей. Ну а пока не отобрали – обезличивайте [с согласия] [и в статистических целях]🙂
#мнение
Обезличивание: компромисс или всего лишь эксперимент?
Держите карман шире! Ни то, ни другое, а дата-национализация.
Обезличивание подразумевает действия, в результате которых невозможно определить, кому принадлежат данные без дополнительной информации (п. 9 ст. 3 152-ФЗ). В терминах GDPR – псевдонимизация. Обезличенные данные остаются персональными, поскольку сохраняется возможность связи данных с субъектом посредством дополнительной информации.
Обезличивание позволяет усилить конфиденциальность и несколько митигировать риски из утечек за счет того, что данные хранятся не в открытом виде, а также сформировать «гигиену данных».
Что же тогда с обезличиванием не так
Прежде РКН неоднократно заявлял, что в текущем правовом поле у бизнеса нет права обезличивать данные, такое право дано лишь госорганам и отдельным организациям в соответствии с Приказом № 996. Однако в последнее время РКН отмечает, что Приказ могут использовать и коммерческие организации при определенных условиях.
Есть нюанс. РКН считает, что обезличивать данные можно только на основании предварительного согласия, в котором выделено обезличивание как способ обработки. То есть, чтобы обезличить данные, сперва получите на это согласие. Хотя, казалось бы, это нужно, в первую очередь, для защиты интересов субъектов… Что ж, еще больше согласий.
Устарели и сами рекомендации РКН от 2013 года по процедуре обезличивания. Есть и иные методики, не предусмотренные Приказом. Например, дифференциальная приватность, которая предполагает добавление шума и минимизацию запросов к дата-сету так, чтобы из него нельзя было вычленить данные, относящиеся к определяемому лицу. Регуляторы постепенно разрабатывают новые методики, но ни одна из них пока не увидела официальный свет.
В 2021 году внесен законопроект о поправках в 152-ФЗ, который допускал возможность бизнесу обезличивать данные на «особых» условиях. В 2023 году этот проект, с многочисленными поправками, перешел ко второму чтению. Казалось бы, успех так близко! Но нет.
Согласно законопроекту, операторы будут обязаны предоставлять ПД в государственное «озеро данных» для обезличивания и сборки дата-сетов. Первые три года доступ к обезличенным дата-сетам будут иметь только госорганы и подведомственные организации. А затем, доступ смогут получить и другие компании, одобренные правительственной комиссией. Процедура обезличивания будет устанавливаться регулятором, а финансироваться – в т.ч. за счет бизнеса. Таким образом, законопроект не только стремится сильнее урегулировать обезличивание, усилить контроль над данными, но и (!) национализировать их.
Но и бизнес не бездействует. Есть предложения ограничить бесплатную передачу данных государству только для нужд национальной безопасности, а доступ к остальным данным осуществлять на основе справедливой тарификации.
Кроме этого, индустрия пытается развивать институт экспериментальных правовых режимов (ЭПР). Так, Ассоциация Больших Данных выступила инициатором ЭПР «Доверенный посредник», который предполагает создание платформы для безопасной обработки обезличенных и промышленных данных. В рамках ЭПР могли бы тестироваться методологии обезличивания и санитизации данных, а также риск-модели оценки обезличенных данных. Цель ЭПР – выработать подход к обезличенным данным, институционализировать их оборот и деятельность дата-посредников. Иными словами, это попытка предложить рабочий компромисс между интересами власти и бизнеса.
Наблюдаем за развитием проектов и рассчитываем все же не на радикализацию регулирования, а win-win подход, когда учитываются интересы и государства, и бизнеса, и даже пользователей. Ну а пока не отобрали – обезличивайте [с согласия] [и в статистических целях]
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10👌5
Персданные должников по алиментам объединят в общедоступной базе: чего опасаться
Согласно новому закону, в реестр будут включены сведения о должниках по алиментным обязательствам, привлеченных к административной и (или) уголовной ответственности за неуплату средств на содержание несовершеннолетних или нетрудоспособных детей, достигших восемнадцатилетнего возраста, либо нетрудоспособных родителей и (или) объявленных судебным приставом-исполнителем в розыск.
Несмотря на то, что информация о должниках будет обрабатываться в соответствии с законодательством об исполнительном производстве, данные о них будут общедоступными. По задумке, до включения в реестр должнику должно поступить СМС с уведомлением о таком включении, и в течение суток он сможет предпринять действия, чтобы избежать публикации, то есть либо оспорить, либо оплатить долг.
Эксперты полагают, что новый реестр может стать неким инструментом социального рейтинга.
Комментирует Артем Дмитриев, управляющий партнер Comply:
Подробнее читайте на сайте RSpectr.
Согласно новому закону, в реестр будут включены сведения о должниках по алиментным обязательствам, привлеченных к административной и (или) уголовной ответственности за неуплату средств на содержание несовершеннолетних или нетрудоспособных детей, достигших восемнадцатилетнего возраста, либо нетрудоспособных родителей и (или) объявленных судебным приставом-исполнителем в розыск.
Несмотря на то, что информация о должниках будет обрабатываться в соответствии с законодательством об исполнительном производстве, данные о них будут общедоступными. По задумке, до включения в реестр должнику должно поступить СМС с уведомлением о таком включении, и в течение суток он сможет предпринять действия, чтобы избежать публикации, то есть либо оспорить, либо оплатить долг.
Эксперты полагают, что новый реестр может стать неким инструментом социального рейтинга.
Комментирует Артем Дмитриев, управляющий партнер Comply:
До социального рейтинга еще слишком далеко, но определенные аллюзии, конечно, напрашиваются. Ведь реестр создается в целях социального давления или «доски позора», хотя и благой цели ради – мотивировать выплату алиментов.
Любая регуляторная инициатива должна предполагать компромисс между интересами/правами одних и свободами других. Предлагаемое решение не бесспорно, но не приводит к дисбалансу прав и интересов. Ведь инициатива направлена на поддержку наименее защищенных слоев населения.
Важно, чтобы реестр со временем не приводил бы к наложению вторичных санкций. Например, увольнению с работы, отказу в предоставлении государственных услуг, повышенным ставкам кредитов и прочим неприятностям.
Подробнее читайте на сайте RSpectr.
👍8👌3
Privacy-мнение от Comply
Они будут говорить: «Начни работу с Положения об обработке ПД! Это privacy-база». Но прости их и разработай Положение о кадровом резерве, Положение об архиве и прочие, казалось бы, «лишние» документы.
Разбираемся, кто прав. Начиная разработку документов важно понимать, а зачем это все. Конечно, в первую очередь чтобы управлять комплаенс-рисками. Но рисков много, и не все они равнозначны.
1️⃣ Только несколько рисков носят имидиативный (immediate) характер. Что это значит? Если РКН выявит нарушение, то сможет сразу вас, например, оштрафовать. Большинство же нарушений не повлечет для компании негативные последствия сразу. А все потому, что у вас будет срок на исполнение предписания РКН. Неотложные риски связаны c дефектами оснований обработки ПД или отсутствием политики обработки ПД. Иные «документарные» риски носят отсроченный характер.
2️⃣ Дополнительный критерий приоритизации документов: сложность и трудоемкость их подготовки. То есть Положение об обработке ПД «на минималках», отвечающее стандартам РКН, можно сделать за 1..2..3..4...готово! А вот, например, сформировать акты об уничтожении ПД за прошлый год или пересобрать согласия от подписчиков оперативно не выйдет.
