Privacy-мнение от Comply

Штраф за утечку? Нет, если докажешь свою privacy-совестливость.

Вновь обсуждают законопроект об оборотных штрафах. А мы как раз успели свериться с трендами административной и судебной практики по делам об утечках за очередные 12 месяцев. Вот к какому выводу мы пришли: только 5 из 40 компаний удалось избежать штрафа за утечку ПД. Мало? Удивительно, что кое-кому удалось!

Как такое вообще возможно!? Не будем скромничать 😉 2 таких процесса в этом году вели мы – и компании штрафы не получили. А еще 2 таких же успешных кейса для нас было в прошлом году. Итого, мы знаем противоядие против штрафов. Забегая вперед скажем, противоядие есть, но вряд ли оно всем «по зубам». Ведь все знаем, как правильно, но правильно – сложно. В любом случае мы верим, что предупрежден – вооружен. А наши читатели уж точно самые privacy-совестливые.

Законопроект об оборотных штрафах обещают принять до конца 2024 г. Пока Правительство ко 2-му чтению прорабатывает механизмы смягчения наказания. Так, чтобы рассчитывать на смягчение наказания оператор должен:

➡️Инвестировать в ИБ в размере n-рублей в год.
➡️Выплатить пострадавшим компенсацию.
➡️Подтвердить соблюдение требований к защите ПД.
➡️Не иметь обстоятельств, отягчающих ответственность.

Что тут важно? Условия смягчения наказания все еще дорабатываются, но уже очевидно, что отношение оператора к ПД до утечки будет оцениваться так же строго, как и его действия по реагированию на инцидент. На практике, такой подход уже применяется РКН, эти же обстоятельства учитывают суды при принятии решения о назначении наказания. Именно такой подход и помог нам избавить компании от штрафов. А после принятия закона об оборотных штрафах это не только не изменится, а наоборот – станет куда более актуально.

Как оператору доказать privacy-совестливость? Чтобы избежать штрафов за утечку, придется доказать сперва РКН, а затем и суду – все, что можно и нужно было сделать для предотвращения утечки и минимизации ее последствий, вы своевременно и в полном объеме сделали. Итого, есть две группы доказательств, которые необходимо собрать: 1️⃣ доказательства рутинных privacy-процедур по предотвращению утечек и 2️⃣ доказательства надлежащего реагирования на утечку для минимизации ее последствий.

Мы подготовили чек-лист мероприятий и артефактов, которые нужны для 1-й группы. Они помогут убедить РКН и суд, что вы не так уж и плохи, несмотря на утекшие ПД. Безусловно набор мероприятий корректируется в зависимости от типа и контура утечки, но чек-лист даст понимание, как нам удалось защитить клиентов, и в какую сторону вам двигаться.

Отдельно еще обязательно поделимся мнением про 2-ю группу артефактов – реагирование на инциденты и минимизация их последствий 🙂

#мнение

Privacy-мнение от Comply

Трансграница: уроки Uber и новые SCC

❗️ Недавно Uber был оштрафован на 290 млн евро в Европе за нарушение правил трансграничной передачи данных водителей в США. Нарушение касалось передачи данных от нидерландской дочки в материнскую компанию в Сан-Франциско.

Что произошло ❓

Надзорный орган выяснил, что с 2021 по 2023 год, вплоть до присоединения американского Uber к Data Privacy Framework, голландская дочка передавала данные водителей без надлежащих гарантий по ст. 44 GDPR. При этом и Uber, и надзорный орган согласились с тем, что в отношении этой обработки компании – совместные контроллеры.

Обычно для передачи данных в США внутри группы компаний используются стандартные договорные условия (SCC) или обязывающие корпоративные правила (BCR). Однако Uber в 2021 году исключил SCC из договоров между нидерландской и американской компаниями, сославшись на разъяснения Еврокомиссии. Согласно этим разъяснениям действующие SCC не могут применяться, если обработка данных получателем также подпадает под действие GDPR. Но это не убедило нидерландский надзорный орган.

