Data Fusion: где бизнес, наука и государство определяют будущее данных и ИИ
Цифровая эволюция опережает правовые нормы – как компаниям и регулятору найти общий язык в мире больших данных?
📍 Постараемся ответить на этот вопрос завтра с Артемом Дмитриевым, управляющим партнером Comply, во время его модерации сессии «Совершенствование правовых механизмов работы с данными» на конференции First Russian Data Forum . Начало в 14:00.
В панели спикеров Милош Вагнер, заместитель руководителя Роскомнадзор.
📍 А в 16:30 не пропустите второе выступление Артема в качестве спикера сессии: «Доступность данных для ИИ – пути решения проблемы».
❓ Пишите в комментариях, если хотите передать свой вопрос регулятору 😉
Цифровая эволюция опережает правовые нормы – как компаниям и регулятору найти общий язык в мире больших данных?
В панели спикеров Милош Вагнер, заместитель руководителя Роскомнадзор.
Please open Telegram to view this post
VIEW IN TELEGRAM
ЗИ – новый черный!
Если не очень понятно, то must-read
✅ Диалог бизнеса и государства на площадке First Russian Data Forum смотреть и слушать можно здесь.
📍 Что происходило?
В основном коллективно хейтили и всячески унижали согласия. Приятное. Это закат трагичного периода расцвета согласий. То есть think before print почти добрался до отечественной privacy.
Оно и понятно, целлюлоза не бесконечна! Обещают, что через год согласия и вовсе могут стать моветоном, и настоящим privacy-стилем станет игра с альтернативными правовыми основаниями.
Модель легитимизации законного интереса (он же ЗИ) пока определяется, и половина пути не пройдена, но начало положено, WIP. А РКН приглашает бизнес исследовать правовые основания вместе. Но это была бы и не авторская заметка без парочки «НО».
📍 Но первое – исповедуйте плюрализм оснований и не спешите шредеровать согласия
Мы ведь и так знаем, что согласие не всегда (очень редко!) хорошо. И многие годы тому назад на проверках честно старались защищаться этой логикой. Не срабатывало тогда, не сработает и сегодня. Если контролирующий орган требует от нас согласия, то все рассуждения об обратном очень милые, но вряд ли приземлимы на реальную практику. Ведь и судебная практика по использованию альтернатив консенто-поборам только начинает формироваться, в т.ч. по ЗИ. Да и если бы можно было полагаться на эту практику, то никакие изменения были бы не нужны. А так, практика есть, но полагаться на нее часто боязно. Надо понимать, что культ согласий так быстро не пройдет. Особенно в регионах. Поэтому мы пока используем одновременно и согласия, и резервное правовое основание для ряда процессов обработки ПД.
📍 Но второе – остаемся без координат на переходный период
Как бы ни были очевидны и ожидаемы изменения в гл. 14 ТК (придушить согласия) и практиках применения ЗИ, это приведет к сбою привычной системы координат. Казалось бы, только научились работать с согласиями, а придется вновь учиться. Правила игры будут задаваться по ходу. Ведь начнутся вопросы, а что и в какой детализации прописывать в трудовом договоре, а если что-то меняется, то надо ли договор переподписать, а как легитимизировать законный интерес, и иные бесконечные вопросы. Поэтому так ценна для рынка работа с участием РКН. Уверены, что только так можно полечить privacy-боли.
📍 Итоги
Исходим из того, что в течение года появятся первые результаты работы – случаи возможного применения ЗИ. Поэтому сделали отложенное сообщение в канале на 21 апреля 2026 года – «Ну и как этот наш ЗИ, полетел?!».
Спасибо АБД за возможность такого диалога и низкий поклон РКН (Милош Эдуардович!) за готовность такой диалог вести 🥹
#комплаенс #законныйинтерес #АБД🙂
Если не очень понятно, то must-read
В основном коллективно хейтили и всячески унижали согласия. Приятное. Это закат трагичного периода расцвета согласий. То есть think before print почти добрался до отечественной privacy.
Оно и понятно, целлюлоза не бесконечна! Обещают, что через год согласия и вовсе могут стать моветоном, и настоящим privacy-стилем станет игра с альтернативными правовыми основаниями.
Модель легитимизации законного интереса (он же ЗИ) пока определяется, и половина пути не пройдена, но начало положено, WIP. А РКН приглашает бизнес исследовать правовые основания вместе. Но это была бы и не авторская заметка без парочки «НО».
Мы ведь и так знаем, что согласие не всегда (очень редко!) хорошо. И многие годы тому назад на проверках честно старались защищаться этой логикой. Не срабатывало тогда, не сработает и сегодня. Если контролирующий орган требует от нас согласия, то все рассуждения об обратном очень милые, но вряд ли приземлимы на реальную практику. Ведь и судебная практика по использованию альтернатив консенто-поборам только начинает формироваться, в т.ч. по ЗИ. Да и если бы можно было полагаться на эту практику, то никакие изменения были бы не нужны. А так, практика есть, но полагаться на нее часто боязно. Надо понимать, что культ согласий так быстро не пройдет. Особенно в регионах. Поэтому мы пока используем одновременно и согласия, и резервное правовое основание для ряда процессов обработки ПД.
Как бы ни были очевидны и ожидаемы изменения в гл. 14 ТК (придушить согласия) и практиках применения ЗИ, это приведет к сбою привычной системы координат. Казалось бы, только научились работать с согласиями, а придется вновь учиться. Правила игры будут задаваться по ходу. Ведь начнутся вопросы, а что и в какой детализации прописывать в трудовом договоре, а если что-то меняется, то надо ли договор переподписать, а как легитимизировать законный интерес, и иные бесконечные вопросы. Поэтому так ценна для рынка работа с участием РКН. Уверены, что только так можно полечить privacy-боли.
Исходим из того, что в течение года появятся первые результаты работы – случаи возможного применения ЗИ. Поэтому сделали отложенное сообщение в канале на 21 апреля 2026 года – «Ну и как этот наш ЗИ, полетел?!».
Спасибо АБД за возможность такого диалога и низкий поклон РКН (Милош Эдуардович!) за готовность такой диалог вести 🥹
#комплаенс #законныйинтерес #АБД
Please open Telegram to view this post
VIEW IN TELEGRAM
Мы улучшили позиции в федеральном рейтинге и расширили присутствие в ключевых направлениях. Ура!
✅ Лучшие практики:
🔵 Защита данных – Band 1
🔵 IP-консалтинг – Band 1
🔵 Разрешение IP-споров – Band 2
🔵 Комплаенс – Band 2
🔵 Цифрономика / FinTech – Band 2
✅ Артем Дмитриев, управляющий партнер:
🔵 Защита данных – Band 1
🔵 Комплаенс – Band 1
🔵 ТМТ – Band 1
🔵 Цифрономика/FinTech – Band 1
🔵 Фарма – Band 1
✅ Максим Али, партнер:
🔵 IP-консалтинг – Band 1
🔵 Право в сфере искусства – Band 1
🔵 ТМТ – Band 1
✅ Сергей Сайганов, партнер:
🔵 Комплаенс – Band 1
🔵 ТМТ – Band 1
🔵 Цифрономика/FinTech – Band 2
Мы не только сохранили лидерство в традиционных направлениях Privacy & IP, но и расширили экспертизу в цифровом праве.
🔖 Благодарим «Коммерсантъ» и клиентов за доверие и высокую оценку нашей работы.
Продолжаем движение вперед! А цель у нас одна - оставаться для наших клиентов неизменно лучшим партнером в цифровой регуляторике🙂
#комплаенс #интеллектуальная_собственность #юридический_рейтинг
Мы не только сохранили лидерство в традиционных направлениях Privacy & IP, но и расширили экспертизу в цифровом праве.
Продолжаем движение вперед! А цель у нас одна - оставаться для наших клиентов неизменно лучшим партнером в цифровой регуляторике
#комплаенс #интеллектуальная_собственность #юридический_рейтинг
Please open Telegram to view this post
VIEW IN TELEGRAM
Как отмечает редакция Legal Insight: новые вызовы, встающие перед юридическими департаментами, придают конкурсу The DEPARTMENT дополнительный импульс. В 2025 г. появилась новая номинация «Эффективная правовая защита персональных данных».
Она призвана отметить компании, которые не только успешно внедрили программы по защите данных и обеспечению конфиденциальности, но и используют инновационные подходы и технологии.
К участию в номинации приглашены департаменты, которые формируют лучшие практики и демонстрируют высокие результаты по минимизации рисков нарушения конфиденциальности.
Подробное описание номинации смотрите на сайте конкурса.
О важности номинации говорит эксперт конкурса, управляющий партнер Comply, Артем Дмитриев:
"Вызовы в сфере защиты персональных данных становятся все сложнее, и важно отметить компании, которые неизменно демонстрируют высокие стандарты комплаенса. Мы благодарим Legal Insight и Ассоциацию Больших Данных за наше партнерство в учреждении privacy-номинации.
Она позволит оценить реальные достижения privacy-функций компаний. Команда Comply желает коллегам успеха в покорении рейтинга!"
Подать заявку на конкурс можно на сайте: https://bestlegaldepartments.ru/apply-now
Она призвана отметить компании, которые не только успешно внедрили программы по защите данных и обеспечению конфиденциальности, но и используют инновационные подходы и технологии.
К участию в номинации приглашены департаменты, которые формируют лучшие практики и демонстрируют высокие результаты по минимизации рисков нарушения конфиденциальности.
Подробное описание номинации смотрите на сайте конкурса.
О важности номинации говорит эксперт конкурса, управляющий партнер Comply, Артем Дмитриев:
"Вызовы в сфере защиты персональных данных становятся все сложнее, и важно отметить компании, которые неизменно демонстрируют высокие стандарты комплаенса. Мы благодарим Legal Insight и Ассоциацию Больших Данных за наше партнерство в учреждении privacy-номинации.
Она позволит оценить реальные достижения privacy-функций компаний. Команда Comply желает коллегам успеха в покорении рейтинга!"
Подать заявку на конкурс можно на сайте: https://bestlegaldepartments.ru/apply-now
Привет из Шанхая 🇨🇳
Министр только сказал о бирже данных, а мы уже в Shanghai Data Exchange (SDE). Да-да, мы в Шанхае!
SDE – первая в мире гос. биржа данных, открытая в Китае. Запущена в 2021 году и с тех пор демонстрирует, как можно бустить легальный дата-рынок.
📊 Цифры, которые говорят за себя:
🔵 более 2 700 размещённых наборов данных, в т.ч. о потребительском поведении, медицине и геолокации
🔵 700+ компаний — участники биржи в 2023 году, включая China Telecom, China Eastern Airlines, SAIC Motor
🔵 финансовый оборот в 2024 году - 5 млрд юаней
🔵 план на 2025 год — 5000 наборов данных и 100 000 участников
🔍 Как обеспечивают доверие?
У каждого набора — уникальный ID и трассировка происхождения.
Это позволяет:
🔵 отследить источник
🔵 видеть всю цепочку обработки
🔵 убедиться в правомерности и анонимизации
📈 А как оценивают «качество»?
На SDE внедрена своя система рейтинга по 5 критериям:
🔵 полнота
🔵 точность
🔵 актуальность
🔵 правомерность
🔵 трассируемость
Рейтинг влияет на стоимость и допуск к сделкам. Данные с рейтингом AAA — самые востребованные.
SDE показывает, как можно легально торговать данными с учётом соблюдения стандартов приватности и прозрачности. Хотя у нас биржи пока нет, Comply уже в контексте глубже прочих.
Продолжаем следить за тенденциями и… исследовать Шанхай на нашем ежегодном выездном мероприятии 💫 Фото-пруф прилагается 📸
bàibài🙂
Министр только сказал о бирже данных, а мы уже в Shanghai Data Exchange (SDE). Да-да, мы в Шанхае!
SDE – первая в мире гос. биржа данных, открытая в Китае. Запущена в 2021 году и с тех пор демонстрирует, как можно бустить легальный дата-рынок.
📊 Цифры, которые говорят за себя:
🔍 Как обеспечивают доверие?
У каждого набора — уникальный ID и трассировка происхождения.
Это позволяет:
📈 А как оценивают «качество»?
На SDE внедрена своя система рейтинга по 5 критериям:
Рейтинг влияет на стоимость и допуск к сделкам. Данные с рейтингом AAA — самые востребованные.
SDE показывает, как можно легально торговать данными с учётом соблюдения стандартов приватности и прозрачности. Хотя у нас биржи пока нет, Comply уже в контексте глубже прочих.
Продолжаем следить за тенденциями и… исследовать Шанхай на нашем ежегодном выездном мероприятии 💫 Фото-пруф прилагается 📸
bàibài
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Эта тема снова на слуху и, хотя мы и многие уже высказывались, все же возникает вопрос – может ли бизнес получить от такого обезличивания реальную пользу?
📍 Новые проекты НПА по обезличиванию. Их два.
Проект постановления Правительства адресован только операторам, получившим запрос Минцифры на дата-донаты в госозеро. А вот проект приказа РКН устанавливает требования и методы обезличивания для всех операторов. То есть, по сути, лечится старая болезнь, когда обезличивать строго формально могли только госорганы, т.к. приказ РКН № 996 на бизнес не распространялся.
📍 А зачем вообще обезличивать?
Данные, полученные в результате обезличивания, остаются персональными. На этом можно было бы и расходиться. Но мы останемся, ведь несколько лет ждали легализации обезличивания.
🔵 Обезличивание поможет получить дополнительное основание обработки ПД, а именно п. 9 ч. 1 ст. 6 152-ФЗ – «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, обезличенные данные используются для обучения ИИ-моделей, работы с БД и т.д. Правда, пока это основание не проходило проверку боем.
🔵 Кроме этого, обезличивание может оказаться обязательным пререквизитом и для грядущих инновационных институтов, например, работа с данными в контуре доверенного посредника или ЭПР.
🔵 Если фантазировать, то в РФ обезличивание могло бы митигировать драматичные последствия утечек. Ведь, вероятно, будет исключена прямая идентификация субъектов ПД на основании скомпрометированного «обезличенного» датасета. Значит и вреда субъектам нет. Вот и у них… например, в Европе статус данных как персональных определяется контекстом — если у получателя нет дополнительной информации, которую он мог бы использовать для деобезличивания, а также нет правомерных способов получения такой информации, то данные в его распоряжении признаются анонимными. Этот подход можно найти не только в практике CJEU и английских судов, но и разъяснениях ICO.
📍 Что не так?
🔵 В ЕС допускается гибкий выбор методов обезличивания (псевдонимизации) под ответственность оператора. Нам предлагается обратный подход – перечень методов строго закрыт и включает введение идентификаторов, изменение состава/семантики, перемешивание, преобразование (обобщение), декомпозицию (разделение массива). Эти методы, за исключением преобразования, уже были зафиксированы в приказе РКН № 996.
🔵 Если иным образом преобразовывать ПД, то они остаются ПД или же перестают быть ПД вовсе. И все еще непонятен момент перехода из одного состояния в другое. Важно, что РКН не сформулировал четкие требования к результатам, не обозначил способы проверки эффективности обезличивания. Пока что не предусмотрена и прямая ответственность за некачественное обезличивание, т.к. ч. 7 ст. 13.11 КоАП РФ применяется только к госорганам.
🔵 Коли обезличивание – лишь одно из действий по обработке ПД, то необходимо правовое основание для обезличивания per se. То есть, если в ваших согласиях / договорах обезличивание ПД не предусмотрено, то получается, что этот десерт не для вас. Есть, конечно, обратная аргументация, что обезличивание будет покрываться правовым основанием для последующей обработки обезличенных данных, но будет ли РКН считать так же...
📍 Если все-таки обезличивать…
Придется разработать документы:
🔵 порядок обработки ПД, полученных в результате обезличивания;
🔵 порядок обезличивания;
🔵 оценка достаточности применяемых методов.
Также оператор обязан:
🔵 использовать информационные системы и ПО, обеспечивающие безопасность и конфиденциальность;
🔵 обеспечить раздельное хранение исходных и обезличенных данных;
🔵 вести учет действий по обезличиванию и работе данными.
Итого, чтобы обезличить данные «по-настоящему», теперь понадобятся регламенты, акты, журналы, отдельные БД, инструкции и, конечно же, бесконечная вера в то, что бумага все стерпит, а РКН – оценит.
Стоит ли игра свеч, завтра ответим🙂
Проект постановления Правительства адресован только операторам, получившим запрос Минцифры на дата-донаты в госозеро. А вот проект приказа РКН устанавливает требования и методы обезличивания для всех операторов. То есть, по сути, лечится старая болезнь, когда обезличивать строго формально могли только госорганы, т.к. приказ РКН № 996 на бизнес не распространялся.
Данные, полученные в результате обезличивания, остаются персональными. На этом можно было бы и расходиться. Но мы останемся, ведь несколько лет ждали легализации обезличивания.
Придется разработать документы:
Также оператор обязан:
Итого, чтобы обезличить данные «по-настоящему», теперь понадобятся регламенты, акты, журналы, отдельные БД, инструкции и, конечно же, бесконечная вера в то, что бумага все стерпит, а РКН – оценит.
Стоит ли игра свеч, завтра ответим
Please open Telegram to view this post
VIEW IN TELEGRAM
Есть Национальные цели развития, Национальная стратегия развития ИИ и Стратегия развития рынка БД. Там про необходимость буста доступности данных разработчикам ИИ.
А поможет ли в действительности проект РКН в достижении этих целей? Кажется, что проект РКН – это, конечно же, шаг, но вряд ли достаточный. И вот почему.
📍 Методы vs результат
По результатам рассмотрения предложений бизнес-сообщества к проекту, РКН подтвердил, что:
➡️ все предлагаемые бизнесом новые подходы уже отражены в проекте;
➡️ открытый перечень методов обезличивания «не будет отвечать принципу правовой определенности».
Но при этом четких требований к результату обезличивания РКН тоже не определяет. Хмм… можно предположить, что такой подход даже более рискованный. А вы как думаете, при каком подходе риски деобезличивания выше?
🔵 Установление фиксированных методов обезличивания без четких требований к результату.
VS
🔵 Открытый перечень методов с четко определенными критериями качества обезличивания.
Нам кажется, что при первом подходе, выбранном для проекта, риски куда выше. То есть, условия и параметры определения эффективности обезличивания (например, уровень вероятности деобезличивания) гораздо важнее самих методов обезличивания в контексте рисков.
Более того, все равно обезличенные данные остаются персональными со всеми обязанностями, ограничениями и рисками. Поэтому остается неясным, с какой целью устанавливаются ограничения на возможные методы обезличивания.
Если есть сомнения в эффективности «открытого» подхода, то можно апробировать конкретные методики оценки эффективности обезличивания, например, в рамках контролируемой и защищенной инфраструктуры доверенных посредников.
Но мы все же надеемся, что диспозиция проекта РКН отражает осторожное развитие регулирования с возможной перспективой введения открытого перечня допустимых методов обезличивания. В отдельном треке коллеги из АБД уже проделали колоссальную работу по оценке риска деобезличивания – был предложен математический подход к оценке вероятности повторной идентификации при обработке обезличенных данных исходя из конкретных бизнес-сценариев их использования. Применение риск-ориентированного подхода позволит выбирать наиболее эффективные методы обезличивания, обеспечивая при этом максимальную защиту данных.
📍 Вопросы к правовому основанию
А кроме этого, на практике возникают и вопросы по «бонусному» основанию обработки ПД «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, следующие:
🔵 Какой периметр статистических и иных исследовательских целей? Входят ли коммерческие цели, такие как обучение ИИ-моделей или продуктовая аналитика в их определения? Казалось бы, что да.
🔵 Само по себе обезличивание в указанных целях может осуществляться на основании п. 9 ч. 1 ст. 6 152-ФЗ, т.е. для его проведения иное правовое основание не требуется? В Европе, например, считается, что обезличивание – совместимая цель, на которую не нужно отдельное основание. Это и логично, ведь правовые основания даются на всю обработку ПД в определенной цели, а не на конкретные операции. А вот у нас на практике не всегда так.
🔵 А можно в рамках этого основания «в статистических или иных исследовательских целях…» передавать / поручить обработку ПД третьему лицу?
Было бы здорово получить по этим вопросам разъяснения контролирующего органа, чтобы исключить на практике любые «серые» зоны для толкования.
Кстати, в рамках Петербургского международного юридического форума 21 мая обязательно будут обсуждаться эти вопросы.
Так что скоро вернемся с апдейтом!🙂
А поможет ли в действительности проект РКН в достижении этих целей? Кажется, что проект РКН – это, конечно же, шаг, но вряд ли достаточный. И вот почему.
По результатам рассмотрения предложений бизнес-сообщества к проекту, РКН подтвердил, что:
Но при этом четких требований к результату обезличивания РКН тоже не определяет. Хмм… можно предположить, что такой подход даже более рискованный. А вы как думаете, при каком подходе риски деобезличивания выше?
VS
Нам кажется, что при первом подходе, выбранном для проекта, риски куда выше. То есть, условия и параметры определения эффективности обезличивания (например, уровень вероятности деобезличивания) гораздо важнее самих методов обезличивания в контексте рисков.
Более того, все равно обезличенные данные остаются персональными со всеми обязанностями, ограничениями и рисками. Поэтому остается неясным, с какой целью устанавливаются ограничения на возможные методы обезличивания.
Если есть сомнения в эффективности «открытого» подхода, то можно апробировать конкретные методики оценки эффективности обезличивания, например, в рамках контролируемой и защищенной инфраструктуры доверенных посредников.
Но мы все же надеемся, что диспозиция проекта РКН отражает осторожное развитие регулирования с возможной перспективой введения открытого перечня допустимых методов обезличивания. В отдельном треке коллеги из АБД уже проделали колоссальную работу по оценке риска деобезличивания – был предложен математический подход к оценке вероятности повторной идентификации при обработке обезличенных данных исходя из конкретных бизнес-сценариев их использования. Применение риск-ориентированного подхода позволит выбирать наиболее эффективные методы обезличивания, обеспечивая при этом максимальную защиту данных.
А кроме этого, на практике возникают и вопросы по «бонусному» основанию обработки ПД «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, следующие:
Было бы здорово получить по этим вопросам разъяснения контролирующего органа, чтобы исключить на практике любые «серые» зоны для толкования.
Кстати, в рамках Петербургского международного юридического форума 21 мая обязательно будут обсуждаться эти вопросы.
Так что скоро вернемся с апдейтом!
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Рекомендации для тех, кто еще не запрыгнул в последний (?) вагон подачи уведомлений до конца мая
Тик-так, тик-так - звучит сейчас из всех Telegram-каналов потому, что до 30 мая и вступления в силу штрафа за неуведомление Роскомнадзора всё меньше времени. Ранее у нас было отдельное privacy-мнение по вопросам уведомления.
Что делать прямо сейчас, если уведомление всё же хочется подать в ближайшее время, но не был проведен аудит или реестрирование бизнес-процессов?⬇️
1. Зафиксируйте стандартные процессы обработки данных в компании:
🔵 подбор персонала;
🔵 кадровое администрирование;
🔵 пропускной режим;
🔵 другие типовые процессы.
2. На начальном этапе укажите стандартный набор данных, не включая детали, в которых нет уверенности (Точно ли это обрабатываем? Точно ли понимаем корректное основание?).
3. Особое внимание уделите front-end процессам:
🔵 Проанализируйте клиентский путь на сайтах, приложениях со стороны посетителя - веб-формы, подписки, cookie, политики.
🔵 Зафиксируйте основные цели обработки в уведомлении с набором данных, которые очевидно собираются в front-end.
4. При выявлении нарушений на сайтах и в приложениях (забыли разместить новую версию политики, некорректные информирования / согласия):
🔵 Оперативно внесите необходимые корректировки, так как Роскомнадзор вполне может проверить ваши ресурсы при обработке уведомления.
🔵 Исключите сбор избыточных данных из процессов, если вы никак не можете выбрать подходящее основание, а может и их ценность для процесса.
Дальнейшие действия
После финализации уведомления:
🔣 Максимально оперативно подать уведомление.
🔣 В спокойном режиме провести полноценный аудит, чтобы реестрирование процессов было более корректным и полноценным.
🔣 Подать информационное письмо о внесении изменений в запись для актуализации информации обо всех процессах компании. 🙂
Тик-так, тик-так - звучит сейчас из всех Telegram-каналов потому, что до 30 мая и вступления в силу штрафа за неуведомление Роскомнадзора всё меньше времени. Ранее у нас было отдельное privacy-мнение по вопросам уведомления.
Что делать прямо сейчас, если уведомление всё же хочется подать в ближайшее время, но не был проведен аудит или реестрирование бизнес-процессов?
1. Зафиксируйте стандартные процессы обработки данных в компании:
2. На начальном этапе укажите стандартный набор данных, не включая детали, в которых нет уверенности (Точно ли это обрабатываем? Точно ли понимаем корректное основание?).
3. Особое внимание уделите front-end процессам:
4. При выявлении нарушений на сайтах и в приложениях (забыли разместить новую версию политики, некорректные информирования / согласия):
Дальнейшие действия
После финализации уведомления:
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy-риски – это далеко не только про штрафы
Когда мы говорим о рисках в сфере ПД, большинство думает об оборотных штрафах, грозно нависших над бизнесом. Но, по нашему опыту, самый драматичный удар – не рублем, а комплексной перестройкой процесса / системы.
РКН может выдать предписание об устранении нарушений в течение определенного срока. Формально время есть, но фактически изменение архитектуры IT-систем и бизнес-процессов под требования РКН – это дорого, долго и больно.
🔣 У нас был кейс, где выполнение предписания РКН обошлось клиенту в 370 000 евро. Эти колоссальные цифры не включают в себя репутационные потери и остановку части операций на время внесения изменений.
Эффективная митигация privacy-рисков требует их комплексной оценки и выработки соответствующей методики управления.
➡️ Именно об этом будем говорить на грядущей встрече ПРО ПД.
Друзья, до встречи🙂
Когда мы говорим о рисках в сфере ПД, большинство думает об оборотных штрафах, грозно нависших над бизнесом. Но, по нашему опыту, самый драматичный удар – не рублем, а комплексной перестройкой процесса / системы.
РКН может выдать предписание об устранении нарушений в течение определенного срока. Формально время есть, но фактически изменение архитектуры IT-систем и бизнес-процессов под требования РКН – это дорого, долго и больно.
Эффективная митигация privacy-рисков требует их комплексной оценки и выработки соответствующей методики управления.
Друзья, до встречи
Please open Telegram to view this post
VIEW IN TELEGRAM
propd.timepad.ru
Оценка и управление рисками в сфере персональных данных / События на TimePad.ru
Четвертая (представляете!) оффлайн-встреча под эгидой Ассоциации Профессионалов по персональным данным ПРО ПД, где вместе с практикующими DPO обсудим и разберем оценку и управление рисками
ПМЮФ: послевкусие
Петербургский международный юридический форум (ПМЮФ) 2025 завершился на прошлой неделе. Заметный фокус был сделан, конечно же, на ПД. На что следует обратить внимание?
➡️ 40 000 уведомлений за месяц
РКН зафиксировал беспрецедентный рост количества поступивших уведомлений за май. Причина – отнюдь не весеннее обострение, а вполне прагматичная: введение штрафа за позднее уведомление. И, судя по цифрам, бизнес это услышал. Поговаривают, жадные консультанты запугали бизнес. Так вот оно что… Но кажется, РКН доволен работой такого кнута, ведь именно ради этого санкция и вводилась. А значит, рано или поздно кара наверняка настигнет тех, кто припозднился. Это не значит, что в июне начнется крестовый поход РКН, но privacy-интроверты получили еще один риск – и даже не столько штрафа, сколь нежелательного внимания к своему бизнесу со стороны контролирующего органа. Время покажет, какая стратегия оказалась лучше для управления privacy-виктимностью.
➡️ Из князя в грязи
Тема ЗИ (он же законный интерес) как альтернативы согласию в повестке РКН и бизнеса. Разумеется, согласие по-прежнему значимо, но контролирующий орган и рынок признают его неловкость и неуместность. Милош Эдуардович отдельно подчеркивает, что ситуацию необходимо менять и использовать иные основания обработки ПД, помимо согласий. А согласие должно быть последним в ряду оснований. Но повторимся: не спешите пока отказываться от согласий везде и всюду. Поверьте, они еще очень даже пригодятся. Но продолжаем следить за «легитимизацией» конкретных кейсов ЗИ.
➡️ Ответственность и составы
Также обсуждался водораздел между административной и уголовной ответственностью за нарушения в области ПД. РКН уверенно очерчивает правовые периметры – УК для хакеров и сервисов «пробива». Но для бизнеса и, что тревожно, правоохранительных органов этот водораздел до сих пор размыт. Это создаёт высокий уровень неопределённости в правоприменении новой бланкетной нормы. За сим, мы на этапе внедрений в проектах уже накатываем и элементы уголовно-правового комплаенса наряду с privacy-комплаенсом. А вы?
➡️ Сегрегация операторов с изюминкой
На секции также было высказано мнение, что дифференциация операторов ПД – не вопрос регуляторики, а вопрос факта. Тут про отобрать у маленьких, ибо не разумеют, что делают, а вот крупный бизнес защищает, как подобает. Окей. И, к слову, с позицией контролирующего органа сложно не согласиться, ведь чем меньше операторов – тем проще / эффективнее контроль. Ранее уже обсуждались критерии уполномоченных операторов ПД, с которыми следует себя соотнести, дабы оценить шансы на попадание в эту когорту. А вот из любопытного – крупные компании, быть может, смогут использовать полученные (!) от малого бизнеса данные, например, для обучения ИИ.
➡️ Privacy-уборка
Екатерина Ефимова, руководитель направления ПД в ГРЧЦ, обозначила проблематику накапливания данных операторами на вырост и всякий случай. Цифровая захламленность стала новой формой загрязнения, и необходим новый тренд – дата-минимализм. Privacy-уборка ненужных, устаревших и недостоверных данных должна стать регулярной процедурой на пути к цифровой гигиене. Мы любим такие метафоры. Поддерживаем слог! И тренд тоже.
➡️ Обезличивание ПД
Отдельный блок обсуждений был посвящён обезличиванию ПД. Мы совсем недавно разбирали обезличивание и новый Приказ РКН тут и тут. А кроме этого, в рамках отдельной сессии на ПМЮФ Артем Дмитриев, Управляющий партнер Comply, также вспоминал об обезличивании в контексте доступности данных для разработчиков ИИ. Но обезличивание наряду с доверенными посредниками, конечно же. С полной записью сессии можно ознакомиться по ссылке.🙂
Петербургский международный юридический форум (ПМЮФ) 2025 завершился на прошлой неделе. Заметный фокус был сделан, конечно же, на ПД. На что следует обратить внимание?
РКН зафиксировал беспрецедентный рост количества поступивших уведомлений за май. Причина – отнюдь не весеннее обострение, а вполне прагматичная: введение штрафа за позднее уведомление. И, судя по цифрам, бизнес это услышал. Поговаривают, жадные консультанты запугали бизнес. Так вот оно что… Но кажется, РКН доволен работой такого кнута, ведь именно ради этого санкция и вводилась. А значит, рано или поздно кара наверняка настигнет тех, кто припозднился. Это не значит, что в июне начнется крестовый поход РКН, но privacy-интроверты получили еще один риск – и даже не столько штрафа, сколь нежелательного внимания к своему бизнесу со стороны контролирующего органа. Время покажет, какая стратегия оказалась лучше для управления privacy-виктимностью.
Тема ЗИ (он же законный интерес) как альтернативы согласию в повестке РКН и бизнеса. Разумеется, согласие по-прежнему значимо, но контролирующий орган и рынок признают его неловкость и неуместность. Милош Эдуардович отдельно подчеркивает, что ситуацию необходимо менять и использовать иные основания обработки ПД, помимо согласий. А согласие должно быть последним в ряду оснований. Но повторимся: не спешите пока отказываться от согласий везде и всюду. Поверьте, они еще очень даже пригодятся. Но продолжаем следить за «легитимизацией» конкретных кейсов ЗИ.
Также обсуждался водораздел между административной и уголовной ответственностью за нарушения в области ПД. РКН уверенно очерчивает правовые периметры – УК для хакеров и сервисов «пробива». Но для бизнеса и, что тревожно, правоохранительных органов этот водораздел до сих пор размыт. Это создаёт высокий уровень неопределённости в правоприменении новой бланкетной нормы. За сим, мы на этапе внедрений в проектах уже накатываем и элементы уголовно-правового комплаенса наряду с privacy-комплаенсом. А вы?
На секции также было высказано мнение, что дифференциация операторов ПД – не вопрос регуляторики, а вопрос факта. Тут про отобрать у маленьких, ибо не разумеют, что делают, а вот крупный бизнес защищает, как подобает. Окей. И, к слову, с позицией контролирующего органа сложно не согласиться, ведь чем меньше операторов – тем проще / эффективнее контроль. Ранее уже обсуждались критерии уполномоченных операторов ПД, с которыми следует себя соотнести, дабы оценить шансы на попадание в эту когорту. А вот из любопытного – крупные компании, быть может, смогут использовать полученные (!) от малого бизнеса данные, например, для обучения ИИ.
Екатерина Ефимова, руководитель направления ПД в ГРЧЦ, обозначила проблематику накапливания данных операторами на вырост и всякий случай. Цифровая захламленность стала новой формой загрязнения, и необходим новый тренд – дата-минимализм. Privacy-уборка ненужных, устаревших и недостоверных данных должна стать регулярной процедурой на пути к цифровой гигиене. Мы любим такие метафоры. Поддерживаем слог! И тренд тоже.
Отдельный блок обсуждений был посвящён обезличиванию ПД. Мы совсем недавно разбирали обезличивание и новый Приказ РКН тут и тут. А кроме этого, в рамках отдельной сессии на ПМЮФ Артем Дмитриев, Управляющий партнер Comply, также вспоминал об обезличивании в контексте доступности данных для разработчиков ИИ. Но обезличивание наряду с доверенными посредниками, конечно же. С полной записью сессии можно ознакомиться по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
Интересный и анонимный
Даже сильнее чем раньше.
И вот далее наш вопрос. Голосуйте и пишите в комментариях обоснование или свою позицию, например, почему бы согласились / нет, даже если вам и не предлагали ограничивать ответственность. Вопрос весьма прикладной получился.
Please open Telegram to view this post
VIEW IN TELEGRAM
Согласились бы вы / ваша компания (или уже) с ограничением ответственности, предлагаемым digital-сервисами?
Anonymous Poll
11%
Да (уже / буду вынужден)
45%
Нет, буду сопротивляться
44%
Хочу посмотреть ответы
Media is too big
VIEW IN TELEGRAM
Централизованный vs децентрализованный комплаенс: как выбрать подходящую модель для вашей компании
Мы уже давно (а может и первыми в России) говорим про privacy-чемпионов. Но сейчас на рынке все чаще звучит этот термин как спасение от всех проблем.
А на самом деле далеко не всем нужна децентрализация комплаенса, важно выбрать оптимальный подход с учетом специфики работы с данными в компании:
➡️ Для B2B-компаний с ограниченным объемом данных и редкими существенными изменениями в процессах подойдет централизованная модель.
В этом случае в комплаенсе консервативно лидируют назначенный или внешний DPO, юристы, ИТ и ИБ. При этом для удобного получения апдейтов от работников рекомендуем разработать понятные:
🔵 шаблоны писем;
🔵 инструкции для обращений по новым процессам, договорам или иным вопросам.
➡️ B2C-компании с множеством тачпойнтов, активным масштабированием, проектами по локализации сервисов могут рассмотреть децентрализованную модель комплаенса с privacy-чемпионами в основных отделах, имеющих отношение к обработке данных (HR, маркетинг, продукт, СБ, e-com).
Privacy-чемпион ≠ руководитель отдела, а скорее наоборот - сотрудник, максимально погруженный в операционку отдела и в идеале работающий в компании пару лет.
В таком случае базовая схема взаимодействия выглядит так: сотрудник отдела → privacy-чемпион → DPO.
Успешному внедрению privacy-чемпионов помогут:
🔵 тренинги для чемпионов;
🔵 регламенты и схемы работы;
🔵 система материальной и нематериальной мотивации для чемпионов (особенно важно!).
P.S. На адаптацию нужно время. Если сотрудники за много лет привыкли по любым вопросам писать юристам напрямую, то вряд ли они быстро перестроятся на новые форматы общения. Важна именно эффективность комплаенса для бизнеса с учетом текущих ресурсов - можно оказаться в лиге чемпионов комплаенса и без privacy-чемпионов🙂
Мы уже давно (а может и первыми в России) говорим про privacy-чемпионов. Но сейчас на рынке все чаще звучит этот термин как спасение от всех проблем.
А на самом деле далеко не всем нужна децентрализация комплаенса, важно выбрать оптимальный подход с учетом специфики работы с данными в компании:
В этом случае в комплаенсе консервативно лидируют назначенный или внешний DPO, юристы, ИТ и ИБ. При этом для удобного получения апдейтов от работников рекомендуем разработать понятные:
Privacy-чемпион ≠ руководитель отдела, а скорее наоборот - сотрудник, максимально погруженный в операционку отдела и в идеале работающий в компании пару лет.
В таком случае базовая схема взаимодействия выглядит так: сотрудник отдела → privacy-чемпион → DPO.
Успешному внедрению privacy-чемпионов помогут:
P.S. На адаптацию нужно время. Если сотрудники за много лет привыкли по любым вопросам писать юристам напрямую, то вряд ли они быстро перестроятся на новые форматы общения. Важна именно эффективность комплаенса для бизнеса с учетом текущих ресурсов - можно оказаться в лиге чемпионов комплаенса и без privacy-чемпионов
Please open Telegram to view this post
VIEW IN TELEGRAM
Reddit против Anthropic: чей контент — того и правила?
Reddit судится с Anthropic за использование пользовательского контента для обучения нейросети Claude. Вопрос — кому на самом деле принадлежат данные: авторам, платформе или всем сразу❓
Делимся основными тезисами комментария Максим Али, партнера практики интеллектуальной собственности Comply, для «Коммерсанта»:⬇️
🔵 Зачастую права на контент остаются за авторами - пользователями ИИ, но бывают и обратные случаи.
🔵 На Reddit часто публикуются не творческие произведения, а обсуждения, советы и мнения, которые не защищены авторским правом, так как такой контент не содержит в себе творческого зерна.
🔵 Если бы дело рассматривалось в Европе или России, Reddit мог бы ссылаться на режим охраны баз данных. В США же такого механизма нет.
🔵 Скорее всего, стороны предпочтут мировое соглашение — чтобы избежать затяжных разбирательств и лишних рисков для обеих компаний. В США такой исход спора встречается чаще, чем в России.
История на стыке технологий, права и больших денег — и, похоже, далеко не последняя в эпоху ИИ.🙂
Reddit судится с Anthropic за использование пользовательского контента для обучения нейросети Claude. Вопрос — кому на самом деле принадлежат данные: авторам, платформе или всем сразу
Делимся основными тезисами комментария Максим Али, партнера практики интеллектуальной собственности Comply, для «Коммерсанта»:
История на стыке технологий, права и больших денег — и, похоже, далеко не последняя в эпоху ИИ.
Please open Telegram to view this post
VIEW IN TELEGRAM
1 апреля [очередная нешутка] был принят Закон о противодействии телефонному и интернет-мошенничеству. Это ожидаемая реакция государства на тревожную статистику – почти каждый второй россиянин столкнулся с телефонным мошенничеством.
С июня действовуют первые положения Закона и, в первую очередь, – запрет на использование иностранных сервисов в коммуникациях с гражданами. Этот запрет затаился в заключительных положениях Закона – казалось бы, и не важно вовсе. Так ли это? Разбираемся!
Кто?
Помимо государственных и окологосударственных институций новый запрет влияет и на бизнес, включая:
🔵 кредитные и некредитные финансовые организации;
🔵 операторов связи;
🔵 агрегаторов информации о товарах и услугах (например, маркетплейсы);
🔵 социальные сети, если более 500 тыс. пользователей в сутки;
🔵 сервисы размещения объявлений, если более 100 тыс. пользователей в сутки.
Напомним, что для признания сервиса агрегатором в соответствии с Законом о защите прав потребителей должны выполняться следующие условия:
🔵 у потребителя есть возможность одновременно ознакомиться с предложением и заключить договор;
🔵 сделка заключается непосредственно с продавцом /исполнителем, тогда как агрегатор не будет стороной договора, и
🔵 агрегатор принимает предварительную оплату.
То есть запрет может действовать не только в отношении всем известных маркетплейсов, но и других необязательно больших сервисов. Поэтому рекомендуем оценить применимость этого запрета к вашему ресурсу.
Что?
🔵 Запрет касается информирования (включая рассылки, ответы на сообщения) пользователей в личных сообщениях / закрытых чатах.
🔵 Но НЕ распространяется на Telegram-каналы, публикацию сторис и рекламы. Общение с иностранными пользователями – тоже вне фокуса регулирования.
Какие риски?
🔵 Нарушение требования чревато штрафом по ст. 13.11.2 КоАП – до 700 тыс. рублей, а также предписанием о прекращении использования зарубежных мессенджеров. Последнее может повлечь за собой болезненную перестройку бизнес-процесса.
🔵 Всякое лицо будет нести ответственность за использование мессенджера, даже если не знало об иностранном владении. Список «нежелательных» мессенджеров прямо в Законе не указан, но ориентироваться можно на перечень РКН. Использование таких непатриотичных мессенджеров с высокой долей вероятности повлечет за собой оперативную реакцию РКН.
Интересно, попадет ли проверка комплаенса с этим запретом в скоуп уже традиционных проверок сайтов РКН в рамках дистанционного наблюдения с использованием автоматизированного сервиса… Тревожно!
Как быть?
🔵 Для начала необходимо оценить применимость Закона к сервису и определиться с последующей стратегией, если этот запрет все же применим.
🔵 Самый очевидный путь – полный отказ от использования иностранных платформ. Альтернативно можно развернуть собственный чат в приложении или на сайте.
UPD: в связи с принятием в третьем чтении проекта Федерального закона о национальном мессенджере вполне вероятно, что у компаний будет возможность перевести свои процессы на рельсы отечественного многофункционального сервиса. Особенно учитывая, что отдельные положения законопроекта уже об этом шепчут (часть 8 статьи 1).
🔵 Сложности остаются у тех компаний, которым клиенты продолжают писать в зарубежные мессенджеры. Таких клиентов можно переводить в «легальные» чаты, присылая ссылку, например, по SMS. Другой, хоть и более рискованный вариант – отправлять в запрещенном мессенджере ссылку на продолжение диалога на легальной площадке.
Что дальше?
Напоминаем, что основной массив новелл Закона, в том числе механизмы противодействия спам-звонкам и фроду, вступит в силу с 1 сентября. Практическая реализация иных требований будет определяться постановлениями Правительства. Об этом мы уже ранее писали.
Предстоит дождаться разъяснений и постановлений Правительства дабы точнее очертить периметр действия новых норм и определить допустимые модели поведения. А пока их нет – наблюдаем и адаптируемся в режиме standby🙂
С июня действовуют первые положения Закона и, в первую очередь, – запрет на использование иностранных сервисов в коммуникациях с гражданами. Этот запрет затаился в заключительных положениях Закона – казалось бы, и не важно вовсе. Так ли это? Разбираемся!
Кто?
Помимо государственных и окологосударственных институций новый запрет влияет и на бизнес, включая:
Напомним, что для признания сервиса агрегатором в соответствии с Законом о защите прав потребителей должны выполняться следующие условия:
То есть запрет может действовать не только в отношении всем известных маркетплейсов, но и других необязательно больших сервисов. Поэтому рекомендуем оценить применимость этого запрета к вашему ресурсу.
Что?
Какие риски?
Интересно, попадет ли проверка комплаенса с этим запретом в скоуп уже традиционных проверок сайтов РКН в рамках дистанционного наблюдения с использованием автоматизированного сервиса… Тревожно!
Как быть?
UPD: в связи с принятием в третьем чтении проекта Федерального закона о национальном мессенджере вполне вероятно, что у компаний будет возможность перевести свои процессы на рельсы отечественного многофункционального сервиса. Особенно учитывая, что отдельные положения законопроекта уже об этом шепчут (часть 8 статьи 1).
Что дальше?
Напоминаем, что основной массив новелл Закона, в том числе механизмы противодействия спам-звонкам и фроду, вступит в силу с 1 сентября. Практическая реализация иных требований будет определяться постановлениями Правительства. Об этом мы уже ранее писали.
Предстоит дождаться разъяснений и постановлений Правительства дабы точнее очертить периметр действия новых норм и определить допустимые модели поведения. А пока их нет – наблюдаем и адаптируемся в режиме standby
Please open Telegram to view this post
VIEW IN TELEGRAM
Стигматизация тех-лидеров России 😱
Мы вместе мечтали об обезличивании, доверенных посредниках и даже дата-биржах. Да! Ведь и Президент говорил о доступности данных для ИИ и вот это вот все. А в итоге почти пропустили коварный сокрушительный удар.
Итак, пока одни мечтают, другие готовятся запретить создавать профили людей – обрабатывать ПД с целью анализа и предугадывания интересов, предпочтений и поведения без отдельного на то согласия. Постойте…опять согласие!? Да еще и отдельное! Опять. Хоть казалось бы мода на них прошла.
Боюсь спросить, а на основании договора (оферта, программа лояльности и т.д.) совсем нельзя будет? То есть банки, связисты, маркетплейсы и прочие тех-передовики не смогут собирать данные из разных источников даже на пользу общества? Разве недостаточно существующих норм для защиты граждан…
🔵 Предлагается в 152-ФЗ забанить анализ и прогнозирование сведений, касающихся экономического положения субъекта ПД, его здоровья, личных предпочтений, интересов, поведения и местонахождения с помощью каких бы то ни было алгоритмов.
🔵 Инициатива еще предусматривает интеграцию с ЕСИА для обмена сведениями о согласиях на обработку ПД. Про такую интеграцию и платформу управления с согласиями уже многое было сказано. Наша славная команда когда-то и сама прикладывали умы к дизайну этой концепции. Так что в этой части от комментариев воздержимся =))
А в остальном, понятно, что эта инициатива в рамках новой моды на минимизацию этих самых ПД, о чем недавно говорили вот тут на ПМЮФ. К тому же борьба с кибер-мошенниками. Угу, права граждан – это очень важно. Я, как субъект ПД, в этом не сомневаюсь! Но казалось бы, что у граждан еще есть право жить, работать и мечтать в государстве, где развиваются передовые технологии и удобные сервисы, что без доступных данных вряд ли возможно.
ИИтить! В ожидании больших деталей🙂
Мы вместе мечтали об обезличивании, доверенных посредниках и даже дата-биржах. Да! Ведь и Президент говорил о доступности данных для ИИ и вот это вот все. А в итоге почти пропустили коварный сокрушительный удар.
Итак, пока одни мечтают, другие готовятся запретить создавать профили людей – обрабатывать ПД с целью анализа и предугадывания интересов, предпочтений и поведения без отдельного на то согласия. Постойте…опять согласие!? Да еще и отдельное! Опять. Хоть казалось бы мода на них прошла.
Боюсь спросить, а на основании договора (оферта, программа лояльности и т.д.) совсем нельзя будет? То есть банки, связисты, маркетплейсы и прочие тех-передовики не смогут собирать данные из разных источников даже на пользу общества? Разве недостаточно существующих норм для защиты граждан…
А в остальном, понятно, что эта инициатива в рамках новой моды на минимизацию этих самых ПД, о чем недавно говорили вот тут на ПМЮФ. К тому же борьба с кибер-мошенниками. Угу, права граждан – это очень важно. Я, как субъект ПД, в этом не сомневаюсь! Но казалось бы, что у граждан еще есть право жить, работать и мечтать в государстве, где развиваются передовые технологии и удобные сервисы, что без доступных данных вряд ли возможно.
ИИтить! В ожидании больших деталей
Please open Telegram to view this post
VIEW IN TELEGRAM