РКН инсайдер: обработка ПД
Друзья, Артем на связи👋
Вчера подслушал РКН. Он любезно делился сакральными знаниями и заанонсил традиционный день открытых дверей. Вот пара любопытных тезисов РКН.
🔹Все еще сомневаетесь в необходимости сбора от работников именно пакета согласий? РКН, как и прежде, стоит на позиции что согласия работников по ТК РФ – именно строгие письменные согласия по 152-ФЗ. Мы же говорили, не зашивайте эти согласия в трудовой договор и ЛНА.
🔹Согласия не нужны, если вы обрабатываете ПД родственников работников в объеме уже забытой многими карточки Т2. Согласия нужны, если эти же ПД родственников находятся в ИТ-системе, которую, например, поддерживает сторонний вендор. Тогда в большинстве случаев потребуется согласие родственников.
🔹 До 18 лет представитель несовершеннолетнего дает согласие, кроме случаев прямо предусмотренных законом. К таким случаям относятся мелкие бытовые сделки по ГК РФ. Но все также не понятно, может ли 15-летний покупатель стать участником программы лояльности и согласиться на рекламу.
🔹 Для кадрового резерва нужно и отдельное согласие, и ознакомление с положением о кадровом резерве. Из любопытного – в этом положении должны быть обязательно правила об исключении из кадрового резерва. У вас это точно предусмотрено?
🔹 Да-да, политику об обработке можно сплитить на несколько мини-политик по категориям субъектов. Это должны быть отдельные самостоятельные документы! И в этом случае можно разместить на сайте только ту политику, которая касается пользователей сайтов. Но если политика общая в компании (один ЛНА), то нельзя на сайте публиковать только часть общей политики, нужно опубликовать документ полностью.
🔹 Если обрабатываете куки-файлы на основании соглашения/оферты с пользователем сайта, то недостаточно только куки-баннера со ссылкой на оферту. Пользователь должен еще пройти по ссылке на оферту, по нашему мнению, с логированием перехода. Иначе пользователь не считается принявшим оферту. А вот согласие может быть конклюдентным.
👉 Больше тезисов здесь.
Друзья, Артем на связи
Вчера подслушал РКН. Он любезно делился сакральными знаниями и заанонсил традиционный день открытых дверей. Вот пара любопытных тезисов РКН.
🔹Все еще сомневаетесь в необходимости сбора от работников именно пакета согласий? РКН, как и прежде, стоит на позиции что согласия работников по ТК РФ – именно строгие письменные согласия по 152-ФЗ. Мы же говорили, не зашивайте эти согласия в трудовой договор и ЛНА.
🔹Согласия не нужны, если вы обрабатываете ПД родственников работников в объеме уже забытой многими карточки Т2. Согласия нужны, если эти же ПД родственников находятся в ИТ-системе, которую, например, поддерживает сторонний вендор. Тогда в большинстве случаев потребуется согласие родственников.
🔹 До 18 лет представитель несовершеннолетнего дает согласие, кроме случаев прямо предусмотренных законом. К таким случаям относятся мелкие бытовые сделки по ГК РФ. Но все также не понятно, может ли 15-летний покупатель стать участником программы лояльности и согласиться на рекламу.
🔹 Для кадрового резерва нужно и отдельное согласие, и ознакомление с положением о кадровом резерве. Из любопытного – в этом положении должны быть обязательно правила об исключении из кадрового резерва. У вас это точно предусмотрено?
🔹 Да-да, политику об обработке можно сплитить на несколько мини-политик по категориям субъектов. Это должны быть отдельные самостоятельные документы! И в этом случае можно разместить на сайте только ту политику, которая касается пользователей сайтов. Но если политика общая в компании (один ЛНА), то нельзя на сайте публиковать только часть общей политики, нужно опубликовать документ полностью.
🔹 Если обрабатываете куки-файлы на основании соглашения/оферты с пользователем сайта, то недостаточно только куки-баннера со ссылкой на оферту. Пользователь должен еще пройти по ссылке на оферту, по нашему мнению, с логированием перехода. Иначе пользователь не считается принявшим оферту. А вот согласие может быть конклюдентным.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как бороться с генерацией фейков? Где могут скрываться правовые риски пользователя ИИ? Какие существуют регуляторные требования🔺
➡️ Разобрали актуальные вопросы работы с генеративным ИИ на вебинаре и теперь делимся ссылкой на запись.
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Вебинар «Как использовать нейросети и не получить судебный иск?»
ChatGPT, MidJourney и их аналоги стали повседневным инструментом в работе многих специалистов. Нейросети и генеративный ИИ помогают справляться с рабочими задачами быстрее, но параллельно несут в себе новые риски и проблемы, в том числе юридические.
На вебинаре…
На вебинаре…
Роскомнадзор раскрыл статистику по штрафам за ЛГБТ-пропаганду
Недавно РКН раскрыл статистику по штрафам в отношении пропаганды нетрадиционных сексуальных отношений и демонстрации таких отношений несовершеннолетним. Юлия Сычева, руководитель практики контент-комплаенса Comply, разбирается в ситуации.
С момента вступления в силу соответствующих поправок, вещатели и стриминги получили штрафы на 50 млн рублей и есть основания полагать, что эта сумма будет увеличиваться, а практика применения закона усложняться. Основанием для таких выводов служат чрезвычайно размытые критерии того, чем отличается демонстрации от пропаганды и, главное, что именно считать нетрадиционными сексуальными отношениями.
Размытые границы: критерии РКН
Несмотря на то, что РКН приказом № 25 от 27.02.2023 утвердил критерии пропаганды нетрадиционных сексуальных отношений и (или) предпочтений, у распространителей и производителей контента осталось много вопросов. Вот только малая их часть: как интерпретировать и оценивать кросс-дрессинг, обмен телами, бесполых или гендерно-нейтральных персонажей (даже если это обусловлено контекстом), имеет ли значения жанр произведения (сказка, пародия, сатира).
Как правило, под нетрадиционными сексуальными отношениями понимается ЛГБТ и педофилия. Этот подход косвенно подтверждается сайтом самого РКН. Однако не стоит считать такую интерпретацию окончательной. Недавнее решение по делу рэпера Vacio дает основание для более широкого толкования.
Лефортовский суд г. Москвы постановил признать его виновным в совершении правонарушения по ч. 3 ст. 6.21 КоАП на основании участия в вечеринке, направленной на пропаганду нетрадиционных сексуальных отношений. В чем именно выражена эта направленность суд в своем решении не раскрыл, что позволяет сделать осторожны вывод о том, что пропагандой нетрадиционных сексуальных отношений может быть признано любое неподобающее поведение с сексуальной подоплекой, а также нетрадиционные сексуальные практики (предпочтения) разнополых пар.
Как известно, в России не прецедентное право, но и игнорировать такие решения не стоит. С учетом того, как динамично развивается ситуация, можно предположить, что в ближайшем будущем правоприменительный контекст будет расширяться.
Влияние Верховного Суда РФ и его решений
Не стоит также игнорировать и признание ВС РФ в ноябре прошлого года экстремистским международного движения ЛГБТ. Это решение может оказать существенное влияние на документальный и новостной контент, а также цитаты из него.
В отношении художественного контента нужно обращать повышенное внимание на использование феминитивов, названных одним из признаков принадлежности к запрещенному движению. Учитывая, что до недавнего времени, такое использование было своего рода филологическим трендом, следы его вполне могли остаться в созданном в последние годы контенте.
Административные штрафы и их последствия
Помимо административных штрафов, доходящих до 4 миллионов рублей для организаций, компании также может ждать приостановка деятельности на 90 дней. Кроме того, признание какой-либо единицы контента как пропагандирующей нетрадиционные сексуальные отношения влечет удаление такого контента с платформы во избежание попадания сервиса или его страниц в реестр запрещенной информации. Такая потеря контента иногда даже более болезненна, чем наложение штрафа.
В настоящий момент идеального выхода для проверки больших объемов контента не существует. ИИ-решения несовершенны в силу частого появления новых требований и размытых критериев, и выявленные результаты нуждаются в проверке человеком. Единственным решением по-прежнему остается выстраивание служб редакционного комплаенса и использование экспертов, обладающих широкой насмотренностью и юридической интуицией, основанной на практике.
Недавно РКН раскрыл статистику по штрафам в отношении пропаганды нетрадиционных сексуальных отношений и демонстрации таких отношений несовершеннолетним. Юлия Сычева, руководитель практики контент-комплаенса Comply, разбирается в ситуации.
С момента вступления в силу соответствующих поправок, вещатели и стриминги получили штрафы на 50 млн рублей и есть основания полагать, что эта сумма будет увеличиваться, а практика применения закона усложняться. Основанием для таких выводов служат чрезвычайно размытые критерии того, чем отличается демонстрации от пропаганды и, главное, что именно считать нетрадиционными сексуальными отношениями.
Размытые границы: критерии РКН
Несмотря на то, что РКН приказом № 25 от 27.02.2023 утвердил критерии пропаганды нетрадиционных сексуальных отношений и (или) предпочтений, у распространителей и производителей контента осталось много вопросов. Вот только малая их часть: как интерпретировать и оценивать кросс-дрессинг, обмен телами, бесполых или гендерно-нейтральных персонажей (даже если это обусловлено контекстом), имеет ли значения жанр произведения (сказка, пародия, сатира).
Как правило, под нетрадиционными сексуальными отношениями понимается ЛГБТ и педофилия. Этот подход косвенно подтверждается сайтом самого РКН. Однако не стоит считать такую интерпретацию окончательной. Недавнее решение по делу рэпера Vacio дает основание для более широкого толкования.
Лефортовский суд г. Москвы постановил признать его виновным в совершении правонарушения по ч. 3 ст. 6.21 КоАП на основании участия в вечеринке, направленной на пропаганду нетрадиционных сексуальных отношений. В чем именно выражена эта направленность суд в своем решении не раскрыл, что позволяет сделать осторожны вывод о том, что пропагандой нетрадиционных сексуальных отношений может быть признано любое неподобающее поведение с сексуальной подоплекой, а также нетрадиционные сексуальные практики (предпочтения) разнополых пар.
Как известно, в России не прецедентное право, но и игнорировать такие решения не стоит. С учетом того, как динамично развивается ситуация, можно предположить, что в ближайшем будущем правоприменительный контекст будет расширяться.
Влияние Верховного Суда РФ и его решений
Не стоит также игнорировать и признание ВС РФ в ноябре прошлого года экстремистским международного движения ЛГБТ. Это решение может оказать существенное влияние на документальный и новостной контент, а также цитаты из него.
В отношении художественного контента нужно обращать повышенное внимание на использование феминитивов, названных одним из признаков принадлежности к запрещенному движению. Учитывая, что до недавнего времени, такое использование было своего рода филологическим трендом, следы его вполне могли остаться в созданном в последние годы контенте.
Административные штрафы и их последствия
Помимо административных штрафов, доходящих до 4 миллионов рублей для организаций, компании также может ждать приостановка деятельности на 90 дней. Кроме того, признание какой-либо единицы контента как пропагандирующей нетрадиционные сексуальные отношения влечет удаление такого контента с платформы во избежание попадания сервиса или его страниц в реестр запрещенной информации. Такая потеря контента иногда даже более болезненна, чем наложение штрафа.
В настоящий момент идеального выхода для проверки больших объемов контента не существует. ИИ-решения несовершенны в силу частого появления новых требований и размытых критериев, и выявленные результаты нуждаются в проверке человеком. Единственным решением по-прежнему остается выстраивание служб редакционного комплаенса и использование экспертов, обладающих широкой насмотренностью и юридической интуицией, основанной на практике.
Privacy-фанат, мы ищем тебя!
Нам нужны консультанты (джун и мид), которые:
🔷 уже работают в сфере privacy и хотят быстрее, выше, сильнее и масштабнее (для джуна допустим минимальный опыт, для мида 4+ года)
🔷 soft skilled, проактивны, маниакально ответственны и внимательны
🔷 готовы много и эффективно работать по стандартам top-tier консалтинга
Если ты узнал себя, то кроме удаленной работы, flexible-графика и вознаграждения в рынке в нашей команде ты получишь:
🔷 участие в НЕоднотипных проектах для ведущих компаний всех сфер – продуктовый и фешн ритейл, ИТ, банки и многие другие
🔷 искренние благодарности клиента за помощь, а не копипаст
🔷 легендарную команду с дружелюбным и неформальным вайбом
Направить CV можно вот сюда – [email protected]. До встречи🙌
Нам нужны консультанты (джун и мид), которые:
Если ты узнал себя, то кроме удаленной работы, flexible-графика и вознаграждения в рынке в нашей команде ты получишь:
Направить CV можно вот сюда – [email protected]. До встречи
Please open Telegram to view this post
VIEW IN TELEGRAM
Красные флаги и уязвимости при работе с персональными данными в HR-процессах
Традиционно HR-функция в компании является одним из лидеров по объему обработки ПД и постоянным участником при проведении проверок РКН. Собрали чек-лист с важными аспектами, на которые стоит обратить внимание.
Скачивайте готовый для работы файл и делитесь с коллегами
Традиционно HR-функция в компании является одним из лидеров по объему обработки ПД и постоянным участником при проведении проверок РКН. Собрали чек-лист с важными аспектами, на которые стоит обратить внимание.
Скачивайте готовый для работы файл и делитесь с коллегами
Инсайдер РКН: чем обеспокоены специалисты ГРЧЦ
Центр правовой помощи гражданам ГРЧЦ добился компенсации морального вреда субъекту ПД на сумму 150 000 руб. Не факт, что такие суммы станут частой практикой судов, поскольку сам кейс специфический для обычного бизнеса. И тем не менее прецедент любопытный.
Поэтому мы решили поделиться тезисами Начальника отдела мониторинга Центра правовой помощи гражданам с мероприятия, которое прошло во Франко-российской ТПП на прошлой неделе. Хотя откровений в этих тезисах нет, любопытно узнать, какие пробелы видят специалисты Центра:
🔷 Онлайн-сервисы обрабатывают избыточные ПД. Например, калькулятор стоимости полиса ОСАГО запрашивает информацию о гендере, от которого не зависит стоимость полиса.
[Комментарий Comply]: стоит напомнить об инициативе ограничения того объема ПД, которые смогут собирать агрегаторы услуг, маркетплейсы и иные онлайн-сервисы.
🔷 Необдуманная передача данных субъектами ПД, автоматическое проставление галочек.
🔷 Документы операторов разработаны «для галочки», являются цитированием закона и не отражают реальную картину процессов внутри, документы объемные и написаны сложным языком.
🔷 Иностранные компании, обрабатывающие ПД россиян, не переводят свои документы на русский язык.
🔷 Субъектам ПД сложно управлять своими данными — предоставить согласие легко, а отозвать — сложно.
🔷 Обработка ПД несовершеннолетних. Оператору следует устанавливать того, кто предоставил согласие на обработку ПД.
🔷 Обработка биометрии и специальных категорий ПД. Обработка чувствительных ПД повышает степень вреда, что следует из Приказа РКН от 27.10.2022 № 178.
Стоит отметить, что специалисты ГРЧЦ регулярно обращают внимание на содержание документов по ПД. Они призывают к тому, чтобы пользовательские документы были написаны понятным языком и без сложных формулировок. Хотя законодательство РФ пока прямо не устанавливает такое требование, сложно с ним не согласиться.
Ниже делимся картой рисков для бизнеса от Comply, на которой мы уже несколько лет выделяем ГРЧЦ.
Центр правовой помощи гражданам ГРЧЦ добился компенсации морального вреда субъекту ПД на сумму 150 000 руб. Не факт, что такие суммы станут частой практикой судов, поскольку сам кейс специфический для обычного бизнеса. И тем не менее прецедент любопытный.
Поэтому мы решили поделиться тезисами Начальника отдела мониторинга Центра правовой помощи гражданам с мероприятия, которое прошло во Франко-российской ТПП на прошлой неделе. Хотя откровений в этих тезисах нет, любопытно узнать, какие пробелы видят специалисты Центра:
[Комментарий Comply]: стоит напомнить об инициативе ограничения того объема ПД, которые смогут собирать агрегаторы услуг, маркетплейсы и иные онлайн-сервисы.
Стоит отметить, что специалисты ГРЧЦ регулярно обращают внимание на содержание документов по ПД. Они призывают к тому, чтобы пользовательские документы были написаны понятным языком и без сложных формулировок. Хотя законодательство РФ пока прямо не устанавливает такое требование, сложно с ним не согласиться.
Ниже делимся картой рисков для бизнеса от Comply, на которой мы уже несколько лет выделяем ГРЧЦ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Вебинар «Патентный троллинг: как не стать его жертвой?» 😱
Явление «патентного троллинга» уже давно касается не только патентов. Профессиональные истцы, которые зарабатывают на постоянных судах с бизнесом, могут предъявлять претензии по поводу чего угодно. Речь может идти и про товарные знаки, и про фотографии, и про технические решения. Атаке троллей в России подвергались даже такие крупные и опытные компании как Макдональдс и Samsung.
Вопросы, которые мы затронем на вебинаре 5 марта:
🔹 Общая картина с патентным троллингом в России. Из-за чего чаще возникают проблемы, и какие из них – самые критичные.
🔹 Наиболее показательные кейсы и почему суды не могут запретить троллей раз и навсегда?
🔹 Как не стать жертвой: как защитить компанию до атаки тролля и во время неё.
Спикер:
🔹 Максим Али, партнер практики IP, Comply
✅ Ждем ваши регистрации здесь.
Явление «патентного троллинга» уже давно касается не только патентов. Профессиональные истцы, которые зарабатывают на постоянных судах с бизнесом, могут предъявлять претензии по поводу чего угодно. Речь может идти и про товарные знаки, и про фотографии, и про технические решения. Атаке троллей в России подвергались даже такие крупные и опытные компании как Макдональдс и Samsung.
Вопросы, которые мы затронем на вебинаре 5 марта:
Спикер:
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy-мнение от Comply⬇️
На прошлой неделе писали о privacy-ОСАГО. Все потому что руководство РКН говорило, что у бизнеса должна быть возможность уплаты оборотных штрафов без банкротства компании.
Сперва напомним, что регуляторный фреймворк в этой части достаточно скудный и от того является объектом вожделения законодателя. Уже сейчас в Думе на рассмотрении законопроекты: об оборотных штрафах и уголовной ответственности за утечку ПД. Правительство поддержало инициативу внедрения компенсаций пострадавшим от утечек. Совет Федерации трудится над законопроектом о страховании киберрисков. Компаниям предложат или создавать обязательный денежный фонд для компенсации вреда гражданам или страховать этот риск.
🔺 Итак, система вмененного страхования сможет сократить количество утечек? Очевидно, нет. Но все же плюсы инициативы имеются:
🔵 Развитие культуры работы с данными и в целом повышение privacy-зрелости бизнеса.
🔵 Страхование обеспечит определенную предсказуемость для бизнеса даже в случае инцидентов. А значит, даст (или хотя бы не погасит существующий) импульс развития технологий и увеличение инвестиций в них.
🔵 Страховые компании/экспертные организации в каком-то смысле будут ограниченно выполнять роль РКН по комплаенс-контролю и оценке степени внедряемых мер защиты данных – не для того, чтобы наказать, но чтобы определить условия страхования конкретного оператора или вовсе отказать ему в страховании.
🔵 Если предположить, что аккредитация будет категоризировать требования в части работы с данными к компаниям разного масштаба / отраслей / категорий, это тоже будет положительным аспектом.
🔹 НО это все конечно при условии, что регуляторы и бизнес-ассоциации разработают стандарты (обязательные или рекомендуемые) с учетом масштаба и специфики различных компаний – белые книги и практики для операторов. Они будут развивать логику риск-ориентированного подхода как к выстраиванию комплаенса и защиты данных, так и к контролю за операторами.
Минусы тоже имеются:
🔵 Инициатива страхования вместе с финансовыми рисками бизнеса из утечек ПД, стоимость усиленной защиты данных бизнесом в итоге лягут на наши (потребителей) плечи в виде увеличенной стоимости дата- и иных сервисов.
🔵 Риски кратной ответственности бизнеса за одно нарушение. Когда заплатить придется и штраф, и компенсацию пострадавшим от утечки субъектам, а страховка покрывает только один элемент ответственности.
🔵 Однако важно другое: privacy-ОСАГО и аккредитацию бизнеса рассматривают как защиту бизнеса от банкротства из-за грядущих повышенных штрафов за утечки ПД. Но, как кажется, от банкротства бизнес может и должна защищать не страхование, а прозрачная и справедливая модель применения штрафов.
💡 Возможно ли такое? Да. Необходимо разработать и внедрить в практику судов и контролирующих органов перечень смягчающих обстоятельств для бизнеса при расчете штрафов за утечки ПД или скоринговую модель. Ведь полностью исключить риск утечки нельзя, НО можно добросовестно предпринимать меры для защиты данных и законных интересов субъектов ПД. И тогда максимальный штраф мог бы быть назначен только в исключительных случаях, когда оператор не предпринимал никаких мер защиты данных. Вероятно, это исключительный случай, и такую privacy-бессовестную компанию необоснованно защищать от банкротства. В свою очередь privacy-совестливые компании, предпринимающие существенные усилия, не получали бы максимальный штраф 🆗
Вот такой подход подтолкнет операторов вкладываться в защиту данных, когда будет прямая корреляцию между размером штрафа и предпринятыми мерами по защите данных. И на это не повлияют механизмы страхования или компенсаций субъектам. А пока компаниям остается готовиться к доказыванию своей privacy-совестливости – об этом поговорим отдельно.
⚡️ Еще почитать: статья в RSpectr.
#мнение
На прошлой неделе писали о privacy-ОСАГО. Все потому что руководство РКН говорило, что у бизнеса должна быть возможность уплаты оборотных штрафов без банкротства компании.
Сперва напомним, что регуляторный фреймворк в этой части достаточно скудный и от того является объектом вожделения законодателя. Уже сейчас в Думе на рассмотрении законопроекты: об оборотных штрафах и уголовной ответственности за утечку ПД. Правительство поддержало инициативу внедрения компенсаций пострадавшим от утечек. Совет Федерации трудится над законопроектом о страховании киберрисков. Компаниям предложат или создавать обязательный денежный фонд для компенсации вреда гражданам или страховать этот риск.
Минусы тоже имеются:
Вот такой подход подтолкнет операторов вкладываться в защиту данных, когда будет прямая корреляцию между размером штрафа и предпринятыми мерами по защите данных. И на это не повлияют механизмы страхования или компенсаций субъектам. А пока компаниям остается готовиться к доказыванию своей privacy-совестливости – об этом поговорим отдельно.
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Начинаем вебинар о патентных троллях через 15 минут 🔔
Обсуждаем:
🔹 Общая картина с патентным троллингом в России. Из-за чего чаще возникают проблемы, и какие из них – самые критичные.
🔹 Наиболее показательные кейсы и почему суды не могут запретить троллей раз и навсегда?
🔹 Как не стать жертвой: как защитить компанию до атаки тролля и во время неё.
Спикер:
🔹 Максим Али, партнер практики IP, Comply
Присоединяйтесь к трансляции‼️
Обсуждаем:
Спикер:
Присоединяйтесь к трансляции
Please open Telegram to view this post
VIEW IN TELEGRAM
Сколько видов троллей вы знаете? 🧌
Мы знаем о патентных троллях все😎
Поэтому предлагаем вам проверить знания с помощью записи вебинара «Патентный троллинг: как не стать его жертвой?» или презентации Максима Али.
Мы знаем о патентных троллях все
Поэтому предлагаем вам проверить знания с помощью записи вебинара «Патентный троллинг: как не стать его жертвой?» или презентации Максима Али.
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy-мнение от Comply
🇪🇺 Летом прошлого года Европейский суд справедливости запретил Meta использовать договор в качестве основания для таргетированной рекламы. Позже EDPB признал незаконным такую обработку уже на основании легитимного интереса. После этого у Meta не осталось никакого иного выхода, кроме как собирать согласия пользователей. И Meta решила ввести платную подписку – отныне пользователь или соглашается с использованием его данных для таргетированной рекламы, или же отказывается, платя за это 251 💶 в год.
Эта модель, известная как ”pay or okay”, существовала и до решения Meta – ряд надзорных органов (Франция, Австрия, Германия) прямо разрешал в своих руководствах использовать согласие на обработку данных в качестве альтернативы платному использованию сервиса.
Новая модель подписки Meta вызвала критику со стороны организаций по защите прав потребителей и privacy-активистов. Надзорные органы запросили у EDPB обязательные разъяснения, которые должны оценить правомерность такой модели.
Как кажется, модель платной подписки за просмотр ресурса без сбора данных сама по себе соответствует GDPR, если отказ в предоставлении согласия не несет для пользователя негативных последствий (см. мнение WP29). Для того, чтобы платная подписка не рассматривалась как негативное последствие, ее цена должна быть экономически разумна и обоснована следующим:
🔵 выручкой компании от такой рекламы и
🔵 расходами на поддержание и ведение онлайн-ресурса, на котором осуществляется сбор данных, а также
🔵 эксклюзивностью контента, размещаемого на ресурсе.
Пока ЕС бизнес ожидает разъяснений EDPB по модели pay or okay, мы можем оценить перспективы такой модели в российской действительности.
🇷🇺 Законодательство РФ само по себе не предусматривает запрета на предоставление пользователям дополнительных выгод (скидок, бонусов) за предоставление данных. В то же время существует ряд запретов, например, на отказ в заключении договора с пользователем при отказе предоставить данные, сверх необходимых для заключения договора (ч. 4 ст. 16 Закона о защите прав потребителей).
Кроме этого, РКН неоднократно подчеркивал, что ПД являются личным неимущественным благом, а не имуществом человека, а поэтому не могут напрямую участвовать в экономическом обмене😇
Хотя отраслевая стратегия развития рынка больших данных, поддержанная Минцифры и Минэкономразвития, все же предполагает развитие экономики пользовательских данных, в том числе путем развития подходов к обороту данных в качестве экономического блага.
С учетом этого, а также того факта, что принципы функционирования согласия на обработку данных заимствованы из ЕС, мы предполагаем, что в теории модель pay or okay может быть использована в России. С другой стороны, учитывая текущий подход РКН, который пока вполне удовлетворяется формальным информированием пользователя об использовании куки-файлов в т.ч. маркетинговых, кажется, что причин прибегать к использованию модели pay or okay нет. Все может измениться, если РКН будет строже подходить к вопросам использования куки-файлов. А это весьма вероятно, ведь надзорный орган быстро адаптируется к новым вызовам и совершенствует свои подходы, в том числе на основе международного опыта.
💡 Куда актуальнее в нашей действительности ответить на иной вопрос – и нет, он не про куки-файлы и таргетинг. Вправе ли бизнес обуславливать, например, сбор рекламных согласий предоставлением клиенту бонусов, скидок и прочих мирских удовольствий? Ответ зависит от нюансов. Но если положение клиентов, которые не дают согласие, не ухудшается, то не понятно, зачем ограничивать такую безобидную механику увеличения конверсии.
❓ А как вы думаете, расширенное согласие на обработку ПД или рекламное согласие за кэшбек или участие в программе лояльности – ок или грешно?
👌 Ок
😈 Грешно
#мнение
Эта модель, известная как ”pay or okay”, существовала и до решения Meta – ряд надзорных органов (Франция, Австрия, Германия) прямо разрешал в своих руководствах использовать согласие на обработку данных в качестве альтернативы платному использованию сервиса.
Новая модель подписки Meta вызвала критику со стороны организаций по защите прав потребителей и privacy-активистов. Надзорные органы запросили у EDPB обязательные разъяснения, которые должны оценить правомерность такой модели.
Как кажется, модель платной подписки за просмотр ресурса без сбора данных сама по себе соответствует GDPR, если отказ в предоставлении согласия не несет для пользователя негативных последствий (см. мнение WP29). Для того, чтобы платная подписка не рассматривалась как негативное последствие, ее цена должна быть экономически разумна и обоснована следующим:
Пока ЕС бизнес ожидает разъяснений EDPB по модели pay or okay, мы можем оценить перспективы такой модели в российской действительности.
Кроме этого, РКН неоднократно подчеркивал, что ПД являются личным неимущественным благом, а не имуществом человека, а поэтому не могут напрямую участвовать в экономическом обмене
Хотя отраслевая стратегия развития рынка больших данных, поддержанная Минцифры и Минэкономразвития, все же предполагает развитие экономики пользовательских данных, в том числе путем развития подходов к обороту данных в качестве экономического блага.
С учетом этого, а также того факта, что принципы функционирования согласия на обработку данных заимствованы из ЕС, мы предполагаем, что в теории модель pay or okay может быть использована в России. С другой стороны, учитывая текущий подход РКН, который пока вполне удовлетворяется формальным информированием пользователя об использовании куки-файлов в т.ч. маркетинговых, кажется, что причин прибегать к использованию модели pay or okay нет. Все может измениться, если РКН будет строже подходить к вопросам использования куки-файлов. А это весьма вероятно, ведь надзорный орган быстро адаптируется к новым вызовам и совершенствует свои подходы, в том числе на основе международного опыта.