Еврокомиссия обещала ещё в 2021 году разработать специальные SCC для передачи данных получателям, на которых распространяется экстерриториальное действие GDPR. Но до сих пор этого не сделала. Только после наложения штрафа на Uber Еврокомиссия объявила, что планирует опубликовать проект таких условий к концу года. Выходит, обещанного по три года ждут не только у нас, но и там. Ждем 🧐

К слову, позиция Uber была довольно экзотичной. Все же большинство компаний продолжали использовать стандартные SCC, даже если получатель данных также подчинялся GDPR. Однако в следующем году ситуация изменится: появятся новые SCC, разработанные специально для таких случаев.

Что это значит на практике ❓

Компании, действующие на европейском рынке, будут вынуждены пересмотреть договоры с получателями данных в третьих странах. Ведь текущие SCC могут стать просто недействительными в ряде случаев. Несмотря на то, что для сугубо российских компаний вопрос соблюдения GDPR стал от чего-то менее актуальным, это может стать серьёзной проблемой для тех, кто переехал из России в ЕС и иные юрисдикции (ОАЭ, Армения, Грузия и т.д.), сохранив корпоративные связи с Россией и иными странами.

❗️ Продолжаем следить за публикацией новых SCC. Вероятно, они будут проще и короче текущих, но, что важно, могут содержать новые индивидуальные условия, требующие особого внимания 🙂

#мнение

🎉 5 октября был День учителя. И в Comply есть коллеги, которых мы с гордостью поздравляем с праздником!

Наш управляющий партнер Артем Дмитриев преподает в НИУ ВШЭ, где был признан лучшим преподавателем Юридического факультета. А также регулярно читает лекции в МГУ, на курсах Moscow Digital School и DPO RPPA.

👩‍🎓 А еще наши юристы Мария Пономарева и Артем Сафьянников тоже проводят лекции в рамках курса «Защита персональных данных» от Moscow Digital School.

Кстати, курс DPO в RPPA уже стартовал, в ближайшее время Артем вместе с Кириллом Зюбановым проведет лекцию на тему «Правовые основания обработки ПД. Поручение обработки - это когда?». Они обсудят важные вопросы:

🔵 Способы подтверждения наличия правовых оснований
🔵 Когда и как применять законный интерес
🔵Способы подписания согласий
🔵Оператор и обработчик: сущность, выбор и оформление ролей

А вообще поздравляем всех наших учителей и тепло любим — сложно переоценить вашу роль 💙 🙂

Вебинар «Оборотные штрафы за утечку ПД: как оператор может минимизировать ущерб»

Comply и T.Hunter приглашают на вебинар 15 октября в 10:00. В формате дискуссии между privacy- и ИБ специалистами обсудим:

🟦обзор законопроекта: какую ответственность предусматривает текущий проект закона об оборотных штрафах, что будет считаться утечкой по вине оператора
🟦какие обстоятельства будут считаться смягчающими при утечке
🟦какие минимальные меры по информационной безопасности нужно предпринять оператору, чтобы доказать собственную добросовестность
🟦какие организационные и юридические меры по защите помогут снизить размер штрафа

Спикеры:

🟦Сергей Сайганов, партнер Comply
🟦Лидия Ильченко, аудитор, T.Hunter

Вебинар будет интересен DPO и юристам, специалистам по ИБ и комплаенсу.

Регистрация по ссылке.
 
Задавайте вопросы до мероприятия под этим постом. Чем конкретнее ваш вопрос, тем интереснее будет разговор!

Privacy-мнение от Comply

И они им тоже данных отсыпать смогут

Они (Минцифры) прорабатывает вопрос передачи им (операторам связи и банкам) ПД из государственных баз. Декларируемая цель – повышение качества и доступности услуг, обеспечение соблюдения бизнесом зак-ва, борьба с мошенниками, снижение нагрузки на цифровую инфраструктуру и прочая благодать 💙

К нам обратился Коммерсантъ с вопросом, а насколько это вот все соответствует актуальному регулированию? Рассказываем:

Инициатива не противоречит 152-ФЗ и может укладываться в предусмотренные законом правовые конструкции.
И точка. Но какие это конструкции? Прежде всего, конечно же, согласие. Так, обращаясь к банку или телеком-оператору клиент может предоставить согласие, которое легализует получение бизнесом таких данных из ГИС и ведомственных колодцев и их использование. А могут иногда согласия собирать и госведомства, и учреждения на своих тач-поинтах – к слову, так предусмотрено, например, в ЕС 🇪🇺

Возможны и более элегантные конструкции получения и использования данных. Например, наличие законного интереса у компании. Но возможность его использования обусловлена рядом дополнительных условий, например, издание подзаконных актов и выпуск разъяснений контролирующими органами о порядке предоставления и использования данных. Без таких пререквизитов вряд ли «законный интерес» успешно полетит несмотря на все расшаркивания бизнеса с информированием клиентов и прочей балансировкой интересов.