3️⃣ Наконец, last but not least критерий приоритизации – влияние на privacy-виктимность. То есть очевидно или что документа нет, или что он плох, либо же обнаружить это почти невероятно. Вот, например, отсутствие или дефекты Политики на сайте – селфхарм, ибо слишком очевидно.
Получается, что не все документы одинаково полезны. А «незаменимое» Положение об обработке ПД заслуживает ваше самое скромное внимание – см. схему. Лично мы НЕ адепты культа бумажного комплаенса. И вам советуем критично приоритизировать разработку и актуализацию документов.
👉 Делимся шпаргалкой с топ-50 privacy-документов 🙂
#мнение
Они будут говорить: «Начни работу с Положения об обработке ПД! Это privacy-база». Но прости их и разработай Положение о кадровом резерве, Положение об архиве и прочие, казалось бы, «лишние» документы.
Разбираемся, кто прав. Начиная разработку документов важно понимать, а зачем это все. Конечно, в первую очередь чтобы управлять комплаенс-рисками. Но рисков много, и не все они равнозначны.
Получается, что не все документы одинаково полезны. А «незаменимое» Положение об обработке ПД заслуживает ваше самое скромное внимание – см. схему. Лично мы НЕ адепты культа бумажного комплаенса. И вам советуем критично приоритизировать разработку и актуализацию документов.
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥9👏7
Поможет ли «специальный оператор» защите персональной информации
ИТ-комитет Госдумы, Роскомнадзор и Минцифры прорабатывают вопрос создания «спецоператора обработки персональных данных», сообщил глава комитета Александр Хинштейн на ПМЭФ-2024.
Артем Дмитриев, управляющий партнер Comply, комментирует инициативу:
Подробнее читайте в статье RSpectr по ссылке.
ИТ-комитет Госдумы, Роскомнадзор и Минцифры прорабатывают вопрос создания «спецоператора обработки персональных данных», сообщил глава комитета Александр Хинштейн на ПМЭФ-2024.
Артем Дмитриев, управляющий партнер Comply, комментирует инициативу:
Как кажется, все же крупные компании стремятся сохранить свое исключительное право на собранные и обрабатываемые данные. То есть для B2C сегмента данные, конечно же, актив, ценность, конкурентное преимущество и далее по списку. И, что важно, такой бизнес, желая оставаться экономическим бенефициаром данных, безусловно осознает и необходимость быть владельцем связанных с этими данными рисками.
А не хотят ли данные национализировать, не предоставив выбор бизнесу? Уверен, бизнес сам способен решить, есть ли необходимость в таких «спецоператорах». Лично я, несмотря на активную GR повестку, ни разу не слышал от бизнеса и ассоциаций таких мыслей. Хотя допускаю, что малый бизнес и возможно B2B средний бизнес будут не против снять с себя часть рисков, лишившись при этом своего «экономического титула» на данные. Но пока вопросов больше, чем ответов. Например, по каким правилам и SLA будет осуществляться взаимодействие между бизнесом и «спецоператором».
И говоря о том, что эта концепция вообще как-то позволит снизить риски, мы, конечно же, остаемся оптимистами. Централизация хранения персональных данных может и снижает нагрузку на бизнес, позволяя ему делегировать защиту данных «спецоператору», но сосредотачивает риск утечки данных в одном месте, делая его более привлекательным для злоумышленников.
Важно понимать, что оператором ПД по-прежнему остается бизнес, даже если он делегирует их хранение или иную обработку «спецоператору». В законодательстве нет какого-то особого статуса «спецоператора», поэтому пока что он больше всего похож на обработчика по поручению. А у обработчика, как известно, ответственности за утечку не особо много. Поэтому, если уж и пытаться в этой инициативе найти пользу, то необходимы изменения механизмов применения уже грядущих оборотных штрафов, распределение ответственности между бизнесом и «спецоператором».
И к слову, возможно было бы правильнее апробировать эту концепцию через экспериментальный правовой режим (ЭПР), включая правовые и организационно-технологические процессы. Как раз в рамках ЭПР можно было бы понять, насколько эта модель может быть вообще востребована бизнесом, так чтобы сгладить острые углы до выпуска концепции в законодательный «продакшн».
Подробнее читайте в статье RSpectr по ссылке.
👍8👌3
ИИ сверху видно все
Беспилотники присмотрят за порядком в РФ и Белоруссии
Отечественный разработчик систем искусственного интеллекта Softlogic вкладывает 2 млрд руб. в производство комплексов видеонаблюдения для дронов, оснащенных ИИ для контроля правопорядка. Подобные системы уже используются МВД Белоруссии, поставки планируются и в российские правоохранительные органы. Эксперты допускают, что такие меры безопасности, кроме вопросов защиты персональных данных и тайны частной жизни, грозят появлением новых криминальных схем.
Управляющий партнер Comply Артем Дмитриев уточняет:
Подробнее читайте на сайте газеты Коммерсантъ
Беспилотники присмотрят за порядком в РФ и Белоруссии
Отечественный разработчик систем искусственного интеллекта Softlogic вкладывает 2 млрд руб. в производство комплексов видеонаблюдения для дронов, оснащенных ИИ для контроля правопорядка. Подобные системы уже используются МВД Белоруссии, поставки планируются и в российские правоохранительные органы. Эксперты допускают, что такие меры безопасности, кроме вопросов защиты персональных данных и тайны частной жизни, грозят появлением новых криминальных схем.
Управляющий партнер Comply Артем Дмитриев уточняет:
Несколько лет назад суды сделали вывод, что такие системы видеонаблюдения сами по себе не обрабатывают персональные данные, а лишь сравнивают изображение с видеокамер с получаемыми от правоохранительных органов. Использование БПЛА с ИИ для контроля и выявления правонарушений, вероятно, будет внедрено в нашу жизнь, несмотря на критику со стороны общества и экспертов.
Подробнее читайте на сайте газеты Коммерсантъ
👍5👀4👌3
Рады, что обсуждение обезличивания ПД продолжается. Рынок не опускает руки! И более того, появляются конкретные предложения и пути перевода обезличивания из серой в зеленую зону.
Наши друзья и партнёры, АБД и HFLabs, сегодня провели встречу, на которой обсудили релевантные методики и уже существующие технологические решения. Основные инсайты:
✅ Симбиоз риск-модели АБД и решения HFLabs «МАСКИРОВЩИК» показал устойчивость и эффективность в снижении риска реидентификации данных до околонулевых значений даже. И это даже при условии доступности злоумышленнику дополнительной информации включая исходный дата-сет. Это ли не privacy-чудо!
✅ Риски обработки клиентских данных могут оцениваться в контексте конкретного бизнес-кейса. С помощью методики оценки рисков возможно оперативно рассчитать вероятность повторной идентификации, и, при необходимости, дополнительно преобразовать данные для использования, обеспечивая при этом их конфиденциальность.
✅ Сейчас методика оценки рисков и доступные на рынке технологии маскировки / преобразования данных позволяют защищать данные, сохраняя полезность для бизнеса. Но при этом ни методики, ни такие технологии не урегулированы на законодательном уровне. Это затрудняет их использование в полную силу.
✅ Внедрение риск-модели в нормативное или нормативно-технологическое регулирование позволит с одной стороны усилить защиту данных, а с другой – все же дать инструменты бизнесу для развития дата-экономики.
Надеемся, что будут разработаны методологические и правовые основы регулирования обезличенных данных в России на основе риск-ориентированной модели. Например, будут введены:
✅ инструментарий определения категории данных, риск деобезличивания которых минимален, для ограниченного применения к ним 152-ФЗ и/или
✅ формирование механики установления исключений из общего правового режима персональных данных для иных обезличенных данных, в т.ч. с учетом контекста их использования.