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Comply ждет студентов «Privacy Bootcamp» на стажировку
«Privacy Bootcamp» — первый в России благотворительный и образовательный проект в сфере приватности👩🎓
В рамках проекта в течение 5 месяцев студентов ждут 10 модулей теории, 10 кейсов и возможность пройти до 8 буткэмпов в privacy подразделениях крупнейших компаний.
Одна из компаний, принимающих студентов на стажировку, Comply — лучшая юридическая фирма в категории «Персональные данные» по версии рейтинга Право.ру😎
👤 Организаторы: RPPA + IP IT BOX(ТГ + VK)
🔗 Программа курса, регистрация и детали: здесь.
🎁 Участие: бесплатно
«Privacy Bootcamp» — первый в России благотворительный и образовательный проект в сфере приватности
В рамках проекта в течение 5 месяцев студентов ждут 10 модулей теории, 10 кейсов и возможность пройти до 8 буткэмпов в privacy подразделениях крупнейших компаний.
Одна из компаний, принимающих студентов на стажировку, Comply — лучшая юридическая фирма в категории «Персональные данные» по версии рейтинга Право.ру
Please open Telegram to view this post
VIEW IN TELEGRAM
Партнеры Comply среди лучших юристов России
Как и в прошлом году, Артем Дмитриев, управляющий партнер, и партнер Сергей Сайганов признаны рейтингом Право.ру в отраслях:
🔵 Защита персональных данных
🔵 Цифровая экономика
🔵 TMT (телекоммуникации, медиа и технологии)
В Цифровой экономике и ТМТ Артем и Сергей уверенно подтвердили результаты прошлого года.
Мы благодарны клиентам и экспертам за высокую оценку в отрасли Персональные данные, которая была включена в рейтинг впервые.
Юристы Comply отмечены во всех ведущих специализациях юридической фирмы.
Полную версию рейтинга можно посмотреть на сайте Право.ру.
Как и в прошлом году, Артем Дмитриев, управляющий партнер, и партнер Сергей Сайганов признаны рейтингом Право.ру в отраслях:
В Цифровой экономике и ТМТ Артем и Сергей уверенно подтвердили результаты прошлого года.
Мы благодарны клиентам и экспертам за высокую оценку в отрасли Персональные данные, которая была включена в рейтинг впервые.
Юристы Comply отмечены во всех ведущих специализациях юридической фирмы.
Полную версию рейтинга можно посмотреть на сайте Право.ру.
Please open Telegram to view this post
VIEW IN TELEGRAM
IP-мнение от Comply
В феврале вступили в силу поправки в ст. 1248 ГК РФ, которые позволяют выигравшей стороне возмещать расходы, которые она понесла во время разбирательства в Палате по патентным спорам. В основном, это затрагивает случаи оспаривания товарных знаков или патентов.
Поправки были приняты во исполнение Постановления КС РФ № 1-П от 10.01.2023. Тогда Конституционный Суд посчитал несправедливой ситуацию, когда расходы на разбирательство в Палате нужно возмещать в отдельном исковом производстве. В итоге КС РФ разрешил включать в состав судебных расходов и расходы на Палату – если ее решение было обжаловано в Суд по интеллектуальным правам. Ниже делимся мнением экспертов практики интеллектуальной собственности Comply.
1️⃣ Во-первых, интересно, что в ст. 1248 ГК РФ отсутствует оговорка про то, что расходы возмещаются в таком «упрощенном» порядке, только если спор дошел до суда.
Не очень понятно, как будет работать механизм возмещения в ситуациях, когда решение Палаты не обжалуется в суде. Даже если предположить, что коллегия Палаты начнет рассматривать вопрос о расходах (что ее регламентом сейчас не предусмотрено), Роспатент не сможет выдать исполнительный документ. Наиболее вероятным видится сценарий, при котором нормы ст. 1248 ГК РФ будут толковаться ограничительно, с учетом оговорки про судебное обжалование, которую добавлял еще КС РФ.
К слову, это уже не первый случай, когда позиция КС РФ не очень удачно отражается в законодательстве. Другой подобный пример – не самые удачные поправки в п. 4 ст. 1260 ГК РФ, которые касались защиты прав на составные произведения. Уяснить эти поправки невозможно без изучения постановления КС РФ № 25-П от 16.06.2022 по жалобе А.Е. Мамичева, которому изначально отказали в защите прав на ПО из-за нарушения входящего в него Open Source продукта.
2️⃣ Во-вторых, КС РФ и ст. 1248 ГК РФ говорят про возмещение расходов пропорционально объему удовлетворенных требований, однако порядок возмещения все еще под вопросом.
Не очень понятно, каким образом эта пропорция будет определяться применительно к спорам об объектах ИС, которые рассматривает Палата. Например, часто патентный спор заканчивается признанием недействительными отдельных пунктов формулы, но не всего патента. Но пункты формулы имеют разную ценность, поэтому механически считать пропорцию к их количеству вряд ли оправданно.
Наконец, сложившаяся после решения КС РФ практика Суда по интеллектуальным правам и вовсе обесценивает правило о пропорциональном возмещении расходов. В деле № СИП-639/2019 президиум СИП сказал, что даже при частичной отмене патента правообладатель должен полностью возместить расходы оппоненты. При таком подходе непонятно, когда вообще должен работать принцип пропорциональности. Возможно, из-за этого дело № СИП-639/2019 истребовал ВС РФ, который может дать свое видение на эту проблему.
#мнение
В феврале вступили в силу поправки в ст. 1248 ГК РФ, которые позволяют выигравшей стороне возмещать расходы, которые она понесла во время разбирательства в Палате по патентным спорам. В основном, это затрагивает случаи оспаривания товарных знаков или патентов.
