Comply на карте LegalTech
Comply вошел в группу «Комплаенс / Управление рисками» на карте российского LegalTech с нашим цифровым решением — системой кадрового электронного документооборота Comply.Consent 😎
Comply.Consent, помимо кадровых процессов, позволяет также автоматизировать большую часть юридических процедур. В системе предусмотрены модули:
🔵 автоматизации декларирования и расследования конфликта интересов
🔵 сбора согласий на обработку данных сотрудников и третьих лиц
🔵 маршрутизации различных служебных записок и ознакомления сотрудников с локальными актами.
Весь документооборот происходит в единой системе, что упрощает работу юристам и самим сотрудникам. К тому же система доступна как офисным работникам, так и «синим воротничкам» на производстве.
Карта российского LegalTech — удобный инструмент для навигации в пространстве отечественных решений по автоматизации работы юристов. Проект предоставляет доступ к актуальному списку консультантов по направлению LegalTech и регулярно обновляется.
Подробнее о проекте можно почитать здесь.
Comply вошел в группу «Комплаенс / Управление рисками» на карте российского LegalTech с нашим цифровым решением — системой кадрового электронного документооборота Comply.Consent 😎
Comply.Consent, помимо кадровых процессов, позволяет также автоматизировать большую часть юридических процедур. В системе предусмотрены модули:
Весь документооборот происходит в единой системе, что упрощает работу юристам и самим сотрудникам. К тому же система доступна как офисным работникам, так и «синим воротничкам» на производстве.
Карта российского LegalTech — удобный инструмент для навигации в пространстве отечественных решений по автоматизации работы юристов. Проект предоставляет доступ к актуальному списку консультантов по направлению LegalTech и регулярно обновляется.
Подробнее о проекте можно почитать здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
Новый законопроект Хинштейна — что опять не так?
Вчера на рассмотрение Госдумы был внесен законопроект, призванный урегулировать сбор ПД.
Как эксперты Comply оценивают инициативу?
Управляющий партнер Артем Дмитриев:
Инициатива направлена на борьбу с практикой, которая и без того сегодня не соответствует требованиям закона. Казалось бы, многим известно, что согласие на обработку ПД нельзя «вшивать» в текст договора. Это подкрепляется и практикой РКН / ФАС. То есть если бизнес обрабатывает ПД для каких-либо целей, не связанных с договором, то надо обеспечить для такой обработки отдельное основание, которым чаще всего и будет согласие.
Конечно, важно убедиться, что при сборе таких согласий обеспечивается информированность, сознательность и вот это вот все. То есть включение текста согласия в текст договора не должно никого смущать и не очень понятно, зачем это запрещать, если в разделе подписей предусмотрен именно отдельный чек-бокс или подпись для подтверждения клиентом своего согласия.
А для бизнеса реализация инициативы приведет к потере конверсии и лояльности клиентов. Необходимость изучения дополнительных документов вместо двух галочек / подписей на одном усложнит и без того зачастую сложный клиентский путь, ухудшит опыт взаимодействия клиента с бизнесом, негативно скажется на качестве сервиса.
Наконец, бизнес понесет издержки из-за необходимости менять работу сайтов и печатные формы клиентских документов. На кого лягут эти расходы? Да, на нас с вами. Поэтому пока совсем не очевидна полезность такой инициативы даже для рядовых субъектов ПД. Ведь лучше их права защищаться, увы, не будут.
Но это не значит, что проблемы с согласиями на рынке нет. Проблема есть. Кажется очевидным, что решение проблемы недобросовестных практик не в переписывании закона, а в изменении правоприменительной практики, проведении более тщательной разъяснительной работы, формировании стандартов и белых книг. До сих пор регулятор не сформулировал стандарты информированности согласия, не ввел понятные для бизнеса правила применения законного интереса для отдельных случаев и opt-out согласий. Именно эти меры способны решить проблему с количеством и понятностью согласий.
А вот на что обращает внимание руководитель IP практики Comply Максим Али:
У продавца есть общая обязанность дать информацию о товаре для возможности выбора. Поэтому отказ в предоставлении такой информации в большинстве случаев будет нарушением, даже если потребитель не предоставил ПД. Зачастую данные потребителя не нужны продавцу, чтобы информировать о товаре.
Рыночные практики отличаются, не все игроки строго следуют консервативному восприятию закона. Частый сценарий – когда дать ПД нужно для расчета стоимости страховых или финансовых продуктов. Нередко информационный ресурс устроен таким образом, что после нескольких шагов калькулятора страховки или кредита нужно ввести контакты для доступа к результату расчета. В итоге данные потребителя оказываются у финансовой организации, которая часто пользуется ими для продвижения продуктов.
Поэтому в закон и предлагается внести общий запрет на принудительное предоставление данных. Аналогичный запрет был введен в 2022 году – п. 4 ст. 16 Закона о защите прав потребителей запрещает отказывать в заключении договоров из-за непредоставления ПД. За соблюдением этого правила следит Роспотребнадзор.
И новая инициатива, и поправки 2022 года во многом выглядят избыточными. И раньше компании не вправе были отказывать в заключении потребительских договоров из-за непредоставления персональных данных. Однако это следовало скорее из 152-ФЗ, сейчас мы видим «миграцию» этих правил в потребительское законодательство. Возможно, в более очевидном для Роспотребнадзора и судов виде.
Также читайте комментарии Comply в Коммерсанте и Ведомостях.
Вчера на рассмотрение Госдумы был внесен законопроект, призванный урегулировать сбор ПД.
Как эксперты Comply оценивают инициативу?
Управляющий партнер Артем Дмитриев:
Инициатива направлена на борьбу с практикой, которая и без того сегодня не соответствует требованиям закона. Казалось бы, многим известно, что согласие на обработку ПД нельзя «вшивать» в текст договора. Это подкрепляется и практикой РКН / ФАС. То есть если бизнес обрабатывает ПД для каких-либо целей, не связанных с договором, то надо обеспечить для такой обработки отдельное основание, которым чаще всего и будет согласие.
Конечно, важно убедиться, что при сборе таких согласий обеспечивается информированность, сознательность и вот это вот все. То есть включение текста согласия в текст договора не должно никого смущать и не очень понятно, зачем это запрещать, если в разделе подписей предусмотрен именно отдельный чек-бокс или подпись для подтверждения клиентом своего согласия.
А для бизнеса реализация инициативы приведет к потере конверсии и лояльности клиентов. Необходимость изучения дополнительных документов вместо двух галочек / подписей на одном усложнит и без того зачастую сложный клиентский путь, ухудшит опыт взаимодействия клиента с бизнесом, негативно скажется на качестве сервиса.
