💙 Уже в эту пятницу - Ночь Независимых Сертификаций 💙

Это совместный ивент PROPD x RPPA для всех, кто не верит в сертификации, и тех, кто их коллекционирует.

Готовьтесь к насыщенному вечеру 4 июля 2025 г. в 21:00.

В программе:

🔵 Мнение практиков
🔵 Квизы от PROPD
🔵 Демо блока С от PPCP

Вход только по предварительной регистрации ➡️ здесь. Увидимся!

Питер снова чествует юристов!

Comply — лауреат в номинации «Дело для бизнеса» рейтинга юристов «Вечернего Петербурга».

Этот рейтинг стал барометром юридического мастерства Санкт-Петербурга, где соревнуются как признанные мастера отрасли, так и яркие молодые таланты, демонстрируя лучшие практики и инновационные решения для бизнеса.

Максим Али, партнер, руководитель практики интеллектуальной собственности, поделился впечатлениями:

Рады оказаться в числе тех, кто сегодня формирует юридический ландшафт Санкт-Петербурга.

Особенно приятно, что наш фокус на IP, технологиях и данных постоянно востребован и отмечен среди лидеров!

Спасибо всем, кто доверяет нам свои сложные задачи — это только начало новых побед! 🙂

#Comply #Комплаенс #Юридический_рейтинг

Будем ли править 272.1 УК?

Вчера посчастливилось присутствовать на заседании одной авторитетной Ассоциации имя скрыто. В основном обсуждались вопросы декриминализации рутинных бизнес-практик по обработке ПД. Все как мы любим!

Да, все понимают, что ст. 272.1 УК предполагает почти что неограниченные возможности привлечения к уголовной ответственности за, казалось бы:

🔵 традиционные преступления правонарушения, например, собрали ПД с согласием, но дефектным ИЛИ согласие было, да «протухло», а мы и не заметили, а также многое другое, что происходит регулярно в рутинной практике большинства компаний, даже самых privacy-комплаентных;

🔵 добрую практику по защите прав субъектов ПД, чьи ПД уже ранее утекли – да, чтобы их права защищать, отслеживать утечки, их расследовать и даже препятствовать использованию скомпрометированных ПД, компаниям необходимо находить слитые дампы данных, скачивать и анализировать их, что формально образует состав 272.1 УК.

А все почему? Правильно, норма фактически является бланкетной, и почти любая privacy-девиация может быть признана незаконным использованием и получением ПД. А мы, прайвасисты, и РКН такие нарушения можем найти почти во всем.

Так вот эту проблему понимают все, но сценарии ее преодоления, как оказалось, оценивают по-разному. Среди таких сценариев обсуждаются и прорабатываются следующие:

🔵 изменение 272.1 УК в части конкретизации незаконности использования и незаконности получения, дабы карать явных преступников, например хакеров и сервисы пробива, а бизнес за отступление от установленных требований, по общему правилу, привлекать по КоАП;

🔵 изменение 152-ФЗ, чтобы прямо ввести деятельность «белых» хакеров и ИБ отделов в законное русло через прямое указание на законность их интереса (ЗИ) в обработке таких ПД при соблюдении ряда формальных требований;

🔵 разъяснения контролирующих и регулирующих органов, в которых будут конкретизированы условия применения ст. 272.1 УК;

🔵 обобщение судебной практики и ее настройка через актуализацию Постановления Пленума ВС, включая разъяснение признаков состава преступления по ст. 272.1 УК - конкретизацию понятий «иной незаконный путь получения» и «незаконное использование», с отсылкой к соответствующим нарушениям 152-ФЗ, ст. 183 УК РФ и ст. 13.11 КоАП РФ.

И что в итоге говорят:

📍 К сожалению, в, казалось бы, наиболее выигрышный и справедливый трек по изменению ст. 272.1 УК экспертное сообщество верит с трудом, ибо маловероятно изменение уголовной нормы, которая пока что не применяется на практике. То есть, на данный момент еще не сложилась негативная или неправильная практика, которую надо менять. Вот когда будет, тогда и поговорим. Прозвучало даже такое: «когда убьют – тогда и приходите». Будем ждать… Хотя в новостной повестке уже мелькают сообщения о применении ст. 272.1 УК.

📍 А вот по изменениям 152-ФЗ, напротив, – высокая вероятность успешного продвижения в этом треке. Это здорово, но все же это «лечит» лишь один возможный «перекос» ст. 272.1 УК из многих.

📍 Разъяснения почти невероятны, а обобщения практики дождемся если, то не скоро. Поэтому на эти треки надежды тоже особой нет.

