В данный момент мы выступаем на конференции Право.ру «Защита информации и ПД». День был насыщенным, но самая интересная сессия только начинается – наша.

У нас в гостях:
🔵Екатерина Ефимова, руководитель направления ПД, ГРЧЦ (Роскомнадзор)
🔵Егор Смородинов, DPO, ВкусВилл

Говорим не о теории ради галочки, а на реальных примерах рассказываем о том, что помогает митигровать front-end риски и риски из утечек.

Делимся с вами тремя чек-листами:

🔵Front-end комплаенс – проверка цифровых поверхностей
🔵Privacy-совестливый оператор – концентрат контролей и артефактов, предотвращающих возможную утечку ПД
🔵Реагирование на утечки – карта действий, когда думать времени уже нет

Еще будет часть Q&A с участием Екатерины Ефимовой из ГРЧЦ. Если интересные вопросы поступят Екатерине, то добавим ответы на них в комментарии к этому посту 🙂

#Comply #Комплаенс

В фокусе свежего выпуска журнала «Закон» – персональные данные, а интервью номера – с Артемом. Рассказали о многом:
🔵об изменениях законодательства и практик Роскомнадзора;
🔵о регулировании технологий повышения конфиденциальности и доверенных посредников;
🔵о необходимости перемен в текущем подходе к обезличиванию и использованию данных для ИИ.

➡️Был и еще один интересный тейк – им и делимся.

Да, законодательство меняется быстро и не всегда предсказуемо, правоприменительная практика волатильна, риски становятся только больше. Все плохо и тревожно! НО мы с вами создаем и внедряем такие процессы работы с ПД и прочие privacy-ритуалы, которые устойчивы к этим внешним переменчивым факторам.

Ок, если иногда изменения все же нужны из-за новых требований и практик РКН, то они, как правило, носят локальный характер и не сопряжены с перестройкой бизнес-процессов или ИТ-систем. То есть мы внедряем не просто privacy-комплаенс, не только комплаенс ради защиты от штрафов, но и такой комплаенс, который оберегает бизнес от драматичных внешних перемен на годы вперед. Другими словами, privacy резистентный комплаенс.

Вот, например, конкретизация условий поручений в 2022 году – ничего нового, мы и раньше формулировали их именно так. Или требование об отдельном сборе согласий – мы всегда соблюдали этот принцип, просто потому, что так диктует сама логика закона. Сюда же можно отнести и уточнение о «предметности» согласий – опять мимо. Даже изменения в части локализации почти не затронули нас и наших клиентов, за исключением совсем уж экзотичных кейсов. Думается, что и грядущий «крестовый» поход против согласий нам тоже не (сильно) спутает планы, ибо мы и так никогда не были адептами консенто-поборов по любому поводу «на вырост».

Но ведь находятся те, кто каждый раз идут все переписывать опять и опять. Но не мы. Надеемся, и не вы. Как так? Стратеги? Провидцы? Нет, всего-то надо смотреть в суть требований, друзья! И, конечно, не забывать критично мыслить. Если ваш подход к процессу / документу логичен и обоснован здравым прочтением требования закона, то девиации отдельного инспектора РКН или новинки правоприменения, скорее всего, не так вам страшны, как о них рассказывают.

Верим, что пора ввести рейтинги для in-house прайвасистов и консультантов не по количеству проектов или их значимости, а предложить качественную оценку – сравнить «боевые» документы хотя бы пятилетней давности. У кого больше совпадений с требованиями и практиками сегодняшнего дня, тот и privacy-царь, на которого можно и нужно полагаться.

У нас так получалось раньше – надеемся, будет и впредь. Да, грядут новые и большие privacy-изменения. Как говорится, зима близко. Но мы верны себе и рассчитываем, что если сегодня делать действительно правильно, то и в 2026 году это по-прежнему будет правильно без тюнинга.

➡️Итого, друзья, делайте так, как экспертно знаете, а не так, как делают другие и как подсмотрено у них без понимания контекста 🙂

#Comply #Комплаенс #ComplyСМИ

Privacy-мнение: Не дело это, делить шкуру неубитого медведя
 
Прежде не задумывался и не встречал практики, когда государство что-либо адресно финансирует за счет штрафов, тем более в части ПД. А в этом году постоянно попадаются на глаза истории про то, как что-то, казалось бы, стратегически важное будет финансироваться за счет собираемых штрафов. То есть какие-то важные активности нужны, но достаточных средств в бюджете на это нет, увы – «но вы держитесь». Цифры не сходятся. И вот предусмотрели финансирование таких выпадающих активностей за счет иных ожидаемых поступлений.
 
➡️ Например, для постройки отечественных спутников связи Минцифры хочет распределить допдоходы бюджета за счет сборов за интернет-рекламу и коммерциализацию «Госуслуг». Вот и для развития нацпроекта «Экономика данных» тоже нашелся такой дополнительный источник финансирования. Это штрафы за privacy некомплаенс! То есть раньше делили шкуру неубитого медведя, а теперь миллионы еще несобранной индульгенции.
 
Что по цифрам?

На эти цели за счет штрафов по ст. 13.11 КоАП хотят забрать всего около 70 млн ₽. Много ли это? Для развития нацпроекта – ничтожно. Но в объеме штрафов за privacy некомплаенс – немало. Дело в том, что по последней информации благодаря усилиям РКН за полтора прошедших года бюджет мог бы пополниться на 132,5 млн ₽.
 
Почему мог бы? Дело в том, что 98% из этой суммы – штрафы за нелокализацию ПД. А почти все такие штрафы выносятся фактически иностранному бизнесу. Оплачивают ли они такие штрафы в бюджет РФ – вопрос риторический.
 
Вот и получается, чтобы деньги, нужные на развитие нацпроекта, все же оказались в бюджете, РКН придется действовать несколько решительнее. При этом достаточно буквально нескольких симпатичных утечек ПД, чтобы KPI выполнить, и все развивалось вовремя.
❕Помним про драматичные размеры новых штрафов. И тут же вспоминаем недавние опусы про необходимость введения оборотных штрафов уже за первую утечку.
 
