Comply. | Комплаенс-бутик
1.15K subscribers
183 photos
2 videos
1 file
212 links
Новости Comply, обновления законодательства, аналитические материалы от экспертов, анонсы мероприятий 🛎
Для связи: info@comply.ru, https://comply.ru/
Download Telegram
IP-мнение от Comply

В феврале вступили в силу поправки в ст. 1248 ГК РФ, которые позволяют выигравшей стороне возмещать расходы, которые она понесла во время разбирательства в Палате по патентным спорам. В основном, это затрагивает случаи оспаривания товарных знаков или патентов.

Поправки были приняты во исполнение Постановления КС РФ № 1-П от 10.01.2023. Тогда Конституционный Суд посчитал несправедливой ситуацию, когда расходы на разбирательство в Палате нужно возмещать в отдельном исковом производстве. В итоге КС РФ разрешил включать в состав судебных расходов и расходы на Палату – если ее решение было обжаловано в Суд по интеллектуальным правам. Ниже делимся мнением экспертов практики интеллектуальной собственности Comply.

1️⃣Во-первых, интересно, что в ст. 1248 ГК РФ отсутствует оговорка про то, что расходы возмещаются в таком «упрощенном» порядке, только если спор дошел до суда.

Не очень понятно, как будет работать механизм возмещения в ситуациях, когда решение Палаты не обжалуется в суде. Даже если предположить, что коллегия Палаты начнет рассматривать вопрос о расходах (что ее регламентом сейчас не предусмотрено), Роспатент не сможет выдать исполнительный документ. Наиболее вероятным видится сценарий, при котором нормы ст. 1248 ГК РФ будут толковаться ограничительно, с учетом оговорки про судебное обжалование, которую добавлял еще КС РФ.

К слову, это уже не первый случай, когда позиция КС РФ не очень удачно отражается в законодательстве. Другой подобный пример – не самые удачные поправки в п. 4 ст. 1260 ГК РФ, которые касались защиты прав на составные произведения. Уяснить эти поправки невозможно без изучения постановления КС РФ № 25-П от 16.06.2022 по жалобе А.Е. Мамичева, которому изначально отказали в защите прав на ПО из-за нарушения входящего в него Open Source продукта.

2️⃣Во-вторых, КС РФ и ст. 1248 ГК РФ говорят про возмещение расходов пропорционально объему удовлетворенных требований, однако порядок возмещения все еще под вопросом.

Не очень понятно, каким образом эта пропорция будет определяться применительно к спорам об объектах ИС, которые рассматривает Палата. Например, часто патентный спор заканчивается признанием недействительными отдельных пунктов формулы, но не всего патента. Но пункты формулы имеют разную ценность, поэтому механически считать пропорцию к их количеству вряд ли оправданно.

Наконец, сложившаяся после решения КС РФ практика Суда по интеллектуальным правам и вовсе обесценивает правило о пропорциональном возмещении расходов. В деле № СИП-639/2019 президиум СИП сказал, что даже при частичной отмене патента правообладатель должен полностью возместить расходы оппоненты. При таком подходе непонятно, когда вообще должен работать принцип пропорциональности. Возможно, из-за этого дело № СИП-639/2019 истребовал ВС РФ, который может дать свое видение на эту проблему.

#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Вебинар «In-house privacy-комплаенс»

Comply и Privacy Advocates приглашают на вебинар 11 апреля в 12:00. Обсудим, как создать надежную и эффективную систему приватности внутри компании.