Итого, изменения именно в 152-ФЗ вовсе не обязательны, а возможно даже и вредны – итак регуляторный ландшафт в сфере данных не особо предсказуем и драматично переменчив.

Что еще? Не мы такие, а инициативы…поэтому обычно мы их критикуем. Однако эта – очевидно доброе начинание. В случае реализации принесет рынку пользу. Ведь у различных ведомств точно есть данные, которые при корректном использовании способны улучшить качество и доступность ряда социальных сервисов и продуктов, предоставляемых бизнесом. В итоге это должно привести к повышению качества нашей с вами жизни 😇

И особенно отрадно это наблюдать на фоне дата-национализации – скоропостижно принятого закона о создании гос. озера данных. То есть data sharing в обе стороны, а не только в пользу публичных институций. А вообще повышение доступности гос. данных для бизнеса – безусловная предпосылка развития технологий и продуктов в сфере Big Data в России. Так по крайне мере написано в Стратегии развития рынка больших данных.

В ЕС ценность такого шеринга поняли раньше, хоть и по-своему – принятый Data Governance Act регулирует вопросы переиспользования защищаемых данных гос. сектора. Там ПД должны предоставляться только в анонимизированном виде или с использованием иных технологий, обеспечивающих конфиденциальность (секьюрные анклавы, синтетические данные и т.д.). Кроме этого, DGA вводит понятие дата-альтруизма, предполагающего, что субъекты могут «жертвовать» свои данные для публично полезных целей.

Теперь и в России быть экономике данных! Скрестили пальцы, ведь реализация окажется очень сложной 🤞

#мнение

IP-мнение от Comply

Реестр блогов коснется компаний, у которых больше 10 000 подписчиков

К концу года окончательно вступят в силу поправки на тему реестра блогов – владельцы страниц в социальных сетях будут обязаны предоставлять сведения о себе в Роскомнадзор, если аудитория на их страницах превышает 10 000 пользователей.

Под новые поправки попадет и бизнес с корпоративными соцсетями с подписчиками более 10к – такая страница должна быть промаркирована и внесена в реестр блогов, который создает РКН.

К тому же появилась информация о правилах маркировки. Она должна включать пометку «А+» и фразу «Включена РКН в перечень персональных страниц».

Последствия отсутствия маркировки серьезные:

🟦страницу могут заблокировать
🟦ее контент нельзя репостить
🟦на странице нельзя будет размещать рекламу

Оставшиеся вопросы

До конца неясно, затронут ли изменения иностранные соцсети или лишь российские платформы, для которых РКН ведет свой реестр.

Вопрос возникает, например, при ведении русскоязычного блога в заблокированной в России сети наподобие LinkedIn. Понятно, что блокировка таким страницам не страшна, но будет ли запрет рекламы в них самостоятельным нарушением – отдельный вопрос. Также стоит учитывать противоположные позиции РКН и ФАС по поводу распространения на них законодательства о рекламе.

К тому же ряд требований заведомо невыполнимы. Маркировка страницы должна быть выполнена тем же шрифтом. Но это зависит только от функционала социальной сети, а не пользователя. Рекомендуем следить за разработкой документов РКН и Минцифры и новыми разъяснениями ведомств.

#мнение 🙂

Недавно Артем Дмитриев вел лекцию на курсе RPPA DPO вместе с Кириллом Зюбановым. Рассказывали в том числе про вопросы оснований и поручений. И, к нашему удовольствию, был поднят занятный вопрос - а на каком таком основании обрабатывает ПД обработчик? Скажете, договор-поручения? Но что это за основание такое?