Нам остается лишь посмотреть, как практика будет развиваться. И будет немного совестно, конечно, защищаться от этих штрафов. Казалось бы, наша работа. Но выходит, из-за нас «Экономика данных и цифровая трансформация государства» рискует недополучить! Как бы то ни было, и без шуток очевидно, что это еще одно подтверждение тенденции по усилению регулирования и в целом значимости данных.

Подробнее читайте комментарий управляющего партнера Comply Артема Дмитриева в Ведомостях здесь 🙂

#Comply #Комплаенс #PrivacyCompliance #PrivacyМнение #ComplyСМИ

С 20 по 24 октября пройдет Евразийский конгресс по защите данных (EDPC 2025) — важное событие года для всех, кто работает с данными.

➡️ В программе конгресса — regulation, AI, финтех, фарма, e-commerce, LegalTech и практика взаимодействия с пользователями.

Те самые темы, где технологии и комплаенс должны говорить на одном языке.

В этом году среди спикеров EDPC — команда Comply:

🔣Артем Дмитриев, управляющий партнер
🔣Сергей Сайганов, партнер, руководитель практики Tech
🔣Мария Пономарева, старший юрист
🔣Лиана Оваканян, юрист

Будем говорить о рисках, данных, технологиях и о том, как сохранять баланс между инновациями и безопасностью.

📍EDPC 2025 — 20–24 октября, Москва и онлайн

🔗 Подробности и регистрация по ссылке 🙂

Прямо сейчас Артем Дмитриев, управляющий партнер Comply, выступает на форуме ITSEC, посвященном безопасности данных.

На сессии «Персональные данные в 2026 году: новые требования и инструменты» рассказывает, как в случае утечки избежать составления РКН протокола, а если протокол все-таки составлен — не допустить получения штрафа за утечку.

➡️ На видео к посту привели статистику в % по делам об утечках за предшествующие 24 месяца. От года к году статистика существенно не меняется и показывает примерно такое распределение решений судов. Примечательно, что еще нет практики рассмотрения дел об утечках арбитражными судами.

Как мы говорили прежде, можно добиваться не только НЕсоставления протокола РКН о нарушении (в них всегда написано примерно одно и то же), но и доказать суду, что несмотря на наличие утечки нет необходимости карать вас штрафом — можно ограничиться и предупреждением.

Для этого придется постараться и убедить РКН, а затем суд, что несмотря на утечку, вы были privacy-совестливы как до утечки, так и после нее 🙂

#Comply #Комплаенс

IP-мнение
Клевета в интернете: как защитить репутацию компании

Сегодня любой бизнес может столкнуться с репутационным кризисом: негативные отзывы, посты в соцсетях, «слив» в поисковой выдаче — все это может повлиять на восприятие бренда клиентами и партнерами.

Что делать, если вы столкнулись с клеветой?

1️⃣ Во-первых, есть возможность удаления сведений через инфопосредников — соцсети, сайты, поисковики. Иногда достаточно формального запроса, чтобы убрать ссылку или пост.

2️⃣ Во-вторых, можно использовать право на забвение — особенно если речь идет о руководителе или сотруднике компании.

3️⃣ В случае с традиционными медиа возможен и другой путь — требование об опровержении или публикации ответа, на который дает право закон о СМИ.

Если задача — компенсировать репутационный вред, придется быть готовыми к сложностям: российские суды пока редко присуждают крупные суммы.

❕Важно: любые действия лучше координировать с PR-командой. Ошибочный иск или публичная формулировка могут только усугубить ситуацию.

Наше мнение смотрите в видео к посту 🙂

#Comply #IP #IPМнение

Privacy-мнение: Антифрод-2: согласия живы, хоть и напуганы

Первая редакция законопроекта насторожила многих – из текста следовало, что согласия можно собирать только тогда, когда такая обязанность предусмотрена международным договором или федеральным законом. И таких случаев не так уж и много, конечно же.

Судя по всему, крестовый поход на культ согласий рисковал зайти слишком далеко. Да, этот культ следует искоренять, но не так грубо. Иначе в этой священной войне могли пострадать и вполне себе безобидные процессы обработки. Возможно, именно так и подумал законодатель, и удалил эту норму из новой редакции проекта. И это ключевое изменение для нас по сравнению с первой редакцией.

Это, конечно, не индульгенция на сбор согласий «на вырост». Бизнесу давно пора осваивать иные основания обработки – тот же договор, закон или законный интерес, который на бумаге существует, а на практике все еще крайне редко оживает. Поэтому те многие, кто начал свой путь по замене консентопоборов на что-то иное — пожалуйста, не останавливайтесь.

Что осталось в новой редакции проекта в части ПД-регулирования (см. статью 5 Антифрод-2):

🔵управление согласиями через ЕСИА, включая их предоставление и отзыв [ч. 1(1) и 2(1) ст. 9];
🔵типовые формы согласий будут утверждать РКН и Минцифры, а в финсекторе – еще и с ЦБ [ч. 1(3) ст. 9];
🔵субъекты смогут видеть на Госуслугах информацию об обработке ПД на основании согласий по ч. 7 ст. 14 [ч. 7(1) ст. 14];
🔵субъекты смогут жаловаться в РКН на оператора через Госуслуги, но только после получения от него информации по ч. 7(1) ст. 14 [ч. 1(1) ст. 17].

Как можно заметить, Антифрод-2 все больше уводит нас в цифровой контроль, но до бана согласий не дошло... еще пока. Однако их активное использование все равно будет сильно урезано. Ведь работа с ними станет куда более наглядной и подконтрольной как субъектам, так и РКН.

Да и вообще, бизнесу будет непросто. Ведь новые механизмы управления согласиями потребуют адаптации всех каналов сбора – как онлайн, так и офлайн. А с последним пока совсем не ясно, как именно это реализовать. Наверняка не обойдемся тут без Цифрового ID из МАХ-а. Скоро узнаем, как это будет прописано в Постановлении Правительства. В Постановлении также будут закреплены:

🔵порядок и случаи получения / отзыва согласий через ЕСИА, включая их типовые формы и состав;
🔵порядок и случаи предоставления оператором информации через ЕСИА.

Кроме того, во 2-ю редакцию проекта внесли новое положение о передаче в ЕСИА информации о предоставлении / отзыве и тех согласий, которые получены непосредственно у субъекта вне ЕСИА. Очень интересно, но пока непонятно: а как это будет реализовано технически? Как минимум — не всегда у оператора, собравшего согласие, достаточно ПД, чтобы точно идентифицировать субъекта.

➡️ При этом законопроект не предлагает какие-либо санкции за непередачу сведений о согласиях в ЕСИА. Что будет оператору, если он не направит или направит много позднее эти сведения в ЕСИА? Вариантов для этого несколько, но пока не будем гадать.

В любом случае, чтобы разобраться с этими вопросами у нас и чиновников 2+ года. Ибо ожидается, что:

🔵субъекты смогут управлять согласиями через ЕСИА после 1 марта 2028 года, а
🔵операторы должны обеспечить передачу сведений о согласиях в ЕСИА не позднее 1 сентября 2028 года.

Бизнес, кажется, может пока выдохнуть, но уже начинать готовить бюджеты, т.к. судя по всему, менять процессы и системы придется масштабно. Граждане же (кому интересно) получат новые инструменты управления, а регулятор, вероятно, доволен новым контрольным инструментом. Или нет? Ведь это, наверное, небесплатная разработка для государства такого функционала ИЭП, а для бизнеса не бесплатная адаптация процессов. Ну да ладно, что мы считаем чужие деньги! Или не чужие? Платить ведь населению…

Просто фиксируем очевидное: согласия живы, но их рассвет уж точно канул. Время новых фаворитов.

P.S. Ожидайте завтра продолжение про Антифрод-2 🙂

#Comply #Комплаенс #Privacy #PrivacyМнение

Privacy-мнение: Антифрод-2 (cont’d): ПД и ТМТ-аспекты

Сперва пара тейков про ПД:

🔵Пока без императивных составов данных

Из новой редакции проекта убрали упоминание разработки составов данных, допускаемых к обработке. Оно и хорошо. Работа в этом направлении и так ведется, но, возможно, это будет обличено не в форму императивного требования для операторов, а станет элементом мягкого права – рекомендации, стандарты или одобренные практики. Это важнее и полезнее для отрасли, чем очередной запрет. 

🔵Придется ответить за старые грехи

Мы хотели сделать голосование, но сегодня Милош Эдуардович выступая на EDPС уже ответил на наш, как оказалось, не такой уж и очевидный вопрос. Так вот наш вопрос – Придётся ли передавать в ЕСИА и те согласия, которые были собраны ДО вступления в силу изменений? Ответ холодит кровь. Уберите от экранов всех, кроме DPO. Да, это требование коснется всех согласий, в т.ч. собранных ДО вступления закона в силу! Всем удачи! Финансовые и операционные издержки будут таковы, что проще будет найти другое основание или уйти.

Не обойдем вниманием и ТМТ-аспекты, а их в законопроекте хватает⚠️

🔵Теперь уж точно авторизация только по российской почте

Мы все не так давно волновались, будут ли нормы об авторизации пользователей с использованием российских информационных систем означать использование только российских адресов почты. Тогда обошлось, но законодатель наносит ответный удар. Теперь Правительство будет вправе обязать использовать только почту из доменов .RU/.РФ в «определенных случаях». Что это за случаи не раскрывается, но уже начинаем беспокоиться за Госуслуги, привязанные в Gmail.

🔵Фейки = основание для блокировки любого сайта

Законопроект запрещает фейки и прочую информацию, которая вводит пользователей в заблуждение под видом достоверных сообщений. В прошлой редакции критерии «фейков» оставлялись на откуп Правительству, что было скорее хорошо – ведь поле усмотрения регулятора могло быть хоть как-то ограничено. Теперь же речь идет о запрете самого широкого спектра «фейков». Так что «фейк-ньюз», которые пока что были головной болью СМИ, теперь станут проблемой для всех. И да, будут грозить блокировкой ресурса. Хорошо, что у нас тут без фейков.

🔵Новые барьеры для контента 18+

Если владелец ресурса имеет статус организатора распространения информации, ему потребуется принимать дополнительные меры для защиты детей от вредной информации. Например, проверять принадлежность номера несовершеннолетнему и выполнять иные требования, установленные Правительством. Так что социальным сетям, мессенджерам, маркетплейсам и прочим следует приготовиться. Видимо, времена, когда можно было поверить в возраст пользователя «на слово», уходят безвозвратно.
К слову, на этом новые обязанности ОРИ не закончатся: тех же владельцев мессенджеров отдельно обяжут сообщать о случаях фрода в ГИС.

Похоже, что «Антифрод-2» никого не оставит равнодушным. Учитывая ширину полета мысли законодателя, будет полезно провести повторный аудит интернет-ресурсов после принятия законопроекта 🙂

#Comply #Комплаенс #Privacy #ТМТ #PrivacyМнение

Сегодня мы на форуме ЦИФРАПРАВА – одной из ключевых площадок для обсуждения актуальных вопросов цифровой экономики.

День насыщенный, но самая интересная сессия только начинается – наша.
Круглый стол «99 франков: новое регулирование рекламы в цифровую эпоху» – модерирует и выступает наш партнер Максим Али, руководитель практики интеллектуальной собственности.

Максим рассказывает про «рекламный троллинг»: как защитить себя от жалоб подписчиков на спам.
➡️ Факт - 40% нарушений, которые выявляет ФАС – это спам, нарушение правил рекламы по сетям электросвязи.
При этом появилось много «социально активных граждан», которые занимаются троллингом – торгуют согласиями.
➡️ Можно ли ссылаться на злоупотребления в спорах в ФАСе? Воспримет ли ФАС такие аргументы? Как доказать соблюдение ст. 18 Закона о рекламе? Об этом и поговорим.

И говорим не о теории ради галочки, а на реальных примерах разбираем споры о спаме:
🔵Подписчики, которые создают не конверсию, а проблемы – как работают схемы рекламного троллинга?
🔵Что необходимо доказать, чтобы не быть уличенным в спам-рассылке?
🔵Работают ли ссылки на злоупотребление правом со стороны пользователя?

Если будут интересные вопросы по итогам сессии, добавим ответы в комментарии к этому посту.

💙 Завершится деловая программа церемонией награждения лауреатов премии «Цифровой юрист года», где управляющий партнер Comply Артём Дмитриев является членом жюри 💙

Благодарим Право.ру за день пользы и профессионального удовольствия 🙂

#Comply #интеллектуальная_собственность

Privacy-мнение: Отраслевые стандарты – это ли не чудо?

В чем там дело?

РКН приступил к разработке отраслевых стандартов работы с ПД. Об этом на EDPC заявил Милош Вагнер:

В эти стандарты будут вшиты правила и принципы работы с данными, установленные законом. Они должны быть настроены таким образом, чтобы защищать права субъектов и удовлетворять потребности бизнеса в осуществлении своей деятельности. Это позволит дать четкие инструкции для тех, кто готов соблюдать закон. Мы уже нашли концептуальную поддержку этой инициативы в Минцифры, Минэкономразвития и других профильных федеральных ведомствах.

И буквально утром опубликовали цитату Главы Роскомнадзора Андрея Липова:

Возьмем туризм или образование. Вот две отрасли. В туризме гостиницам можно брать вот такие персональные данные. В образовании - другие. Проанализировать эти перечни с участием профильных ведомств и согласовать их. И дальше в рамках этих отраслевых перечней действовать без согласий. Но не взваливать на плечи гражданина непомерный груз по оценке того, нужны эти персональные данные или не нужны эти персональные данные. Тогда и меньше персональных данных будет скапливаться там, где не надо, и меньше будет утечек.

По сути речь идет о приземлении принципов и требований, установленных 152-ФЗ, для отдельных типовых бизнес-сценариев работы с ПД. Это прекрасная инициатива, которую приветствуют многие представители бизнеса. Это справедливо, конечно, при условии, что это не будет реализовано в форме единственного возможного сценария работы с данными, а в форме рекомендаций РКН. Опять-таки, элемент намоленного мягкого права от РКН и, кто знает, может даже пример win-win подхода для всех участников рынка данных. Это важнее и полезнее для отрасли, чем очередной запрет.

Что происходит сейчас?

С одной стороны, эта активность уже, как минимум отчасти предусмотрена Распоряжением Правительства № 2207-р, например, «определение объема обрабатываемых персональных данных» бизнесом (п. 1 плана мероприятий). С другой – из обновленного законопроекта Антифрод 2 было исключено упоминание разработки составов ПД, допускаемых к обработке. Будем посмотреть, как далее закрутится здесь сюжет.

Есть и еще нюанс. РКН говорил уже не раз, и даже не два:

Мы готовы работать, но не вместо, а вместе.

И правда, теперь видим и сами – много недовольных, но кто предложит что-то дельное? Как показывает практика, все мы много критикуем и потребляем, но креаторов из нас только лишь не все, к сожалению. А для создания таких стандартов как раз-таки нужен глас народа бизнеса.

Что в них может быть?

В таком стандарте кроме стандартных наборов ПД могли бы быть предусмотрены следующие параметры обработок:
🔵перечень типовых целей / процессов обработки ПД;
🔵правовые основания по каждой типовой обработке;
🔵ориентиры по срокам хранения / уничтожения ПД;
🔵типовые категории третьих лиц, которым может передаваться обработка, и условия такой передачи.

Всем хочется как лучше, и вот чтобы так и получилось, крайне важно сразу установить рекомендательный характер такого стандарта, что его примеры и условия не являются исчерпывающими и всеохватывающими. Рекомендательный характер более предпочтителен с учетом того, что стандарт a priori не может покрыть любые процессы обработки ПД, которые могут отличаться у операторов и зависеть от многих переменных. Эта логика основывается, в том числе, на основе зарубежного опыта. Например, европейские надзорные органы издавали и издают такие стандарты в качестве не обязательных, а рекомендательных руководств, а также отдельные штаты Америки определяют в своих законах круг допустимых целей / наборов ПД для действия презумпции минимизации данных 🙂

#Comply #Комплаенс #PrivacyМнение

Концепция предлагает варианты закрепления прав на сгенерированный контент (но они понравятся не всем)

Один из вопросов, поднятых в Концепции – неопределенный правовой статус объектов IP, созданных ИИ. И эту неопределенность планируется устранить в пользу:

🔵провайдера системы ИИ
или
🔵самой системы (!)

Последнее, конечно, вызывает вопросы. Неужели ИИ станет субъектом права до 2030 года? Концепция упоминает возможные правовые статусы «электронного» или «виртуального лица», но сразу же оговаривается, что такая постановка вопроса пока скорее теоретическая.

По сути, предложенная развилка является выбором без выбора. Заведомо непроходной вариант закрепления прав на IP за системой ИИ будет отклонен и права достанутся… бигтеху провайдерам систем ИИ.

Тем самым Концепция элегантно умалчивает про третий вариант: закрепить права за пользователем системы ИИ. Теоретически этот вариант не то чтобы сильно уступает идее сделать правообладателем провайдера ИИ. Ведь когда пользователь пишет промпт, он вносит не меньший вклад, чем когда делает селфи на телефон. С другой стороны, закрепление прав за провайдером системы ИИ дает больше оснований считать результат генерации охраноспособным, даже если промпт был примитивным.

Конечно, провайдеры систем ИИ обычно (а крупные – всегда) и так регулируют вопросы распределения прав на IP в пользовательских соглашениях. Но идея закрепить распределение прав «по умолчанию» выглядит здравой, т.к.:

🔵 Тогда мы устраним оставшиеся (даже после дела Рефейс Технолоджис) сомнения в том, что результаты генерации в принципе могут быть охраноспособны.
🔵 Поймем, как распределяются права, если, например, пользовательское соглашение будет признано незаключенным.
🔵 Перейдем к следующим вопросам: является ли сам промпт объектом авторского права, должны ли мы считать сгенерированный объект производным произведением с вытекающими из этого последствиями и т.д.

Так что за судьбой прав на IP в Концепции продолжаем следить и в следующем посте расскажем про аспекты privacy в ней 🙂

#Comply #IPмнение #Комплаенс

Продолжаем. Концепция не обделила вниманием и ПД, хотя конкретных механизмов нет.

Концепция предлагает:

🔵расширять случаи формирования наборов ПД  гос. органами, компаниями и предоставлять их разработчикам;
🔵создавать условия для внедрения облачных технологий и ИТ-аутсорсинга на фин. рынке, включая новые методы обработки ПД;
🔵совершенствовать механизмы распространения, шеринга и метчинга ПД.

Пока это декларации, а не готовые механизмы. Сейчас видим, что:

🔵В РФ де-факто отсутствует рабочее регулирование «открытых» ПД и наблюдается, увы, обратный процесс. Статус многих пром. данных сложно определим из-за множества отраслевых ограничений (национальных и стратегических интересов). Это давно пытается преодолеть АБД.

🔵Регулирование продвинутых методов обработки ПД (PETs – технологий повышения конфиденциальности) неопределенно. Законопроекты обсуждаются, но пока, увы, нет единого мнения о подходе к таким технологиям с учетом консервативного регулирования обезличивания и средств защиты ПД в отечестве нашем.

🔵ЭПР в сфере ПД еще не заработали, хотя уверенные шаги были: внесение изменений в закон об ЭПР, предоставление законного основания для обработки обезличенных ПД в «песочницах» и др. Но ЭПРы по обезличиванию и обмену через доверенного посредника, увы, но пока без успеха. Отдаем должное – много ЭПР запущено в сфере беспилотников и мед. устройств.

🔵Исключения для обработки обезличенных ПД, прописаных в законе, не решают проблему: разработка и обучение моделей весьма с трудом укладываются в рамки «аналитики» или «статистики». Ценность «Госозера данных» для бизнеса по-прежнему неясна.

Для сравнения, в Южной Корее обезличенные ПД допускаются к использованию в научных, аналитических целях, для разработки и обучения ИИ-моделей, при соблюдения ряда тех. и орг. гарантий. Законодатель рассматривает новое исключение: разрешать использование ПД для обучения ИИ без их обезличивания, если цель обучения совместима с исходной целью их сбора и при разрешении регулятора 🔥 Если цели различаются, то для правового основания применяется законный интерес, который признается применимым для разработки и использования ИИ, как и в ЕС.

🔵Принцип недискриминации алгоритмов. По сути, это требование debiasing, что означает доступ к большим и чувствительным наборам данных (в т.ч. из специальных категорий ПД). Как это должно работать в текущей правовой конструкции, где доступ к специальным категориям ПД возможен только с письменных согласий – вопрос широко открытый. В ЕС для этого AI Act конкретизировал исключение для обработки специальных категорий ПД в публичных интересах для целей устранения предвзятостей моделей.

Что ожидать?

Отдельного регулирования ИИ пока не планируется, но в концепции признаются «локальные регуляторные проблемы» и заявлен гибридный подход: сочетание саморегулирования, мягкого права и точечных поправок в законодательство. Это отличает РФ от других юрисдикций: в ЕС, Корее, Японии, США и Бразилии принято или готовится к принятию отдельное комплексное регулирование ИИ.

Мечтается, развитие приведет к позитивным изменениям в области ПД:

🔵институционализация доверенных посредников;
🔵развитие практики применения «законного интереса» для ИИ;
🔵уточнение исключений для работы с обезличенными данными;
🔵появление отдельного регулирования промышленных данных.

Авторы обещают подготовить план изменений за 6 месяцев после утверждения концепции. Но принять ключевые акты планируют лишь к 2030 г. Работа по отдельным направлениям активно ведется с привлечением контролирующего органа и бизнеса.

В итоге документ дает вектор, но для практиков в сфере ПД и ИИ все еще нет понятного инструментария. Надеемся на конкретные шаги. Начать можно было бы с институционализации доверенных посредников и работы по методике применения законного интереса. То есть уже начали, надеемся на окончание 🙂

#Comply #PrivacyМнение

Privacy-мнение: Новая реальность дел по ПД – какова она?

РКН сообщил, что с момента вступления в силу поправок в КоАП в суды были направлены 15 дел об утечках ПД. Кстати, с начала года было зафиксировано 103 утечки, снова по информации РКН. И все же с трепетом ждем решений по этим делам, ведь именно они рискуют заложить фундамент новой практики по утечкам. То есть вопрос и правда фундаментальный. Напомним, вот уже с лета дела по ПД рассматриваются арбитражными судами.

А пока мы в предвкушении, решили посмотреть уже имеющуюся арбитражную практику. Дел не так много, но есть симпатичные.

🔵Образец более гибкого подхода – суд по причине малозначительности нарушения отказал в привлечении к ответственности за отсутствие на сайте компании куки-баннера / иного основания обработки куки. На сайте используется Яндекс Метрика. Дело было по ч. 1 ст. 13.11 КоАП. Занятно, такое нам нравится!

🔵Некоторые суды пока в стадии отрицания новой реальности и отказывают в рассмотрении дел по 13.11 КоАП в связи с … неподсудностью. Аргумент, например, такой: дело связано не с предпринимательской деятельностью, а с необходимостью соблюдения законодательства о ПД. Это забавно, но сойдет ли в качестве аргумента против рассмотрения дела об утечке в арбитражном суде?