Следим за ситуацией и надеемся на лучшее. 🙂

#Comply #Комплаенс #БезопасностьДанных

Внешний или внутренний DPO: какой формат выбрать?

Кажется, этот вопрос давно набил оскомину, и плюсы/минусы каждого из вариантов очевидны. Если вам всё понятно, но оптимальный формат не находится - стоит присмотреться к микс-формату работы DPO-команды.

Что такое микс-формат?

У вас есть внутренний DPO — сотрудник юридического отдела (как часто и происходит).

DPO из нашего примера имеет свои преимущества:
🔵 давно работает в компании;
🔵 максимально погружен во все процессы и быстро узнает об изменениях (хотя на практике это, скорее, мечта инхаус-юристов);
🔵 с ним знакомы все владельцы бизнес-процессов и даже доверяют его рекомендациям.

Он выполняет текущие задачи, но при этом всегда имеет внешнюю поддержку — консультанта, который помогает разобраться в нестандартных кейсах или просто периодически снять нагрузку.

В таком формате внешний консультант:
🔵разбирается с запутанными кейсами с учетом опыта других клиентов;
🔵помогает с запросами от Роскомнадзора, ФАС, плановыми и внеплановыми проверками, разбирательствами по утечкам;
🔵участвует во внедрении новых проектов, например, биометрических сервисов, локализации систем, выхода на новые рынки;
🔵усиливает команду на случай непредвиденной нагрузки по всем кейсам выше.

Преимущества в том, что микс-формат позволяет одновременно пользоваться благами от внутренней и внешней поддержки: близость к команде, вовлеченность, узкая экспертиза, обширный опыт, инсайты от регуляторов и рынка.
Но, безусловно, конкретный набор услуг внешнего DPO подбирается в каждом случае индивидуально на базе матрицы DPO-поддержки, исходя из актуальной стратегии, планов и задач. 🙂

#Комплаенс #Comply #DPO

10 млн за нарушение. И другие изменения в компенсациях за IP в таблице

💙 Новый Федеральный закон № 214-ФЗ сильно меняет правила взыскания компенсаций за нарушения.

Но они весьма хаотичны: одной рукой законодатель повышает компенсации, другой – ограничивает возможности их взыскания.
Чего стоит уменьшение штрафа за удаление имени автора с 5 млн до 100 тыс. (!) рублей. Или расширение случаев свободного использования.

Объяснение такое: наряду с желанием индексировать суммы, законодатель учел многочисленные позиции ВС и КС РФ. Ведь часто спор строится не вокруг нарушения, а вокруг того, сколько за него заплатят.

Мы постарались выделить и структурировать главное.

По ссылке таблица – пользуйтесь, делитесь и рассказывайте ваше мнение о 214-ФЗ 🙂

#Комплаенс #Comply #IP #интеллектуальная_собственность

В пятницу в Петербурге продолжается невероятное лето! И что, спросите? А то, что в те дни на Неве пройдет мастер-класс «Господа, у нас утечка!» под присмотром RPPA.pro и RPPAedu.pro.

💙 Интерактив, где участники в формате командной игры в роли DPO будут реагировать на дата-инциденты в телемед-компании:
🔵Когда: 25 июля в 14:00
🔵Стоимость: 20 000 руб.
🔵Формат: Санкт-Петербург, офис Nextons

Участники в ролях DPO будут:
🔵выявлять, что произошло
🔵оценивать вред
🔵готовить план реагирования

В мастер-классе планируется:
🔵моделирование реального сценария
🔵командная работа и ролевые взаимодействия
🔵чек-листы, шаблоны, таймер и модерация

📍Регистрация здесь. Мы будем - до встречи!

💙 Госдума сегодня приняла в 3-м чтении законопроект о штрафах за VPN и не только

Речь о поправках в КоАП, которые вводят, в том числе, штрафы за:
🔵неисполнение обязанностей владельцами VPN;
🔵незаконную передачу данных для регистрации и авторизации на сайтах;
🔵незаконную передачу SIM-карт;
🔵поиск и доступ к экстремистским материалам.

1. Самое критичное для бизнеса – штрафы за VPN

Технология не под запретом, но нарушения, которые раньше грозили блокировкой VPN-сервисам, теперь будут поводом для штрафов до 1 000 000 рублей.

В первую очередь речь о ситуациях, когда компания:
🔵не подключилась к ФГИС с перечнем запрещенных ресурсов по требованию РКН;
🔵не обеспечила фильтрацию запрещенных ресурсов.