А пока продолжаем надеяться и делимся с вами презентацией спикеров из АБД и HFLabs.
🙂
Наши друзья и партнёры, АБД и HFLabs, сегодня провели встречу, на которой обсудили релевантные методики и уже существующие технологические решения. Основные инсайты:
Надеемся, что будут разработаны методологические и правовые основы регулирования обезличенных данных в России на основе риск-ориентированной модели. Например, будут введены:
А пока продолжаем надеяться и делимся с вами презентацией спикеров из АБД и HFLabs.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👏6
Алоха, privacy-инженер! 👋
Пятничное — образовательный контент от наших друзей из RPPA.
Профессия privacy-инженера становится более востребованной, хотя ещё не до конца ясно, кто он больше: разработчик с legal бэкграундом или DPO с IT-компетенциями.
Пожалуй, он посредник между DPO и IT, объединяющий некоторые функции обоих и обладающий практическим пониманием IT-продуктов. Этот специалист отвечает на вопросы DPO «зачем?» и IT-специалистов «как?».
Вас уже ждут 60 минут подкаста с ценными инсайтами от практикующих privacy-инженеров👌
Честно сказать, мы и не представляем, как можно провести даже базовый privacy-аудит, не обладая этими компетенциями, не говоря уже про product-комлаенс. Так что слушаем!👇
Apple | Яндекс | Castbox
Пятничное — образовательный контент от наших друзей из RPPA.
Профессия privacy-инженера становится более востребованной, хотя ещё не до конца ясно, кто он больше: разработчик с legal бэкграундом или DPO с IT-компетенциями.
Пожалуй, он посредник между DPO и IT, объединяющий некоторые функции обоих и обладающий практическим пониманием IT-продуктов. Этот специалист отвечает на вопросы DPO «зачем?» и IT-специалистов «как?».
Вас уже ждут 60 минут подкаста с ценными инсайтами от практикующих privacy-инженеров
Честно сказать, мы и не представляем, как можно провести даже базовый privacy-аудит, не обладая этими компетенциями, не говоря уже про product-комлаенс. Так что слушаем!
Apple | Яндекс | Castbox
Please open Telegram to view this post
VIEW IN TELEGRAM
👌8👍5❤4
Privacy-мнение от Comply ⬇️
Нам бы win-win подход
С одной стороны, очевидный тренд интенсификации privacy-регулирования, а с другой – нисходящий тренд обеспечения интересов участников рынка. Разбираемся.
Появляется все больше инициатив в сфере данных:
🔵 Депутаты говорят об институте спецоператоров данных, которые будут обрабатывать данные недостаточно «privacy-взрослого» бизнеса.
🔵 Кажется, что вот-вот увидит свет инициатива по data-национализации с обязательной передачей бизнесом данных за свой счет в государственные озера.
🔵 Не умолкают разговоры и по поводу проекта закона об оборотных штрафах – со страхованием ответственности за утечки данных, видимо, пора смириться.
🔵 Кроме того, предлагаемые законопроектом меры смягчения ответственности – выплаты компенсаций пострадавшим субъектам и обязательные инвестиции в информационную безопасность – по сути, подразумевают еще больше нагрузки на бизнес.
Как видно, интенсивность privacy-регулирования продолжает расти.
Кому от этого хорошо?
1️⃣ Интересы бизнеса почти не учитываются – разве что кроме механизмов смягчения ответственности по оборотным штрафам при добровольной сертификации, но и тут без гарантий. Ни давно ожидаемых послаблений в части обезличивания данных, ни запущенных экспериментальных режимов по обмену данными через доверенного посредника, ни других так ожидаемых рынком разъяснений. Вот так и законный интерес, и opt-out согласия – есть, но нет.
2️⃣ Будет лукавством сказать, что интенсивности регулирования хоть как-то корреспондируют и «новые» гарантии субъектов. Например, биометрия и ЕБС всё больше проникает в повседневную жизнь, что далеко не всем по нраву. Культ согласий тоже не в пользу субъектов, очевидно. Новые правила о разъяснении рекомендательных технологий также вряд ли особо помогают пользователям понять масштаб обработки данных. Но государство все же активно декларирует заботу о людях – тут, например, и инициативы по компенсациям за утечки в онлайне.
3️⃣ А что интересы государства – такого же участника рынка? Хочется думать, что государству хорошо тогда, когда интересы и бизнеса, и пользователей сбалансированы. Но это не точно. Точно лишь то, что государству тоже очень нужны данные. Похоже, что data-национализация в том или ином объеме предопределена.
4️⃣ Пока регулирование явно неравномерно учитывает интересы бизнеса, государства и субъектов. Приоритет явно отдан этатическим интересам.
Значит ли это, что мы пошли китайским privacy-путем? Хм… Китай все же, несмотря на свой явный патернализм, предлагает серьезные возможности для data-экономики. Например, биржи данных и облегченные режимы работы с данными в специальных экономических зонах. Возможно, такой опыт следует перенять и нам.
➡️ Итого очевидно, что рост регуляторной нагрузки НЕ пропорционален усилению реальной защиты прав субъектов данных и интересов бизнеса.
#мнение
Нам бы win-win подход
С одной стороны, очевидный тренд интенсификации privacy-регулирования, а с другой – нисходящий тренд обеспечения интересов участников рынка. Разбираемся.
Появляется все больше инициатив в сфере данных:
Как видно, интенсивность privacy-регулирования продолжает расти.
Кому от этого хорошо?
Значит ли это, что мы пошли китайским privacy-путем? Хм… Китай все же, несмотря на свой явный патернализм, предлагает серьезные возможности для data-экономики. Например, биржи данных и облегченные режимы работы с данными в специальных экономических зонах. Возможно, такой опыт следует перенять и нам.
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🤨4👌2
Old fashion coгласия
Сегодня на ПМЮФ Милош Вагнер сделал несколько комментариев относительно будущего privacy-регулирования в РФ. Итак, по мнению замглавы РКН, согласия — устаревший инструмент, их слишком много, поэтому бизнесу надо запретить собирать их в ряде случаев, ограничив их заранее определенным перечнем. И можно было бы РКН поддержать — о развитии opt-out подхода и отказе от культа согласий мы говорим давно, как и индустрия, например, АБД. В то же время, за благими намерениями, как мы знаем, скрывается дорога в... Итак, несколько «НО».
❗️ НО раз. Хорошо было бы подумать об «усилении» прочих оснований обработки ПД — что есть кроме согласий, например, законный интерес. Как раз этот самый законный интерес и является основанием для последующей реализации субъектом ПД своего права на отказ (как это было устроено в ЕС директиве, являвшейся прообразом 152-ФЗ). Как раз бизнес и хотел бы его использовать, да нет понятных механизмов и рискованно без разъяснений РКН. Если работал бы законный интерес, то и не было бы нужды ограничивать бизнес в сборе согласий. Ведь именно жесткие позиции самого РКН и судов во многом и послужили причиной текущей девальвации согласий, которые собираются на всё и ни на что. Итак, было бы хорошо, но нам предлагают очередные ограничения — списки use-кейсов и перечни исключений, когда (не)можно собирать согласия.
❗️ НО два. РКН также вновь подтвердил свою приверженность принципу минимизации данных. Прекрасно! Но и здесь вместо того, чтобы пойти по пути разъяснительной работы, выпуская рекомендации или белые книги по работе с данными в разных секторах и контекстах обработки (как, например, это делает французский CNIL или белорусский Центр защиты данных) надзорный орган предлагает законодательно закреплять минимально необходимые списки данных, допустимые к обработке. Кажется, что этот подход вновь приведет только к дальнейшему перекосу регулирования, при том, что не принесет субъектам существенных гарантий защиты их интересов. О чем мы и говорили в предыдущем посте про win-win подход в регулировании.
Итого, если собираетесь «подсушить» согласия, пожалуйста, расскажите сперва хотя бы когда и как гарантированно можно использовать законный интерес или opt-out согласия. И согласия все же точно НЕ устаревший инструмент, а вот их понимание в правоприменительной практике устарело безвозвратно — факт🙂
Сегодня на ПМЮФ Милош Вагнер сделал несколько комментариев относительно будущего privacy-регулирования в РФ. Итак, по мнению замглавы РКН, согласия — устаревший инструмент, их слишком много, поэтому бизнесу надо запретить собирать их в ряде случаев, ограничив их заранее определенным перечнем. И можно было бы РКН поддержать — о развитии opt-out подхода и отказе от культа согласий мы говорим давно, как и индустрия, например, АБД. В то же время, за благими намерениями, как мы знаем, скрывается дорога в... Итак, несколько «НО».
Итого, если собираетесь «подсушить» согласия, пожалуйста, расскажите сперва хотя бы когда и как гарантированно можно использовать законный интерес или opt-out согласия. И согласия все же точно НЕ устаревший инструмент, а вот их понимание в правоприменительной практике устарело безвозвратно — факт
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍6
«Мягкое право» для персданных
Помогут ли механизмы самоконтроля операторов в защите личной информации граждан.
Для защиты субъектов персональных данных необходимо ввести элемент «мягкого права», поскольку, в дополнение к государственному, необходим самоконтроль операторов персданных, полагают в Роскомнадзоре. Эксперты одобряют эту инициативу и считают своевременной, ведь механизмы добровольной компенсации помогут смягчить для граждан ущерб от утечек информации.
Артем Дмитриев, управляющий партнер Comply:
Подробнее читайте на сайте RSpectr.
Помогут ли механизмы самоконтроля операторов в защите личной информации граждан.
Для защиты субъектов персональных данных необходимо ввести элемент «мягкого права», поскольку, в дополнение к государственному, необходим самоконтроль операторов персданных, полагают в Роскомнадзоре. Эксперты одобряют эту инициативу и считают своевременной, ведь механизмы добровольной компенсации помогут смягчить для граждан ущерб от утечек информации.
Артем Дмитриев, управляющий партнер Comply:
«Мягкое право» – это хорошие практики, «белые книги», разъяснения контекста и правил работы с данными, которые имеют лишь рекомендательный характер, но не санкционированы властью в форме закона. Такие или похожие инструменты уже есть, например, «белая книга» Ассоциации больших данных (АБД).
Здорово, что эта тема была акцентирована в выступлении Милоша Вагнера. Ведь важно понимать, что без прямого участия контролирующих органов в работе над нормами такого права вряд ли получится сделать его безопасным и комфортным для применения всеми участниками рынка, в том числе субъектами персданных.
Для того чтобы «мягкое право» начало работать, необходима платформа для эффективного взаимодействия бизнеса и государства в форме, например, совета с участием Минцифры и Роскомнадзора. А также экспертного и бизнес-сообществ. Это позволит обеспечить реальное и оперативное воздействие принимаемых на платформе решений на рынок, в том числе на правоприменительную практику и создание того самого «мягкого права».
К наиболее приоритетным и очевидным направлениям «мягкого права» относятся проработка и согласование с контролирующими органами концепций opt-out (конклюдентных) согласий и законного интереса. При проработке этих концепций как раз могут быть учтены и рекомендованы дополнительные гарантии защиты прав субъектов ПД, например, эффективная механика отзыва субъектами таких согласий и возражения против обработки через формы отписок и стоп-листы, понятность субъектам условий такой обработки персданных (рекомендации к уведомлениям, стандартизированные иконки в приложениях и на сайтах).
Кроме совершенствования согласий, другими перспективными направлениями для обсуждения и проработки мягкого права должны быть вопросы обезличивания данных, понятные и прозрачные критерии для добровольной оценки соответствия операторов ПД.
По этим направлениям при совместной работе государственных органов, экспертного и бизнес-сообществ должны разрабатываться методические рекомендации и отраслевые стандарты.
Подробнее читайте на сайте RSpectr.
👏11👍6🙏4
Privacy-мнение от Comply
Стоит ли включаться в реестр операторов РКН?
Пожалуй, это один из наиболее вечных вопросов. Что любопытно, даже ужесточение формулировок 152-ФЗ в 2022 году не склонило полностью рынок на сторону адептов включения в Реестр. Почему же нет, когда, казалось бы, да? Разбираемся.
Сперва, почему «да»
🔵 Из очевидного – включившись в Реестр, нет рисков из невключения в него. Да-да, такие риски есть, и не только риск предписания. В целом невключение в Реестр – ст. 13.11 ч. 1 и ст. 19.7 КоАП. Хотя эти риски НЕ существенные и, судя по практике, вероятность их наступления стремится к нулю.
🔵 А если в компании утечка, то без записи в реестре оперативно НЕ уведомить РКН. И вот тогда последствия могут быть более осязаемыми, например, внеплановая проверка РКН.
🔵 Благонадежность в глазах партнеров и клиентов. Не раз были случаи, когда банки или другие игроки не контрактуются с контрагентом, у которого в ходе vendor-check’а не находится записи в реестре РКН. Что уж там, сами рекомендуем проверять партнеров, что особенно актуально в свете грядущих оборотных штрафов.
🔵 Законопроект предусматривает штрафы до 300 тысяч рублей за неуведомление о начале обработки ПД, что добавляет еще один возможный аргумент в копилку «сторонников» включения в Реестр.
🔵 Если передаете ПД в иные страны, то не сможете уведомить РКН о трансграничной передаче. Если, конечно же, вообще планировали уведомить. Но надо понимать, что без такого уведомления передача в неадекватные страны может быть нарушением 13.11 ч. 1, хотя практики такой и нет…пока.
🔵 Новое веяние, хотя и не проверенное на практике РКН – НЕ включать в Политику на сайте громоздкие таблицы с указанием целей и категорий обрабатываемых ПД, а сделать ссылку на запись в Реестре, где и будет содержаться необходимая информация по процессам обработки ПД. Ловко!
Почему же «нет»?
🔵 Включение в Реестр теоретически повышает риск внимания РКН к компании, например, включение в план по дистанционному мониторингу сайтов. Скорее всего нет, но никто не доказал обратное =))
🔵 Теперь РКН проверяет более тщательно информацию на сайте компании vs данные в Реестре. Если РКН обнаружит хотя бы три несоответствия, вместо десяти, как это было ранее, компания действительно будет больше интересовать РКН. А отсутствие записи в Реестре, вероятно, делает невозможным применение этих индикаторов риска.
🔵 Однажды включившись, обновляться потребуется регулярно – до 15 числа месяца, следующего за месяцем, в котором произошли эти изменения.
🔵 Даже если получим запрос или предписание РКН на включение в Реестр, то сможем это сделать в течение 10 рабочих дней. Если, конечно, у вас есть актуальная RoPA.
🔵 И вообще, какие риски, если срок давности привлечения к административной ответственности за непредоставление информации РКН на практике составляет всего 3 месяца, да и еще с момента нарушения, а не с момента выявления! Поэтому вроде и нарушение есть, а ответственность за него – не особо.