По горячим следам Кирилл подготовил статью. Спасибо! В ней три варианта ответа:

1️⃣«Все обработчики – операторы», то есть две обработки, два одинаковых основания.
2️⃣«Каждому своя обработка», получается, две обработки. Основание для обработчика – указание закона.
3️⃣«Одна обработка правит всеми», а значит - одна обработка, обработчик обрабатывает данные на основании поручения как продолжение оператора и в принципе не нуждается в каком-либо основании.

В ходе же обсуждения рассматривался и 4й вариант: две обработки, основание обработки обработчика – согласие, договор или иное основание оператора.

Мы, скромные практики, не примем ни 1, ни 4 варианты. Почему? Эта позиция опасна для обработчика. Если оператор допустит огрехи в своих согласиях или договорах, то будет отвечать перед РКН по ст. 13.11 КоАП. Хотя перед субъектами обработчик и не ответит.

Более всего нашему духу соответствует концепция 2 или 3. На практике между ними разницы не так уж и много. Обработчик на то и обработчик, что не имеет собственных целей обработки, а, следовательно, не должен и не может определять основание для такой обработки, поскольку является лишь продолжением «тела» оператора. Закон для обработчика – поручение и инструкции оператора, которыми он и ограничен.
Именно поэтому в ортодоксальных европейских доктринах только если обработчик выходит за рамки поручения, он становится оператором со всеми вытекающими обязанностями.

В общем, друзья, казалось бы теоретический вопрос, а имеет весьма прикладное практическое значение.

Так что, товарищи-обработчики:

1️⃣НЕ пишите в своих RoPA’х, что обрабатываете данные на основании чужих «операторских» согласий, и

2️⃣НЕ просите операторов в договорах с ними получать для вас согласия или иные основания обработки.

В противном случае рискуете ответить перед РКН за пороки в «операторских» основаниях обработки ПД.

🙂

Comply на Евразийском конгрессе по защите данных

Уже завтра и в пятницу в онлайн формате пройдет EDPC — Евразийский конгресс по защите данных. Артем Дмитриев, управляющий партнер Comply, будет модерировать несколько сессий.

А сессии точно будут интересными. Там и представители Роскомнадзора и ГРЧЦ, и яркие умы, и опытные практики!

➡️Подробная информация и ссылки на трансляцию — на сайте мероприятия.

И, кстати, поговаривают, что места на офлайн нетворкинги в Москве и Петербурге закончились. Но в онлайне хватит места всем 👌

DPO - это руководитель! 🔥

Через пару минут начинается стрим сессии про DPO с яркими и уважаемыми представителями этой самой функции.

Смотреть сейчас тут:
⏩трансляция в ВКонтакте
⏩трансляция YouTube

А мы к сессии делимся полезным артефактом – базовым примером RACI матрицы для DPO. Делить зоны ответственностей и ролей в компании крайне важно! Не столько ради переноса ответственности DPO за какой-либо блок, но нормализации процессов ради.

💠И пара важных дисклеймеров, куда же без них:

💠 это только пример для заполнения,
💠 многое зависит от организационного ландшафта компании
💠 и, конечно же, от целей этой матрицы.

Без понятного и прозрачного сплита ролей вам будет крайне тревожно! Расставляйте буковки R A C I

🙂

Оборотные штрафы и другие инициативы — дискуссия с АБД

Через пару минут начинается еще одна интересная сессия в рамках EDPC. В этот раз поговорим про статус законодательной инициативы по оборотным штрафам, опыт иных юрисдикций, что и когда ждать у нас.

Страновую подборку разобрать в прямом эфире не успеем, поэтому оставляем ссылку на нее здесь — презентация коллег из АБД.