В программе:

▫️С чего начинать на новом месте: план на первые 100 дней
▫️Privacy-чемпионы или как выстраиваивать privacy-менеджмент на местах
▫️Критерии приоритизации работы: KPI, штрафы, карта рисков
▫️Как выстраивать коммуникацию с другими юнитами в компании и демонстрировать достижения
▫️Автоматизация учета обработок данных и иное — надо ли или как
▫️Как уничтожить ПД и не сойти с ума

Спикеры:
◽️Екатерина Липова, DPO, Yandex Cloud
◽️Михаил Ратушный, DPO, Ozon
◽️Артем Дмитриев, управляющий партнер, Comply
◽️Алексей Мунтян, СЕО, Privacy Advocates

➡️Регистрация здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
Инсайдер РКН: и далее без шуток, к сожалению

Прошел очередной ивент с участием РКН во Франко-российской торгово-промышленной палате. РКН представлял Юрий Евгеньевич Контемиров. Мы, как всегда, собрали любопытные тезисы.

🔵И все же бизнес может обезличивать ПД в соответствии с Приказом № 996. Для этого, однако, потребуется правовое основание. Какое? РКН сделал акцент только на основании п. 9 ст. 6 152-ФЗ (обработка ПД в статистических или иных исследовательских целях), по мнению регулятора оно подходит для большинства потребностей бизнеса.

🔵Если происходит сличение фото и видео с камер видеонаблюдения с информацией в социальных сетях / иных открытых и не только источниках, то такая обработка может подпадать под признаки обработки биометрических ПД. Это очевидно. А РКН спасибо за то, что напомнил всем – для признания аутентификации биометрической вовсе не обязательно, чтобы условный вектор лица метчился с идеальным образцом, подкрепленным, например, паспортными данными. Акцент на самом алгоритме работы. Отговорки в стиле – мы установили, что это кто-то похожий на Ваню, но не наверняка, да мы и не знаем точно ли это Ваня – не пройдут!

🔵Не планируется перенос ответственности за утечку на провайдера облачных услуг. Ведь у оператора есть полномочия проводить систематические проверки своего подрядчика, в том числе в части соблюдения требований безопасности ПД. Признавайтесь, когда последний раз проверяли своего облачного провайдера? 🙂

🔵24 часа на уведомление об инциденте начинаются с момента установления факта утечки, даже если факт установлен в выходной или праздничный день. Да-да, у нас такое было однажды 5 января, и РКН ждал уведомление под Рождество...

🔵Для нестрогих согласий на обработку ПД следует собирать информацию о третьих лицах, обрабатывающих ПД, в отдельный список по ссылке из согласия. Такой список должен быть опубликован на официальном сайте оператора. В этом списке должны быть указаны цели передачи ПД третьим лицам.

🔵Не так страшен Приказ Минцифры России № 1187, как его малюют: три факта несоответствия информации в уведомлении и в Политике конфиденциальности должны быть установлены в разные временные периоды. РКН сравнивает уведомление, Политику конфиденциальности и доступные ему процессы обработки ПД. Смотрят в том числе цели обработки ПД, информацию об обрабатываемых ПД, категориях субъектов ПД, действиях с ПД.

🔵Основание обработки ПД представителя контрагента – договор между оператором и контрагентом + или исполнение требований ГК, если выдана контрагентом представителю доверенность, или трудовой договор, если представитель контрагента взаимодействует с вами в рамках своих трудовых обязанностей. В общем какая-то неразбериха. А почему все так сложно? Верно, потому что законный интерес все еще не материализовался для РКН 🙂
Please open Telegram to view this post
VIEW IN TELEGRAM
Процедура уничтожения персональных данных

Многие знают о существовании приказа РКН № 179, но мало кто понимает, как его внедрить. К слову, и мы и не представляем, как его выполнять буква в букву. С другой стороны, далеко не первый раз нам приходится сталкиваться с подобными нормотворческими этюдами.

Отчего мы так саркастичны? Дело в том, что требование, с одной стороны, невероятно обременительно для бизнеса, а с другой – несет сомнительную пользу субъектам ПД. Но представители РКН не забывают напоминать на публичных мероприятиях, что акт об уничтожении ПД должен быть примерно всегда. То есть инспектор обязательно запросит у вас такой акт и журнал логов уничтожения в большинстве контрольных мероприятий РКН.

Невозможность их продемонстрировать или их неверное составление могут повлечь административную ответственность по ст. 13.11 КоАП РФ, то есть теоретически до 1,5 млн. руб.

Требования in brief, отчего так обременительно уничтожать ПД?

🌸Во-первых, факт уничтожения необходимо подтверждать документально – актом об уничтожении ПД и для ИТ-систем дополнительно выгрузкой из журнала регистрации событий (логов уничтожения).

🌸Во-вторых, акт и журнал не могут быть абстрактными, помимо вполне безобидной информации о причинах уничтожения и категориях уничтоженных ПД они должны содержать данные, определяющие субъекта ПД. Если вы уничтожаете массив данных, то должны быть определены все субъекты ПД – каждый! В случае уничтожения бумажного документа в акте должно быть его наименование с количеством листов. Это тоже отягощает и без того драматичную процедуру уничтожения.

Не облегчает жизнь операторам и позиции РКН о применении Приказа. По мнению регулятора документы в архиве, содержащие ПД, после достижения цели обработки ПД должны уничтожаться по такой же процедуре. При этом про нераспространение 152-ФЗ на архивное хранение РКН тоже говорил. Ситуация…

🌸 В следующих постах мы расскажем, когда соблюдение Приказа обязательно и когда это не требуется, что должна уметь логировать ИТ-система.
🌸Следите за нашей рубрикой Privacy-мнение от Comply в следующий понедельник.

#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
➡️ Продолжаем об уничтожении ПД — privacy-мнение от Comply. Уничтожение, ч. 1

Актировать или не актировать, вот в чем вопрос…

Сперва обсудим, а когда вообще надо выполнять требования Приказа РКН № 179. Без сомнений актировать уничтожение придется в случае обращения субъекта или РКН. Но что делать с рутинным уничтожением данных, например, технических логов, содержащих ПД?

Правила Приказа РКН применяются только в случаях, предусмотренных ч. 7 ст. 21 152-ФЗ, то есть, в основном, это случаи:
🔴выявления незаконной обработки (нет законного основания),
🔴достижения цели обработки ПД
🔴отзыва согласия / требования о прекращении обработки
🔴прекращения обработки по поручению оператора.

Но если слепо следовать написанному, то получается, что актирование и журналирование уничтожения ПД необходимо осуществлять каждый день и несколько раз — например, при распечатке лишней копии договора, резюме, создании нескольких черновиков одного и того же документа, завершении работы с тестовой базой...

Пища к размышлению:

✔️ Триггерами уничтожения являются (триггеры индивидуальны для каждой компании):

🟪Запрос / требование субъекта ПД или РКН о прекращении обработки или уничтожении ПД. Именно по таким кейсам могут потребоваться доказательства факта уничтожения ПД, поскольку РКН потребуется показать документы.

🟪Прекращение действия всех правовых оснований обработки ПД, то есть, когда компания должна полностью уничтожить все ПД о субъекте в своем контуре. Это, например, прекращение договора с клиентом-физическим лицом и истечение пятилетнего срока хранения его данных для бухгалтерского и налогового учета без необходимости передачи в архив.

При наличии таких триггеров ПД уничтожаются из всех ИТ-систем или с материальных носителей, уничтожение актируется и журналируется (логируется) по всем канонам Приказа РКН. Благо, требований / запросов обычно ограниченное количество, а случаи полного прекращения предсказуемы, и чаще всего уничтожение и его формализация поддаются автоматизации.

❗️Триггерами уничтожения НЕ являются отдельные / частные удаления и прекращение процессов обработки, ЕСЛИ сохраняются (мастер / иные) данные, например:

🔴регулярное удаление копий данных, например, из тестовых баз данных, бэкапов и черновиков, а также копий материальных носителей (бумажных договоров или сканов личных документов)
🔴систематическое удаление части данных по установленному TTL, например, исторических транзакций, истории обращений, изменений данных в личном кабинете действующего клиента
🔴очистка лог-файлов и иных технических данных
🔴передача в архив.

Поэтому критично разработать понятную для работников процедуру уничтожения, ведь DPO не сможет следить за всеми триггерами на ежедневной основе. Процедура должна включать сами триггеры (условия и причины) для запуска процесса уничтожения, определять круг ответственных, ИТ-системы, метод уничтожения (мануальный или автоматический), материальные носители и способ уничтожения, сроки и т. д. И для проработки процедуры нужна актуальная и подробная RoPA.

Без этой процедуры вряд ли возможно корректно формализовать уничтожение и уничтожить ПД. К слову, это только одна из процедур в privacy playbook.

А у вас есть такой понятный рабочий (а не только формальный) регламент уничтожения ПД?

🦄 да
🤨 нет

В следующий раз обсудим, что должна уметь система, чтобы уничтожать ПД правильно. Не пропустите 📆

#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
💸 Миллион за рекламную смску: как бизнесу уберечь себя от новых штрафов

В выходные вступили в силу поправки в КоАП: штрафы за рекламу без согласий значительно выросли. Теперь максимальная планка для юрлиц — 1 млн рублей.

Эксперты из комплаенс-бутика Comply проанализировали новую законодательную реальность и подготовили подробный разбор. Вот его ключевые темы:

1️⃣ За что именно наказывают: какие каналы коммуникации попадают под действие закона.
2️⃣ Как легализовать рекламу и в чем сложность.
3️⃣ Почему ручная работа с согласиями больше де-факто невозможна.
4️⃣ Как соблюсти права потребителей и куда самому жаловаться на «несогласованную» рекламу.

Подробнее читайте в блоге.

HFLabs — о клиентских данных
Закон об ужесточении ответственности за спам подписан 6 апреля. Принятые в КоАП поправки позволяют назначать юрлицам штрафы до 1 млн рублей. За рассылку спама и раньше наказывали, но верхняя планка была ниже вдвое.

Миллион за рекламную смску: как бизнесу уберечь себя от новых штрафов — новая статья Максима Али, партнера и руководителя практики интеллектуальной собственности, о том, как не попасть на многомиллионные штрафы ⬆️
Please open Telegram to view this post
VIEW IN TELEGRAM
Comply в рейтинге газеты Коммерсант 🏅

Команда Comply вошла в четыре практики федерального рейтинга, уверенно подтвердив результаты прошлого года. В том числе эксперты повысили позицию в Комплаенсе до Band 1 и вошли в категорию Интеллектуальная собственность.

🏆 В личном рейтинге управляющий партнер Артем Дмитриев вошел в три категории и повысил результат в Комплаенсе до Band 1.

🏆 Партнер практики интеллектуальной собственности Максим Али вошел в Band 1 в Праве в сфере искусства
и культурной деятельности
.

Искренне благодарим организаторов рейтинга и коллег по рынку за поддержку и признание!
Please open Telegram to view this post
VIEW IN TELEGRAM
Как создать надежную и эффективную систему приватности внутри компании? Обсуждаем этот вопрос сегодня на вебинаре «In-house privacy-комплаенс».

➡️ Вебинар начнется в 12:00. Подключайтесь к трансляции по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy-мнение от Comply продолжаем говорить об уничтожении ПД. Часть 2.

Что еще за журналирование такое? 🤔

В прошлый раз мы разобрались, что если все-таки возникает ситуация полного уничтожения ПД, то уничтожение должно быть оформлено.

Пункт 2 Приказа РКН № 179 гласит: если уничтожаются ПД из информационной системы, то такое уничтожение должно подтверждаться (1) соответствующим актом, а также (2) выгрузкой из журнала регистрации событий в информационной системе (в одной из первых редакций приказа именовавшейся «лог-файлом»). И если с актом еще более-менее понятно, то с логами — непонятно многое. Давайте разбираться.

Что такое лог-файл?

Выражаясь простым языком, логи —  это набор текстовой информации о всех событиях, происходящих в системе. И это несложная часть задачи, т.к. современные системы обычно и так журналируют все действия пользователей или автоматики, включая как внесение, так и удаление информации. Сложности возникают, если посмотреть на состав информации в логах, которую требует Приказ.

Что нужно логировать?

▪️ФИО или иной ID субъекта в системе, по которому его можно идентифицировать или найти
▪️перечень уничтоженных категорий ПД
▪️наименование информационной системы
▪️причину уничтожения
▪️дату уничтожения

В чем сложности?

Даже неспециалисту в информационных системах видно, что, скорее всего, логирование не будет работать так, как этого желает РКН.

Часть из этих полей вовсе сомнительна — например, откуда системе знать причину уничтожения ПД, чтобы записать это в лог? А если мы уничтожили ФИО, какой смысл переписывать их в лог? О каком уничтожении может идти речь, если мы намеренно оставляем уникальные идентификаторы субъекты для выгрузки? Какая из систем будет писать собственное название в лог операций? А по каким правилам хранить такие ПД, если они как бы уничтожены (например, ограничить доступ только для DPO?). Пока вопросов больше, чем ответов.

Единственное, к чему нет вопросов — это дата уничтожения, тут все просто 🙂

Как с этим быть? Ответ есть в Приказе. Если какую-то информацию не получается фиксировать логами, ее нужно переносить в акт. Но смысл логов, конечно, тогда теряется полностью…

❗️Не забудьте предусмотреть и в акте, и в выгрузке поле для одного и того же ID, чтобы их можно было соотнести.

Что еще?

Логи нужно хранить не менее 3 лет с даты уничтожения. И это тоже может стать проблемой — большие системы могут генерировать огромное количество логируемой информации, и если не разрабатывать отдельный логгер только на уничтожение, то получатся огромные объемы занимаемого места.

А еще в этих логах нужно ориентироваться и искать для выгрузки информации по конкретному факту уничтожения. В условиях большого объема это и само по себе непросто. А ведь нужно еще и продумать, по каким признакам будет находиться операция — особенно, если в лог не пишется ФИО субъекта…

Выходы из ситуации?

Есть несколько вариантов. В идеальном мире РКН — вы должны переработать все свои системы и обеспечить механизм логирования, отвечающий всем требованиям Приказа. Что, по указанным выше причинам, а также с т.з. экономической целесообразности — не всегда возможно.

Даже если у вас получилось заставить систему автоматически контролировать сроки хранения данных и удалять их по алгоритму — далеко не факт, что у вас получится «прикрутить» к этому корректное логирование уничтожение. В зависимости от класса систем это может быть вообще невозможно, т.к. не во всех предусмотрена такая глубина логирования.

Поэтому иной вариант, который разрабатывали для клиента и периодически встречаем на практике — не идти в историю со сложным логированием, но хотя бы зашить автоматическое создание корректного акта об уничтожении по форме Приказа, который можно будет вывести на печать, подписать и положить в папку. Это уже рабочий сценарий, хотя и здесь придется поработать, чтобы продумать как хранение, так и UX.

А еще есть способ оптимизировать регулярность уничтожения ПД и, соответственно, составления актов и журналов. Но об этом расскажем в следующем посте!

Stay tuned 🙂

#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Как юристу повысить уровень технических знаний?

Наши коллеги из RPPA.pro запустили новую серию образовательных продуктов для прокачки технических скиллов юристов и специалистов по privacy.

В подготовке материалов участвуют 1300 опытных специалистов, включая экспертов из Comply 😉

Делимся подборкой самых классных курсов:

Privacy Engineering, чтобы разобраться в технологиях обработки данных и рисках приватности.

Курс AI Governance, который сориентирует в области регулирования искусственного интеллекта и поможет понять ИИ-технологии.

А также другие образовательные продукты и бесплатные материалы в канале.

Рекомендуем 👌
Privacy-мнение от Comply

Процедура уничтожения персональных данных. Трагедия в 3-х частях.
Финальная часть

Вот уже третью неделю мы обсуждаем процедуру уничтожения ПД. Определили, в каких случаях нужно уничтожать ПД, следуя всем правилам, и что фиксировать в логах.

Пришло время обсудить регулярность уничтожения ПД и, соответственно, составления актов об уничтожении и логирования.

По общему правилу, оператор ПД обязан прекратить обработку и уничтожить ПД в течение 30 дней с даты достижения цели их обработки. Подтверждает уничтожение соответствующий акт и выгрузка из журнала. Соответственно, каждые 30 дней оператору ПД нужно готовить эти документы, что может оказаться весьма обременительным.

Однако при невозможности уничтожения ПД оператор вправе их заблокировать на срок до 6 месяцев, а затем уничтожить (ч. 6 ст. 21 152-ФЗ).

Условия «невозможности» в статье не указаны, а значит оператор ПД может рискнуть самостоятельно их определить. Причины такой «невозможности» могут быть разные. Например, специфика ИТ-инфраструктуры оператора, ограничивающая или исключающая регулярную процедуру уничтожения.

Получается, что вроде бы оператор может поделить год на два полугодия и привязать к ним процедуру уничтожения. Таким образом, все документы с ПД и ПД в ИТ-системах, подлежащие уничтожению в январе 2024 – июне 2024 года, могут быть уничтожены единовременно, например, 28 июня, и все это можно закрепить единым актом об уничтожении.

❗️Проверьте, закреплена ли в вашем регламенте уничтожения или ином ЛНА возможность заблокировать ПД, а также как сформулированы основания для блокирвоки.

Вот такой элегантный способ свести всю бюрократию к двум актам в год. Но процедура блокирования должна все-таки по-настоящему существовать. Например, ПД должны быть перенесены во временную базу с ограничениями доступа и обработки и / или должен проставляться дополнительный признак запрета обработки, т.е. «блокировки».

А еще напомним, что блокирование – это временное прекращение обработки ПД. То есть оператор не может использовать персональные данные в течение этих 6 месяцев в своих целях.

☝️Блокирование перед уничтожением упрощает саму процедуру уничтожения ПД, и точно не является лазейкой для продления срока использования ПД оператором.

Конечно же и само по себе блокирование должно выполняться по определенным правилам. При этом оно не должно быть чрезмерно обременительным, в противном случае не понятно, зачем оно нам…но правила блокировки это уже отдельная история.

🔥Надеемся, серия постов была полезной и поможет вам обуздать рутину уничтожения ПД (смотрите пост раз и пост два).

В следующем посте ответили на самые популярные вопросы наших подписчиков в формате вопрос-ответ ⬇️

#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Zoom Out, Istanbul In: корпоратив команды Comply

Недавно наша legal команда почти в полном составе съездила на корпоратив: мы были в Стамбуле! 🇹🇷

Совместная весенняя поездка за новыми впечатлениями, живым общением и обсуждением планов и дальнейшего развития уже стала традицией в Comply.

Такие оффлайн встречи особенно важны — мы живем в разных уголках мира и чаще всего видим друг друга через камеры ноутбуков. Наша команда ежегодно расширяется, и в поездках мы лично знакомимся с новыми коллегами.

В прошлом году мы проехали 30 км на велосипедах по горам Армении 🇦🇲🚴‍♂️
В этом обошлись без таких спортивных подвигов: были на большой пешеходной экскурсии по Стамбулу, катались по Босфору и даже устроили совместную съемку на память.

Через год расскажем про новую поездку, а может быть кто-то из вас станет частью путешествия в составе нашей команды. Планируем регату, поэтому дополнительное требование для соискателей – «нет морской болезни» 🛥

А теперь отдохнувшие возвращаемся к лучшей работе!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM