В завершение года издания любят подводить юридические итоги и спрашивать у экспертов о прогнозах на предстоящий. А мы любим делиться экспертизой!

Артем подытожил главные события в области регулирования ПД и рассказал о предстоящих вызовах в итоговом номере Legal Insight и спецвыпуске “Цифровое право” от Коммерсантъ.

Privacy-ИТОГО

🔵 AI-фобия прайвасиста: не осталось ни одного, кто не анализировал бы privacy-риски из использования моделей и одновременно не применял бы их в своей работе. Любовь и ненависть.

🔵 Изысканный контроль РКН: он активизировал дистанционный мониторинг и начал применять новый контроль – административные расследования, а мораторий на внеплановые проверки канул в небытие.

🔵 Жесткая кара за нарушения: введены новые, в том числе оборотные штрафы по 13.11 КоАП, а также начала применяться «криминальная» статья 272.1 УК РФ, создающая риски признания «privacy-бандитом» за рутинные практики работы с ПД.

🔵 Утечки ПД: несмотря на рост числа утечек, каждая 8-я компания избегает штрафов, доказывая свою privacy-совестливость, но общий чек инцидента ИБ существенно подрос (цифры в статье).

🔵 Годный диалог РКН и бизнес-сообщества: ведомство активно взаимодействует и выстроило диалог, выпустило ряд симпатичных тейков, а еще готовит несколько добрых инициатив для реновации правоприменения.

🔵 Каминг-аут операторов: штраф за неуведомления РКН об обработке уже применяется на практике, латентных операторов ПД стало существенно меньше, а дальше – еще меньше.

⚠️ Кстати, зная волатильность творцов законов надо понимать, что 2025 еще может хлопнуть дверью. Так вот уже одно предсказание отчасти заруинили – из Антифрода-2 скоропостижно (временно?) исключили необходимость рутирования согласий через ЕСИА. И этим все же не стоит обольщаться – баланс, а вернее дисбаланс, оснований обработки ПД очевидно изменится. Ибо крестовый поход на культ согласий уже не остановить!

А какие privacy-предсказания вы можете сделать на 2026 год? 🙂

#Comply #Комплаенс #ComplyСМИ

В сентябре мы запустили Комплайтеку – первую профильную базу разъяснений госорганов в сфере Privacy и TMT. Сегодня она содержит уже более 200 разъяснений.

Новый ресурс создан как профессиональный инструмент для юристов, DPO и специалистов по комплаенсу.

Комплайтека предоставляет централизованный доступ к более чем 200 проверенным позициям госорганов, включая РКН, Минцифры, ФАС, Роструд и другие ведомства.

Сервис систематизирует правовые позиции по более чем 10 направлениям, включая:
🔵 обработку ПД
🔵 цифровые сервисы и платформы
🔵 телеком и ИИ

Возможности Комплайтеки:
🔵 поиск по ключевым словам, категориям и фильтрам
🔵 доступ к ссылкам на первоисточники
🔵 экспорт позиций по запросу на почту
🔵 регулярные обновления и верификация данных редакцией

Этот сервис был задуман нами как органичный ответ на запрос профессионального сообщества. Он бесплатный, оперативно и качественно обновляемый, преследует единственную цель – делать работу экспертов комфортней. У сервиса уже появились подражатели – значит, решение отличное!

Артем Дмитриев, управляющий партнер Comply

В Комплайтеке реализована система контрибуции: специалисты могут делиться разъяснениями, которые они получили. Мы сделали свой вклад в формирование инфраструктуры доверия и поддержки специалистов. Теперь можете сделать свой вклад и вы! А пока рекордсмен по privacy-донатам – Кирилл Зюбанов из Шёпотом ПРО ПД и ПЕРСОНЕМОВ 🤝

Приглашаем complyteka.ru 🙂

#Comply #Комплаенс #TMT #Privacy

Privacy-мнение
В канале "Шёпотом про ПД" была поднята крайне важная и актуальная тема – Legal UX. Также, коллеги провели мероприятие и опубликовали материалы по его итогам.

В продолжение темы там же вышла трилогия постов Максима Своевского.

Полезный контент про то, как подружить право и продукт. Поэтому с удовольствием поделимся ключевыми мыслями (и вовсе не шепотом!).

🔣Вклад DPO в интерфейс может быть куда ощутимее, чем многие думают

По сути, продукт юриста / DPO – это рабочий правовой порядок. Тот кусочек права, который живёт внутри компании, экосистемы или конкретного сервиса: кто на что согласился, какие данные можно обрабатывать, когда отношения заканчиваются и что происходит после этого и т.д.

В цифровых сервисах этот порядок не висит в воздухе – он зашит в интерфейсы: экран регистрации и «галочки» под ним, настройки профиля и кнопка «удалить аккаунт», формы обращений и управления данными, страница с юридическими документами и многое другое.

Почти все проблемы Legal UX вырастают из одной базовой вещи: расхождения между тем, что пользователь чувствует и делает, и тем, что происходит юридически.

Пользователь нажимает «удалить аккаунт» и ожидает, что «мы с сервисом расстались и все данные исчезли». В реальности: пользовательское соглашение продолжает действовать, часть данных остаётся в резервных копиях и логах, e-mail всё ещё может использоваться для «сервисных сообщений». Всё это, вероятно, и неплохо, но можно же прямо сказать об этом пользователю в момент удаления аккаунта, верно?

Отсюда базовый принцип Legal UX: чем ближе фактическое действие в интерфейсе к понятному объяснению его юридического смысла — тем лучше.

🔣Качественный клиентский путь сам по себе исключает множество споров с пользователями и существенно снижает риски нарушения закона.

Чем прозрачнее и честнее юридический смысл действий в интерфейсе, тем больше вопросов решается внутри сервиса. Пользователю не нужно писать в поддержку или сразу регулятору, чтобы просто понять, «удалили ли вы мои данные». Жалобы превращаются в нормальный канал обратной связи, а не только «триггер риска».

Более того, качественный UX в части юридических обращений поможет сформировать метрики для оценки различных сценариев взаимодействия с продуктом. Отдельная история – UX юридических обращений. Если запрос на доступ / удаление / ограничение обработки можно сделать в пару кликов, вы получаете живую статистику: по каким сценариям людям чаще всего «больно».

🔣Реализация на практике основных принципов Legal UX
Для начала надо запросить у поддержки статистику по DSR. Далее рассматриваем путь пользователя к одному из болезненных сценариев как правоотношение: основания возникновения, субъекты, содержание и прекращение.

И дальше задаём себе неприятные, но полезные вопросы:

🔵

Показываем ли мы человеку, что именно «включается» юридически на этом шаге? Как от его действий меняется наш (и его) маленький правовой порядок?

🔵

Где он сейчас может посмотреть свой статус: что принял, от чего отказался, какие обращения направил?

🔵

Что произойдёт, если он передумает — есть ли понятный путь прекращения отношений прямо в интерфейсе?

Почти всегда на такой карте проявляются лакуны:

🔵

Технически аккаунт уже удалён, а юридически договор ещё жив;

🔵

Пользователь нажал три разные галочки с разными согласиями, но в одном месте посмотреть, какие действуют сейчас, не может;

🔵

Все пути для реализации прав — только через поддержку, а то и через «заказное с уведомлением» на юридический адрес.

Также важно предоставить пользователю возможность совершить хотя бы основные юридические действия внутри интерфейса: отозвать согласие, запросить удаление данных и т.д.

В качестве бонуса – метрики оценки Legal UX на картинке к посту, чтобы вы, вдохновленные после прочтения, сразу могли приступить к совершенствованию своего продукта! Метрики составляли совместно с Шепотом про ПД.

Делитесь в комментариях примерами знакомых вам b2c сервисов, Legal UX которых на должном уровне, а действия в сервисе согласуются с их юридическими последствиями 🙂

#Comply #Комплаенс #PrivacyМнение

✨ Что сбылось в 2025, а что ждать от 2026? Privacy-гадания!

Да, почти последняя неделя года, пора! Год назад гадали на 2025. Теперь подводим итоги, поздравляем победителя и запускаем новые гадания – на 2026 год!

Что же сбылось из прошлогодних предсказаний?

💙Какой максимальный штраф за утечку в 2025 году?
Такой себе – 150 тыс. рублей. Но были и штрафы выше, только не за утечки.

💙Кому первым назначат оборотный штраф?
Никому! Не успели.

💙Запретят ли хранение ПД за рубежом?
Нет, рано беспокоиться, хотя уже почти в яблочко! И все же изменения в законе на это не повлияли... Пока!

💙Будет ли громкий кейс с уголовкой для DPO?
Нет, ничего не было, это статья для хакеров! Privacy-бандиты пока дышат свободой. Но мы все же позволим себе быть на чеку.

💙Разрешат ли бизнесу обезличивание?
Да, но перечень методов закрытый, и риск-ориентированный подход пока не ожидается.

💙Введут ли институт коммерческих дата-посредников?
Нет, не ввели, слишком радикальная затея... Уже не верим и грустим.

💙Издаст ли Роскомнадзор белые списки для минимизации ПД?
Нет, пока не ввели, но РКН активно работает над их формированием.

💙Отменят ли мораторий на плановые проверки бизнеса?
Нет, не отменили, играем по старым правилам.

💙Ждём ли спецоператоров ПД?
Нет, не дождались, и рады этому.

💙Упростят ли наконец согласия для работников?
Нет, не упростили, все остается по-прежнему. Но уже вот-вот!

💙Законный интерес заиграет новыми красками?
Да, РКН активно работает в форматах рабочих групп над разработкой, например, методики оценки применимости законного интереса.

🩵 По традиции награждаем того, кто оказался реалистичнее всех в предсказаниях, и дарим Telegram Premium на год. В этом году privacy-оракулом становится: @non***nta. Наше почтение!

✨ А мы снова приглашаем всех включить интуицию на максимум и поделиться предсказаниями на 2026 год ➡️ по ссылке! ✨

Если решите подкрепить гадания практикой, наши коллеги из Moscow Digital School недавно разбирали, как юристы используют AI-помощников на реальных задачах. Без магии, но с понятными выводами.

Выигрывайте приз и звание privacy-оракула 2026! 🙂

Словосочетание года 🎄

Для нас уже стало традицией выбирать слово года – то самое единственное, ёмкое и символичное. Такое, которое должно зафиксировать общее настроение и охарактеризовать уходящий год… и при этом не быть нецензурным и запрещенным РКН! Если смотреть на этот год в privacy-реальности, то становится понятно: одного слова явно недостаточно. Слишком много слоёв, слишком много полутонов и слишком много «зависит от контекста».

В течение года о чем только мы не говорили: о борьбе с культом согласий, минимизации обрабатываемых данных и росте регуляторных аппетитов, цифровом суверенитете и прагматичном бизнес-реализме. В одних и тех же обсуждениях соседствовали тонкий юмор, судебная практика и попытки объяснить бизнесу, что бесконечный сбор согласий на всевозможные процессы – не всегда лучшее решение.

Поэтому в этот раз предлагаем несколько иной формат – выбрать не слово, а словосочетание года, которое:
🔵чаще всего звучало на встречах с бизнесом и РКН;
🔵вызывало нервный или счастливый смех у DPO и юристов;
🔵неожиданно стало нашей «новой реальностью».

📍Правила простые: выбирайте свой вариант из списка или пишите свой вариант в комментариях с коротким пояснением, почему выбрали именно его.

Посмотрим, какое выражение 2025 года действительно останется в нашей privacy-памяти 🙂

Privacy.Seasons – долгожданное продолжение
🎄 🎄 🎄 🎄 🎄

Так как наш канал про пользу, то и поздравлять с наступающим Новым годом будем подарком – вторым выпуском познавательного подкаста, где легенды премии The Department от Legal Insight в номинации «Эффективная защита ПД» делятся своими лучшими практиками и личным опытом.

Дарим вам увлекательное зрелище и желаем максимальной privacy-безопасности в 2026 году! 🎁

Артем Дмитриев, управляющий партнер Comply и ведущий подкаста

💙Неизменная соведущая – Екатерина Ефимова, руководитель направления ПД ГРЧЦ Роскомнадзор, добавляет экспертную глубину и поясняет взгляд контролирующего органа.

💙Новый гость – Марина Юфа, руководитель практики защиты данных в Авито, которые, между прочим, стали privacy-победителями The Department в этом году!

В выпуске делимся полезными наработками и обсуждаем:
🔵метрики внедрения privacy-культуры;
🔵управление согласиями работников;
🔵генерацию актов уничтожения ПД;
🔵электронный реестр процессов обработки ПД.

Когда privacy-функция встроена в структуру компании правильно, это перестает быть головной болью юристов и становится конкурентным преимуществом. Авито доказывает: защита данных может работать на бизнес.

Марина Юфа, Avito

Второй выпуск Privacy.Seasons уже доступен на площадках и ждет всех, кто работает и связан с ПД!

Смотреть:
YouTube
RuTube

Слушать:
Telegram-плеер
Mave

📍А если вы еще не смотрели/слушали первый выпуск с Альфа Банком – welcome 🙂

#Comply #Комплаенс #PrivacySeasons

Недолго музыка играла… до 1 января

Не успели многие (мы – не исключение) начать пестрить аффирмациями о кажущемся смягчении практики по делам о ПД благодаря их передаче арбитражным судам, как Госдумой скоропостижно был принят законопроект. И вот уже послезавтра дела о ПД вернутся в родную гавань судов общей юрисдикции…

Кстати, соответствующую норму, по обыкновению, включили в законопроект, который к тематике ПД относится, мягко говоря, весьма косвенно.

За эти короткие (но счастливые) 7 месяцев арбитражные суды успели рассмотреть более 20 дел о ПД. Многие увидели в этой практике тренд на более либеральный и гибкий подход. Яркое тому подтверждение – высокий процент предупреждений / прекращения производства, а не штрафов, даже за утечки. Если раньше избежать штрафа за утечку удавалось каждой 8-й компании, то за время нахождения дел о ПД в подсудности арбитражных судов удача улыбалась каждой 2-й (!). Несколько примеров либерального подхода арбитражных судов:

🔵 Моментом обнаружения утечки суд признал момент выявления / остановки утечки оператором. Раньше суды чаще признавали моментом обнаружения утечки обнаружение ее РКН. То есть момент начала течения сроков давности в руках операторов, а не РКН.

🔵 Штраф в 150 000 руб. за утечку 26 млн строк. Развернутой аргументации в пользу такого решения суд не привел. Вот уж действительно либеральный подход!

🔵 Предупреждение за распространение ПД на сайте без правового основания. На сайте компании без согласия была размещена фотография и имя субъекта ПД. Суд принял во внимание, что:
🔣 нарушение в сфере ПД совершено впервые;
🔣 субъекту не нанесен вред;
🔣 компания оперативно убрала публикацию с сайта.

Это был красивый и короткий роман 💔 Будем надеяться, что мировые судьи будут принимать во внимание либеральную практику и идеи, которые успели родиться в стенах арбитражных судов 🙂

#Comply #Комплаенс

Результаты подсчитаны, безоговорочный победитель голосования среди выражений 2025 года – великий и ужасный Культ согласий.

Любопытно, что мы начали активно использовать этот термин еще в 2021 году. Тогда в статье для Legal Insight Артем Дмитриев описал абсурдность ситуации: ритуал бизнеса «одна цель – одна подпись – одно согласие» превращается в сотни часов на сбор бумажек и отсутствие реальной защиты интересов работников.

РКН с каждым годом требовал больше согласий, бизнес жертвовал своими ресурсами от HR до DPO-функции.

В 2022 году мы уже повсеместно использовали Культ согласий на ивентах – есть архивные слайды из нашего канала с тем самым культовым (без тавтологии тут никуда) изображением, где духи регулятора, бизнес, работники и клиенты собрались вокруг алтаря бюрократии под девизом «Без бумажки ты – букашка, а с бумажкой – Человек».

Что изменилось с тех пор?

И вот прошел уже 2025 год. Культ согласий из точечного упоминания перешел в повсеместное использование.

Отношение РКН к тотальному сбору согласий изменилось: заговорили об упрощении сбора согласий и переходе на альтернативные основания, активно прорабатываются кейсы для законного интереса. Наша инфографика с тех пор потеряла свою актуальность, и мы этому искренне рады.

Что осталось неизменным?

Вечная актуальность согласий для бизнеса:
🔵legacy-процессы и накопленные массивы согласий никуда не делись;
🔵вопросы корректного сбора и управления согласиями все еще регулярно возникают и иногда разбиваются о реальность практики;
🔵баланс между комплаенсом, реальной защитой прав субъектов и здравым смыслом по-прежнему достичь не так легко.

Так что Культ согласий уверенно переходит с нами в 2026 год. Но хотим напомнить, что в практике есть и антидоты зависимости от согласий (кейсы, когда суды поддерживали другие основания), которые далее будут только нарастать.

💙Спасибо всем, кто голосовал!
Продолжаем вместе с вами (и согласиями) наш путь в новом году 🙂

#Comply #Комплаенс

IP-мнение: Почему авторское вознаграждение вызывает сложности при оформлении отношений с сотрудниками и порождает риски?

Создание служебных объектов ИС (программ, изобретений) автоматически порождает у работодателя обязанность выплатить автору дополнительное вознаграждение. Это вознаграждение можно считать рудиментом, но игнорировать его нельзя – иначе есть риск задолжать крупную сумму своему работнику.

Например:
🔵при продаже прав на патентоспособный объект работнику может полагаться до 15% от стоимости отчуждения исключительного права;
🔵если компания использует изобретение, то работник может претендовать на три дополнительных зарплаты за каждый год, в котором оно использовалось.

Однако многие работодатели уверены, что, используя расплывчатые формулировки вроде «вознаграждение учтено при расчете зарплаты», они автоматически покрывают все возможные претензии сотрудников. Как мы знаем, например, из Определения ВС РФ № 78-КГ20-1, это не так.

Чего может стоить такое упрощенное понимание и какие риски возникают?

Наши рекомендации смотрите в видео к посту 🙂

#Comply #IPМнение #IP

Happy Data Privacy Day!

Поздравляем с Международным Privacy-Day, который в очередной раз напоминает о роли ПД в жизни каждого!

И поэтому мы запускаем конкурс Privacy-детектив 🔍

Сколько нарушений работы с ПД вы увидели на картинке? Пишите число в комментариях!

Первому и третьему правильному ответу – подарки 🙂 🎁

Делимся метриками DPO к специальной сессии Privacy Marathon - Командный забег, которая начнется через пару минут 🙂

Мы уже говорили об участии в качестве спикера и модератора Артема Дмитриева в Privacy Marathon. Но в тот мега-снежный день не все добрались, а многие опоздали задержались. И вот теперь, по вашим просьбам, делимся контентом от организаторов (спасибо HH!). Итак, супер польза здесь:

🔵Презентации спикеров — схемы, чек-листы, алгоритмы и выводы, которые были на экране.

🔵Видеозапись эфира — для тех, кто пропустил важную тему и хочет переслушать.

Вперед за пользой 🙂

#Comply #Комплаенс

Итак, пятница 13-е 🩸

А это значит, что самое время вас напугать. Но получилось так, что испугались мы сами.
И вот почему ⬇️

Один из территориальных органов РКН настойчиво требует от компаний: чтобы подписаться на рекламу, нужно собирать не одно согласие, а целых два. Потому что реклама – это, очевидно, реклама (38-ФЗ), а обработка контактных данных – это уже ПД (152-ФЗ). А значит, нужны два согласия: на получение рекламы и на обработку ПД. Ну окей… Видимо, дальше случился свежий критерий «отдельности» согласий и, как следствие, в форме нужна… не одна галочка, а целых два чекбокса.

Серьезно?
Нам и концепция «одной обязательной галочки» в формах подписки на новости всегда казалась неуместной. Все-таки, в четком случае, когда субъект прямо подписывается на новости и рекламу – это уже само по себе явное волеизъявление субъекта, и как будто бы зачем тут вообще галочка...

В Европе давно в таких случаях галочки не просят, и это при более субъектоцентричном регулировании!

Но два чекбокса – это уже прямо новый уровень UX-хоррора 🩸

Но мы – оптимисты и по-прежнему считаем, что здравый смысл должен побеждать. И точно не допустим, чтобы такие интерпретации стали практикой. А как известно, победа будет за нами! Как раз сейчас этим и занимаемся.

Так что пока не пугайтесь, а лучше поддержим друг друга 🙂

Disc.: мы не поддерживаем Международные движения сатанизма (признаны судом экстремистским) и вам не рекомендуем.

Max 📲 LinkedIn 📱 Telegram 📱
Rutube 🤩 Youtube 📱

#Comply #Комплаенс

Доброе субботнее утро, прайвасист!

🔥 У нас экстренное включение 🔥 хоть пост для lovers будет позже…

Вчера мы дали вам повод немного поволноваться из-за нашего поста про согласия. И, как оказалось, не зря – тема очень даже спайси.

Так вот, уже под конец трудовой пятницы нам удалось разрешить ситуацию с требованием двух чек-боксов. Спасибо РКН за оперативную обратную связь! Вместе мы победили зло и сделали нашу реальность немного лучше.

✅ ИТОГО – позволено оставить один чек-бокс. Только один! Выдыхай, прайвасист! Вектор и актуальная позиция РКН неизменны – много согласий минус вайб НЕ приветствуется. Вместе продолжаем выжигать культ согласий.

И тут появилась идея 💡 Если знаете о других перегибах с согласиями, пишите нам. Кажется, мы нашли способ, как это эффективно лечить 🙂

Max 📲 LinkedIn 📱 Telegram 📱
Rutube 🤩 Youtube 📱

#Comply #Комплаенс

🩵 Обещанное для lovers privacy-мнение 🩵

И вот вам в честь заморского праздника кейс для размышления.

Откроем Представим дейтинговое приложение. Чтобы показывать релевантные рекомендации, необходимо указать пикантное: сексуальную ориентацию.

Без этих данных сервис просто не имеет смысла. Они нужны для исполнения соглашения с пользователем и предоставления функциональности сервиса.

Но 152-ФЗ, GDPR и другие режимы не предусматривают «коммерческого исключения» для обработки специальных категорий. То есть для бизнеса – почти всегда только согласие в качестве основания для работы с такими данными. А в России – еще и в письменной форме, да и с паспортными данными 👀

И вот вопрос: если пользователь сам приходит в нишевый сервис и осознанно указывает эти данные, достаточно ли этого для комплаенса, или все же необходимо отдельное и специальное согласие?

💙Как бы вы выстроили модель обработки?
💙На чем строили бы правовое основание?

Мы пока тоже подумаем. Автор самого изящного решения в комментариях получит от нас валентинку 🎁 Итоги подведем к среде 🙂

Disc.:
Данный пост носит исключительно развлекательный характер. Авторы ничего такого не пропагандируют. Вам показалось!

Max 📲 LinkedIn 📱 Telegram 📱
Rutube 🤩 Youtube 📱

#Comply #Комплаенс #PrivacyМнение

💙Обещанное для lovers privacy-мнение
 
✉️ Мы получили творческие ответы. Понравилась идея признать владельцев дейтинг-приложений общественными организациями – элегантно!

А если серьезно, то как ни крути, по логике 152-ФЗ, сведения о сексуальной ориентации с высокой вероятностью будут квалифицированы как специальная категория ПД. А это значит – общий запрет и исключения. И для бизнеса по сути рабочая опция только одна – письменное согласие. Можно собрать отдельное согласие на обработку специальной категории ПД, но бизнес в этот момент выйдет из чата.
 
Если же хочется решения изящного и юридически аргументированного, то можно поиграть с архитектурой данных. Наша ставка – модель функциональных параметров, а не характеристики личности.
 
Ведь приложению для мэтчинга не обязательно знать «сексуальную ориентацию» как характеристику человека. Ему нужно знать только одно – кого показывать в выдаче. И это две разные юридические конструкции (гипотеза) 💬
 
Вместо поля «ориентация» как элемента профиля личности:
🔵вводим «параметры поиска»;
🔵фиксируем их как техническую настройку фильтра;
🔵не квалифицируем их как сведения о личной жизни пользователя;
🔵не используем вне механизма подбора / для иных целей.
 
То есть сервис обрабатывает не «вы – Х», а «показывать вам пользователей категории М или Ж». Тогда можно продолжать работу с данными без согласий, на основании исполнения договора, стороной которого является пользователь (п. 5 ч. 1 ст. 6 152-ФЗ).
 
Иначе говоря, обрабатываются не сведения о частной жизни как таковые, а параметры отображения контента внутри сервиса. Да, модель тонкая. Да, возможны споры с регулятором. Но, при правильной минимизации и отсутствии вторичной сомнительной обработки / профилирования по этим чувствительным признакам, позиция защищаема.
 
В рамках же GDPR сексуальная ориентация – это также чувствительные данные, и проблема с основанием их обработки стоит аналогично. Есть прецеденты, когда регуляторы (CNIL) требовали получать отдельное согласие на такие кейсы.
 
Иногда комплаенс – это не про дополнительные галочки, а про то, как вы спроектировали продукт. И в этом романтика privacy 🙂

Max 📲 LinkedIn 📱 Telegram 📱
Rutube 🤩 Youtube 📱

#Comply #Комплаенс #PrivacyМнение

Privacy-мнение: Мы любим цифры, но они не сходятся

Этот пост не про кейс РЖД, где штраф за утечку был отменен в апелляции. К слову, кейс – очаровательный. Мы всегда говорили, что уголовное дело – один из важных элементов защиты. Но многие опасаются идти в полицию или ленятся довести КУСП до возбуждения дела – результат за окном. А между тем у нас в Comply уже отличный трек-рекорд по избавлению от штрафов и не без заявлений в полицию, конечно же 😇. Хотя именно в кейсе РЖД сложно сказать, что в действительности имеет первоочередное значение. Может, например, и то, что гос. компания уже накопила долгов на 50 млрд $…и теперь распродает имущество. И все же далее про цифры 🧮

🔵Статистика РКН vs Интеграторы

Количество утечек по данным РКН и интеграторов существенно расходятся. По данным РКН число инцидентов куда меньше, и их количество планомерно снижается с каждым годом. А по данным интеграторов, число утечек скачет от года к году, а в 2024 г. их было значительно больше, чем в 2023 г. Почему так? Быть может, причина в том, что у РКН строгие / формальные (и оттого правильные!) критерии утечки, а у интеграторов – результаты мониторинга публикуемых дампов / семплов. Верим-таки, что и те, и другие цифры по-своему объективны, никто не лукавит.

Объемы утечек тоже существенно разошлись. По данным интеграторов в 2025 г. утекло около 800 млн записей, а по информации РКН – 52 млн лишь. А годом ранее – наоборот: РКН зафиксировал 710 млн против 457 млн у F6. Хотя InfoWatch насчитал аж 1,58 млрд! Неразбериха. Об этом далее опрос – ваше мнение интересно!

Суды (спасибо им за это) предоставляют цифры, которые мы можем проверить сами: из года в год количество судебных дел существенно не меняется – около 40 в год. То есть, независимо от количества утечек, судов и протоколов не становится больше / меньше.

При этом решительно непонятно, куда ежегодно пропадают остальные 70+ дел, ведь даже по скромной статистике РКН, каждый год происходит более 100 утечек.

🔵Арбитражная «оттепель»

Да, немного дел успели рассмотреть арбитражные суды (АСы). Всего было рассмотрено 50+ дел, из которых 10 дел по утечкам, при этом ни одного дела по новым «утечным» составам так и не было рассмотрено. Но и этого достаточно, чтобы увидеть, что «АCы privacy» очевидно лояльнее в сравнении с мировыми судьями. К сожалению, эта яркая история терминирована с 1 января.

Что дала нам «оттепель»?
Кратно (!) более высокий процент компаний с утечкой без штрафа, новые нетривиальные подходы, например, кейс Ростелекома, когда суд признал моментом начала исчисления срока давности привлечения к ответственности момент обнаружения утечки оператором, а не РКН.

Боимся, теперь многое из этого в прошлом. НО кейсы по избавлению компаний от штрафов за утечки есть и в судах общей юрисдикции. Еще поборемся 🙂

Max 📲 LinkedIn 📱 Telegram 📱
Rutube 🤩 Youtube 📱

#Comply #Комплаенс #PrivacyМнение