Поправки были приняты во исполнение Постановления КС РФ № 1-П от 10.01.2023. Тогда Конституционный Суд посчитал несправедливой ситуацию, когда расходы на разбирательство в Палате нужно возмещать в отдельном исковом производстве. В итоге КС РФ разрешил включать в состав судебных расходов и расходы на Палату – если ее решение было обжаловано в Суд по интеллектуальным правам. Ниже делимся мнением экспертов практики интеллектуальной собственности Comply.
Не очень понятно, как будет работать механизм возмещения в ситуациях, когда решение Палаты не обжалуется в суде. Даже если предположить, что коллегия Палаты начнет рассматривать вопрос о расходах (что ее регламентом сейчас не предусмотрено), Роспатент не сможет выдать исполнительный документ. Наиболее вероятным видится сценарий, при котором нормы ст. 1248 ГК РФ будут толковаться ограничительно, с учетом оговорки про судебное обжалование, которую добавлял еще КС РФ.
К слову, это уже не первый случай, когда позиция КС РФ не очень удачно отражается в законодательстве. Другой подобный пример – не самые удачные поправки в п. 4 ст. 1260 ГК РФ, которые касались защиты прав на составные произведения. Уяснить эти поправки невозможно без изучения постановления КС РФ № 25-П от 16.06.2022 по жалобе А.Е. Мамичева, которому изначально отказали в защите прав на ПО из-за нарушения входящего в него Open Source продукта.
Не очень понятно, каким образом эта пропорция будет определяться применительно к спорам об объектах ИС, которые рассматривает Палата. Например, часто патентный спор заканчивается признанием недействительными отдельных пунктов формулы, но не всего патента. Но пункты формулы имеют разную ценность, поэтому механически считать пропорцию к их количеству вряд ли оправданно.
Наконец, сложившаяся после решения КС РФ практика Суда по интеллектуальным правам и вовсе обесценивает правило о пропорциональном возмещении расходов. В деле № СИП-639/2019 президиум СИП сказал, что даже при частичной отмене патента правообладатель должен полностью возместить расходы оппоненты. При таком подходе непонятно, когда вообще должен работать принцип пропорциональности. Возможно, из-за этого дело № СИП-639/2019 истребовал ВС РФ, который может дать свое видение на эту проблему.
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Вебинар «In-house privacy-комплаенс»
Comply и Privacy Advocates приглашают на вебинар 11 апреля в 12:00. Обсудим, как создать надежную и эффективную систему приватности внутри компании.
В программе:
▫️ С чего начинать на новом месте: план на первые 100 дней
▫️ Privacy-чемпионы или как выстраиваивать privacy-менеджмент на местах
▫️ Критерии приоритизации работы: KPI, штрафы, карта рисков
▫️ Как выстраивать коммуникацию с другими юнитами в компании и демонстрировать достижения
▫️ Автоматизация учета обработок данных и иное — надо ли или как
▫️ Как уничтожить ПД и не сойти с ума
Спикеры:
◽️ Екатерина Липова, DPO, Yandex Cloud
◽️ Михаил Ратушный, DPO, Ozon
◽️ Артем Дмитриев, управляющий партнер, Comply
◽️ Алексей Мунтян, СЕО, Privacy Advocates
➡️ Регистрация здесь.
Comply и Privacy Advocates приглашают на вебинар 11 апреля в 12:00. Обсудим, как создать надежную и эффективную систему приватности внутри компании.
В программе:
Спикеры:
Please open Telegram to view this post
VIEW IN TELEGRAM
Инсайдер РКН: и далее без шуток, к сожалению
Прошел очередной ивент с участием РКН во Франко-российской торгово-промышленной палате. РКН представлял Юрий Евгеньевич Контемиров. Мы, как всегда, собрали любопытные тезисы.
🔵 И все же бизнес может обезличивать ПД в соответствии с Приказом № 996. Для этого, однако, потребуется правовое основание. Какое? РКН сделал акцент только на основании п. 9 ст. 6 152-ФЗ (обработка ПД в статистических или иных исследовательских целях), по мнению регулятора оно подходит для большинства потребностей бизнеса.
🔵 Если происходит сличение фото и видео с камер видеонаблюдения с информацией в социальных сетях / иных открытых и не только источниках, то такая обработка может подпадать под признаки обработки биометрических ПД. Это очевидно. А РКН спасибо за то, что напомнил всем – для признания аутентификации биометрической вовсе не обязательно, чтобы условный вектор лица метчился с идеальным образцом, подкрепленным, например, паспортными данными. Акцент на самом алгоритме работы. Отговорки в стиле – мы установили, что это кто-то похожий на Ваню, но не наверняка, да мы и не знаем точно ли это Ваня – не пройдут!
🔵 Не планируется перенос ответственности за утечку на провайдера облачных услуг. Ведь у оператора есть полномочия проводить систематические проверки своего подрядчика, в том числе в части соблюдения требований безопасности ПД. Признавайтесь, когда последний раз проверяли своего облачного провайдера? 🙂
🔵 24 часа на уведомление об инциденте начинаются с момента установления факта утечки, даже если факт установлен в выходной или праздничный день. Да-да, у нас такое было однажды 5 января, и РКН ждал уведомление под Рождество...
🔵 Для нестрогих согласий на обработку ПД следует собирать информацию о третьих лицах, обрабатывающих ПД, в отдельный список по ссылке из согласия. Такой список должен быть опубликован на официальном сайте оператора. В этом списке должны быть указаны цели передачи ПД третьим лицам.
🔵 Не так страшен Приказ Минцифры России № 1187, как его малюют: три факта несоответствия информации в уведомлении и в Политике конфиденциальности должны быть установлены в разные временные периоды. РКН сравнивает уведомление, Политику конфиденциальности и доступные ему процессы обработки ПД. Смотрят в том числе цели обработки ПД, информацию об обрабатываемых ПД, категориях субъектов ПД, действиях с ПД.
