Telegram Group & Telegram Channel
Privacy-мнение от Comply

Штраф за утечку? Нет, если докажешь свою privacy-совестливость.

Вновь обсуждают законопроект об оборотных штрафах. А мы как раз успели свериться с трендами административной и судебной практики по делам об утечках за очередные 12 месяцев. Вот к какому выводу мы пришли: только 5 из 40 компаний удалось избежать штрафа за утечку ПД. Мало? Удивительно, что кое-кому удалось!

Как такое вообще возможно!? Не будем скромничать 😉 2 таких процесса в этом году вели мы – и компании штрафы не получили. А еще 2 таких же успешных кейса для нас было в прошлом году. Итого, мы знаем противоядие против штрафов. Забегая вперед скажем, противоядие есть, но вряд ли оно всем «по зубам». Ведь все знаем, как правильно, но правильно – сложно. В любом случае мы верим, что предупрежден – вооружен. А наши читатели уж точно самые privacy-совестливые.

Законопроект об оборотных штрафах обещают принять до конца 2024 г. Пока Правительство ко 2-му чтению прорабатывает механизмы смягчения наказания. Так, чтобы рассчитывать на смягчение наказания оператор должен:

➡️Инвестировать в ИБ в размере n-рублей в год.
➡️Выплатить пострадавшим компенсацию.
➡️Подтвердить соблюдение требований к защите ПД.
➡️Не иметь обстоятельств, отягчающих ответственность.

Что тут важно? Условия смягчения наказания все еще дорабатываются, но уже очевидно, что отношение оператора к ПД до утечки будет оцениваться так же строго, как и его действия по реагированию на инцидент. На практике, такой подход уже применяется РКН, эти же обстоятельства учитывают суды при принятии решения о назначении наказания. Именно такой подход и помог нам избавить компании от штрафов. А после принятия закона об оборотных штрафах это не только не изменится, а наоборот – станет куда более актуально.

Как оператору доказать privacy-совестливость? Чтобы избежать штрафов за утечку, придется доказать сперва РКН, а затем и суду – все, что можно и нужно было сделать для предотвращения утечки и минимизации ее последствий, вы своевременно и в полном объеме сделали. Итого, есть две группы доказательств, которые необходимо собрать: 1️⃣ доказательства рутинных privacy-процедур по предотвращению утечек и 2️⃣ доказательства надлежащего реагирования на утечку для минимизации ее последствий.

Мы подготовили чек-лист мероприятий и артефактов, которые нужны для 1-й группы. Они помогут убедить РКН и суд, что вы не так уж и плохи, несмотря на утекшие ПД. Безусловно набор мероприятий корректируется в зависимости от типа и контура утечки, но чек-лист даст понимание, как нам удалось защитить клиентов, и в какую сторону вам двигаться.

Отдельно еще обязательно поделимся мнением про 2-ю группу артефактов – реагирование на инциденты и минимизация их последствий 🙂

#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM



group-telegram.com/comply_ru/379
Create:
Last Update:

Privacy-мнение от Comply

Штраф за утечку? Нет, если докажешь свою privacy-совестливость.

Вновь обсуждают законопроект об оборотных штрафах. А мы как раз успели свериться с трендами административной и судебной практики по делам об утечках за очередные 12 месяцев. Вот к какому выводу мы пришли: только 5 из 40 компаний удалось избежать штрафа за утечку ПД. Мало? Удивительно, что кое-кому удалось!

Как такое вообще возможно!? Не будем скромничать 😉 2 таких процесса в этом году вели мы – и компании штрафы не получили. А еще 2 таких же успешных кейса для нас было в прошлом году. Итого, мы знаем противоядие против штрафов. Забегая вперед скажем, противоядие есть, но вряд ли оно всем «по зубам». Ведь все знаем, как правильно, но правильно – сложно. В любом случае мы верим, что предупрежден – вооружен. А наши читатели уж точно самые privacy-совестливые.

Законопроект об оборотных штрафах обещают принять до конца 2024 г. Пока Правительство ко 2-му чтению прорабатывает механизмы смягчения наказания. Так, чтобы рассчитывать на смягчение наказания оператор должен:

➡️Инвестировать в ИБ в размере n-рублей в год.
➡️Выплатить пострадавшим компенсацию.
➡️Подтвердить соблюдение требований к защите ПД.
➡️Не иметь обстоятельств, отягчающих ответственность.

Что тут важно? Условия смягчения наказания все еще дорабатываются, но уже очевидно, что отношение оператора к ПД до утечки будет оцениваться так же строго, как и его действия по реагированию на инцидент. На практике, такой подход уже применяется РКН, эти же обстоятельства учитывают суды при принятии решения о назначении наказания. Именно такой подход и помог нам избавить компании от штрафов. А после принятия закона об оборотных штрафах это не только не изменится, а наоборот – станет куда более актуально.

Как оператору доказать privacy-совестливость? Чтобы избежать штрафов за утечку, придется доказать сперва РКН, а затем и суду – все, что можно и нужно было сделать для предотвращения утечки и минимизации ее последствий, вы своевременно и в полном объеме сделали. Итого, есть две группы доказательств, которые необходимо собрать: 1️⃣ доказательства рутинных privacy-процедур по предотвращению утечек и 2️⃣ доказательства надлежащего реагирования на утечку для минимизации ее последствий.

Мы подготовили чек-лист мероприятий и артефактов, которые нужны для 1-й группы. Они помогут убедить РКН и суд, что вы не так уж и плохи, несмотря на утекшие ПД. Безусловно набор мероприятий корректируется в зависимости от типа и контура утечки, но чек-лист даст понимание, как нам удалось защитить клиентов, и в какую сторону вам двигаться.

Отдельно еще обязательно поделимся мнением про 2-ю группу артефактов – реагирование на инциденты и минимизация их последствий 🙂

#мнение

BY Comply. | Комплаенс-бутик




Share with your friend now:
group-telegram.com/comply_ru/379

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

Investors took profits on Friday while they could ahead of the weekend, explained Tom Essaye, founder of Sevens Report Research. Saturday and Sunday could easily bring unfortunate news on the war front—and traders would rather be able to sell any recent winnings at Friday’s earlier prices than wait for a potentially lower price at Monday’s open. At this point, however, Durov had already been working on Telegram with his brother, and further planned a mobile-first social network with an explicit focus on anti-censorship. Later in April, he told TechCrunch that he had left Russia and had “no plans to go back,” saying that the nation was currently “incompatible with internet business at the moment.” He added later that he was looking for a country that matched his libertarian ideals to base his next startup. The next bit isn’t clear, but Durov reportedly claimed that his resignation, dated March 21st, was an April Fools’ prank. TechCrunch implies that it was a matter of principle, but it’s hard to be clear on the wheres, whos and whys. Similarly, on April 17th, the Moscow Times quoted Durov as saying that he quit the company after being pressured to reveal account details about Ukrainians protesting the then-president Viktor Yanukovych. Following this, Sebi, in an order passed in January 2022, established that the administrators of a Telegram channel having a large subscriber base enticed the subscribers to act upon recommendations that were circulated by those administrators on the channel, leading to significant price and volume impact in various scrips. On December 23rd, 2020, Pavel Durov posted to his channel that the company would need to start generating revenue. In early 2021, he added that any advertising on the platform would not use user data for targeting, and that it would be focused on “large one-to-many channels.” He pledged that ads would be “non-intrusive” and that most users would simply not notice any change.
from pl


Telegram Comply. | Комплаенс-бутик
FROM American