Наконец, бизнес понесет издержки из-за необходимости менять работу сайтов и печатные формы клиентских документов. На кого лягут эти расходы? Да, на нас с вами. Поэтому пока совсем не очевидна полезность такой инициативы даже для рядовых субъектов ПД. Ведь лучше их права защищаться, увы, не будут.
Но это не значит, что проблемы с согласиями на рынке нет. Проблема есть. Кажется очевидным, что решение проблемы недобросовестных практик не в переписывании закона, а в изменении правоприменительной практики, проведении более тщательной разъяснительной работы, формировании стандартов и белых книг. До сих пор регулятор не сформулировал стандарты информированности согласия, не ввел понятные для бизнеса правила применения законного интереса для отдельных случаев и opt-out согласий. Именно эти меры способны решить проблему с количеством и понятностью согласий.
А вот на что обращает внимание руководитель IP практики Comply Максим Али:
У продавца есть общая обязанность дать информацию о товаре для возможности выбора. Поэтому отказ в предоставлении такой информации в большинстве случаев будет нарушением, даже если потребитель не предоставил ПД. Зачастую данные потребителя не нужны продавцу, чтобы информировать о товаре.
Рыночные практики отличаются, не все игроки строго следуют консервативному восприятию закона. Частый сценарий – когда дать ПД нужно для расчета стоимости страховых или финансовых продуктов. Нередко информационный ресурс устроен таким образом, что после нескольких шагов калькулятора страховки или кредита нужно ввести контакты для доступа к результату расчета. В итоге данные потребителя оказываются у финансовой организации, которая часто пользуется ими для продвижения продуктов.
Поэтому в закон и предлагается внести общий запрет на принудительное предоставление данных. Аналогичный запрет был введен в 2022 году – п. 4 ст. 16 Закона о защите прав потребителей запрещает отказывать в заключении договоров из-за непредоставления ПД. За соблюдением этого правила следит Роспотребнадзор.
И новая инициатива, и поправки 2022 года во многом выглядят избыточными. И раньше компании не вправе были отказывать в заключении потребительских договоров из-за непредоставления персональных данных. Однако это следовало скорее из 152-ФЗ, сейчас мы видим «миграцию» этих правил в потребительское законодательство. Возможно, в более очевидном для Роспотребнадзора и судов виде.
Также читайте комментарии Comply в Коммерсанте и Ведомостях.
Защищен ли ваш сайт от проверок и претензий? Чек-лист по Front-End комплаенсу от Comply
В ближайший час мы выступим на конференции ИТМО и RPPA по юридическим вызовам в технологических продуктах. Смотреть трансляцию можно здесь.
Рассказывать будем про Front-End – как юридически обезопасить сайт или приложение. Нюансов здесь много: персональные данные, реклама, защита прав потребителей и многое другое.
Мы сформулировали чек-лист с базовыми требованиями – их оказалось больше 60. Он будет доступен участникам конференции, но наши подписчики увидят чек-лист первыми 😉
Скачивайте, пользуйтесь, делитесь с коллегами и будьте готовы к любым проверкам.
В ближайший час мы выступим на конференции ИТМО и RPPA по юридическим вызовам в технологических продуктах. Смотреть трансляцию можно здесь.
Рассказывать будем про Front-End – как юридически обезопасить сайт или приложение. Нюансов здесь много: персональные данные, реклама, защита прав потребителей и многое другое.
Мы сформулировали чек-лист с базовыми требованиями – их оказалось больше 60. Он будет доступен участникам конференции, но наши подписчики увидят чек-лист первыми 😉
Скачивайте, пользуйтесь, делитесь с коллегами и будьте готовы к любым проверкам.
Сегодня Госдума «обрадовала» нас двумя будущими законами. И ведь умеют так быстро и без споров принимать сразу в двух чтениях! 🔽
1️⃣ Первый касается обезличивания и находился на рассмотрении нижней палаты уже 3 года. Скоропостижно принятый текст, очевидно, не в полной мере учел баланс интересов бизнеса и государства. Да, дата-национализации быть!
Бизнес давно просил о либерализации подхода к обезличиванию, но получил право обезличивать лишь с целью передачи таких данных государству на безвозмездной основе. Таков «налог». Отложенный же до настоящих пор вопрос с актуализацией методов обезличивания пока остается не решенным – методы должны будут определить Правительство с ФСБ и РКН. А ведь именно отсутствие таких методов сегодня выступает препятствием к развитию ЭПР в сфере данных. Этому прекрасный пример инициатива АБД, связанная с апробацией риск-ориентированного подхода к обезличиванию.
Так и осталась в наших фантазиях тарификация «выкупа» данных у бизнеса, которая бы стимулировала его обезличивать и делиться данными с государством. Безвозмездно получать данные логично было бы только в исключительных случаях, не связанных с формированием дата-сетов для обучения ИИ-моделей, например, в случае эпидемии. Это предусматривает, например, Data Act в ЕС.
Кроме того, государство само обладает огромными массивами данных в «колодцах», которыми бы оно могло при желании (или должно?) также делиться с бизнесом. Однако пока мы видим в законопроекте лишь одностороннюю передачу.
2️⃣ Второй закон, помимо прочего, касается обязательной регистрации владельцев каналов и страниц в соцсетях с 10,000+ подписчиков. Теперь такие лица обязаны регистрироваться в РКН под угрозой запрета рекламы и блокировки.
Кроме того, закон запрещает репостить информацию с каналов и страниц, не включенных в реестр РКН. Как это будет работать на практике – пока не ясно, но, вероятно, скоро окажутся под формальным запретом 99% всех репостов, совершаемых в социальных сетях.
Ох, уверены, дальше – больше и интереснее. Ведь, чтобы все эти нормативные «сладости» заработали, нужны подзаконные акты, много актов без которых пока сложно осознать масштабы случившегося.
Stay tuned!🙂
Бизнес давно просил о либерализации подхода к обезличиванию, но получил право обезличивать лишь с целью передачи таких данных государству на безвозмездной основе. Таков «налог». Отложенный же до настоящих пор вопрос с актуализацией методов обезличивания пока остается не решенным – методы должны будут определить Правительство с ФСБ и РКН. А ведь именно отсутствие таких методов сегодня выступает препятствием к развитию ЭПР в сфере данных. Этому прекрасный пример инициатива АБД, связанная с апробацией риск-ориентированного подхода к обезличиванию.
Так и осталась в наших фантазиях тарификация «выкупа» данных у бизнеса, которая бы стимулировала его обезличивать и делиться данными с государством. Безвозмездно получать данные логично было бы только в исключительных случаях, не связанных с формированием дата-сетов для обучения ИИ-моделей, например, в случае эпидемии. Это предусматривает, например, Data Act в ЕС.
Кроме того, государство само обладает огромными массивами данных в «колодцах», которыми бы оно могло при желании (или должно?) также делиться с бизнесом. Однако пока мы видим в законопроекте лишь одностороннюю передачу.
Кроме того, закон запрещает репостить информацию с каналов и страниц, не включенных в реестр РКН. Как это будет работать на практике – пока не ясно, но, вероятно, скоро окажутся под формальным запретом 99% всех репостов, совершаемых в социальных сетях.
Ох, уверены, дальше – больше и интереснее. Ведь, чтобы все эти нормативные «сладости» заработали, нужны подзаконные акты, много актов без которых пока сложно осознать масштабы случившегося.
Stay tuned!
Please open Telegram to view this post
VIEW IN TELEGRAM
Делимся материалами LegalTech конференции 💠
▶️ запись мероприятия с таймкодами для удобного поиска выступлений СМОТРЕТЬ
💠 А самое, на наш взгляд, интересное выступление смотрите на 51:28 - Артем Дмитриев и Максим Али о front-end комплаенсе - устранение критичных рисков
▶️ презентации спикеров с полезными ссылками и чек-листами СКАЧАТЬ
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy-мнение от Comply
Как обещали в прошлом мнении, обсуждаем, а надо ли подавать уведомление о трансграничной передаче персональных данных (ТГП)?
Аргументы «за» очевидны. Чтобы исключить риски (1) штрафа за неуведомление и, что может быть более существенно для бизнеса, (2) запрета на осуществление ТГП. Склонить в сторону подачи уведомления также могут два вспомогательных аргумента. Контрагент может (3) требовать продемонстрировать ему такое уведомление, например, если сам он подавать его не намерен или просто privacy-тревожен и требователен к подрядчикам. Наконец, (4) получение запрета на осуществление ТГП от РКН – невероятная редкость. По информации РКН только один запрет на каждые 250 уведомлений об осуществлении ТГП. Мы с такими запретами не сталкивались, хотя регулярно уведомляем о ТГП в совсем уж непатриотичные юрисдикции.
Но все мы знаем как надо, но не всегда так как надо – правильно. Оттого интересно разобраться с аргументами «против» уведомления РКН о ТГП:
1️⃣ Скромность штрафа за неуведомление о ТГП – 5 тысяч руб. (ст. 19.7 КоАП). Да, конечно, в случае обнаружения нарушения РКН подать уведомление таки придется. Еще скромнее вероятность выявления нарушения и применение штрафа, если ТГП в ваших бизнес-процессах неочевидна, например, нет зарубежных ИТ-сервисов, нет зарубежных HQ.
2️⃣ Сомнительна пока возможность назначения штрафа 100 тысяч руб. (ч. 1 ст. 13.11 КоАП). Для передачи в «адекватные» страны такое кажется уж совсем фантастическим, а вот для «неадекватных» стран теоретическая возможность имеется, хотя практики и нет. Пока нет.
3️⃣ Чтобы подать уведомление придется еще провести оценку соблюдения конфиденциальности получателем ПД. Обычно это не особо трудозатратно, НО не всегда возможно из РФ с учетом понятных обстоятельств.
4️⃣ Если компания давно и непрерывно передает ПД за границу, то при подаче уведомления о ТГП компания не только расписывается в нарушении законодательства. Ведь остановить бизнес- процесс и передачу ПД зарубежным коллегам вряд ли получится на те 10 дней, пока РКН раздумывает о возможности такой ТГП.
5️⃣ Непрогнозируемость решений о запрете ТГП. По сути РКН в любой момент может запретить ТГП в адрес любой страны, любого контрагента или для любой цели. При этом, если вы признались, что осуществляете ТГП (подав уведомление), то проигнорировать подобный запрет будет сложнее, если бы вы молча «трансграничили».
6️⃣ И, конечно же, понятные переживания, что подача уведомления в РКН повлечет его нежелательное внимание к компании. Такой страх живет, ведь обратное так и не доказано.
❗️ Решение, как всегда, следует принимать исходя из специфики конкретного кейса. Даже если вы решите не уведомлять о ТГП, полезно будет подготовить уведомление и провести оценку конфиденциальности по ч. 5 ст. 12. Если же вы приняли решение уведомить РКН, то при формировании уведомления полезно будет обобщать информацию о потоках ПД, смягчать формулировки, избегать очевидной токсичности и избыточности для РКН, а также обеспечить консистентность такого уведомления с уже содержащейся в реестре операторов информацией.
И отдельных рассуждений заслуживает, а о каких именно передачах за рубеж надо уведомлять РКН? А если передает обработчик по поручению сам своему суб-обработчику, а если ваш работник сам заказывает билеты и гостиницу в ОАЭ, а вы только компенсируете расходы, а если это однократная передача ПД?
Но это обсудим в другой раз🙂
#мнение
Как обещали в прошлом мнении, обсуждаем, а надо ли подавать уведомление о трансграничной передаче персональных данных (ТГП)?
Аргументы «за» очевидны. Чтобы исключить риски (1) штрафа за неуведомление и, что может быть более существенно для бизнеса, (2) запрета на осуществление ТГП. Склонить в сторону подачи уведомления также могут два вспомогательных аргумента. Контрагент может (3) требовать продемонстрировать ему такое уведомление, например, если сам он подавать его не намерен или просто privacy-тревожен и требователен к подрядчикам. Наконец, (4) получение запрета на осуществление ТГП от РКН – невероятная редкость. По информации РКН только один запрет на каждые 250 уведомлений об осуществлении ТГП. Мы с такими запретами не сталкивались, хотя регулярно уведомляем о ТГП в совсем уж непатриотичные юрисдикции.
Но все мы знаем как надо, но не всегда так как надо – правильно. Оттого интересно разобраться с аргументами «против» уведомления РКН о ТГП:
И отдельных рассуждений заслуживает, а о каких именно передачах за рубеж надо уведомлять РКН? А если передает обработчик по поручению сам своему суб-обработчику, а если ваш работник сам заказывает билеты и гостиницу в ОАЭ, а вы только компенсируете расходы, а если это однократная передача ПД?
Но это обсудим в другой раз
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Как институт уполномоченных операторов ПД (не)поможет бизнесу
Глава ИТ-комитета Госдумы Александр Хинштейн предложил создать такой институт для того, чтобы снизить нагрузку на средний и малый бизнес в вопросах кибербезопасности. Однако инициатива требует тщательной проработки, чтобы, наоборот, не привести к лишь только одним дополнительным издержкам и обременениям.
Комментарии от управляющего партнера Comply Артема Дмитриева:
🔵 Эффективность будет во многом зависеть от того, как инициатива будет реализована, а пока деталей совсем нет. Например, если передача ПД не будет добровольной, то это больше будет походить на очередную меру по дата-национализации. Принуждение бизнеса, и без того способного обеспечить адекватную защиту ПД, приведет только к дополнительным издержкам, а уровень защиты ПД не факт что повысится. Увы.
🔵 И наоборот, если передача ПД будет добровольной, то и инициатива возможно окажется полезной для рынка. Так, например, бизнес, который не планирует инвестировать в ИБ, не планирует монополизировать данные, сможет передать данные «уполномоченному» оператору с тем, чтобы сократить риски из утечек ПД именно из своей инфраструктуры.
🔵 Судя по всему, ПД в любом случае будут первоначально оседать на стороне «неуполномоченного» оператора, а только потом передаваться «уполномоченному». А далее осуществить передачу всех имеющихся у бизнеса ПД – нелегкая задача. Бизнесу необходимо будет «инвентаризировать» имеющиеся ПД, систематизировать их, доработать алгоритмы работы с ПД и научиться работать с «внешними» источниками по запросу. Еще сложнее это делать в real-time. Это все временные и денежные затраты.
🔵 Неясен механизм передачи ПД от «неуполномоченных» операторов «уполномоченным»: насколько он будет безопасен, бюрократичен, быстр, как и чем будет регулироваться, как распределяются риски в момент передачи, как и кто доказывает источник утечки ПД и другие вопросы. Пока что вопросов больше, чем ответов. А как показывает практика, когда так происходит, то «в конце дня» это вряд ли приносит рынку пользу.
🔵 Да, передача хранения ПД в руки уполномоченных операторов могла бы снять с бизнеса ответственность за защиту ПД и тем самым снизить риски. А могла бы и ограничить абсолютное большинство компаний в имеющихся у них сейчас правах без явной пользы кому-либо. Но все будет зависеть от названных выше нюансов этой регуляторной инновации.
Подробнее о том, как нововведение отразится на компаниях, читайте в материале RSpectr.
Глава ИТ-комитета Госдумы Александр Хинштейн предложил создать такой институт для того, чтобы снизить нагрузку на средний и малый бизнес в вопросах кибербезопасности. Однако инициатива требует тщательной проработки, чтобы, наоборот, не привести к лишь только одним дополнительным издержкам и обременениям.
Комментарии от управляющего партнера Comply Артема Дмитриева:
Подробнее о том, как нововведение отразится на компаниях, читайте в материале RSpectr.
Please open Telegram to view this post
VIEW IN TELEGRAM
К Сбербанку пришли за QR-платежом
Компания ФИТ, разработавшая сервис бесконтактной оплаты PayQR, требует от Сбербанка 2,9 млрд руб. компенсации за нарушение ее исключительных прав. Компания считает, что используемые банком обозначения «Плати QR» и SberPay QR сходны до степени смешения с ее знаками обслуживания, пишет Коммерсантъ.
В 2014 году ФИТ разработала сервис бесконтактной оплаты товаров и услуг с помощью мобильного телефона, в 2015 году компания стала резидентом «Сколково». Знаки обслуживания на программный комплекс PayQR ФИТ зарегистрировала в Роспатенте в 2016 году с приоритетом от сентября 2014 года. Кроме того, в 2014–2017 годах компания зарегистрировала ряд программ для ЭВМ «Сервис PayQR».
Комментирует партнер практики интеллектуальной собственности Максим Али:
Важно, что обозначения истца зарегистрированы не просто в словесной форме, а вместе с логотипами, но для победы в суде компании нужно делать акцент именно на словах PayQR.
Наверняка картинка была добавлена в знаки неспроста. Иначе Роспатент изначально мог отказать в регистрации. Ведь знаки должны обладать различительной способностью и не могут быть описательными, то есть просто указывать на название услуги.
Поэтому ключевой вопрос – какой из элементов мы считаем более сильным – «картинку» или «текст». Здесь могут быть идти в ход разные доказательства и аргументы: соц.опросы, анализ обозначений по методикам Роспатента, те пояснения, которые давала сама компания «ФИТ» в ходе делопроизводства в Роспатенте.
Судя по тому, что Сбер уже направлял возражение в Роспатент, он уже прорабатывал довод об отсутствии различительной способности в товарных знаках PayQR.
Неизвестно, почему банк отозвал возражение – возможно, была какая-то мирная договоренность с оппонентами. Другой варинат – Сбер уже получил в процессе разбирательства в Роспатенте пояснения правообладателя.
Нужно понимать, что правообладатель находится меж двух огней. С одной стороны, он должен делать акцент на словах PayQR, чтобы выиграть суд с банком. С другой – такой акцент сместит фокус с картинки и знаки могут признать неохраноспособными. А занимать противоречивую позицию в разных делах нельзя.
Банк также может повторно обратиться в Роспатент с возражением или даже заявить, что слова PayQR утратили различительную способность как некогда слово «ксерокс».
Все это не значит, что процесс будет совсем уж простым для Сбера. «ФИТ» наверняка будет ссылаться на проведенный среди потребителей соц.опрос, который сам по себе выступает сильным доказательством. Стоит ожидать критики методики опроса от Сбера и проведения нового соцопроса.
Аналогичная ситуация и с оценкой прав на товарные знаки. Истец получил отчет оценщика, где стоимость использования определили почти в 1,5 млрд рублей. Именно эту сумму «ФИТ» умножил на два для расчета компенсации. Хотя и тут остаются контрдоводы. Годовой оборот истца – всего 360 тыс. Такая колоссальная разница не бьется с идеей о том, что компенсация призвана заменить убытки истца. Поэтому отдельная «ветка» спора будет и вокруг суммы исковых требований.
Конечно, сторонам проще всего договориться мирно – например, Сбер может выкупить товарные знаки, чтобы снять претензии. Но если это не удастся сделать, спор может затянуться на долгое время и забрать много ресурсов у каждой из сторон. У банка эти ресурсы очевидно есть, но есть ли они у «ФИТ»?
Подробнее читайте на сайте газеты Коммерсантъ.
Компания ФИТ, разработавшая сервис бесконтактной оплаты PayQR, требует от Сбербанка 2,9 млрд руб. компенсации за нарушение ее исключительных прав. Компания считает, что используемые банком обозначения «Плати QR» и SberPay QR сходны до степени смешения с ее знаками обслуживания, пишет Коммерсантъ.
В 2014 году ФИТ разработала сервис бесконтактной оплаты товаров и услуг с помощью мобильного телефона, в 2015 году компания стала резидентом «Сколково». Знаки обслуживания на программный комплекс PayQR ФИТ зарегистрировала в Роспатенте в 2016 году с приоритетом от сентября 2014 года. Кроме того, в 2014–2017 годах компания зарегистрировала ряд программ для ЭВМ «Сервис PayQR».
Комментирует партнер практики интеллектуальной собственности Максим Али:
Важно, что обозначения истца зарегистрированы не просто в словесной форме, а вместе с логотипами, но для победы в суде компании нужно делать акцент именно на словах PayQR.
Наверняка картинка была добавлена в знаки неспроста. Иначе Роспатент изначально мог отказать в регистрации. Ведь знаки должны обладать различительной способностью и не могут быть описательными, то есть просто указывать на название услуги.
Поэтому ключевой вопрос – какой из элементов мы считаем более сильным – «картинку» или «текст». Здесь могут быть идти в ход разные доказательства и аргументы: соц.опросы, анализ обозначений по методикам Роспатента, те пояснения, которые давала сама компания «ФИТ» в ходе делопроизводства в Роспатенте.
Судя по тому, что Сбер уже направлял возражение в Роспатент, он уже прорабатывал довод об отсутствии различительной способности в товарных знаках PayQR.
Неизвестно, почему банк отозвал возражение – возможно, была какая-то мирная договоренность с оппонентами. Другой варинат – Сбер уже получил в процессе разбирательства в Роспатенте пояснения правообладателя.
Нужно понимать, что правообладатель находится меж двух огней. С одной стороны, он должен делать акцент на словах PayQR, чтобы выиграть суд с банком. С другой – такой акцент сместит фокус с картинки и знаки могут признать неохраноспособными. А занимать противоречивую позицию в разных делах нельзя.
Банк также может повторно обратиться в Роспатент с возражением или даже заявить, что слова PayQR утратили различительную способность как некогда слово «ксерокс».
Все это не значит, что процесс будет совсем уж простым для Сбера. «ФИТ» наверняка будет ссылаться на проведенный среди потребителей соц.опрос, который сам по себе выступает сильным доказательством. Стоит ожидать критики методики опроса от Сбера и проведения нового соцопроса.
Аналогичная ситуация и с оценкой прав на товарные знаки. Истец получил отчет оценщика, где стоимость использования определили почти в 1,5 млрд рублей. Именно эту сумму «ФИТ» умножил на два для расчета компенсации. Хотя и тут остаются контрдоводы. Годовой оборот истца – всего 360 тыс. Такая колоссальная разница не бьется с идеей о том, что компенсация призвана заменить убытки истца. Поэтому отдельная «ветка» спора будет и вокруг суммы исковых требований.
Конечно, сторонам проще всего договориться мирно – например, Сбер может выкупить товарные знаки, чтобы снять претензии. Но если это не удастся сделать, спор может затянуться на долгое время и забрать много ресурсов у каждой из сторон. У банка эти ресурсы очевидно есть, но есть ли они у «ФИТ»?
Подробнее читайте на сайте газеты Коммерсантъ.
Comply.Pulse: цугцванг, а не уведомление РКН
Уведомления в Роскомнадзор могут быть разными, сегодня обсудим:
1️⃣ уведомления о намерении осуществлять обработку персональных данных (ПД),
2️⃣ о трансграничной передаче ПД (ТГП).
Оператор обязан уведомить РКН о своем намерении обрабатывать ПД и осуществлять ТГП. РКН включает эту информацию в общедоступный реестр операторов ПД (Реестр). В Реестре содержатся данные об операторе, о целях и правовых основаниях обработки, категориях обрабатываемых ПД, информация о ТГП и иные данные. Реестр, как privacy–ЕГРЮЛ, обеспечивает публичную достоверность содержащихся в нем сведений. Если операторы пытаются подорвать эту достоверность, несвоевременно или не в полном объеме предоставляя сведения, они рискуют понести наказание.
То есть, казалось бы, очевидным, что уведомительный порядок взаимодействия с РКН позволит митигировать риски. Но как показывает практика, такие уведомления, митигируя одни риски, создают другие. Целесообразность уведомлений РКН необходимо рассматривать в контексте оценки рисков именно для вашей компании. С учетом специфики бизнеса и субъективной интерпретации рисков итоги могут разительно отличаться. Есть много разумных аргументов как «за», так и «против» уведомлений РКН. Поэтому мы не будем рекомендовать (не) уведомлять РКН, но, что важнее, сформулируем список аргументов для взвешенного ответа на этот вопрос.
Спойлер: можно ознакомиться с критериями в файле в формате PDF или заполнить упрощенную анонимную онлайн анкету – «Уведомление о намерении осуществлять обработку ПД» и «Уведомление о ТГП».
В анкетах указаны аргументы, которые помогут определиться с отношением к уведомлению РКН.
Все мы знаем как надо, но не всегда так как надо – правильно. Поэтому НЕ уведомляйте, если не согласны с приведенными в анкете аргументами, считаете их неприменимыми к вашей ситуации или оцениваете риск их реализации для компании как низкий или вовсе теоретический. И наоборот – уведомляйте, если согласны! Вопрос веры, не иначе🙂
Уведомления в Роскомнадзор могут быть разными, сегодня обсудим:
Оператор обязан уведомить РКН о своем намерении обрабатывать ПД и осуществлять ТГП. РКН включает эту информацию в общедоступный реестр операторов ПД (Реестр). В Реестре содержатся данные об операторе, о целях и правовых основаниях обработки, категориях обрабатываемых ПД, информация о ТГП и иные данные. Реестр, как privacy–ЕГРЮЛ, обеспечивает публичную достоверность содержащихся в нем сведений. Если операторы пытаются подорвать эту достоверность, несвоевременно или не в полном объеме предоставляя сведения, они рискуют понести наказание.
То есть, казалось бы, очевидным, что уведомительный порядок взаимодействия с РКН позволит митигировать риски. Но как показывает практика, такие уведомления, митигируя одни риски, создают другие. Целесообразность уведомлений РКН необходимо рассматривать в контексте оценки рисков именно для вашей компании. С учетом специфики бизнеса и субъективной интерпретации рисков итоги могут разительно отличаться. Есть много разумных аргументов как «за», так и «против» уведомлений РКН. Поэтому мы не будем рекомендовать (не) уведомлять РКН, но, что важнее, сформулируем список аргументов для взвешенного ответа на этот вопрос.
Спойлер: можно ознакомиться с критериями в файле в формате PDF или заполнить упрощенную анонимную онлайн анкету – «Уведомление о намерении осуществлять обработку ПД» и «Уведомление о ТГП».
В анкетах указаны аргументы, которые помогут определиться с отношением к уведомлению РКН.
Все мы знаем как надо, но не всегда так как надо – правильно. Поэтому НЕ уведомляйте, если не согласны с приведенными в анкете аргументами, считаете их неприменимыми к вашей ситуации или оцениваете риск их реализации для компании как низкий или вовсе теоретический. И наоборот – уведомляйте, если согласны! Вопрос веры, не иначе
Please open Telegram to view this post
VIEW IN TELEGRAM
IP-мнение: что такое аффидевиты и почему они не устроили Верховный Суд?
Суть спора
Carte Blanche Greetings обратилась с иском о защите прав на мишку из Blue Nose Friends 🧸
Чтобы подтвердить права на персонажа, иностранная компания представила аффидевит. Именно он и стал камнем преткновения в ВС РФ.
Что такое аффидевит?
Это письменное показание под присягой, принятое в англосаксонском праве. Оно удостоверяется нотариусом или подобным лицом.
В данном деле аффидевит был дан финансовым директором истца.
Позиция ВС РФ
Нижестоящие суды приняли аффидевит как доказательство принадлежности исключительного права.
Но Верховный Суд не согласился с подходом нижестоящих судов. По его мнению, такой аффидевит лишь подтверждал факт существования произведения на определенную дату и то, что сам истец считает себя правообладателем. Этого недостаточно для подтверждения правообладания.
Мнение Comply
Подход ВС РФ оценивают как «выпад» против иностранных правообладателей. Но в действительности этот подход не противоречит практике.
В IP-спорах истцам сначала нужно доказать принадлежность прав. Как правило, речь идет про договоры с авторами – именно их ожидает увидеть суд.
ВС РФ не изменил этому подходу, он лишь не стал делать поблажку иностранному истцу, который просто представил документ, где компания фактически сама себя назвала правообладателем.
Понятно, что новый подход осложнит иностранным правообладателям сбор доказательств, но они будут поставлены в те же условия, что и российский бизнес.
К тому же определение ВС РФ вовсе не ставит крест на аффидевитах. Оно содержит намек на то, при каких условиях аффидевит может быть принят судом: в нем должны быть сведения об авторах, истории и дате создания произведения, переходе прав на него и т.д.
Так что мы возможно еще увидим в судах аффидевиты, но уже в другой форме. Однако позиция ВС РФ может помочь ответчикам в тех спорах, которые рассматриваются уже сейчас. Вовсе не факт, что в начатых процессах истцы успеют собрать нужные доказательства правообладания – тем более, что на стадии обжалования судебных актов их обычно уже невозможно предоставить в дело🙂
#мнение
Суть спора
Carte Blanche Greetings обратилась с иском о защите прав на мишку из Blue Nose Friends 🧸
Чтобы подтвердить права на персонажа, иностранная компания представила аффидевит. Именно он и стал камнем преткновения в ВС РФ.
Что такое аффидевит?
Это письменное показание под присягой, принятое в англосаксонском праве. Оно удостоверяется нотариусом или подобным лицом.
В данном деле аффидевит был дан финансовым директором истца.
Позиция ВС РФ
Нижестоящие суды приняли аффидевит как доказательство принадлежности исключительного права.
Но Верховный Суд не согласился с подходом нижестоящих судов. По его мнению, такой аффидевит лишь подтверждал факт существования произведения на определенную дату и то, что сам истец считает себя правообладателем. Этого недостаточно для подтверждения правообладания.
Мнение Comply
Подход ВС РФ оценивают как «выпад» против иностранных правообладателей. Но в действительности этот подход не противоречит практике.
В IP-спорах истцам сначала нужно доказать принадлежность прав. Как правило, речь идет про договоры с авторами – именно их ожидает увидеть суд.
ВС РФ не изменил этому подходу, он лишь не стал делать поблажку иностранному истцу, который просто представил документ, где компания фактически сама себя назвала правообладателем.
Понятно, что новый подход осложнит иностранным правообладателям сбор доказательств, но они будут поставлены в те же условия, что и российский бизнес.
К тому же определение ВС РФ вовсе не ставит крест на аффидевитах. Оно содержит намек на то, при каких условиях аффидевит может быть принят судом: в нем должны быть сведения об авторах, истории и дате создания произведения, переходе прав на него и т.д.
Так что мы возможно еще увидим в судах аффидевиты, но уже в другой форме. Однако позиция ВС РФ может помочь ответчикам в тех спорах, которые рассматриваются уже сейчас. Вовсе не факт, что в начатых процессах истцы успеют собрать нужные доказательства правообладания – тем более, что на стадии обжалования судебных актов их обычно уже невозможно предоставить в дело
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ШОРТРИД для юристов
Согласие на рекламные рассылки и звонки. Как все соблюсти, чтобы не получать штрафы
Какую информацию можно отправлять клиентам без их согласия? Нужно ли согласие на push-уведомления? Какие возможны способы получения согласия на сайте? Насколько рискованно указывать предустановленные галочки? Что должно быть в согласии на получение рекламы? Эта статья о том, какая сложилась практика в судах и ФАС по поводу рекламных рассылок и звонков.
Рассказывает Управляющий партнер Comply Артем Дмитриев.
Читайте здесь.
@shortreadlaw
Какую информацию можно отправлять клиентам без их согласия? Нужно ли согласие на push-уведомления? Какие возможны способы получения согласия на сайте? Насколько рискованно указывать предустановленные галочки? Что должно быть в согласии на получение рекламы? Эта статья о том, какая сложилась практика в судах и ФАС по поводу рекламных рассылок и звонков.
Рассказывает Управляющий партнер Comply Артем Дмитриев.
Читайте здесь.
@shortreadlaw
Privacy-мнение от Comply
Всем привет! Разберем очередной не самый простой кейс 🤓
Итак, вы – DPO интернет-магазина, и получили запрос клиента с требованием отозвать согласие на обработку его ПД. Из ПД в вашем распоряжении – только данные аккаунта клиента, необходимые для исполнения заказа. Каких-либо согласий на обработку ПД вы не берете, клиент присоединяется к условиям продажи при регистрации, которые легализуют обработку ПД.
Что будете делать? Есть из чего выбирать:
👍 уничтожите ПД в течение 30 дней, поскольку запрос нужно трактовать как запрос на отзыв согласия (ч. 5 ст. 21 152-ФЗ), даже если согласия нет,
🙈 уничтожите ПД в течение 10 дней, поскольку это – фактически запрос на прекращение обработки ПД (ч. 5.1 ст. 21 152-ФЗ), пускай даже клиент и пишет про отзыв согласия,
🦄 уничтожите ПД в течение 7 дней, т.к. такой срок предусмотрен ч. 3 ст. 20 152-ФЗ,
💅 пффф…мне за это не платят – не реагируете на подобный запрос.
Причина сомнений – ч. 5.1 ст. 21 152-ФЗ, появившаяся в законе в 2022 г. Этой новации уже почти два года, но постичь ее истинное значение нам пока не удалось. Наверняка вы уже пытались понять соотношение обязанностей по прекращению обработки, ведь вопрос имеет и практическое значение – в зависимости выбранной опции оператор обязан прекратить обработку в разные сроки.
Давайте попробуем разобраться вместе. Своими соображениями на этот счет мы поделимся в следующем privacy-мнении. А пока голосуйте реакциями 👍 🙈 🦄 💅 и делитесь мыслями🔽
#мнение
Всем привет! Разберем очередной не самый простой кейс 🤓
Итак, вы – DPO интернет-магазина, и получили запрос клиента с требованием отозвать согласие на обработку его ПД. Из ПД в вашем распоряжении – только данные аккаунта клиента, необходимые для исполнения заказа. Каких-либо согласий на обработку ПД вы не берете, клиент присоединяется к условиям продажи при регистрации, которые легализуют обработку ПД.
Что будете делать? Есть из чего выбирать:
👍 уничтожите ПД в течение 30 дней, поскольку запрос нужно трактовать как запрос на отзыв согласия (ч. 5 ст. 21 152-ФЗ), даже если согласия нет,
🙈 уничтожите ПД в течение 10 дней, поскольку это – фактически запрос на прекращение обработки ПД (ч. 5.1 ст. 21 152-ФЗ), пускай даже клиент и пишет про отзыв согласия,
🦄 уничтожите ПД в течение 7 дней, т.к. такой срок предусмотрен ч. 3 ст. 20 152-ФЗ,
💅 пффф…мне за это не платят – не реагируете на подобный запрос.
Причина сомнений – ч. 5.1 ст. 21 152-ФЗ, появившаяся в законе в 2022 г. Этой новации уже почти два года, но постичь ее истинное значение нам пока не удалось. Наверняка вы уже пытались понять соотношение обязанностей по прекращению обработки, ведь вопрос имеет и практическое значение – в зависимости выбранной опции оператор обязан прекратить обработку в разные сроки.
Давайте попробуем разобраться вместе. Своими соображениями на этот счет мы поделимся в следующем privacy-мнении. А пока голосуйте реакциями 👍 🙈 🦄 💅 и делитесь мыслями
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy-мнение от Comply 🤓
ч. 5.1 ст. 21 152-ФЗ: баг или фича?
Спойлер –выходит, что все-таки баг. А еще по этой ссылке вас ждет инсайт от РКН .
Как писали ранее, в 152-ФЗ есть несколько механизмов прекращения обработки ПД. Это и ч. 5, и ч. 5.1 ст. 21. Хотя формулировки почти не отличаются, сроки реагирования – разные.
Если ч. 5 прямо ссылается на согласие, то в ч. 5.1 такого нет. Казалось бы, что в этом и должно быть различие между нормами. Но при этом ч. 5.1 предусматривает исключения для прекращения обработки ПД. Эти исключения касаются большинства оснований…кроме согласий. То есть если читать буквально, то и ч. 5.1 годится для прекращения обработки ПД на основании согласия. В общем ровно как и ч. 5. Неразбериха! 🧐
❗️РКН высказался на сей счет. Из ответа следует, что ч. 5 применяется в случае отзыва согласия, а ч. 5.1 применяется «если направлено требование в соответствии с ч. 1 ст. 14 Закона».
Посмотрим на ч. 1 ст. 14. К нашему вопросу применимо только то, что субъект ПД имеет право требовать от оператора блокирования или уничтожения его ПД, «если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми…».
Можно предположить, что ч. 5.1 ст. 21 будет применяться, если субъект доказал, что его ПД неполные, неточные или неактуальные, но он не хочет их дополнять, уточнять и актуализировать, а хочет именно прекратить их обработку, или если его ПД были незаконно получены и незаконно обрабатываются без правовых оснований.
Ок. Да, кажется разумным, что ч. 5.1 была изначально предусмотрена именно для случаев незаконной обработки ПД. Как кажется, цель этой нормы как раз и состояла в том, чтобы дать субъекту право оперативно требовать уничтожения своих ПД, незаконно обрабатываемых оператором. Этот вывод поддерживается и общей направленностью реформы 152-ФЗ того времени – реагирование на утечки.
Однако и этот, казалось бы сравнительно стройный ответ, оставляет вопросы. Больше чем было до ответа РКН… Например, ч. 3 ст. 20 уже предусматривает, что оператор обязан уничтожить ПД в срок, не превышающий 7 дней со дня представления субъектом ПД сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми. То есть эта норма тоже устанавливает срок уничтожения ПД, которые нелегитимно обрабатываются. Как это соотносится со сроком из ч. 5.1? Опять неразбериха.
Что делать? Увы, в отсутствие каких-либо логичных разъяснений вчитываться в формулировки запроса и исходить из того, что потребовал субъект ПД – либо отозвать согласие (если оно вообще было), либо прекратить обработку его ПД. Если же субъект не отзывает согласие или требует прекращения обработки ПД, а просит «вернуть его ПД и никогда больше не обрабатывать», «реализовать его право на забвение», «остановить обработку ПД на основании его согласия», то очевидно, безопаснее в случае любых сомнений толковать запрос в пользу ч. 3 ст. 20 или ч. 5.1 ст. 21 в силу более коротких сроков реагирования. Итого, уничтожаем ПД:
🔵 ИЛИ в течение 7 рабочих дней, если есть риск признания обработки ПД нелегитимной,
🔵 ИЛИ в течение 10 рабочих дней, если предшествующая запросу субъекта ПД обработка была вполне себе легитимна.
Да, конечно, уничтожить ПД надо, только если у вас нет дальнейшего законного основания для обработки. Если иное законное основание есть, вы вправе и дальше обрабатывать его ПД. Например, договор с клиентом продолжает действовать или данные клиента нужны вам для целей урегулирования возможных споров и т.д.
Отвечая на наш же опрос без лишних вводных и условий, мы бы рекомендовали подтвердить с клиентом удаление его аккаунта и в течение 10 дней 🙈 уничтожить все его данные из деактивированного профиля, конечно же, кроме тех, которые необходимы нам для целей налогового / бухгалтерского учета и урегулирования потенциальных споров. Почему 10 дней? Потому что не применимы ч. 5 ст. 21 (согласия нет) и ч. 3 ст. 20 (обработка была легитимной, но далее цель обработки отпадает при деактивации профиля). Вот и остается методом исключения ч. 5.1, то есть 10 дней.
Всем отличных выходных! 🙌
#мнение
ч. 5.1 ст. 21 152-ФЗ: баг или фича?
Спойлер –
Как писали ранее, в 152-ФЗ есть несколько механизмов прекращения обработки ПД. Это и ч. 5, и ч. 5.1 ст. 21. Хотя формулировки почти не отличаются, сроки реагирования – разные.
Если ч. 5 прямо ссылается на согласие, то в ч. 5.1 такого нет. Казалось бы, что в этом и должно быть различие между нормами. Но при этом ч. 5.1 предусматривает исключения для прекращения обработки ПД. Эти исключения касаются большинства оснований…кроме согласий. То есть если читать буквально, то и ч. 5.1 годится для прекращения обработки ПД на основании согласия. В общем ровно как и ч. 5. Неразбериха! 🧐
❗️РКН высказался на сей счет. Из ответа следует, что ч. 5 применяется в случае отзыва согласия, а ч. 5.1 применяется «если направлено требование в соответствии с ч. 1 ст. 14 Закона».
Посмотрим на ч. 1 ст. 14. К нашему вопросу применимо только то, что субъект ПД имеет право требовать от оператора блокирования или уничтожения его ПД, «если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми…».
Можно предположить, что ч. 5.1 ст. 21 будет применяться, если субъект доказал, что его ПД неполные, неточные или неактуальные, но он не хочет их дополнять, уточнять и актуализировать, а хочет именно прекратить их обработку, или если его ПД были незаконно получены и незаконно обрабатываются без правовых оснований.
Ок. Да, кажется разумным, что ч. 5.1 была изначально предусмотрена именно для случаев незаконной обработки ПД. Как кажется, цель этой нормы как раз и состояла в том, чтобы дать субъекту право оперативно требовать уничтожения своих ПД, незаконно обрабатываемых оператором. Этот вывод поддерживается и общей направленностью реформы 152-ФЗ того времени – реагирование на утечки.
Однако и этот, казалось бы сравнительно стройный ответ, оставляет вопросы. Больше чем было до ответа РКН… Например, ч. 3 ст. 20 уже предусматривает, что оператор обязан уничтожить ПД в срок, не превышающий 7 дней со дня представления субъектом ПД сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми. То есть эта норма тоже устанавливает срок уничтожения ПД, которые нелегитимно обрабатываются. Как это соотносится со сроком из ч. 5.1? Опять неразбериха.
Что делать? Увы, в отсутствие каких-либо логичных разъяснений вчитываться в формулировки запроса и исходить из того, что потребовал субъект ПД – либо отозвать согласие (если оно вообще было), либо прекратить обработку его ПД. Если же субъект не отзывает согласие или требует прекращения обработки ПД, а просит «вернуть его ПД и никогда больше не обрабатывать», «реализовать его право на забвение», «остановить обработку ПД на основании его согласия», то очевидно, безопаснее в случае любых сомнений толковать запрос в пользу ч. 3 ст. 20 или ч. 5.1 ст. 21 в силу более коротких сроков реагирования. Итого, уничтожаем ПД:
Да, конечно, уничтожить ПД надо, только если у вас нет дальнейшего законного основания для обработки. Если иное законное основание есть, вы вправе и дальше обрабатывать его ПД. Например, договор с клиентом продолжает действовать или данные клиента нужны вам для целей урегулирования возможных споров и т.д.
Отвечая на наш же опрос без лишних вводных и условий, мы бы рекомендовали подтвердить с клиентом удаление его аккаунта и в течение 10 дней 🙈 уничтожить все его данные из деактивированного профиля, конечно же, кроме тех, которые необходимы нам для целей налогового / бухгалтерского учета и урегулирования потенциальных споров. Почему 10 дней? Потому что не применимы ч. 5 ст. 21 (согласия нет) и ч. 3 ст. 20 (обработка была легитимной, но далее цель обработки отпадает при деактивации профиля). Вот и остается методом исключения ч. 5.1, то есть 10 дней.
Всем отличных выходных! 🙌
#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
Уведомлять ли?
Разобрали ваши ответы
Недавно мы рассказывали об уведомлениях РКН, а вы заполняли анкеты для оценки целесообразности подачи уведомлений. Пора подводить итоги, ведь у нас скопилось много анкет. Делимся интересными результатами.
Уведомление об обработке ПД:
1️⃣ Фарма опять ТОП. Больше всего ответов мы получили именно от фарма-бизнеса. Традиционно фармацевты наиболее комплаентые. Только компании этой отрасли отметили, что для них критичен риск получения штрафа за невключение в Реестр. Остальные оценили, что этот риск маловероятен / нематериален или вовсе неприменим к ним.
2️⃣ Такой себе штраф…пока что! B2B-компании в целом же не воспринимают штрафы за невключение в Реестр. А вот потенциально увеличенные штрафы за это же нарушение оценивают уже как критичные. К слову, нематериальные последствия из отсутствия компании в Реестре пугают уже половину респондентов. К ним относится, в первую очередь, признание неуведомления РКН в качестве отягчающего обстоятельства при рассмотрении privacy-нарушений, а также невозможность уведомить РКН о ТГП.
3️⃣ И им даже не стыдно! Большинство НЕ беспокоит провал при privacy-проверке, проводимой контрагентом. Это может свидетельствовать о том, что большинство компаний в целом не проводит такую проверку. А мы рекомендуем делать privacy-чек ваших контрагентов!
4️⃣ Подадимся, а РКН все равно. Большинство компаний не связывают факт уведомления РКН об обработке ПД с его последующим повышенным вниманием. И действительно, у нас нет подтверждения какого-то особого внимания РКН к новичкам в Реестре.
5️⃣ Лучше бы податься, а мы и не сомневались. В анкете был заложен скоринг, да-да, у каждого ответа свой вес. Чем больше баллов, тем желательнее компании подать уведомление. И вот кроме трех (!) респондентов все набрали такое количество баллов, что грех не включиться в Реестр. Другими словами, почти никто не оценил риски настолько неприменимыми, чтобы можно было смело игнорировать уведомление РКН.
Уведомление о ТГП:
1️⃣ Ниже травы, тише воды. В отличие от уведомления об обработке ПД большинство связывают факт уведомления РКН о ТГП с его последующим повышенным вниманием к ним.
2️⃣ Удивлены, что не 100%! При подаче уведомления только для 60% респондентов критичны запрет, ограничения РКН на ТГП и непрогнозируемость его решений о запрете ТГП в будущем. Трусами вас не назвать!
3️⃣ ИТ-вайбы. Наиболее «расслабленными» компаниями при оценке риска получения штрафа за неуведомление РКН о ТГП стали ИТ-компании. Мы даже и не сомневались 👏😉
Спасибо вам за вовлеченность!🙂
Разобрали ваши ответы
Недавно мы рассказывали об уведомлениях РКН, а вы заполняли анкеты для оценки целесообразности подачи уведомлений. Пора подводить итоги, ведь у нас скопилось много анкет. Делимся интересными результатами.
Уведомление об обработке ПД:
Уведомление о ТГП:
Спасибо вам за вовлеченность!
Please open Telegram to view this post
VIEW IN TELEGRAM