Партнеры Comply в команде преподавателей летней академии Global CIO

3️⃣ 🩵🩵🩵🩵 стартует Летняя академия от профессионального сообщества Global CIO — программа для ИТ-руководителей, направленная на развитие навыков управления цифровой трансформацией.

Среди топовых преподавателей поделятся опытом и наши партнеры — Артем Дмитриев и Максим Али!

📍Ключевые моменты программы:

🔵Обучение с 3 июня по 12 августа.
🔵2-4 часа в неделю, без домашних заданий.
🔵Дистанционный формат с двумя очными встречами.
🔵Удостоверение о повышении квалификации по окончанию курса.

Еще больше подробностей и регистрация на сайте ➡️ Global CIO.

В прошлый раз мы напомнили, что «несвоевременное включение в реестр операторов» – это когда компания не уведомила РКН до начала обработки ПД, а под началом для большинства компаний будет пониматься дата регистрации в ЕГРЮЛ.

Для большей части операторов эта обязанность наступила достаточно давно, а для некоторых – даже слишком давно. Для этого нарушения установлен однолетний срок давности привлечения к административной ответственности. Очевидно, что для многих компаний дата, когда надо было включиться в реестр, пропущена.

❓Поэтому мы задались вопросом

А можно ли штрафовать за то, что случилось 10, а то и 15 лет тому назад? Ведь этот закон обратной силы не имеет, а если срок давности прошел, то и штрафа не будет.

📍Длящееся ли это правонарушение?

Тут можно было бы порассуждать о том, является ли неуведомление длящимся правонарушением или нет, и, в зависимости от этого, определить, когда начинается исчисление годового срока давности. Есть судебная практика, подтверждающая как одну, так и другую точку зрения. Нам, по заветам ВС РФ, все же кажется, что оно НЕдлящееся. В поддержку этого есть и другая скромная, но практика (раз и два). А вот утечки, кстати, признают длящимся правонарушением🔣proof.

📍НО это тлен, важнее объективная сторона

Ведь ответственность предусмотрена за неуведомление или несвоевременное уведомление РКН. Где «несвоевременно» означает, что уведомление подано уже когда-то после начала обработки ПД, и неважно, в общем-то, когда. Другими словами, штрафуемое нарушение произойдет тогда, когда компания все же подаст уведомление в РКН с просрочкой. И напомним, что подать она может как по своей воле, так и при предписании от РКН – его нарушать уж точно не захочется. А с учетом простоты выявления отсутствия компании в реестре операторов, получение запроса или предписания РКН - лишь вопрос времени.

📍А кроме этого…

Если все же кто-то решится не уведомлять РКН, то вот вам шутка на сей счет.

По ст. 272.1 УК РФ караются незаконные использование или сбор ПД, полученных незаконным путем. “Незаконный путь” пока что категория до неприличия широкая и бланкетно включает в себя получение ПД в нарушение установленного законом порядка.

То есть, если компания собирает ПД без уведомления РКН, то она, конечно же, нарушает установленный законом порядок. Выходит, что это может обернуться реальным сроком. Как вам такая шутка? Вот и следователю смешно ☺️

#Comply #Комплаенс #PrivacyМнение

Полетели… но по 💙 💙 💙 152-ФЗ 💙 💙 💙

Космонавт — не просто человек в скафандре. Это сотрудник госструктуры, участник международных программ, публичная фигура и одновременно объект непрерывного мониторинга:
🔵медицинского
🔵психологического
🔵цифрового

Он под постоянным наблюдением камер, датчиков и микрофонов, и практически весь его профессиональный (а порой и личный) цифровой след — это ПД.

Сегодня мы предлагаем взглянуть на космос под неожиданным углом — сквозь призму всеми любимого 152-ФЗ.

➡️ Пройдите тест, чтобы узнать больше про то, как 152-ФЗ действует даже в условиях невесомости.

💙 Космос — это не только звезды и ракеты, но и новые вызовы для права и безопасности. Важно помнить, что даже в самых отдаленных уголках вселенной право на защиту ПД остается неотъемлемой частью жизни человека.

С прошедшим Днем космонавтики, друзья! 🙂

Data Fusion: где бизнес, наука и государство определяют будущее данных и ИИ

Цифровая эволюция опережает правовые нормы – как компаниям и регулятору найти общий язык в мире больших данных?

📍Постараемся ответить на этот вопрос завтра с Артемом Дмитриевым, управляющим партнером Comply, во время его модерации сессии «Совершенствование правовых механизмов работы с данными» на конференции First Russian Data Forum . Начало в 14:00.

В панели спикеров Милош Вагнер, заместитель руководителя Роскомнадзор.

📍 А в 16:30 не пропустите второе выступление Артема в качестве спикера сессии: «Доступность данных для ИИ – пути решения проблемы».

❓Пишите в комментариях, если хотите передать свой вопрос регулятору 😉

ЗИ – новый черный!
Если не очень понятно, то must-read

✅ Диалог бизнеса и государства на площадке First Russian Data Forum смотреть и слушать можно здесь.

📍Что происходило?

В основном коллективно хейтили и всячески унижали согласия. Приятное. Это закат трагичного периода расцвета согласий. То есть think before print почти добрался до отечественной privacy.

Оно и понятно, целлюлоза не бесконечна! Обещают, что через год согласия и вовсе могут стать моветоном, и настоящим privacy-стилем станет игра с альтернативными правовыми основаниями.

Модель легитимизации законного интереса (он же ЗИ) пока определяется, и половина пути не пройдена, но начало положено, WIP. А РКН приглашает бизнес исследовать правовые основания вместе. Но это была бы и не авторская заметка без парочки «НО».

📍Но первое – исповедуйте плюрализм оснований и не спешите шредеровать согласия

Мы ведь и так знаем, что согласие не всегда (очень редко!) хорошо. И многие годы тому назад на проверках честно старались защищаться этой логикой. Не срабатывало тогда, не сработает и сегодня. Если контролирующий орган требует от нас согласия, то все рассуждения об обратном очень милые, но вряд ли приземлимы на реальную практику. Ведь и судебная практика по использованию альтернатив консенто-поборам только начинает формироваться, в т.ч. по ЗИ. Да и если бы можно было полагаться на эту практику, то никакие изменения были бы не нужны. А так, практика есть, но полагаться на нее часто боязно. Надо понимать, что культ согласий так быстро не пройдет. Особенно в регионах. Поэтому мы пока используем одновременно и согласия, и резервное правовое основание для ряда процессов обработки ПД.

📍Но второе – остаемся без координат на переходный период

Как бы ни были очевидны и ожидаемы изменения в гл. 14 ТК (придушить согласия) и практиках применения ЗИ, это приведет к сбою привычной системы координат. Казалось бы, только научились работать с согласиями, а придется вновь учиться. Правила игры будут задаваться по ходу. Ведь начнутся вопросы, а что и в какой детализации прописывать в трудовом договоре, а если что-то меняется, то надо ли договор переподписать, а как легитимизировать законный интерес, и иные бесконечные вопросы. Поэтому так ценна для рынка работа с участием РКН. Уверены, что только так можно полечить privacy-боли.

📍Итоги

Исходим из того, что в течение года появятся первые результаты работы – случаи возможного применения ЗИ. Поэтому сделали отложенное сообщение в канале на 21 апреля 2026 года – «Ну и как этот наш ЗИ, полетел?!».

Спасибо АБД за возможность такого диалога и низкий поклон РКН (Милош Эдуардович!) за готовность такой диалог вести 🥹

#комплаенс #законныйинтерес #АБД 🙂

Мы улучшили позиции в федеральном рейтинге и расширили присутствие в ключевых направлениях. Ура!

✅ Лучшие практики:

🔵Защита данных – Band 1
🔵IP-консалтинг – Band 1
🔵Разрешение IP-споров – Band 2
🔵Комплаенс – Band 2
🔵Цифрономика / FinTech – Band 2

✅ Артем Дмитриев, управляющий партнер:

🔵Защита данных – Band 1
🔵Комплаенс – Band 1
🔵ТМТ – Band 1
🔵Цифрономика/FinTech – Band 1
🔵Фарма – Band 1

✅ Максим Али, партнер:

🔵IP-консалтинг – Band 1
🔵Право в сфере искусства – Band 1
🔵ТМТ – Band 1

✅ Сергей Сайганов, партнер:

🔵Комплаенс – Band 1
🔵ТМТ – Band 1
🔵Цифрономика/FinTech – Band 2

Мы не только сохранили лидерство в традиционных направлениях Privacy & IP, но и расширили экспертизу в цифровом праве.

🔖 Благодарим «Коммерсантъ» и клиентов за доверие и высокую оценку нашей работы.

Продолжаем движение вперед! А цель у нас одна - оставаться для наших клиентов неизменно лучшим партнером в цифровой регуляторике 🙂

#комплаенс #интеллектуальная_собственность #юридический_рейтинг

Эта тема снова на слуху и, хотя мы и многие уже высказывались, все же возникает вопрос – может ли бизнес получить от такого обезличивания реальную пользу?

📍Новые проекты НПА по обезличиванию. Их два.

Проект постановления Правительства адресован только операторам, получившим запрос Минцифры на дата-донаты в госозеро. А вот проект приказа РКН устанавливает требования и методы обезличивания для всех операторов. То есть, по сути, лечится старая болезнь, когда обезличивать строго формально могли только госорганы, т.к. приказ РКН № 996 на бизнес не распространялся.

📍А зачем вообще обезличивать?

Данные, полученные в результате обезличивания, остаются персональными. На этом можно было бы и расходиться. Но мы останемся, ведь несколько лет ждали легализации обезличивания.

🔵Обезличивание поможет получить дополнительное основание обработки ПД, а именно п. 9 ч. 1 ст. 6 152-ФЗ – «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, обезличенные данные используются для обучения ИИ-моделей, работы с БД и т.д. Правда, пока это основание не проходило проверку боем.

🔵Кроме этого, обезличивание может оказаться обязательным пререквизитом и для грядущих инновационных институтов, например, работа с данными в контуре доверенного посредника или ЭПР.

🔵Если фантазировать, то в РФ обезличивание могло бы митигировать драматичные последствия утечек. Ведь, вероятно, будет исключена прямая идентификация субъектов ПД на основании скомпрометированного «обезличенного» датасета. Значит и вреда субъектам нет. Вот и у них… например, в Европе статус данных как персональных определяется контекстом — если у получателя нет дополнительной информации, которую он мог бы использовать для деобезличивания, а также нет правомерных способов получения такой информации, то данные в его распоряжении признаются анонимными. Этот подход можно найти не только в практике CJEU и английских судов, но и разъяснениях ICO.

📍Что не так?

🔵В ЕС допускается гибкий выбор методов обезличивания (псевдонимизации) под ответственность оператора. Нам предлагается обратный подход – перечень методов строго закрыт и включает введение идентификаторов, изменение состава/семантики, перемешивание, преобразование (обобщение), декомпозицию (разделение массива). Эти методы, за исключением преобразования, уже были зафиксированы в приказе РКН № 996.

🔵Если иным образом преобразовывать ПД, то они остаются ПД или же перестают быть ПД вовсе. И все еще непонятен момент перехода из одного состояния в другое. Важно, что РКН не сформулировал четкие требования к результатам, не обозначил способы проверки эффективности обезличивания. Пока что не предусмотрена и прямая ответственность за некачественное обезличивание, т.к. ч. 7 ст. 13.11 КоАП РФ применяется только к госорганам.

🔵Коли обезличивание – лишь одно из действий по обработке ПД, то необходимо правовое основание для обезличивания per se. То есть, если в ваших согласиях / договорах обезличивание ПД не предусмотрено, то получается, что этот десерт не для вас. Есть, конечно, обратная аргументация, что обезличивание будет покрываться правовым основанием для последующей обработки обезличенных данных, но будет ли РКН считать так же...

📍Если все-таки обезличивать…

Придется разработать документы:
🔵порядок обработки ПД, полученных в результате обезличивания;
🔵порядок обезличивания;
🔵оценка достаточности применяемых методов.

Также оператор обязан:
🔵использовать информационные системы и ПО, обеспечивающие безопасность и конфиденциальность;
🔵обеспечить раздельное хранение исходных и обезличенных данных;
🔵вести учет действий по обезличиванию и работе данными.

Итого, чтобы обезличить данные «по-настоящему», теперь понадобятся регламенты, акты, журналы, отдельные БД, инструкции и, конечно же, бесконечная вера в то, что бумага все стерпит, а РКН – оценит.

Стоит ли игра свеч, завтра ответим 🙂

#Comply #Комплаенс #PrivacyМнение

Есть Национальные цели развития, Национальная стратегия развития ИИ и Стратегия развития рынка БД. Там про необходимость буста доступности данных разработчикам ИИ.

А поможет ли в действительности проект РКН в достижении этих целей? Кажется, что проект РКН – это, конечно же, шаг, но вряд ли достаточный. И вот почему.

📍Методы vs результат

По результатам рассмотрения предложений бизнес-сообщества к проекту, РКН подтвердил, что:
➡️ все предлагаемые бизнесом новые подходы уже отражены в проекте;
➡️ открытый перечень методов обезличивания «не будет отвечать принципу правовой определенности».

Но при этом четких требований к результату обезличивания РКН тоже не определяет. Хмм… можно предположить, что такой подход даже более рискованный. А вы как думаете, при каком подходе риски деобезличивания выше?

🔵Установление фиксированных методов обезличивания без четких требований к результату.
VS 
🔵Открытый перечень методов с четко определенными критериями качества обезличивания.

Нам кажется, что при первом подходе, выбранном для проекта, риски куда выше. То есть, условия и параметры определения эффективности обезличивания (например, уровень вероятности деобезличивания) гораздо важнее самих методов обезличивания в контексте рисков. 

Более того, все равно обезличенные данные остаются персональными со всеми обязанностями, ограничениями и рисками. Поэтому остается неясным, с какой целью устанавливаются ограничения на возможные методы обезличивания. 

Если есть сомнения в эффективности «открытого» подхода, то можно апробировать конкретные методики оценки эффективности обезличивания, например, в рамках контролируемой и защищенной инфраструктуры доверенных посредников.

Но мы все же надеемся, что диспозиция проекта РКН отражает осторожное развитие регулирования с возможной перспективой введения открытого перечня допустимых методов обезличивания. В отдельном треке коллеги из АБД уже проделали колоссальную работу по оценке риска деобезличивания – был предложен математический подход к оценке вероятности повторной идентификации при обработке обезличенных данных исходя из конкретных бизнес-сценариев их использования. Применение риск-ориентированного подхода позволит выбирать наиболее эффективные методы обезличивания, обеспечивая при этом максимальную защиту данных.

📍Вопросы к правовому основанию

А кроме этого, на практике возникают и вопросы по «бонусному» основанию обработки ПД «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, следующие:

🔵Какой периметр статистических и иных исследовательских целей? Входят ли коммерческие цели, такие как обучение ИИ-моделей или продуктовая аналитика в их определения? Казалось бы, что да.

🔵Само по себе обезличивание в указанных целях может осуществляться на основании п. 9 ч. 1 ст. 6 152-ФЗ, т.е. для его проведения иное правовое основание не требуется? В Европе, например, считается, что обезличивание – совместимая цель, на которую не нужно отдельное основание. Это и логично, ведь правовые основания даются на всю обработку ПД в определенной цели, а не на конкретные операции. А вот у нас на практике не всегда так.

🔵А можно в рамках этого основания «в статистических или иных исследовательских целях…» передавать / поручить обработку ПД третьему лицу?

Было бы здорово получить по этим вопросам разъяснения контролирующего органа, чтобы исключить на практике любые «серые» зоны для толкования.

Кстати, в рамках Петербургского международного юридического форума 21 мая обязательно будут обсуждаться эти вопросы.
Так что скоро вернемся с апдейтом!  🙂

#Comply #Комплаенс #БезопасностьДанных #PrivacyМнение

Рекомендации для тех, кто еще не запрыгнул в последний (?) вагон подачи уведомлений до конца мая

Тик-так, тик-так - звучит сейчас из всех Telegram-каналов потому, что до 30 мая и вступления в силу штрафа за неуведомление Роскомнадзора всё меньше времени. Ранее у нас было отдельное privacy-мнение по вопросам уведомления.

Что делать прямо сейчас, если уведомление всё же хочется подать в ближайшее время, но не был проведен аудит или реестрирование бизнес-процессов? ⬇️

1. Зафиксируйте стандартные процессы обработки данных в компании:
🔵подбор персонала;
🔵кадровое администрирование;
🔵пропускной режим;
🔵другие типовые процессы.

2. На начальном этапе укажите стандартный набор данных, не включая детали, в которых нет уверенности (Точно ли это обрабатываем? Точно ли понимаем корректное основание?).

3. Особое внимание уделите front-end процессам:
🔵Проанализируйте клиентский путь на сайтах, приложениях со стороны посетителя - веб-формы, подписки, cookie, политики.
🔵Зафиксируйте основные цели обработки в уведомлении с набором данных, которые очевидно собираются в front-end.

4. При выявлении нарушений на сайтах и в приложениях (забыли разместить новую версию политики, некорректные информирования / согласия):
🔵Оперативно внесите необходимые корректировки, так как Роскомнадзор вполне может проверить ваши ресурсы при обработке уведомления.
🔵Исключите сбор избыточных данных из процессов, если вы никак не можете выбрать подходящее основание, а может и их ценность для процесса.

Дальнейшие действия

После финализации уведомления:

🔣Максимально оперативно подать уведомление.
🔣В спокойном режиме провести полноценный аудит, чтобы реестрирование процессов было более корректным и полноценным.
🔣Подать информационное письмо о внесении изменений в запись для актуализации информации обо всех процессах компании. 🙂

#Comply #Комплаенс

Privacy-риски – это далеко не только про штрафы

Когда мы говорим о рисках в сфере ПД, большинство думает об оборотных штрафах, грозно нависших над бизнесом. Но, по нашему опыту, самый драматичный удар – не рублем, а комплексной перестройкой процесса / системы.

РКН может выдать предписание об устранении нарушений в течение определенного срока. Формально время есть, но фактически изменение архитектуры IT-систем и бизнес-процессов под требования РКН – это дорого, долго и больно.

🔣 У нас был кейс, где выполнение предписания РКН обошлось клиенту в 370 000 евро. Эти колоссальные цифры не включают в себя репутационные потери и остановку части операций на время внесения изменений.

Эффективная митигация privacy-рисков требует их комплексной оценки и выработки соответствующей методики управления.

➡️ Именно об этом будем говорить на грядущей встрече ПРО ПД.

Друзья, до встречи 🙂

#Comply #Комплаенс

ПМЮФ: послевкусие

Петербургский международный юридический форум (ПМЮФ) 2025 завершился на прошлой неделе. Заметный фокус был сделан, конечно же, на ПД. На что следует обратить внимание?

➡️ 40 000 уведомлений за месяц
РКН зафиксировал беспрецедентный рост количества поступивших уведомлений за май. Причина – отнюдь не весеннее обострение, а вполне прагматичная: введение штрафа за позднее уведомление. И, судя по цифрам, бизнес это услышал. Поговаривают, жадные консультанты запугали бизнес. Так вот оно что… Но кажется, РКН доволен работой такого кнута, ведь именно ради этого санкция и вводилась. А значит, рано или поздно кара наверняка настигнет тех, кто припозднился. Это не значит, что в июне начнется крестовый поход РКН, но privacy-интроверты получили еще один риск – и даже не столько штрафа, сколь нежелательного внимания к своему бизнесу со стороны контролирующего органа. Время покажет, какая стратегия оказалась лучше для управления privacy-виктимностью.

➡️ Из князя в грязи
Тема ЗИ (он же законный интерес) как альтернативы согласию в повестке РКН и бизнеса. Разумеется, согласие по-прежнему значимо, но контролирующий орган и рынок признают его неловкость и неуместность. Милош Эдуардович отдельно подчеркивает, что ситуацию необходимо менять и использовать иные основания обработки ПД, помимо согласий. А согласие должно быть последним в ряду оснований. Но повторимся: не спешите пока отказываться от согласий везде и всюду. Поверьте, они еще очень даже пригодятся. Но продолжаем следить за «легитимизацией» конкретных кейсов ЗИ.

➡️ Ответственность и составы
Также обсуждался водораздел между административной и уголовной ответственностью за нарушения в области ПД. РКН уверенно очерчивает правовые периметры – УК для хакеров и сервисов «пробива». Но для бизнеса и, что тревожно, правоохранительных органов этот водораздел до сих пор размыт. Это создаёт высокий уровень неопределённости в правоприменении новой бланкетной нормы. За сим, мы на этапе внедрений в проектах уже накатываем и элементы уголовно-правового комплаенса наряду с privacy-комплаенсом. А вы?

➡️ Сегрегация операторов с изюминкой
На секции также было высказано мнение, что дифференциация операторов ПД – не вопрос регуляторики, а вопрос факта. Тут про отобрать у маленьких, ибо не разумеют, что делают, а вот крупный бизнес защищает, как подобает. Окей. И, к слову, с позицией контролирующего органа сложно не согласиться, ведь чем меньше операторов – тем проще / эффективнее контроль. Ранее уже обсуждались критерии уполномоченных операторов ПД, с которыми следует себя соотнести, дабы оценить шансы на попадание в эту когорту. А вот из любопытного – крупные компании, быть может, смогут использовать полученные (!) от малого бизнеса данные, например, для обучения ИИ.

➡️ Privacy-уборка
Екатерина Ефимова, руководитель направления ПД в ГРЧЦ, обозначила проблематику накапливания данных операторами на вырост и всякий случай. Цифровая захламленность стала новой формой загрязнения, и необходим новый тренд – дата-минимализм. Privacy-уборка ненужных, устаревших и недостоверных данных должна стать регулярной процедурой на пути к цифровой гигиене. Мы любим такие метафоры. Поддерживаем слог! И тренд тоже.

➡️ Обезличивание ПД
Отдельный блок обсуждений был посвящён обезличиванию ПД. Мы совсем недавно разбирали обезличивание и новый Приказ РКН тут и тут. А кроме этого, в рамках отдельной сессии на ПМЮФ Артем Дмитриев, Управляющий партнер Comply, также вспоминал об обезличивании в контексте доступности данных для разработчиков ИИ. Но обезличивание наряду с доверенными посредниками, конечно же. С полной записью сессии можно ознакомиться по ссылке. 🙂

#Comply #Комплаенс #БезопасностьДанных #PrivacyМнение

💙 Внимание опрос!

Интересный и анонимный 😇

🔵В последнее время некоторые b2b digital-сервисы, обрабатывающие ПД преимущественно в рамках поручения, принялись активно, если не агрессивно, ограничивать свою ответственность.
Даже сильнее чем раньше.

🔵Почему? Потому что если у них утекут ПД, то оштрафуют скорее всего оператора – их клиента. Но затем-то клиент все равно придет взыскивать убытки. Конечно, если в договоре на сей счет нет каких-либо ограничений.

🔵Мы никого не критикуем и не поощряем, но наблюдаем =))

И вот далее наш вопрос. Голосуйте и пишите в комментариях обоснование или свою позицию, например, почему бы согласились / нет, даже если вам и не предлагали ограничивать ответственность. Вопрос весьма прикладной получился. ⬇️

Обсудили важное вновь и вновь в Петербурге на
Петербургском Правовом Саммите 2025

➡️ Как бороться с тревожностью в эпоху ужесточения контроля и штрафов?
Ответы на этот вопрос давали Артём Дмитриев, управляющий партнер Comply, и невероятные спикеры одной из самых интересных сессий «Пазлы конфиденциальности: собрать и защитить персональные данные».

➡️ Спикеры обсудили, как компаниям адаптироваться к новым регуляторным требованиям, минимизировать риски утечек, продолжать (ли) трансграничить и подавать уведомление в РКН с опозданием. Также обсудили потенцию потенциал заявления в полицию, эксцесс исполнителя в договоре поручения и реальные примеры из практики компаний.

А так как сегодня вступают в силу эти самые штрафы за утечки, то повторим тезис Артема из выступления (видимо, чтобы не так тревожно было):

Ранее наработанная нами практика по защите бизнеса при утечках данных сохраняет свою актуальность и сегодня. Да, новый контекст появился. НО, кроме размера штрафов, в части их назначения, этот контекст, возможно, окажется даже более выигрышным для бизнеса. Это связано, прежде всего, с передачей таких дел из судов общей юрисдикции в арбитражные, а также появлением поименованных специальных смягчающих обстоятельств.

🔣🔣🔣🔣🔣🔣🔣🔣🔣🔣
Чтобы минимизировать риски штрафов - в помощь чек-листы 🙂

🔵Privacy-совестливый оператор

🔵Реагирование на утечку ПД

#Comply #Комплаенс

Централизованный vs децентрализованный комплаенс: как выбрать подходящую модель для вашей компании

Мы уже давно (а может и первыми в России) говорим про privacy-чемпионов. Но сейчас на рынке все чаще звучит этот термин как спасение от всех проблем.
А на самом деле далеко не всем нужна децентрализация комплаенса, важно выбрать оптимальный подход с учетом специфики работы с данными в компании:

➡️ Для B2B-компаний с ограниченным объемом данных и редкими существенными изменениями в процессах подойдет централизованная модель.
В этом случае в комплаенсе консервативно лидируют назначенный или внешний DPO, юристы, ИТ и ИБ. При этом для удобного получения апдейтов от работников рекомендуем разработать понятные:
🔵 шаблоны писем;
🔵 инструкции для обращений по новым процессам, договорам или иным вопросам.

➡️ B2C-компании с множеством тачпойнтов, активным масштабированием, проектами по локализации сервисов могут рассмотреть децентрализованную модель комплаенса с privacy-чемпионами в основных отделах, имеющих отношение к обработке данных (HR, маркетинг, продукт, СБ, e-com).

Privacy-чемпион ≠ руководитель отдела, а скорее наоборот - сотрудник, максимально погруженный в операционку отдела и в идеале работающий в компании пару лет.
В таком случае базовая схема взаимодействия выглядит так: сотрудник отдела → privacy-чемпион → DPO.

Успешному внедрению privacy-чемпионов помогут:
🔵тренинги для чемпионов;
🔵регламенты и схемы работы;
🔵система материальной и нематериальной мотивации для чемпионов (особенно важно!).

P.S. На адаптацию нужно время. Если сотрудники за много лет привыкли по любым вопросам писать юристам напрямую, то вряд ли они быстро перестроятся на новые форматы общения. Важна именно эффективность комплаенса для бизнеса с учетом текущих ресурсов - можно оказаться в лиге чемпионов комплаенса и без privacy-чемпионов 🙂

#Comply #Комплаенс

Кому принадлежат права на контент, сгенерированный ИИ❓
и прочие вопросы с CodeFest

Ответы на эти вопросы давали Максим Али, партнер практики IP, и другие спикеры ежегодной российской IT-конференции.

Максим рассказал про регулирование ИИ и значимые судебные кейсы в этой сфере.

Одна из проблем – это права на результаты, которые создаёт искусственный интеллект.

Дело «Рифейс Технолоджис» показало, что само по себе использование ИИ не лишает контент охраны авторским правом. В итоге суд защитил права на дипфейк-видео.

Но в этом деле контент создавала большая команда и ситуация может показаться слишком простой и очевидной. А что если бы контент был сгенерирован буквально одним промптом?

Здесь можно провести параллель с фотографиями. Суды защищают их даже при минимальном творческом вкладе. Например, если речь про фотографии квартир или улиц, которые мало отличаются от стандартных снимков на «Циане» или в «Яндекс.Панорамах». Аналогично и с нейросетями: даже результат генерации с помощью небольшого промпта может потенциально защищаться как ИС.

💡 Но есть нюанс: пользовательское соглашение нейросети может перераспределять права на сгенерированный результат. Поэтому, прежде чем считать себя правообладателем, стоит внимательно изучить условия использования сервиса — иногда права на контент могут даже оставаться за платформой.

📍Более подробно с материалами можно ознакомиться по ссылке. 🙂

#Comply #IP #ИИ

Reddit против Anthropic: чей контент — того и правила?

Reddit судится с Anthropic за использование пользовательского контента для обучения нейросети Claude. Вопрос — кому на самом деле принадлежат данные: авторам, платформе или всем сразу❓

Делимся основными тезисами комментария Максим Али, партнера практики интеллектуальной собственности Comply, для «Коммерсанта»: ⬇️

🔵Зачастую права на контент остаются за авторами - пользователями ИИ, но бывают и обратные случаи.

🔵На Reddit часто публикуются не творческие произведения, а обсуждения, советы и мнения, которые не защищены авторским правом, так как такой контент не содержит в себе творческого зерна.

🔵Если бы дело рассматривалось в Европе или России, Reddit мог бы ссылаться на режим охраны баз данных. В США же такого механизма нет.

🔵Скорее всего, стороны предпочтут мировое соглашение — чтобы избежать затяжных разбирательств и лишних рисков для обеих компаний. В США такой исход спора встречается чаще, чем в России.

История на стыке технологий, права и больших денег — и, похоже, далеко не последняя в эпоху ИИ. 🙂

#Comply #IP #интеллектуальная_собственность #ComplyСМИ