А если хотите присоединиться к нам в онлайне, то тут:

⏩трансляция в ВКонтакте
⏩трансляция YouTube

Privacy-мнение от Comply

Стратегия работы с данными – марафон, но может и спринтом обернуться

Недавно мы завершили увлекательный проект по подготовке стратегии управления данными в группе компаний. Мы отвечали именно за юридическую сторону стратегии, а наши партнеры – за бизнес и технологический аспекты дата-коммерциализации. Стратегия и ее реализация это про игру в долго и дорого. Ведь там и изменение IT-ландшафта, и внедрение фреймворка документов и процессов, и многое другое. Оттого критичным становится прогнозируемость регуляторного ландшафта в сфере данных. А что у нас с этим? В целом, так себе, потому что:

1️⃣ Вчерашняя хайповая инициатива, сегодня став законом, обрушит подготовленные, казалось бы, совсем недавно еще легальные бизнес-кейсы по использованию данных. То есть данные вы вполне себе легально соберете, но утратите потенцию делать с ними запланированное.

2️⃣ А ведь таких инициатив (в том числе уже ставших реальностью) дурное количество! Там и оборотные штрафы, институт «специальных» операторов ПД, единое окно для управления согласиями через Госуслуги, критика мульти-операторских согласий, отраслевые стандарты работы с ПД, а также уже принятые поправки о дата-национализации, для которой уже разработан обширный перечень оснований для запроса данных у бизнеса и многое другое. В общем нормативная инфляция разгоняется, не иначе.

3️⃣ Мало того, что взаимоисключающих инициатив очевидно много, так и не всегда понятно их соотношение друг с другом. Например, РКН заявляет, что согласия морально устарели, да и бизнес ими пользоваться не особо разумеет как, поэтому следует их «подсушить» – согласия, а соответственно и бизнес, их использующий. Одновременно с этим в первом чтении принят законопроект Хинштейна, предусматривающий сбор согласий отдельно от других документов.

На что в таком случае прикажите ориентироваться порядочному бизнесу?

Чтобы все-таки это был марафон, а не спринт с препятствиями. Для построения эффективной долгосрочной бизнес-стратегии в сфере работы с данными НЕдостаточно хорошо разбираться в том, как правильно сегодня. Куда важнее уметь спрогнозировать, как БУДЕТ правильно завтра, какие есть тренды. Выходит, DPO – стратеджист и дальновидец? Выходит, что так.

Какие это тренды на данный момент, и что же делать?

1️⃣ Ну, например, токсичность согласий и грядущий крестовый поход против них, а значит уже сегодня следовало бы, по возможности, планировать внедрение альтернатив «консентопоборам», например, акционных механик, программ лояльности со множественностью лиц на стороне исполнителя и др.

2️⃣ Принятие законопроекта об «отделении» согласий ожидается до конца года. Бизнес уже готовится к перестройке CJM и «тачпоинтов» – ранее зашитое в договор согласие придется вынести в отдельный документ. А это в свою очередь приведет к необходимости менять процессы, учитывать и хранить новые согласия, корректировать IT-системы и менять печатные формы.

3️⃣ Или другой пример – продолжат расти стандарты доказывания наличия согласий и управления ими. А значит технологические инструменты для этого должны уже сегодня иметь «запас прочности». А не «oops, наша система умеет учитывать только одну галочку…».

За сим продолжаем держать руку на пульсе и улавливать тренды. Всем отличных выходных!

➡️ Многое из этого вовсе не юристы обсуждали на конференции наших добрейших партнеров CDI Conf – YouTube или Rutube. Приятного просмотра! 🙂

Страховщики запустят возмещения от утечек данных в 2025 году

Все мы готовимся к оборотным штрафам и страховые компании тоже. Так, Всероссийский союз страховщиков готовит новый продукт. Суть его в возмещении гражданам ущерба, нанесенного утечкой их данных, а именно:

1️⃣Размер компенсации зависит от категории ПД: 1000 руб. за утечку «простых» ПД, 2000 – за спец.кат. ПД, 5000 – за биометрию.
2️⃣Если есть вред здоровью и имуществу, то размер выплаты должен соответствовать фактическому ущербу, но не более 50 000 руб. Общий лимит на такие случаи – 20% от страховой суммы.
3️⃣Страховая сумма зависит от объема ПД компании: до 1000 ПД – 5 млн руб., а более 1 млн ПД – 1 млрд руб.

К нам обратился РБК (а до этого и RSpectr) с просьбой оценить предлагаемый размер «морального ущерба» и спрогнозировать спрос на такой вид страхования со стороны компаний пострадавшим.

Нам с учетом грядущих оборотных штрафов данная концепция видится весьма актуальной, а в перспективе – востребованной. Все потому, что планируются поправки в законопроект об оборотных штрафах. В соответствии с такими правками компенсация субъектам ПД нанесенного утечкой ущерба будет признаваться смягчающим обстоятельством. То есть в случае утечки наличие privacy-ОСАГО снизит размер штрафа. Если же страхование и компенсации субъектам не будут легально признаны в качестве смягчающего обстоятельства, то перспективы такого страхования весьма неоднозначны.

Размер именно «морального» ущерба может и покрывается такими незначительными суммами. По крайней мере, так видят это суды сегодня. Ведь редко когда размер компенсаций в таких случаях выше 5 000 руб. Хотя уже и сегодня бывают исключения. К примеру, Центр правовой помощи взыскивал по этой категории судебных дел и по 150 000 руб. Однако ситуация была специфическая: пострадавшая имела проблемы со здоровьем, что усугубило ее морально-нравственные страдания от незаконного оформленного на ее имя кредита.

В любом случае, размер компенсации, вероятно, не оправдает ожидания пострадавших от утечек граждан. При этом опыт ЕС показывает, что при сегодняшнем кросс-курсе компенсации составляют 25 000 – 50 000 руб., а могут быть и выше 🙂

Новые требования к контент-комплаенсу: запрет чайлдфри ⚡️

Законодатель не устает генерировать новые виды запрещенного контента. Вчера Госдума приняла в третьем, окончательном чтении так называемый «закон о запрете идеологии чайлдфри». Теперь у нас есть итоговый текст документа. Разбираемся, что конкретно запрещено.

В большинстве случаев запрещена пропаганда отказа от деторождения. Хотя грань между пропагандой и просто информированием бывает действительно весьма тонкой.

Где запрещена пропаганда чайлдфри?

🔴СМИ
🔴Фильмы для российского проката
🔴Контент для несовершеннолетних
🔴Реклама

‼️Важно ‼️ В рекламе запрещена не только пропаганда, но и информация, «демонстрирующая отказ от деторождения». Иными словами, упоминание чайлдфри практически под запретом.

Особое внимание на закон стоит обратить профессиональным контентмейкерам и медиаресурсам: онлайн-кинотеатрам, сетевым СМИ и подобным сервисам. В том числе, провести ревизию контента и редакторских политик, а также убедиться в актуальности возрастной маркировки 18+ 🔞

Пока особых деталей нет, с нетерпением ждем практики и разъяснений (или лучше – не надо). Напомним, размер штрафа достигает 5 млн рублей, а деятельность нарушителя может быть приостановлена до 90 дней. Наказывать нарушителей будут по статье 6.21 КоАП РФ (пропаганда ЛГБТ и смены пола). Уже есть прецеденты, когда нарушение этой статьи путем публикации в Сети признавали длящимся. Значит, контент, который был опубликован когда-то давно, но остается доступен, тоже станет источником рисков.

А пока вспоминаем Саманту из «Секс в большом городе», Клэр из «Карточный домик» и многих других. А вы кого вспомнили / в какой роли❓ Пока вспоминать можно, закон вступит в силу в лучшем случае через пару недель.

Сomply — партнер номинации конкурса The DEPARTMENT: «Эффективная правовая защита конфиденциальной информации» 🔥

С каждым днем юридические департаменты сталкиваются с новыми вызовами. В 2025 году конкурс The DEPARTMENT совместно с Comply и Ассоциацией Больших Данных запускает новую номинацию — «Эффективная правовая защита конфиденциальной информации».

Номинация создана для того, чтобы отметить компании, которые успешно внедрили передовые программы по защите данных и обеспечению конфиденциальности, используя инновации и технологии для минимизации рисков утечек.

Мы приглашаем департаменты, формирующие лучшие практики в области защиты конфиденциальной информации, подать заявки и показать свои достижения.

➡️А в ноябрьском номере журнала Legal Insight управляющий партнер Comply, Артем Дмитриев, рассказал, почему роль Data Protection Officer (DPO) становится все более значимой для бизнеса.

Вы можете прочитать статью в журнале или у нас на сайте 🙂