❗️ Мы умышленно не приводим контраргументы, которые есть для каждого тезиса выше «за» или «против». Ведь включение в реестр операторов РКН – весьма индивидуальный вопрос, учитывающий оценку бизнес-рисков и особенности вашего бизнеса. Но очевидно, что, даже если вы не включаетесь в Реестр прямо сейчас, следует подготовить проект уведомления РКН, который в случае запроса вы сможете оперативно направить.
В следующий раз обсудим (не)уведомление РКН о трансграничной передаче ПД и после выпустим наш Comply.Pulse по этим уведомлениям РКН.
➡️ Важно – если у вас были от РКН запреты / ограничения на трансграничную передачу, то пишите в комментариях или info@comply.ru (анонимность гарантирована) – учтем в анализе вместе с нашими инсайдами 🙂
#мнение
Стоит ли включаться в реестр операторов РКН?
Пожалуй, это один из наиболее вечных вопросов. Что любопытно, даже ужесточение формулировок 152-ФЗ в 2022 году не склонило полностью рынок на сторону адептов включения в Реестр. Почему же нет, когда, казалось бы, да? Разбираемся.
Сперва, почему «да»
Почему же «нет»?
В следующий раз обсудим (не)уведомление РКН о трансграничной передаче ПД и после выпустим наш Comply.Pulse по этим уведомлениям РКН.
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14👌4👀3
Ladoga подает знаки
Производитель и импортер алкогольной продукции Ladoga подал иск к испанской Envasados Eva в суд по интеллектуальным правам. Ему не удалось зарегистрировать товарный знак Emerald из-за того, что права на него принадлежат иностранной компании. Правовая охрана с бренда будет снята, если он не использовался на российском рынке в течение трех лет. Однако разбирательство может затянуться из-за длительной процедуры извещения зарубежных правообладателей.
Ситуацию комментирует Максим Али, партнер, руководитель практики интеллектуальной собственности Comply:
Подробнее читайте на сайте газеты Коммерсантъ.
Производитель и импортер алкогольной продукции Ladoga подал иск к испанской Envasados Eva в суд по интеллектуальным правам. Ему не удалось зарегистрировать товарный знак Emerald из-за того, что права на него принадлежат иностранной компании. Правовая охрана с бренда будет снята, если он не использовался на российском рынке в течение трех лет. Однако разбирательство может затянуться из-за длительной процедуры извещения зарубежных правообладателей.
Ситуацию комментирует Максим Али, партнер, руководитель практики интеллектуальной собственности Comply:
Даже если товарный знак не используется, то его все равно сначала нужно исключить из реестра Роспатента. Процедура извещения иностранного правообладателя может занимать полгода, поэтому разбирательство может затянуться. Испанской компании необходимо будет доказать в суде фактическое использование бренда для винной продукции в течение трех лет.
Количество иностранных компаний, которые могут и хотят подтвердить присутствие на российском рынке, сокращается. К тому же некоторые из них заняли пассивную позицию: им проще числиться ответчиком в споре, чем продавать свой товарный знак или совершать какие-то другие действия. К 2025 году ожидается экспоненциальный рост подобных разбирательств, поскольку для брендов, которые ушли из России в марте 2022 года, пройдет трехлетний срок.
Подробнее читайте на сайте газеты Коммерсантъ.
👍10👌2🙈1
Comply на конференции Legal for Tech
26 июля в Санкт-Петербурге ИТМО и RPPA проведут конференцию, посвященную Legal for Tech. Эксперты обсудят юридические вызовы при работе с технологиями и обработке данных на понятном языке и с реальными примерами.
Артем Дмитриев, управляющий партнер Comply, выступит с темой «Front-end комплаенс: устранение критичных рисков».
Встречаемся в городе на Неве!
📅 Дата: 26 июля
🕒 Время: с 15:00 до 19:00
Подробная программа и регистрация по ссылке.
26 июля в Санкт-Петербурге ИТМО и RPPA проведут конференцию, посвященную Legal for Tech. Эксперты обсудят юридические вызовы при работе с технологиями и обработке данных на понятном языке и с реальными примерами.
Артем Дмитриев, управляющий партнер Comply, выступит с темой «Front-end комплаенс: устранение критичных рисков».
Встречаемся в городе на Неве!
📅 Дата: 26 июля
🕒 Время: с 15:00 до 19:00
Подробная программа и регистрация по ссылке.
🔥11👍5
IP-мнение от Comply
Новые запреты в рекламе
В июне в Государственную Думу был внесен законопроект, который запрещает распространение рекламы с использованием сайтов и платформ:
🔵 «нежелательных» организаций;
🔵 организаций, чья деятельность признана судом экстремистской;
🔵 доступ к которым заблокирован Роскомнадзором.
Риски
Если законопроект будет принят в текущем виде, участники рынка не смогут размещать свою рекламу на Facebook*, Instagram* и многих других платформах и сайтах. Напомним, что только за 2023 год в России заблокировано порядка 670 тысяч интернет-ресурсов.
За нарушение закона рекламодатель и рекламораспространитель будут нести ответственность по части 1 статьи 14.3 КоАП РФ: штраф от 100 до 500 тыс. руб. для юридических лиц.
Что нужно сделать?
🔵 провести аудит долгосрочных договоров на размещение рекламы и заранее начать переговоры с контрагентами по изменению условий отношений с ними;
🔵 оценить риски признания старых публикаций на запрещенных ресурсах рекламой;
🔵 скорректировать коммуникационную стратегию бизнеса, с учетом новых запретов.
В законопроект еще могут быть внесены поправки, его рассмотрение запланировано на июль. То есть, уже осенью могут начать действовать новые правила в сфере рекламы.
❗️ Вывод
Законопроект неизбежно затронет весь российский рынок интернет-рекламы, повлияет на ее заказчиков, рекламные агентства, блогеров и других участников. В целом, он находится в русле недавно принятого закона о запрете рекламы на ресурсах иностранных агентов. Представителям бизнеса следует заранее подготовиться к быстрой смене порядка работы и «держать руку на пульсе».
*Деятельность Meta Platforms Inc. по реализации продуктов Facebook и Instagram запрещена в РФ по основаниям осуществления экстремистской деятельности.
#мнение
Новые запреты в рекламе
В июне в Государственную Думу был внесен законопроект, который запрещает распространение рекламы с использованием сайтов и платформ:
Риски
Если законопроект будет принят в текущем виде, участники рынка не смогут размещать свою рекламу на Facebook*, Instagram* и многих других платформах и сайтах. Напомним, что только за 2023 год в России заблокировано порядка 670 тысяч интернет-ресурсов.
За нарушение закона рекламодатель и рекламораспространитель будут нести ответственность по части 1 статьи 14.3 КоАП РФ: штраф от 100 до 500 тыс. руб. для юридических лиц.
Что нужно сделать?
В законопроект еще могут быть внесены поправки, его рассмотрение запланировано на июль. То есть, уже осенью могут начать действовать новые правила в сфере рекламы.
Законопроект неизбежно затронет весь российский рынок интернет-рекламы, повлияет на ее заказчиков, рекламные агентства, блогеров и других участников. В целом, он находится в русле недавно принятого закона о запрете рекламы на ресурсах иностранных агентов. Представителям бизнеса следует заранее подготовиться к быстрой смене порядка работы и «держать руку на пульсе».
*Деятельность Meta Platforms Inc. по реализации продуктов Facebook и Instagram запрещена в РФ по основаниям осуществления экстремистской деятельности.
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥5😢2❤1
Comply на карте LegalTech
Comply вошел в группу «Комплаенс / Управление рисками» на карте российского LegalTech с нашим цифровым решением — системой кадрового электронного документооборота Comply.Consent 😎
Comply.Consent, помимо кадровых процессов, позволяет также автоматизировать большую часть юридических процедур. В системе предусмотрены модули:
🔵 автоматизации декларирования и расследования конфликта интересов
🔵 сбора согласий на обработку данных сотрудников и третьих лиц
🔵 маршрутизации различных служебных записок и ознакомления сотрудников с локальными актами.
Весь документооборот происходит в единой системе, что упрощает работу юристам и самим сотрудникам. К тому же система доступна как офисным работникам, так и «синим воротничкам» на производстве.
Карта российского LegalTech — удобный инструмент для навигации в пространстве отечественных решений по автоматизации работы юристов. Проект предоставляет доступ к актуальному списку консультантов по направлению LegalTech и регулярно обновляется.
Подробнее о проекте можно почитать здесь.
Comply вошел в группу «Комплаенс / Управление рисками» на карте российского LegalTech с нашим цифровым решением — системой кадрового электронного документооборота Comply.Consent 😎
Comply.Consent, помимо кадровых процессов, позволяет также автоматизировать большую часть юридических процедур. В системе предусмотрены модули:
Весь документооборот происходит в единой системе, что упрощает работу юристам и самим сотрудникам. К тому же система доступна как офисным работникам, так и «синим воротничкам» на производстве.
Карта российского LegalTech — удобный инструмент для навигации в пространстве отечественных решений по автоматизации работы юристов. Проект предоставляет доступ к актуальному списку консультантов по направлению LegalTech и регулярно обновляется.
Подробнее о проекте можно почитать здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍2
Новый законопроект Хинштейна — что опять не так?
Вчера на рассмотрение Госдумы был внесен законопроект, призванный урегулировать сбор ПД.
Как эксперты Comply оценивают инициативу?
Управляющий партнер Артем Дмитриев:
Инициатива направлена на борьбу с практикой, которая и без того сегодня не соответствует требованиям закона. Казалось бы, многим известно, что согласие на обработку ПД нельзя «вшивать» в текст договора. Это подкрепляется и практикой РКН / ФАС. То есть если бизнес обрабатывает ПД для каких-либо целей, не связанных с договором, то надо обеспечить для такой обработки отдельное основание, которым чаще всего и будет согласие.
Конечно, важно убедиться, что при сборе таких согласий обеспечивается информированность, сознательность и вот это вот все. То есть включение текста согласия в текст договора не должно никого смущать и не очень понятно, зачем это запрещать, если в разделе подписей предусмотрен именно отдельный чек-бокс или подпись для подтверждения клиентом своего согласия.
А для бизнеса реализация инициативы приведет к потере конверсии и лояльности клиентов. Необходимость изучения дополнительных документов вместо двух галочек / подписей на одном усложнит и без того зачастую сложный клиентский путь, ухудшит опыт взаимодействия клиента с бизнесом, негативно скажется на качестве сервиса.
Наконец, бизнес понесет издержки из-за необходимости менять работу сайтов и печатные формы клиентских документов. На кого лягут эти расходы? Да, на нас с вами. Поэтому пока совсем не очевидна полезность такой инициативы даже для рядовых субъектов ПД. Ведь лучше их права защищаться, увы, не будут.
Но это не значит, что проблемы с согласиями на рынке нет. Проблема есть. Кажется очевидным, что решение проблемы недобросовестных практик не в переписывании закона, а в изменении правоприменительной практики, проведении более тщательной разъяснительной работы, формировании стандартов и белых книг. До сих пор регулятор не сформулировал стандарты информированности согласия, не ввел понятные для бизнеса правила применения законного интереса для отдельных случаев и opt-out согласий. Именно эти меры способны решить проблему с количеством и понятностью согласий.
А вот на что обращает внимание руководитель IP практики Comply Максим Али:
У продавца есть общая обязанность дать информацию о товаре для возможности выбора. Поэтому отказ в предоставлении такой информации в большинстве случаев будет нарушением, даже если потребитель не предоставил ПД. Зачастую данные потребителя не нужны продавцу, чтобы информировать о товаре.
Рыночные практики отличаются, не все игроки строго следуют консервативному восприятию закона. Частый сценарий – когда дать ПД нужно для расчета стоимости страховых или финансовых продуктов. Нередко информационный ресурс устроен таким образом, что после нескольких шагов калькулятора страховки или кредита нужно ввести контакты для доступа к результату расчета. В итоге данные потребителя оказываются у финансовой организации, которая часто пользуется ими для продвижения продуктов.
Поэтому в закон и предлагается внести общий запрет на принудительное предоставление данных. Аналогичный запрет был введен в 2022 году – п. 4 ст. 16 Закона о защите прав потребителей запрещает отказывать в заключении договоров из-за непредоставления ПД. За соблюдением этого правила следит Роспотребнадзор.
И новая инициатива, и поправки 2022 года во многом выглядят избыточными. И раньше компании не вправе были отказывать в заключении потребительских договоров из-за непредоставления персональных данных. Однако это следовало скорее из 152-ФЗ, сейчас мы видим «миграцию» этих правил в потребительское законодательство. Возможно, в более очевидном для Роспотребнадзора и судов виде.
Также читайте комментарии Comply в Коммерсанте и Ведомостях.
Вчера на рассмотрение Госдумы был внесен законопроект, призванный урегулировать сбор ПД.
Как эксперты Comply оценивают инициативу?
Управляющий партнер Артем Дмитриев:
Инициатива направлена на борьбу с практикой, которая и без того сегодня не соответствует требованиям закона. Казалось бы, многим известно, что согласие на обработку ПД нельзя «вшивать» в текст договора. Это подкрепляется и практикой РКН / ФАС. То есть если бизнес обрабатывает ПД для каких-либо целей, не связанных с договором, то надо обеспечить для такой обработки отдельное основание, которым чаще всего и будет согласие.
Конечно, важно убедиться, что при сборе таких согласий обеспечивается информированность, сознательность и вот это вот все. То есть включение текста согласия в текст договора не должно никого смущать и не очень понятно, зачем это запрещать, если в разделе подписей предусмотрен именно отдельный чек-бокс или подпись для подтверждения клиентом своего согласия.
А для бизнеса реализация инициативы приведет к потере конверсии и лояльности клиентов. Необходимость изучения дополнительных документов вместо двух галочек / подписей на одном усложнит и без того зачастую сложный клиентский путь, ухудшит опыт взаимодействия клиента с бизнесом, негативно скажется на качестве сервиса.
Наконец, бизнес понесет издержки из-за необходимости менять работу сайтов и печатные формы клиентских документов. На кого лягут эти расходы? Да, на нас с вами. Поэтому пока совсем не очевидна полезность такой инициативы даже для рядовых субъектов ПД. Ведь лучше их права защищаться, увы, не будут.
Но это не значит, что проблемы с согласиями на рынке нет. Проблема есть. Кажется очевидным, что решение проблемы недобросовестных практик не в переписывании закона, а в изменении правоприменительной практики, проведении более тщательной разъяснительной работы, формировании стандартов и белых книг. До сих пор регулятор не сформулировал стандарты информированности согласия, не ввел понятные для бизнеса правила применения законного интереса для отдельных случаев и opt-out согласий. Именно эти меры способны решить проблему с количеством и понятностью согласий.
А вот на что обращает внимание руководитель IP практики Comply Максим Али:
У продавца есть общая обязанность дать информацию о товаре для возможности выбора. Поэтому отказ в предоставлении такой информации в большинстве случаев будет нарушением, даже если потребитель не предоставил ПД. Зачастую данные потребителя не нужны продавцу, чтобы информировать о товаре.
Рыночные практики отличаются, не все игроки строго следуют консервативному восприятию закона. Частый сценарий – когда дать ПД нужно для расчета стоимости страховых или финансовых продуктов. Нередко информационный ресурс устроен таким образом, что после нескольких шагов калькулятора страховки или кредита нужно ввести контакты для доступа к результату расчета. В итоге данные потребителя оказываются у финансовой организации, которая часто пользуется ими для продвижения продуктов.
Поэтому в закон и предлагается внести общий запрет на принудительное предоставление данных. Аналогичный запрет был введен в 2022 году – п. 4 ст. 16 Закона о защите прав потребителей запрещает отказывать в заключении договоров из-за непредоставления ПД. За соблюдением этого правила следит Роспотребнадзор.
И новая инициатива, и поправки 2022 года во многом выглядят избыточными. И раньше компании не вправе были отказывать в заключении потребительских договоров из-за непредоставления персональных данных. Однако это следовало скорее из 152-ФЗ, сейчас мы видим «миграцию» этих правил в потребительское законодательство. Возможно, в более очевидном для Роспотребнадзора и судов виде.
Также читайте комментарии Comply в Коммерсанте и Ведомостях.
🔥8👍2
Защищен ли ваш сайт от проверок и претензий? Чек-лист по Front-End комплаенсу от Comply
В ближайший час мы выступим на конференции ИТМО и RPPA по юридическим вызовам в технологических продуктах. Смотреть трансляцию можно здесь.
Рассказывать будем про Front-End – как юридически обезопасить сайт или приложение. Нюансов здесь много: персональные данные, реклама, защита прав потребителей и многое другое.
Мы сформулировали чек-лист с базовыми требованиями – их оказалось больше 60. Он будет доступен участникам конференции, но наши подписчики увидят чек-лист первыми 😉
Скачивайте, пользуйтесь, делитесь с коллегами и будьте готовы к любым проверкам.
В ближайший час мы выступим на конференции ИТМО и RPPA по юридическим вызовам в технологических продуктах. Смотреть трансляцию можно здесь.
Рассказывать будем про Front-End – как юридически обезопасить сайт или приложение. Нюансов здесь много: персональные данные, реклама, защита прав потребителей и многое другое.
Мы сформулировали чек-лист с базовыми требованиями – их оказалось больше 60. Он будет доступен участникам конференции, но наши подписчики увидят чек-лист первыми 😉
Скачивайте, пользуйтесь, делитесь с коллегами и будьте готовы к любым проверкам.
🔥25🤝5
Сегодня Госдума «обрадовала» нас двумя будущими законами. И ведь умеют так быстро и без споров принимать сразу в двух чтениях! 🔽
1️⃣ Первый касается обезличивания и находился на рассмотрении нижней палаты уже 3 года. Скоропостижно принятый текст, очевидно, не в полной мере учел баланс интересов бизнеса и государства. Да, дата-национализации быть!
Бизнес давно просил о либерализации подхода к обезличиванию, но получил право обезличивать лишь с целью передачи таких данных государству на безвозмездной основе. Таков «налог». Отложенный же до настоящих пор вопрос с актуализацией методов обезличивания пока остается не решенным – методы должны будут определить Правительство с ФСБ и РКН. А ведь именно отсутствие таких методов сегодня выступает препятствием к развитию ЭПР в сфере данных. Этому прекрасный пример инициатива АБД, связанная с апробацией риск-ориентированного подхода к обезличиванию.
Так и осталась в наших фантазиях тарификация «выкупа» данных у бизнеса, которая бы стимулировала его обезличивать и делиться данными с государством. Безвозмездно получать данные логично было бы только в исключительных случаях, не связанных с формированием дата-сетов для обучения ИИ-моделей, например, в случае эпидемии. Это предусматривает, например, Data Act в ЕС.
Кроме того, государство само обладает огромными массивами данных в «колодцах», которыми бы оно могло при желании (или должно?) также делиться с бизнесом. Однако пока мы видим в законопроекте лишь одностороннюю передачу.
2️⃣ Второй закон, помимо прочего, касается обязательной регистрации владельцев каналов и страниц в соцсетях с 10,000+ подписчиков. Теперь такие лица обязаны регистрироваться в РКН под угрозой запрета рекламы и блокировки.
Кроме того, закон запрещает репостить информацию с каналов и страниц, не включенных в реестр РКН. Как это будет работать на практике – пока не ясно, но, вероятно, скоро окажутся под формальным запретом 99% всех репостов, совершаемых в социальных сетях.
Ох, уверены, дальше – больше и интереснее. Ведь, чтобы все эти нормативные «сладости» заработали, нужны подзаконные акты, много актов без которых пока сложно осознать масштабы случившегося.
Stay tuned!🙂
Бизнес давно просил о либерализации подхода к обезличиванию, но получил право обезличивать лишь с целью передачи таких данных государству на безвозмездной основе. Таков «налог». Отложенный же до настоящих пор вопрос с актуализацией методов обезличивания пока остается не решенным – методы должны будут определить Правительство с ФСБ и РКН. А ведь именно отсутствие таких методов сегодня выступает препятствием к развитию ЭПР в сфере данных. Этому прекрасный пример инициатива АБД, связанная с апробацией риск-ориентированного подхода к обезличиванию.
Так и осталась в наших фантазиях тарификация «выкупа» данных у бизнеса, которая бы стимулировала его обезличивать и делиться данными с государством. Безвозмездно получать данные логично было бы только в исключительных случаях, не связанных с формированием дата-сетов для обучения ИИ-моделей, например, в случае эпидемии. Это предусматривает, например, Data Act в ЕС.
Кроме того, государство само обладает огромными массивами данных в «колодцах», которыми бы оно могло при желании (или должно?) также делиться с бизнесом. Однако пока мы видим в законопроекте лишь одностороннюю передачу.
Кроме того, закон запрещает репостить информацию с каналов и страниц, не включенных в реестр РКН. Как это будет работать на практике – пока не ясно, но, вероятно, скоро окажутся под формальным запретом 99% всех репостов, совершаемых в социальных сетях.
Ох, уверены, дальше – больше и интереснее. Ведь, чтобы все эти нормативные «сладости» заработали, нужны подзаконные акты, много актов без которых пока сложно осознать масштабы случившегося.
Stay tuned!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👌6❤4👍2💔2
Делимся материалами LegalTech конференции 💠
▶️ запись мероприятия с таймкодами для удобного поиска выступлений СМОТРЕТЬ
💠 А самое, на наш взгляд, интересное выступление смотрите на 51:28 - Артем Дмитриев и Максим Али о front-end комплаенсе - устранение критичных рисков
▶️ презентации спикеров с полезными ссылками и чек-листами СКАЧАТЬ
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥8🙏2
Privacy-мнение от Comply
Как обещали в прошлом мнении, обсуждаем, а надо ли подавать уведомление о трансграничной передаче персональных данных (ТГП)?
Аргументы «за» очевидны. Чтобы исключить риски (1) штрафа за неуведомление и, что может быть более существенно для бизнеса, (2) запрета на осуществление ТГП. Склонить в сторону подачи уведомления также могут два вспомогательных аргумента. Контрагент может (3) требовать продемонстрировать ему такое уведомление, например, если сам он подавать его не намерен или просто privacy-тревожен и требователен к подрядчикам. Наконец, (4) получение запрета на осуществление ТГП от РКН – невероятная редкость. По информации РКН только один запрет на каждые 250 уведомлений об осуществлении ТГП. Мы с такими запретами не сталкивались, хотя регулярно уведомляем о ТГП в совсем уж непатриотичные юрисдикции.
Но все мы знаем как надо, но не всегда так как надо – правильно. Оттого интересно разобраться с аргументами «против» уведомления РКН о ТГП:
1️⃣ Скромность штрафа за неуведомление о ТГП – 5 тысяч руб. (ст. 19.7 КоАП). Да, конечно, в случае обнаружения нарушения РКН подать уведомление таки придется. Еще скромнее вероятность выявления нарушения и применение штрафа, если ТГП в ваших бизнес-процессах неочевидна, например, нет зарубежных ИТ-сервисов, нет зарубежных HQ.
2️⃣ Сомнительна пока возможность назначения штрафа 100 тысяч руб. (ч. 1 ст. 13.11 КоАП). Для передачи в «адекватные» страны такое кажется уж совсем фантастическим, а вот для «неадекватных» стран теоретическая возможность имеется, хотя практики и нет. Пока нет.
3️⃣ Чтобы подать уведомление придется еще провести оценку соблюдения конфиденциальности получателем ПД. Обычно это не особо трудозатратно, НО не всегда возможно из РФ с учетом понятных обстоятельств.
4️⃣ Если компания давно и непрерывно передает ПД за границу, то при подаче уведомления о ТГП компания не только расписывается в нарушении законодательства. Ведь остановить бизнес- процесс и передачу ПД зарубежным коллегам вряд ли получится на те 10 дней, пока РКН раздумывает о возможности такой ТГП.
5️⃣ Непрогнозируемость решений о запрете ТГП. По сути РКН в любой момент может запретить ТГП в адрес любой страны, любого контрагента или для любой цели. При этом, если вы признались, что осуществляете ТГП (подав уведомление), то проигнорировать подобный запрет будет сложнее, если бы вы молча «трансграничили».
6️⃣ И, конечно же, понятные переживания, что подача уведомления в РКН повлечет его нежелательное внимание к компании. Такой страх живет, ведь обратное так и не доказано.
❗️ Решение, как всегда, следует принимать исходя из специфики конкретного кейса. Даже если вы решите не уведомлять о ТГП, полезно будет подготовить уведомление и провести оценку конфиденциальности по ч. 5 ст. 12. Если же вы приняли решение уведомить РКН, то при формировании уведомления полезно будет обобщать информацию о потоках ПД, смягчать формулировки, избегать очевидной токсичности и избыточности для РКН, а также обеспечить консистентность такого уведомления с уже содержащейся в реестре операторов информацией.
И отдельных рассуждений заслуживает, а о каких именно передачах за рубеж надо уведомлять РКН? А если передает обработчик по поручению сам своему суб-обработчику, а если ваш работник сам заказывает билеты и гостиницу в ОАЭ, а вы только компенсируете расходы, а если это однократная передача ПД?
Но это обсудим в другой раз🙂
#мнение
Как обещали в прошлом мнении, обсуждаем, а надо ли подавать уведомление о трансграничной передаче персональных данных (ТГП)?
Аргументы «за» очевидны. Чтобы исключить риски (1) штрафа за неуведомление и, что может быть более существенно для бизнеса, (2) запрета на осуществление ТГП. Склонить в сторону подачи уведомления также могут два вспомогательных аргумента. Контрагент может (3) требовать продемонстрировать ему такое уведомление, например, если сам он подавать его не намерен или просто privacy-тревожен и требователен к подрядчикам. Наконец, (4) получение запрета на осуществление ТГП от РКН – невероятная редкость. По информации РКН только один запрет на каждые 250 уведомлений об осуществлении ТГП. Мы с такими запретами не сталкивались, хотя регулярно уведомляем о ТГП в совсем уж непатриотичные юрисдикции.
Но все мы знаем как надо, но не всегда так как надо – правильно. Оттого интересно разобраться с аргументами «против» уведомления РКН о ТГП:
И отдельных рассуждений заслуживает, а о каких именно передачах за рубеж надо уведомлять РКН? А если передает обработчик по поручению сам своему суб-обработчику, а если ваш работник сам заказывает билеты и гостиницу в ОАЭ, а вы только компенсируете расходы, а если это однократная передача ПД?
Но это обсудим в другой раз
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥2❤1🤨1
Как институт уполномоченных операторов ПД (не)поможет бизнесу
Глава ИТ-комитета Госдумы Александр Хинштейн предложил создать такой институт для того, чтобы снизить нагрузку на средний и малый бизнес в вопросах кибербезопасности. Однако инициатива требует тщательной проработки, чтобы, наоборот, не привести к лишь только одним дополнительным издержкам и обременениям.
Комментарии от управляющего партнера Comply Артема Дмитриева:
🔵 Эффективность будет во многом зависеть от того, как инициатива будет реализована, а пока деталей совсем нет. Например, если передача ПД не будет добровольной, то это больше будет походить на очередную меру по дата-национализации. Принуждение бизнеса, и без того способного обеспечить адекватную защиту ПД, приведет только к дополнительным издержкам, а уровень защиты ПД не факт что повысится. Увы.
🔵 И наоборот, если передача ПД будет добровольной, то и инициатива возможно окажется полезной для рынка. Так, например, бизнес, который не планирует инвестировать в ИБ, не планирует монополизировать данные, сможет передать данные «уполномоченному» оператору с тем, чтобы сократить риски из утечек ПД именно из своей инфраструктуры.
🔵 Судя по всему, ПД в любом случае будут первоначально оседать на стороне «неуполномоченного» оператора, а только потом передаваться «уполномоченному». А далее осуществить передачу всех имеющихся у бизнеса ПД – нелегкая задача. Бизнесу необходимо будет «инвентаризировать» имеющиеся ПД, систематизировать их, доработать алгоритмы работы с ПД и научиться работать с «внешними» источниками по запросу. Еще сложнее это делать в real-time. Это все временные и денежные затраты.
🔵 Неясен механизм передачи ПД от «неуполномоченных» операторов «уполномоченным»: насколько он будет безопасен, бюрократичен, быстр, как и чем будет регулироваться, как распределяются риски в момент передачи, как и кто доказывает источник утечки ПД и другие вопросы. Пока что вопросов больше, чем ответов. А как показывает практика, когда так происходит, то «в конце дня» это вряд ли приносит рынку пользу.
🔵 Да, передача хранения ПД в руки уполномоченных операторов могла бы снять с бизнеса ответственность за защиту ПД и тем самым снизить риски. А могла бы и ограничить абсолютное большинство компаний в имеющихся у них сейчас правах без явной пользы кому-либо. Но все будет зависеть от названных выше нюансов этой регуляторной инновации.
Подробнее о том, как нововведение отразится на компаниях, читайте в материале RSpectr.
Глава ИТ-комитета Госдумы Александр Хинштейн предложил создать такой институт для того, чтобы снизить нагрузку на средний и малый бизнес в вопросах кибербезопасности. Однако инициатива требует тщательной проработки, чтобы, наоборот, не привести к лишь только одним дополнительным издержкам и обременениям.
Комментарии от управляющего партнера Comply Артема Дмитриева:
Подробнее о том, как нововведение отразится на компаниях, читайте в материале RSpectr.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7✍6🔥3