Остается открытым вопрос, кто считается «владельцем» VPN-сервиса, если компания использует сторонние VPN-решения, но может их настраивать или обеспечить фильтрацию. Уже готовим запрос в Роскомнадзор🔣

📍Поправки приняты на фоне процесса массового включения IP-адресов корпоративных VPN в белый список РКН

Бизнес идет на это для того, чтобы избежать блокировок корпоративных ресурсов. Так что наличие VPN в конкретной компании вряд ли будет секретом для ведомства. Теперь нужно учитывать риски штрафов, обращаясь за включением адресов VPN в «белый список».

2. Резонансная часть проекта – это наказание за умышленный поиск и доступ к "заведомо" экстремистским материалам

Теперь за каждый такой поиск и доступ будут наказывать штрафом до 5000 рублей.

Список экстремистских материалов ведет Минюст, но он не является исчерпывающим. Остается много вопросов к толкованию этого запрета, но ясно одно – проще всего доказать нарушение будет при использовании личного IP и аккаунта в российском сервисе. Начинать формировать правоприменительную практику с себя мы не рекомендуем. Хотя и очень интересно, что же в Интернете такого запрещенного, гуглить сами мы это уже не будем - вчера нагуглили =)

📍На наш взгляд, штрафы не коснутся доступа к экстремистской Meta

Дело в том, что суд:
🔵запретил не материалы, а деятельность Meta «по реализации продуктов - социальных сетей Facebook и Instagram на территории РФ по основаниям осуществления экстремистской деятельности»;
🔵при этом уточнил, что он не ограничивает действия по использованию программных продуктов лицами, не принимающими участие в запрещенной деятельности.

Штрафы вступают в силу с 1 сентября 2025 года 🙂

#Comply #Комплаенс #ИнсайдерРКН

1 июля вступила в силу новая редакция требования о локализации ПД.

Правда ли, что теперь под запретом не только лишь все зарубежные ИТ-сервисы? 🥹 Значит ли это полный запрет на трансграничную передачу? 👻

Разобрались в деталях вместе с Артемом — вот главное из статьи для онлайн-журнала «Шортрид»: ⬇️

🔵НЕТ, новая редакция дополнительно не ограничивает трансграничную передачу ПД.

🔵НО в зависимости от радикальности взглядов интерпретатора формулировка «при сборе» может «опылять» любую последующую обработку…

🔵Поэтому делимся парой советов соблюдения требования локализации. Нужно быть готовыми оперативно подтвердить его соблюдение!

Полную версию статьи читайте по ссылке 🙂

#Comply #Комплаенс #ComplyСМИ

Согласование RACI-матрицы: миф или реальность?

В последнее время на рынке всё чаще обсуждают, как правильно распределить ответственность между DPO, юристами, IT, ИБ, менеджментом и другими отделами, участвующими в обработке данных.

Отсутствие понятного для всех распределения задач и ответственности приводит к очевидным проблемам при внедрении новых решений, перестройке архитектуры и других изменениях.

Особенно остра проблема сейчас, когда в компаниях команды совместно ведут работу по предотвращению утечек и проработке их последствий.

➡️ В таких случаях RACI-матрица — удобный инструмент для фиксации задач и распределения ответственности с детализацией по задачам разработки ЛНА, обучения, согласования контрагентов, противодействия утечкам, внедрения технических мер защиты и иных.

Она помогает минимизировать конфликты, недопонимания и помочь не упустить какой-то вопрос из зон ответственности всех команд.

Как внедрять?

🔵Собраться на встречу (чаще всего — несколько встреч…), зафиксировать все текущие ключевые privacy-задачи и совместно определить, кто за что отвечает.
🔵Затем согласовать матрицу в соответствии с внутренними правилами компании и внедрить её.

Часто требуется тестовый период, чтобы учесть новые или забытые задачи и более корректно доработать матрицу. Через несколько месяцев взаимодействие становится прозрачнее и эффективнее, и команды начинают сами апеллировать к матрице при обсуждении.

Но не расстраивайтесь, если так и не удалось договориться о распределении ролей в RACI-матрице: это тоже результат, который подсвечивает высокий риск именно в тех самых несогласованных процессах. Если эти риски реализуются, то плохо будет сразу всем ролям 💙

❕Но RACI-матрица не всегда нужна

Если в компании всего несколько человек, отвечающих за комплаенс, такой инструмент может лишь усложнить процессы. В этом случае достаточно чётко понимать, кто за что отвечает, и при необходимости оперативно проконсультироваться.

P.S. RACI-матрица как формат — не панацея и не решение всех проблем взаимодействия в компании, но точно оптимальный способ фиксации достигнутых договорённостей и упрощения дальнейшей совместной работы 🙂

#Комплаенс #Comply #RACI

Comply.Pulse о том, как корпоративные VPN попали под прицел нового КоАП.

Приняты новые поправки в Кодекс РФ об административных правонарушениях (КоАП), которые вызвали широкий резонанс из-за штрафов за поиск экстремистских материалов. Менее заметной, но более значимой для бизнеса стала ответственность за корпоративные VPN.

Штрафы появились на фоне того, что компании стали массово включать IP-адреса VPN в «белый список» РКН. Это позволяло избежать их блокировки рамках мероприятий властей по защите «суверенного Интернета». Но не стало ли это «явкой с повинной»?

Спойлер: VPN (пока) никто не запрещал.
Но неправильное развертывание VPN в корпоративной инфраструктуре теперь грозит новыми штрафами — до 1 млн рублей.

Предыстория

Статья 15.8 ФЗ «Об информации, информационных технологиях и защите информации» уже давно устанавливает порядок ограничения доступа к VPN и другим средствам обхода блокировок РНК.

В общем виде логика взаимодействия с РКН выглядит так:

🔣РНК узнает о сервисе, который позволяет получить доступ к заблокированным ресурсам и направляет владельцу сервиса требование.

🔣По требованию РКН владелец ресурса обязан в течение 30 рабочих дней подключиться к федеральной государственной информационной системе с перечнем запрещенных ресурсов (ФГИС).

🔣В течение 3 рабочих дней после подключения к ФГИС владелец ресурса обязан обеспечить невозможность использования его сервиса для доступа к заблокированным ресурсам на территории РФ.

Почему многие компании не учитывали такие правила?

🔵Во-первых, не было штрафов. Теперь - полмиллиона рублей за нарушение и миллион за повторное нарушение.

🔵Во-вторых, РКН раньше мог и не узнать о вашем корпоративном VPN. А обязанность соблюдать ст. 15.8 возникает только после получения официального требования от РКН.

Теперь нужно предварительно соотносить риски и решить, стоит ли включать IP-адреса VPN в «белый список» РКН, но таким образом сообщить о себе РКН и раскрыть карты под угрозой новых штрафов.

❓Как действовать бизнесу в условиях новых правил, что изменилось в порядке «обеления» IP-адресов и какие риски теперь важнее.

➡️ Читайте полную версию по ссылке 🙂

#Comply #IP #ComplyPulse

💙 ИНСАЙДЕР РКН: чёртова дюжина тейков из Telegram!

Вчера состоялся акт телеграмного права – на вопросы в чате отвечала Анна Кононенко, начальник отдела контрольно-надзорной деятельности РКН. Участники чата получили 50+ ответов на свои вопросы. Анна, наш поклон РКН!

Формат любопытный. Революционных идей не обнаружили (и это хорошо). Хотя с отдельными поспорить и можно было бы, но кто мы такие? Поэтому вашему вниманию чертова дюжина тейков от РКН:

1. В рамках требования о размещении политики не будет нарушением публикация политики исключительно о той обработке ПД, что происходит с использованием сайта.

2. Адрес электронной почты является уникальным идентификатором субъекта ПД и ПД в отсутствие иной дополнительной информации. То же самое относится к фото- и видеоизображению лица. Но номер телефона будет ПД исключительно в совокупности с дополнительной информацией, относящейся к конкретному лицу.

3. Направление ПД с использованием иностранных мессенджеров пользователям, находящимся на территории РФ, не является трансграном.

4. Сведения о состоянии здоровья, в т.ч. содержащиеся в больничном листе, являются специальными категориями ПД.

5. Обработчик признается оператором ПД и, как следствие, деятельность по обработке ПД в рамках поручения подлежит указанию в уведомлении.

6. Уведомление РКН о намерении осуществлять трансгран подает тот, кто непосредственно трансграничит, то есть не обязательно оператор, но может и обработчик.

7. Использование функционала Google Tag Manager не предполагает трансграничную передачу ПД.

8. Google даёт возможность выбрать репозиторий хранения данных. Если выбран сервер в Швейцарии, то для целей уведомления РКН исходим из того, что передача ПД будет именно в Швейцарию, а не в США.

9. Если сбор и обработка ПД осуществляется только с помощью сайта, то в ВК или Telegram размещение Политики не требуется. Но если в соц. сетях собираете данные, то Политику публикуйте и там тоже.

10. Незаключение поручения с обработчиком ПД может образовывать состав правонарушения для оператора ПД по ч. 1 ст. 13.11 КоАП.

11. В акте об уничтожении также требуется подпись обработчика, если он осуществляет уничтожение ПД.

12. С 1 сентября согласие нужно оформлять отдельно даже от анкет-заявлений [для оценки страхового риска] – включать согласие в текст такого документа не допускается.

13. В уведомлении РКН о намерении обрабатывать ПД надо указывать базы данных не по критерию владельца сервера или формата хостинга баз данных, а все фактически используемые базы оператором для обработки ПД.

Перечень вопросов и ответов из тг-чата корпорации МСП.

Всем отличных выходных 🙂

#Comply #Комплаенс #ИнсайдерРКН

КоммерсантЪ заинтересовался вопросом регистрации цветов в качестве товарных знаков

Регистрация цвета в качестве товарного знака - событие не очень частое, но вполне возможное. Хотя сроки рассмотрения заявок весьма значительны. Такими товарными знаками располагают МТС, Газпром, Tiffany, Сбербанк и другие крупные компании.

Ключевые требования для регистрации:

🔵Соответствующий цвет должен твердо ассоциироваться с конкретными товарами или направлениями деятельности компании.
🔵Регистрация допускается только при условии предоставления убедительных доказательств о приобретении различительной способности в результате длительного и интенсивного использования.
🔵Для однозначной идентификации цветов указываются номера по системе Pantone.

Более подробно о юридических особенностях этого процесса в комментарии для Ъ FM рассказал Максим Али

➡️ Комментарий можно прослушать, кликнув на картинку к посту 🙂

#Comply #IP #интеллектуальная_собственность #ComplyСМИ

Легендарные privacy-команды

Делимся впечатлениями о юбилейном 20-м конкурсе The DEPARTMENT, где впервые была представлена номинация «Эффективная privacy-функция». Для нас это больше, чем еще одна номинация — это отражение того, что ведущие компании на практике перешли от формального комплаенса к управлению ПД как стратегическим активом.

Что показал конкурс?

🔵Защита данных становится частью управленческих решений и цифровых трансформаций.
🔵Наиболее развитые компании прошли этап формального соответствия, не бумажки, но процедуры.
🔵Приватность превращается в драйвер доверия, устойчивости и конкурентного преимущества.

Кто победил?

1️⃣место — Авито
За глубокую интеграцию приватности в технологии, процессы и культуру. От собственных платформ до Avito Privacy Day — полный цикл зрелых решений.

2️⃣место — ЮниРусь
За включение privacy-рисков в операционную рутину и тесную работу с топ-менеджментом. Приватность — часть бизнес-решений.

3️⃣место — Точка
За продуманные ИТ-инструменты: «умный сканер», сервис отзыва согласий и стандарт безопасной разработки.

➡️ Подробнее об этом в журнале Legal Insight.

А у нас для вас — спойлер:

Будучи в жюри, мы увидели по-настоящему выдающийся опыт и живые кейсы ведущих компаний. Поэтому осенью вас ждут fruitful инсайды — лучшие команды будут раздавать privacy-стиль!

Эксперт конкурса THE DEPARTMENT, управляющий партнер Comply, Артём Дмитриев

Следите за нашим каналом, готовим серию интервью с участниками номинации 🙂

#Comply #Комплаенс #PrivacyCompliance #TheDepartment

💙ИНСАЙДЕР РКН: Happy Friday!

Сегодня РКН снова вышел к публике — на этот раз в формате онлайн-семинара. Контемиров Ю.Е. щедро делился разъяснениями и ответами на вопросы: было и про практику проверок, и про свежие подходы к правоприменению, и про то, как правильно жить, чтобы не тревожить регулятора.

Сенсаций не случилось (и это опять же хорошо) — но кое-что пикантное всё же прозвучало. За что Юрию Евгеньевичу, конечно же, наш поклон.

📍Вашему вниманию — наша подборка высказываний РКН. Предупреждаем — Don’t take it literally!

🔵Мультиоператорское согласие — ОК, но с нюансами: если не применимы ограничения (биометрия, спецкатегории и др.) по ч. 4 ст. 9, и при условии единой цели и срока. Категории ПД и объем действий с ними могут отличаться, но тогда это нужно четко прописывать.

🔵Согласие на распространение – только конкретному оператору. Поэтому если у вас группа компаний, и у нескольких из них есть свои диджитал тачпойнты, то есть о чем подумать.

🔵Если две компании используют один сайт, то чтобы соблюсти принцип информированности, придется очевидно разграничить обработку — например, если собираете данные в веб-форме, то явно пропишите конкретного оператора в информировании к ней.

🔵Согласие близких родственников работника для урегулирования конфликта интересов не требуется, если процедура проводится в целях противодействия коррупции. Ранее в судебной практике это уже допускалось, однако регулятор не всегда соглашался.

🔵Согласие сотрудника на публикацию его фото в рекламных материалах прекращается вместе с трудовым договором. Правда, не очень понятно, как это реализовать на практике. Хорошо, что есть согласие на изображение по 152.1 ГК, которое никак не привязано к работе.

🔵Два обязательных условия для перепоручения: в договоре оператора с обработчиком должно быть право на привлечение суб-обработчика, а в согласии указано на возможность суб-обработки... Вы же упоминаете возможность суб-обработки во всех ваших согласиях, верно? 😏

🔵Уже через неделю размещение заявления / договора на одной стороне, а согласия на обработку ПД – на обороте, формально не будет отвечать требованиям к “отдельности” согласия. Это ведь вам не отдельный материальный носитель!

🔵Штрафуют, прежде всего, за отсутствие уведомления, а не за позднюю его подачу. Кто знает, это может быть ловушкой🤔 Но, если честно, нас пока за позднее уведомление ни разу не штрафовали... А таких было много, и даже этим летом!

🔵Если у вас есть зарубежные учредители, то имейте в виду: РКН это тоже знает и ждет ваше уведомление о трансграничной передаче ПД в HQ в составе отчетности и прочих документов. Уж инициалы подписантов там точно найдутся!

🔵Если трансграничит обработчик, то это, конечно же, все еще риск оператора. Поэтому, привлекая обработчика к сбору, надо убедиться — а не использует ли он, например, для этого зарубежные сервисы. И кстати, с учетом недавних пояснений, не только при сборе, но и генерации производных ПД!

Еще раз: не воспринимайте написанное буквально, ведь ответы на вопросы давались без подробного контекста. Некоторые ответы порождают новые вопросы, но хорошо, что уже скоро День открытых дверей РКН.

Лучше бы и не читать (и не писать) такое в пятницу вечером…
Всем отличных выходных 🙂

#Comply #Комплаенс #ИнсайдерРКН

Штрафы за рекламу в «экстремистских» соцсетях (и не только) заработают уже с понедельника

Мы уже говорили, что с 1 сентября будет запрещено размещать рекламу не только в признанных экстремистскими соцсетях, но и вообще на любых заблокированных ресурсах.

Это не значит, что пространства для нового контента не останется. Нативные интеграции и обзоры собственных товаров не попадают под определение рекламы, хотя все зависит от формулировок и контекста.

Отдельный большой вопрос: будет ли запрет иметь «обратную силу»? Нужно ли массово удалять давние публикации в блогах к 1 сентября и станет ли ФАС наказывать за них?

📍 В недавном письме ФАС уточняет: если рекламный пост размещен до 1 сентября, и компания не совершает действий, направленных на его распространение, это не считается нарушением.

Что же тогда считается распространением «старых» постов:
🔣Ссылки на них в новых публикациях
🔣Репосты
🔣Продвижение старых постов с помощью рекомендательных алгоритмов
🔣Размещение в закрепленных сообщениях (!)
🔣Упоминание скидок / акций, действующих после 1 сентября (!)

💙 Важно: отвечать за нарушения будут не только распространители рекламы, но и рекламодатели.

Даже если вы работали через подрядчиков, убедитесь, что запрещенный контент удален.

Еще лучше, если у вас в договоре есть механизмы совместного участия в спорах в ФАС и возмещения потерь в случае санкций со стороны антимонопольного органа 🙂

#Comply #ТМТ #Реклама

ИНСАЙДЕР РКН…опять!

Вчера РКН двери открыл и любезно многое поведал. Традиционно выборочно вашему вниманию несколько тейков из 4+ часов. Полная запись здесь [далее таймкод для удобства].
Всей команде РКН наш поклон — ибо много и долго, wow!

🔵Контроль в цифрах
Количество жалоб граждан растет быстрее инфляции — за 1,5 года РКН получено более 120 тыс. таковых. Сам же РКН проверил почти 80 тыс. сайтов в рамках дистанционного мониторинга. Пу-пу-пу… из них (!) 82% нарушителей. Ну, как не стыдно! [0.14]

🔵Трансграничная передача
Ей будет являться и деловая переписка с зарубежным контрагентом (даже преддоговорная [1.19]), и зарубежные командировки работников, и, конечно же, удаленный доступ из иного государства к вашим ИТ-системам и сбор метрик с использованием зарубежных сервисов. И при том всем передача ПД нашим согражданам зарубеж НЕ трансгран… [1.19]

🔵Куки
РКН любезно привел валидный пример куки-баннера. Пользуемся. [1.23]

«Продолжая использовать сайт, Вы соглашаетесь с обработкой персональных данных, собираемых посредством метрической программы «Яндекс Метрика», в целях аналитики посещаемости сайта. Политика конфиденциальности»

🔵Обезличивание
Инициативное обезличивание ПД компанией (не по требованию гос. органов) в соответствии с Приказом РКН № 140 должно осуществляться на каком-то правовом основании. Да, понятно. НО, РКН прямо исключил из этих оснований п. 9.1 ч. 1 ст. 6 152-ФЗ, который предусматривает ЭПР на обезличенных данных. Так мы никогда ЭПР на данных и не дождемся… [1.36]

🔵Локализация
Вы собрали ПД, локализовали их, а потом обезличили, чтобы передать обезличенные ПД зарубеж. Надо ли локализовать обезличенные ПД? Кто бы мог подумать, но - ДА. [2.35] НО если вторичные, обезличенные или иным образом преобразованные данные готовит иностранная компания зарубежом, то к ней требование о локализации не применимо, ибо не она их собирала. [2.48] Это, видимо, актуально будет только тогда, когда зарубежная компания все-таки самостоятельный оператор, но не обработчик.

🔵Согласия работников
Прекратите их терзать, сказали они! Не нужны согласия работников на передачу их ПД в рамках командировок, зарплатных проектов и выплаты заработной платы, повышения квалификации, мед. страховки, включая ДМС. Это ведь все в рамках трудовых отношений, то есть обязанности работодателя по ТК или на основании трудового договора. [3.16] Вот это поворот! Оказалось, что ст. 88 ТК не такая уж и однозначная. Не будем вспоминать, как появилось прежнее требование о необходимости строгих согласий работников при передаче их ПД.

🔵Основание поручения
Мы помним, чтобы поручить обработку ПД (кстати, и субпоручить — см. тут), у вас должно быть согласие субъекта. Но это согласие может быть включено в текст договора. Все годы до вчера было тревожно поручать без согласия, а, например, на основании лишь договора с пользователем. Жаль, что этим благословлением РКН осталось пользоваться только до понедельника. Ибо с 1 сентября все же это согласие придется «опять» собирать отдельно от договора 🤯 Все же «отдельность» согласий — не звук пустой! [3.22]

Ну что ж, вопросов у нас меньше не стало, но кое-где расставили акценты. Где-то вздохнули с облегчением, где-то записали себе очередной «надо срочно...».

Как обычно — не трактовка и не истина в последней инстанции, а лишь набор наблюдений. Don’t take it literally! Берегите себя и свои согласия 🙂

UPD: добавлены презентации РКН:
🔵Презентация А. Кононенко
🔵Презентация М. Вагнер
🔵Презентация Н. Веселихин

#Comply #Комплаенс #ИнсайдерРКН

Карта изменений: куда движется privacy и TMT-регулирование?

➡️ Ответ здесь — карта изменений.

2025-й можно величать годом законодательного «шторма» в privacy и TMT сферах. Уже вступил в силу ворох норм, а сегодня — новая волна изменений. Если же примут 2-й пакет антифрод мер, то шторм будет практически идеальным 🌊

Мы структурировали законодательные новации этого года так, чтобы наглядно лицезреть актуальные тренды и понять, к чему готовиться.

Можно было бы рассчитывать на баланс между ужесточением и послаблениями для бизнеса. Да, но нет! Большинство поправок направлены на ужесточение — новые санкции, обязанности и требования.

Иными словами, законодательный трек вчера, сегодня и завтра — последовательное усиление контроля и рост рисков.

Мы продолжим отслеживать изменения законодательства, а вы их не пропускайте. Stay tuned 🙂

#Comply #Комплаенс #TMT

Про штрафы за корпоративный VPN

Надеемся, вы изучили полезную карту изменений в privacy и TMT-регулировании. Сегодня хотим акцентировать внимание на важной теме, как использование корпоративных VPN.

Как мы писали в нашем Pulse, многие компании стремятся обелить свои IP-адреса, чтобы их не заблокировали по ошибке.

❕Такой шаг, по сути, означает добровольное сообщение в Роскомнадзор: «у нас есть корпоративный VPN».

Казалось бы, все логично. Но это автоматически влечет за собой новые обязанности:

🔣подключение к ФГИС (реестру запрещённых ресурсов);
🔣фильтрацию трафика;
🔣потенциальную административную ответственность.

Так стоит ли обелять адреса и повышать риск штрафов?
Не станет ли такая инициатива «явкой с повинной»?

Наше мнение смотрите в видео к посту 🙂

#Comply #Комплаенс #TMT

Наша рекомендация - конференция по управлению данными CDI Conf 2025

В фокусе - технологии и управление клиентскими данными: что делают компании уже сегодня и что им предстоит сделать завтра.

В программе, кроме нетворкинга:

🔵Артём Дмитриев, управляющий партнер Comply, поделится мнением в сессии про обезличивание персональных данных.

🔵С нетерпением ждем доклады на тему управления данными и улучшения клиентского опыта от экспертов из HFLabs, Сравни, Альфа Страхование.

🔵Обещает быть полезным выступление представителя ФНС на тему создания единого регистра населения как эталонного источника сведений о физлицах.

Организаторы приглашают CDO, CIO, CMO, аналитиков, архитекторов, экспертов по комплаенсу и других специалистов, чья работа связана с клиентскими данными.

➡️ Посмотреть программу и подать заявку на участие можно на сайте конференции.

Встречаемся 18 сентября в «Кибердоме» на конференции по управлению клиентскими данными CDI Conf 2025 🙂

Privacy-мнение: Утверждена нам дорога в светлое будущее ⛅️

14 августа 2025 года Правительство РФ утвердило План мероприятий по противодействию нарушениям в цифровой сфере. Документ задаёт стратегию регулирования в т.ч. для ПД на ближайшие три года и фактически уточняет контур обновляемой нормативной формации в области ИТ. Кстати, документ важный, полезный, интересный и даже (спасибо!) короткий, поэтому must-have к прочтению.

Что там для нас любопытного?

1️⃣ Минимизация ПД: новая жизнь старого принципа

До конца 2026 года РКН и профильные ведомства должны определить объем ПД, который необходим компаниям для их деятельности. Кстати, работа уже ведется!

Формально принцип минимизации данных уже закреплен в 152-ФЗ. Но что такое принцип без четких инструкций. Просили – получите институционализацию data-минимализма. Оно и не удивляет нас, поскольку уже долгое время РКН и ГРЧЦ призывают к цифровой гигиене, наводить порядок и вот это вот все. Значит, не шутили!

Пока непонятно, будет ли это полноценная таксономия данных (например, в формате «данные – цель – основание») или скорее белый список данных, предодобренных для сбора и обработки. Наконец, будет ли это подсказкой для бизнеса или рестриктивным инструментом и основой для кары? Непонятно, но очевидно, что компаниям придется в будущем предпринять ряд дополнительных «приседаний», чтобы обосновать необходимость всех и каждого атрибута собираемых данных вне такого белого списка. Вероятно, результатом этого мероприятия станет подготовка отраслевых стандартов.

И это значит для нас следующее:

🔵вероятно, сбор и обработка «избыточных» данных на вырост будет активнее отслеживаться и караться по ст. 13.11 КоАП;
🔵пока ждем рекомендаций от государства, на своей стороне маппим данные, если еще НЕТ – какие данные, как долго, в каких бизнес-процессах и целях... Не затягивайте с этим до выхода «рекомендаций».

2️⃣ Ужесточение ответственности: риск длиннее и больше

Значимое направление плана – усиление санкций и увеличение сроков давности для административных нарушений в сфере ПД. Ибо пока гром не грянет, … ну вы поняли!

Сегодня по ст. 13.11 КоАП ответственность варьируется: от 50 000 рублей до 1–3 % годового оборота. При этом срок давности при нарушении законодательства о ПД составляет лишь год с момента совершения большинства нарушений.

И это значит для нас следующее:

🔵государство может увеличит срок давности для нарушений законодательства о ПД до двух и более лет, а также пересмотрит размеры санкций. И да, о повышении штрафов за первичную утечку ПД уже говорят в Госдуме;
🔵нарушения, которые раньше могли сойти с рук из-за истечения срока давности, теперь будут преследоваться дольше. Никто не уйдет от правосудия! Хотя вряд ли это как-то изменит карту / оценку рисков для компаний. А вот контролирующему органу с новыми сроками будет явно комфортнее, ну и славно!

3️⃣ Иные мероприятия

Планом также предусмотрено большое множество иных мероприятий включая использование ИИ для выявления запрещенного контента, подготовку к подписанию Конвенции ООН против киберпреступности, формирование культуры ответственного поведения в Интернете, а также создание на постоянной основе экспертно-консультативной группы, в которую войдут представители органов власти, операторов связи, банков и ОРИ. Задачи группы – выявлять и решать проблемные вопросы, предлагать совершенствования законодательства и обсуждать расширение полномочий IT-компаний в сфере компьютерных экспертиз. В общем и целом - инструмент, возможно, мягкого права. Радостно!

📍 Итого

Да, план явно указывает на вектор государства на ужесточение контроля над цифровой средой. НО все же мы осторожно позитивно оцениваем этот вектор. Тут вам / нам и инструменты мягкого права и кастомизация рекомендаций под отрасли. Есть там свет, есть! 🙂

#Comply #Комплаенс #PrivacyCompliance #PrivacyМнение