🔵И они туда же… Суд посчитал, что только лишь номер телефона вовсе не ПД, конечно, если без привязки к другим идентификаторам (ФИО, СНИЛС, паспортные данные). Хотя суть дела была в том, что на номер субъекта поступило нежелательное СМС!

🔵Уже многие смотрели интересное решение по делу об утечке РЖД. Один из самых спорных моментов – суд согласился с РКН и определил подходящий состав нарушения по старой редакции ст. 13.11 КоАП. Ок, ведь утечка, судя по всему, имела место до вступления в силу поправок. НО размер штрафа был определен уже по новой редакции. Кажется, судья попросту забыл проверить редакцию КоАП, актуальную на момент утечки.

🔵А что по тактике защиты РЖД? Вот и нам стало интересно. Факт утечки РЖД отважно не подтверждал, даже когда получил запрос РКН по утечке. Затем – внеплановая проверка. В суде среди аргументов РЖД видим только референс на Политику безопасности, что, по понятным причинам, суд не впечатлило – только лишь наличие документа не свидетельствует о его исполнении. Верим, что больший эффект на суд произвели бы артефакты, демонстрирующие наличие реальных privacy-процедур и контролей. Об этом подробнее в нашем чек-листе.

Мы сохраняем оптимистичный настрой в отношении передачи дел по 13.11 КоАП арбитражным судам и ожидаем более гибкого подхода к разрешению дел по ПД. Всего в арбитражных судах сейчас рассматривается более 50 дел по ПД. Так что в самое ближайшее время увидим новые и, возможно, неожиданные тейки и подходы судов.

Кстати, кто-то мог видеть новости о том, что уже имеется позитивная практика, когда компаниям удалось прекратить административное расследование, не доводя дела до суда. Хотелось бы верить в лучшее, но по словам РКН пока только по одному административному расследованию факт утечки не был подтвержден. Поэтому, как и раньше, больше верим в возможность добиться прекращения дела в суде, чем на этапе расследования дела РКН. Но не стоит забывать, что для благоприятного разрешения дела судом крайне важно выстроить корректную линию поведения и на этапе взаимодействия с РКН 🙂

А по вашему мнению, как изменение подсудности дел по ПД скажется на правоприменительной практике? Пишите в комментариях: 🕊️, 😐 или 😈

🕊️ – Ожидаю более либерального и гибкого подхода.
😐 – Думаю, принципиально ничего не поменяется.
😈 – Практика будет только жестче.


#Comply #Комплаенс #PrivacyМнение

💙Privacy.Seasons – поехали!💙

В серии подкастов один за другим делятся лучшими практиками те, кто знает о защите данных не понаслышке – легенды премии The Department от Legal Insight в номинации «Эффективная защита ПД». Только реальные кейсы, рабочие практики и ответы на те вопросы, которые обычно спрятаны за кадром.

Артем Дмитриев, управляющий партнер, Comply и Екатерина Ефимова, руководитель направления ПД ГРЧЦ Роскомнадзор, направляют беседу и добавляют экспертную глубину.

Первый выпуск уже готов.
В гостях – Екатерина Липова, начальник отдела контроля процессов с ПД Альфа-Банка. Да-да, именно она расскажет, как это работает изнутри в одном из крупнейших банков страны. Среди прочего обсуждаем и немного подглядываем:

🔵Выстроенная Программа по управлению ПД
🔵Активная работа с ИИ ассистентами по ПД
🔵Privacy-культура в Банке
🔵Кросс-функциональная База знаний по ПД

Основная цель Privacy.Seasons – повысить уровень качества и культуры использования ПД на рынке. Актуальность этой темы сегодня неоспорима, что лишь подтверждает необходимость создавать подобный контент и максимально широко делиться им с рынком, так как это актуально для любого бизнеса.

Артем Дмитриев, управляющий партнер, Comply

Пора менять парадигму: защита данных – это не про запреты, а про грамотные процессы. Учиться на лучших кейсах, а не на своих ошибках –правильная стратегия для любого бизнеса.

Екатерина Ефимова, руководитель направления ПД ГРЧЦ, Роскомнадзор

Работаете с ПД или просто регулярно с ними сталкиваетесь? Тогда первый выпуск Privacy.Seasons – ваш must-watch.

📍А в гостях следующего подкаста – Авито! Кстати, у них интересные новости про работу с ПД.

Смотреть:
Youtube
Rutube

Слушать:
Mave
Telegram-плеер

#Сomply #Kомплаенс #PrivacySeasons #ГРЧЦ

IP-мнение: Нейросети - как ими пользоваться и не создать проблем?

Ранее мы уже рассуждали про развитие ИИ и возможности его регулирования. Если же посмотреть с более практической точки зрения, то использование ИИ касается почти каждого бизнеса.

Многие компании уже активно применяют ИИ-инструменты для генерации контента. Причем даже если руководство не внедряло их официально, сотрудники или подрядчики могут использовать нейросети самостоятельно. А некоторые компании активно подталкивают работников к использованию ИИ, вводят соответствующие KPI, считая, что, не сделав этого, они безвозвратно отстанут в конкурентной гонке.

❕Такая ситуация, по сути, означает скрытое принятие юридических рисков без должной оценки.

Казалось бы, ИИ – это просто инструмент. Но его использование автоматически влечет за собой:

🔵отсутствие гарантий юридической чистоты контента;
🔵риски нарушения авторских прав;
🔵потенциальные претензии правообладателей.

Так стоит ли доверять генерацию контента ИИ без корпоративного регламента?
Не станет ли это "миной замедленного действия"?

Наше мнение смотрите в видео к посту 🙂

#Comply #IP #IPМнение

Всем привет 🙌 Готовимся к 2026 на позитивных вайбах – за год мы стали быстрее / выше / сильнее и уже амбициозно запланировали свершения на год вперед! Поэтому…

➡️ ищем уверенных Middle / Middle-up privacy-консультантов 🔥

У нас есть только ПЯТЬ пожеланий:

🔵PQE 3+ года;
🔵privacy-опыт 2+ года и желание развиваться в privacy & TMT;
🔵понимание бизнес-процессов и IT-ландшафта;
🔵soft skilled, проактивность, ма-ни-а-каль-на-я внимательность;
🔵настрой создавать бескомпромиссный delivery.

Если узнаешь себя, то кроме полностью удаленной работы и, при желании, оплачиваемых коворкингов, ДМС, flexible-графика, вознаграждения в рынке и бонусной системы, обучения, есть еще ПЯТЬ куда более ценных аргументов:

🔵участие в 360° аудитах, DPO-поддержке и НЕоднотипных проектах для крупнейших и великих компаний из разных сегментов;
🔵соучастие в лучшем privacy/IP-бутике [по версии рейтингов и клиентов], где создаем реальную ценность, а не странички отчетов;
🔵легендарная команда с дружелюбным вайбом (и зарубежными корпоративами), прямая работа с партнерами без бюрократии и формализма;
🔵уверенность, что НЕ тратишь время, а ежедневно развиваешься + искренние благодарности клиента за помощь, а не копипаст;
🔵возможность при желании вовлекаться в IP, продуктовые, TMT и другие смежные проекты.

Итого: мы растем вместе, слушаем друг друга и создаем возможность реализовывать свои сильные стороны и самые смелые профессиональные амбиции с поддержкой команды, с тебя – желание брать ответственность и становиться полноправным privacy-гуру.

Направить CV сюда – office@comply.ru

До встречи 🙂

#Comply #Комплаенс

В недавнем выпуске «Ъ FM» заинтересовался судебным кейсом Atlantica Bistro и ресторанного критика Максима Костина

Деловая репутация – важный актив для HoReCa, который при этом непросто отстоять в суде. Недавно критик Михаил Костин смог добиться отмены 200 000 руб. компенсации за негативную рецензию о ресторане, которая, по мнению истца, порочила репутацию заведения.

В комментарии для «Ъ FM» Максим Али рассказал, почему апелляционный суд мог встать на сторону ресторанного критика:

🔵Суд мог счесть, что достоверность информации, касающейся обсуждения зарплаты сотрудниками, была подтверждена.
🔵Апелляция могла признать спорную фразу не утверждением о факте, а личным мнением автора, которое не подлежит судебной защите.

➡️ Полную версию комментария можно прослушать, кликнув на картинку к посту 🙂

#Comply #IP #ТМТ #ComplyСМИ

Юристам вместо подарка: ⭐️ Обзор Digital Omnibus ⭐️

Еврокомиссия официально представила свой проект изменений цифрового законодательства ЕС, направленный на упрощение GDPR, e-Privacy и развитие инноваций. Проект почти полностью повторяет более раннюю утечку. Кардинальных сюрпризов почти нет – кроме определения спецкатегории данных (убрали идею, что они только «прямые», а не дедуцируемые / выводимые косвенно).

📍 Ключевые изменения

1️⃣ ПД = «относительная» логика
Позиция из дела SRB v. EDPS кодифицируется: статус псевдонимизированных (обезличенных) данных как ПД зависит от «разумных средств идентификации» конкретного лица. Комиссия сможет через акт признавать псевдонимизированные данные «не ПД» для отдельных случаев.

2️⃣ DSAR: платно или отказ
Запрос можно отклонить или взять плату, если цели заявителя явно не связаны с защитой данных, например, при увольнениях и служебных расследованиях. Да, сейчас так тоже можно, если запрос manifestly unfounded, но уточнение можно приветствовать, как минимум, в части HR-запросов.

3️⃣ Утечки: пороги и сроки
Предлагается уведомлять только об инцидентах с высоким риском (сейчас такая планка только для уведомлений субъектов). Срок – 96 часов, не 72. Отчётность – через единую точку (ENISA).

4️⃣ Чувствительные данные для ИИ
Можно обрабатывать спецкатегории для разработки/эксплуатации модели, но:
🔵нужно доказать, что принимались меры по недопущению их обработки на уровне разработки и уничтожать обнаруженные данные;
🔵если удалить невозможно – не выводить данные в outputs или иным образом предоставлять третьим лицам.

5️⃣ Биометрия для верификации
Еще одно новое исключение – можно обрабатывать биометрию, если данные и средства находятся под полным контролем пользователя (on-device). Формулировка пока вызывает вопросы, но направление мысли понятно и можно приветствовать.

6️⃣ Законный интерес для ИИ
Прямо разрешен при надлежащих гарантиях и отсутствии высокорисковой обработки. Если локальное право требует согласие или обработка несет высокий риск (например, данные детей) – законный интерес, увы, не спасет.

7️⃣ DPIA: единые списки
На уровне ЕС появятся списки EDPB:
🔵что требует DPIA;
🔵что не требует DPIA.
Национальные списки отменяются (прощай, зоопарк).

8️⃣ Cookie → под GDPR
Правила «хранения или доступа к данным на устройстве», если речь о ПД, перейдут из ePrivacy в GDPR.
🔵Новые исключения (без согласия): агрегированная first-party аналитика и безопасность (примерно как в недавно принятом UK DUAA). А потенциально и иные основания из ст. 6 кроме согласия – законный интерес?! Справедливо заметить, что и сейчас некоторые надзорные органы уже применяли аналогичные исключения (например, CNIL).
🔵Если нет ПД вообще, будет применяться ePrivacy в более строгой версии. Довольно странная логика, но скорее всего это пофиксят в ходе обсуждения законопроекта.

9️⃣ Согласие: отказ в один клик
Отказ должен быть одним кликом (в принципе, что и сейчас требуют надзорные органы, но, как мы видим, соблюдают до сих пор не все). При отказе нельзя повторно просить согласие 6 месяцев. Планируется принять единые технические стандарты отказа от трекеров на уровне браузера / устройства.

🕊️ Пока это только предложение. Дальше – борьба в Парламенте и Совете. Очевидно, и как заявили европолитики на ежегодной конференции IAPP в Брюсселе, без правок не обойдется, но направление очень явно: ЕС берет курс на упрощение цифрового комплаенса. Безусловно не все насущные проблемы операторов могут быть решены представленным омнибусом и многие из правок и так вытекают из фактического текста GDPR, но дело начато 🙂

#Comply #Комплаенс #Privacy #GDPR

🏆 Comply в рейтинге «Право-300»: признание экспертизы

Вчера наша команда снова поднялась на сцену ежегодной церемонии, чтобы получить награду в ключевой для нас категории – 🥇 Защита персональных данных.

Это ежегодная традиция, за которой стоят постоянные усилия и отличные результаты.

Рейтинг высоко оценил развитие наших практик:
🥈Комплаенс
🥈Цифровая экономика
🥈Интеллектуальная собственность (консультирование)
🥈Интеллектуальная собственность (судебные споры)
🥈ТМТ

🏆 Днем ранее Российская газета выпустила индивидуальный рейтинг юристов, где команда Comply также получила широкое признание:
🔵Артём Дмитриев, управляющий партнер - в номинации Управление цифровыми активами
🔵Сергей Сайганов, партнер – в номинации Управление цифровыми активами
🔵Максим Али, партнер – в номинации Интеллектуальная собственность
🔵Мария Пономарева, старший юрист – в номинации Международные проекты

Этот успех стал возможен благодаря сложным и интересным проектам, которые нам доверяют клиенты. За каждой строчкой в рейтинге – ваше доверие и кропотливый труд нашей команды.

Артём Дмитриев, управляющий партнер Comply

Благодарим наших клиентов и всех коллег за то, что мы снова в числе сильнейших юридических фирм страны 🙂

#Comply #Право300 #RG #Комплаенс #ЦифроваяЭкономика #ИнтеллектуальнаяСобственность #ТМТ

Уже почти завершаем выступления года на форуме FCongress Пульс цифровизации. Форум лидеров цифрового развития

Артем Дмитриев принял участие в панельной дискуссии «Экономика доверия: киберустойчивость, данные и биометрия», где рассказал, как сегодня выстраивать защиту данных и создавать устойчивые системы в условиях новых технологических вызовов.

Острые вопросы безопасности и биометрии

Участники дискуссии обсудили безопасность использования биометрии бизнесом. CIO крупнейших компаний поделились своими опасениями: бизнес испытывает серьезный дискомфорт из-за растущих рисков атак с использованием заранее скомпрометированных или синтетических данных. В такой ситуации компаниям становится крайне сложно доказать свою невиновность и защитить репутацию.

Методы защиты

Тем не менее, как отметил Артем:

📍 Российские суды рассматривают ежегодно 50-60 дел об утечках ПД, при этом каждая восьмая компания избегает штрафа.
📍 Успешная защита возможна при наличии адекватного комплаенса – не огромных регламентов, а реальных рабочих процедур, исполнимость на практике которых компания может подтвердить.
📍 С передачей дел о ПД из судов общей юрисдикции в арбитражные суды у бизнеса появилось больше возможностей для защиты своей позиции. Пока есть поводы для оптимизма.
📍 Эффективная подготовка к изменениям в компаниях включает: контроль новых процессов, выстраивание работы с контрагентами, обучение сотрудников, минимизацию обрабатываемых данных.

Новая арбитражная практика рассмотрения дел об утечках пока демонстрирует больше обоснованной лояльности к бизнесу – и это позитивный сигнал для компаний, готовых выстраивать грамотный комплаенс.

Подробнее о выступлении 🙂

#Comply #Комплаенс

В завершение года издания любят подводить юридические итоги и спрашивать у экспертов о прогнозах на предстоящий. А мы любим делиться экспертизой!

Артем подытожил главные события в области регулирования ПД и рассказал о предстоящих вызовах в итоговом номере Legal Insight и спецвыпуске “Цифровое право” от Коммерсантъ.

Privacy-ИТОГО

🔵 AI-фобия прайвасиста: не осталось ни одного, кто не анализировал бы privacy-риски из использования моделей и одновременно не применял бы их в своей работе. Любовь и ненависть.

🔵 Изысканный контроль РКН: он активизировал дистанционный мониторинг и начал применять новый контроль – административные расследования, а мораторий на внеплановые проверки канул в небытие.

🔵 Жесткая кара за нарушения: введены новые, в том числе оборотные штрафы по 13.11 КоАП, а также начала применяться «криминальная» статья 272.1 УК РФ, создающая риски признания «privacy-бандитом» за рутинные практики работы с ПД.

🔵 Утечки ПД: несмотря на рост числа утечек, каждая 8-я компания избегает штрафов, доказывая свою privacy-совестливость, но общий чек инцидента ИБ существенно подрос (цифры в статье).

🔵 Годный диалог РКН и бизнес-сообщества: ведомство активно взаимодействует и выстроило диалог, выпустило ряд симпатичных тейков, а еще готовит несколько добрых инициатив для реновации правоприменения.

🔵 Каминг-аут операторов: штраф за неуведомления РКН об обработке уже применяется на практике, латентных операторов ПД стало существенно меньше, а дальше – еще меньше.

⚠️ Кстати, зная волатильность творцов законов надо понимать, что 2025 еще может хлопнуть дверью. Так вот уже одно предсказание отчасти заруинили – из Антифрода-2 скоропостижно (временно?) исключили необходимость рутирования согласий через ЕСИА. И этим все же не стоит обольщаться – баланс, а вернее дисбаланс, оснований обработки ПД очевидно изменится. Ибо крестовый поход на культ согласий уже не остановить!

А какие privacy-предсказания вы можете сделать на 2026 год? 🙂

#Comply #Комплаенс #ComplyСМИ