🔵 Основание обработки ПД представителя контрагента – договор между оператором и контрагентом + или исполнение требований ГК, если выдана контрагентом представителю доверенность, или трудовой договор, если представитель контрагента взаимодействует с вами в рамках своих трудовых обязанностей. В общем какая-то неразбериха. А почему все так сложно? Верно, потому что законный интерес все еще не материализовался для РКН 🙂
Прошел очередной ивент с участием РКН во Франко-российской торгово-промышленной палате. РКН представлял Юрий Евгеньевич Контемиров. Мы, как всегда, собрали любопытные тезисы.
Please open Telegram to view this post
VIEW IN TELEGRAM
Процедура уничтожения персональных данных
Многие знают о существовании приказа РКН № 179, но мало кто понимает, как его внедрить. К слову, и мы и не представляем, как его выполнять буква в букву. С другой стороны, далеко не первый раз нам приходится сталкиваться с подобными нормотворческими этюдами.
Отчего мы так саркастичны? Дело в том, что требование, с одной стороны, невероятно обременительно для бизнеса, а с другой – несет сомнительную пользу субъектам ПД. Но представители РКН не забывают напоминать на публичных мероприятиях, что акт об уничтожении ПД должен быть примерно всегда. То есть инспектор обязательно запросит у вас такой акт и журнал логов уничтожения в большинстве контрольных мероприятий РКН.
Невозможность их продемонстрировать или их неверное составление могут повлечь административную ответственность по ст. 13.11 КоАП РФ, то есть теоретически до 1,5 млн. руб.
Требования in brief, отчего так обременительно уничтожать ПД?
🌸 Во-первых, факт уничтожения необходимо подтверждать документально – актом об уничтожении ПД и для ИТ-систем дополнительно выгрузкой из журнала регистрации событий (логов уничтожения).
🌸 Во-вторых, акт и журнал не могут быть абстрактными, помимо вполне безобидной информации о причинах уничтожения и категориях уничтоженных ПД они должны содержать данные, определяющие субъекта ПД. Если вы уничтожаете массив данных, то должны быть определены все субъекты ПД – каждый! В случае уничтожения бумажного документа в акте должно быть его наименование с количеством листов. Это тоже отягощает и без того драматичную процедуру уничтожения.
Не облегчает жизнь операторам и позиции РКН о применении Приказа. По мнению регулятора документы в архиве, содержащие ПД, после достижения цели обработки ПД должны уничтожаться по такой же процедуре. При этом про нераспространение 152-ФЗ на архивное хранение РКН тоже говорил. Ситуация…
🌸 В следующих постах мы расскажем, когда соблюдение Приказа обязательно и когда это не требуется, что должна уметь логировать ИТ-система.
🌸 Следите за нашей рубрикой Privacy-мнение от Comply в следующий понедельник.
#мнение
Многие знают о существовании приказа РКН № 179, но мало кто понимает, как его внедрить. К слову, и мы и не представляем, как его выполнять буква в букву. С другой стороны, далеко не первый раз нам приходится сталкиваться с подобными нормотворческими этюдами.
Отчего мы так саркастичны? Дело в том, что требование, с одной стороны, невероятно обременительно для бизнеса, а с другой – несет сомнительную пользу субъектам ПД. Но представители РКН не забывают напоминать на публичных мероприятиях, что акт об уничтожении ПД должен быть примерно всегда. То есть инспектор обязательно запросит у вас такой акт и журнал логов уничтожения в большинстве контрольных мероприятий РКН.
Невозможность их продемонстрировать или их неверное составление могут повлечь административную ответственность по ст. 13.11 КоАП РФ, то есть теоретически до 1,5 млн. руб.
Требования in brief, отчего так обременительно уничтожать ПД?
Не облегчает жизнь операторам и позиции РКН о применении Приказа. По мнению регулятора документы в архиве, содержащие ПД, после достижения цели обработки ПД должны уничтожаться по такой же процедуре. При этом про нераспространение 152-ФЗ на архивное хранение РКН тоже говорил. Ситуация…
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Актировать или не актировать, вот в чем вопрос…
Сперва обсудим, а когда вообще надо выполнять требования Приказа РКН № 179. Без сомнений актировать уничтожение придется в случае обращения субъекта или РКН. Но что делать с рутинным уничтожением данных, например, технических логов, содержащих ПД?
Правила Приказа РКН применяются только в случаях, предусмотренных ч. 7 ст. 21 152-ФЗ, то есть, в основном, это случаи:
Но если слепо следовать написанному, то получается, что актирование и журналирование уничтожения ПД необходимо осуществлять каждый день и несколько раз — например, при распечатке лишней копии договора, резюме, создании нескольких черновиков одного и того же документа, завершении работы с тестовой базой...
Пища к размышлению:
При наличии таких триггеров ПД уничтожаются из всех ИТ-систем или с материальных носителей, уничтожение актируется и журналируется (логируется) по всем канонам Приказа РКН. Благо, требований / запросов обычно ограниченное количество, а случаи полного прекращения предсказуемы, и чаще всего уничтожение и его формализация поддаются автоматизации.
Поэтому критично разработать понятную для работников процедуру уничтожения, ведь DPO не сможет следить за всеми триггерами на ежедневной основе. Процедура должна включать сами триггеры (условия и причины) для запуска процесса уничтожения, определять круг ответственных, ИТ-системы, метод уничтожения (мануальный или автоматический), материальные носители и способ уничтожения, сроки и т. д. И для проработки процедуры нужна актуальная и подробная RoPA.
Без этой процедуры вряд ли возможно корректно формализовать уничтожение и уничтожить ПД. К слову, это только одна из процедур в privacy playbook.
А у вас есть такой понятный рабочий (а не только формальный) регламент уничтожения ПД?
🦄 да
🤨 нет
В следующий раз обсудим, что должна уметь система, чтобы уничтожать ПД правильно. Не пропустите
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM