🥂 Privacy-встреча в Петербурге

11 апреля вместе с сообществом RPPA.pro проводим закрытую встречу в гостеприимном офисе Nextons в городе на Неве.

✨ Что нас ждет❓

💙Нетворкинг в атмосфере питерской элегантности.
💙Захватывающий privacy-квиз.
💙Обсуждение трендов с единомышленниками.

📍Регистрация обязательна

А пока готовитесь ко встрече, обратите внимание — RPPA.pro запускает 3-й поток курса Privacy Fundamentals

Это единственный в русскоязычном пространстве образовательный продукт по фундаментальным основам приватности. Детали ➡️ здесь

И кстати, по слухам, те, кто придет на privacy-встречу с парой бутылочек кремана, могут выиграть приглашение на курс с неприлично щедрой скидкой от 🙂

#Comply #комплаенс

И это не шутка.

Чтобы избежать штрафа, остается месяц. 30 мая вступает в силу штраф за невключение или несвоевременное включение в реестр операторов РКН.

📍Штраф установлен в размере до 300 000 руб.
 
Не стоит питать иллюзий, что ваша компания не должна включаться в реестр. Напрасно надеяться и на то, что, если какие-то компании из группы не ведут активной деятельности, то им не место в реестре РКН.

🔵«Несвоевременно» это как?
 
Уведомление должно быть направлено до начала обработки ПД. Начало обработки = дата регистрации в ЕГРЮЛ. Другими словами, для внушительного количества операторов момент уведомления давно упущен.
 
До 30 мая это почти не карается РКН. Хотя формально у РКН и есть возможность призвать к совести внереестровых операторов по ст. 19.7 КоАП РФ на 5 000 руб., а также на 20 000 руб. по ст. 19.5 КоАП РФ в случае невыполнения предписания РКН. Но говорят, что совесть стоит совсем других денег.
 
🔵За неактуальную информацию в реестре тоже накажут?
 
КоАП будет предусматривать штраф только за ненаправление в РКН первичного уведомления. Это про уведомление о намерении осуществлять обработку ПД (ч. 1 ст. 22 152-ФЗ). В новой редакции КоАП все также нет отдельного штрафа за неуведомление РКН об изменениях ранее представленных сведений (ч. 7 ст. 22). При этом за неактуальную информацию в реестре все еще может применяться ст. 19.7 КоАП РФ.
 
🔣Итак, почему у вас ровно месяц?
 
Формально РКН рассматривает уведомление и вносит сведения в реестр в течение 30 дней с момента его поступления. И хотя на практике это происходит гораздо быстрее, в мае, кроме праздников, готовы спорить, будет наплыв желающих оказаться в реестре. То есть, чтобы гарантированно избежать штрафа, уведомление следует подать до 1️⃣🩵🩵🩵
 
💡 Немного математики
 
По данным ФНС, на начало года в России насчитывается 3,2+ млн компаний и 4,5+ млн ИП.
А в реестре операторов РКН – только 934 331 оператор. Получается, что лишь около 12% операторов внесены в реестр РКН. Остальные – нарушители.

Итого, РКН может пополнить казну на 2 трлн ₽. Это конечно не дуодециллионы Google, но тоже годится! 
 
🔵А как РКН это обнаружит?
 
Очень просто! Нарушение можно зафиксировать в рамках наблюдения (мониторинга) без взаимодействия с контролируемым лицом, вне проверок и профилактических визитов – достаточно проверить отсутствие сведений в реестре операторов. К тому же РКН уже давно умеет в веерные рассылки по данным реестра.
 
🔵Каков алгоритм действий РКН?
 
🔣выявление отсутствия оператора в реестре РКН,
🔣направление запроса оператору пояснить «за» невключение в реестр,
🔣направление требования включиться в реестр и
🔣 …составление протокола о нарушении.
 
Далее арбитражный суд рассмотрит дело. А значит, придется не только ускоренно включаться в реестр, но и нести судебные косты. Кроме того, репутация будет запятнана.  
 
Но не будем лукавить – пока РКН не форсит составление протоколов. Посмотрим, как будет летом.
 
📍Что делать?

🔣проверить, включена ли ваша компания в реестр операторов - тут,
🔣если нет, то подготовить уведомление на основе вашей RoPA,
🔣убедиться в непротиворечии содержания уведомления с политикой и иными публичными документами компании, а также процессами на сайтах и в приложениях, направить уведомление в РКН.
 
Это незатейливая процедура (если у вас есть актуальная RoPA), но она позволит избежать неприятных последствий: от штрафов до проблем с контрагентами, проверками и судебными разбирательствами.

А если RoPA нет, то вам надо ее сделать! А вы что подумали?
 
❓А вот вопрос интереснее – сможет ли РКН привлечь к ответственности по ч. 10 ст. 13.11 КоАП РФ за старое нарушение. Т.е. компания была зарегистрирована в далеком 2010 году, а РКН только сейчас заметил, что в реестре этой компании и нет.
Как думаете, риски вообще есть, или все “старички” гуляют свободно❓

Партнеры Comply в команде преподавателей летней академии Global CIO

3️⃣ 🩵🩵🩵🩵 стартует Летняя академия от профессионального сообщества Global CIO — программа для ИТ-руководителей, направленная на развитие навыков управления цифровой трансформацией.

Среди топовых преподавателей поделятся опытом и наши партнеры — Артем Дмитриев и Максим Али!

📍Ключевые моменты программы:

🔵Обучение с 3 июня по 12 августа.
🔵2-4 часа в неделю, без домашних заданий.
🔵Дистанционный формат с двумя очными встречами.
🔵Удостоверение о повышении квалификации по окончанию курса.

Еще больше подробностей и регистрация на сайте ➡️ Global CIO.

В прошлый раз мы напомнили, что «несвоевременное включение в реестр операторов» – это когда компания не уведомила РКН до начала обработки ПД, а под началом для большинства компаний будет пониматься дата регистрации в ЕГРЮЛ.

Для большей части операторов эта обязанность наступила достаточно давно, а для некоторых – даже слишком давно. Для этого нарушения установлен однолетний срок давности привлечения к административной ответственности. Очевидно, что для многих компаний дата, когда надо было включиться в реестр, пропущена.

❓Поэтому мы задались вопросом

А можно ли штрафовать за то, что случилось 10, а то и 15 лет тому назад? Ведь этот закон обратной силы не имеет, а если срок давности прошел, то и штрафа не будет.

📍Длящееся ли это правонарушение?

Тут можно было бы порассуждать о том, является ли неуведомление длящимся правонарушением или нет, и, в зависимости от этого, определить, когда начинается исчисление годового срока давности. Есть судебная практика, подтверждающая как одну, так и другую точку зрения. Нам, по заветам ВС РФ, все же кажется, что оно НЕдлящееся. В поддержку этого есть и другая скромная, но практика (раз и два). А вот утечки, кстати, признают длящимся правонарушением🔣proof.

📍НО это тлен, важнее объективная сторона

Ведь ответственность предусмотрена за неуведомление или несвоевременное уведомление РКН. Где «несвоевременно» означает, что уведомление подано уже когда-то после начала обработки ПД, и неважно, в общем-то, когда. Другими словами, штрафуемое нарушение произойдет тогда, когда компания все же подаст уведомление в РКН с просрочкой. И напомним, что подать она может как по своей воле, так и при предписании от РКН – его нарушать уж точно не захочется. А с учетом простоты выявления отсутствия компании в реестре операторов, получение запроса или предписания РКН - лишь вопрос времени.

📍А кроме этого…

Если все же кто-то решится не уведомлять РКН, то вот вам шутка на сей счет.

По ст. 272.1 УК РФ караются незаконные использование или сбор ПД, полученных незаконным путем. “Незаконный путь” пока что категория до неприличия широкая и бланкетно включает в себя получение ПД в нарушение установленного законом порядка.

То есть, если компания собирает ПД без уведомления РКН, то она, конечно же, нарушает установленный законом порядок. Выходит, что это может обернуться реальным сроком. Как вам такая шутка? Вот и следователю смешно ☺️

Полетели… но по 💙 💙 💙 152-ФЗ 💙 💙 💙

Космонавт — не просто человек в скафандре. Это сотрудник госструктуры, участник международных программ, публичная фигура и одновременно объект непрерывного мониторинга:
🔵медицинского
🔵психологического
🔵цифрового

Он под постоянным наблюдением камер, датчиков и микрофонов, и практически весь его профессиональный (а порой и личный) цифровой след — это ПД.

Сегодня мы предлагаем взглянуть на космос под неожиданным углом — сквозь призму всеми любимого 152-ФЗ.

➡️ Пройдите тест, чтобы узнать больше про то, как 152-ФЗ действует даже в условиях невесомости.

💙 Космос — это не только звезды и ракеты, но и новые вызовы для права и безопасности. Важно помнить, что даже в самых отдаленных уголках вселенной право на защиту ПД остается неотъемлемой частью жизни человека.

С прошедшим Днем космонавтики, друзья! 🙂

Data Fusion: где бизнес, наука и государство определяют будущее данных и ИИ

Цифровая эволюция опережает правовые нормы – как компаниям и регулятору найти общий язык в мире больших данных?

📍Постараемся ответить на этот вопрос завтра с Артемом Дмитриевым, управляющим партнером Comply, во время его модерации сессии «Совершенствование правовых механизмов работы с данными» на конференции First Russian Data Forum . Начало в 14:00.

В панели спикеров Милош Вагнер, заместитель руководителя Роскомнадзор.

📍 А в 16:30 не пропустите второе выступление Артема в качестве спикера сессии: «Доступность данных для ИИ – пути решения проблемы».

❓Пишите в комментариях, если хотите передать свой вопрос регулятору 😉

ЗИ – новый черный!
Если не очень понятно, то must-read

✅ Диалог бизнеса и государства на площадке First Russian Data Forum смотреть и слушать можно здесь.

📍Что происходило?

В основном коллективно хейтили и всячески унижали согласия. Приятное. Это закат трагичного периода расцвета согласий. То есть think before print почти добрался до отечественной privacy.

Оно и понятно, целлюлоза не бесконечна! Обещают, что через год согласия и вовсе могут стать моветоном, и настоящим privacy-стилем станет игра с альтернативными правовыми основаниями.

Модель легитимизации законного интереса (он же ЗИ) пока определяется, и половина пути не пройдена, но начало положено, WIP. А РКН приглашает бизнес исследовать правовые основания вместе. Но это была бы и не авторская заметка без парочки «НО».

📍Но первое – исповедуйте плюрализм оснований и не спешите шредеровать согласия

Мы ведь и так знаем, что согласие не всегда (очень редко!) хорошо. И многие годы тому назад на проверках честно старались защищаться этой логикой. Не срабатывало тогда, не сработает и сегодня. Если контролирующий орган требует от нас согласия, то все рассуждения об обратном очень милые, но вряд ли приземлимы на реальную практику. Ведь и судебная практика по использованию альтернатив консенто-поборам только начинает формироваться, в т.ч. по ЗИ. Да и если бы можно было полагаться на эту практику, то никакие изменения были бы не нужны. А так, практика есть, но полагаться на нее часто боязно. Надо понимать, что культ согласий так быстро не пройдет. Особенно в регионах. Поэтому мы пока используем одновременно и согласия, и резервное правовое основание для ряда процессов обработки ПД.

📍Но второе – остаемся без координат на переходный период

Как бы ни были очевидны и ожидаемы изменения в гл. 14 ТК (придушить согласия) и практиках применения ЗИ, это приведет к сбою привычной системы координат. Казалось бы, только научились работать с согласиями, а придется вновь учиться. Правила игры будут задаваться по ходу. Ведь начнутся вопросы, а что и в какой детализации прописывать в трудовом договоре, а если что-то меняется, то надо ли договор переподписать, а как легитимизировать законный интерес, и иные бесконечные вопросы. Поэтому так ценна для рынка работа с участием РКН. Уверены, что только так можно полечить privacy-боли.

📍Итоги

Исходим из того, что в течение года появятся первые результаты работы – случаи возможного применения ЗИ. Поэтому сделали отложенное сообщение в канале на 21 апреля 2026 года – «Ну и как этот наш ЗИ, полетел?!».

Спасибо АБД за возможность такого диалога и низкий поклон РКН (Милош Эдуардович!) за готовность такой диалог вести 🥹

#комплаенс #законныйинтерес #АБД 🙂

Мы улучшили позиции в федеральном рейтинге и расширили присутствие в ключевых направлениях. Ура!

✅ Лучшие практики:

🔵Защита данных – Band 1
🔵IP-консалтинг – Band 1
🔵Разрешение IP-споров – Band 2
🔵Комплаенс – Band 2
🔵Цифрономика / FinTech – Band 2

✅ Артем Дмитриев, управляющий партнер:

🔵Защита данных – Band 1
🔵Комплаенс – Band 1
🔵ТМТ – Band 1
🔵Цифрономика/FinTech – Band 1
🔵Фарма – Band 1

✅ Максим Али, партнер:

🔵IP-консалтинг – Band 1
🔵Право в сфере искусства – Band 1
🔵ТМТ – Band 1

✅ Сергей Сайганов, партнер:

🔵Комплаенс – Band 1
🔵ТМТ – Band 1
🔵Цифрономика/FinTech – Band 2

Мы не только сохранили лидерство в традиционных направлениях Privacy & IP, но и расширили экспертизу в цифровом праве.

🔖 Благодарим «Коммерсантъ» и клиентов за доверие и высокую оценку нашей работы.

Продолжаем движение вперед! А цель у нас одна - оставаться для наших клиентов неизменно лучшим партнером в цифровой регуляторике 🙂

#комплаенс #интеллектуальная_собственность #юридический_рейтинг

Эта тема снова на слуху и, хотя мы и многие уже высказывались, все же возникает вопрос – может ли бизнес получить от такого обезличивания реальную пользу?

📍Новые проекты НПА по обезличиванию. Их два.

Проект постановления Правительства адресован только операторам, получившим запрос Минцифры на дата-донаты в госозеро. А вот проект приказа РКН устанавливает требования и методы обезличивания для всех операторов. То есть, по сути, лечится старая болезнь, когда обезличивать строго формально могли только госорганы, т.к. приказ РКН № 996 на бизнес не распространялся.

📍А зачем вообще обезличивать?

Данные, полученные в результате обезличивания, остаются персональными. На этом можно было бы и расходиться. Но мы останемся, ведь несколько лет ждали легализации обезличивания.

🔵Обезличивание поможет получить дополнительное основание обработки ПД, а именно п. 9 ч. 1 ст. 6 152-ФЗ – «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, обезличенные данные используются для обучения ИИ-моделей, работы с БД и т.д. Правда, пока это основание не проходило проверку боем.

🔵Кроме этого, обезличивание может оказаться обязательным пререквизитом и для грядущих инновационных институтов, например, работа с данными в контуре доверенного посредника или ЭПР.

🔵Если фантазировать, то в РФ обезличивание могло бы митигировать драматичные последствия утечек. Ведь, вероятно, будет исключена прямая идентификация субъектов ПД на основании скомпрометированного «обезличенного» датасета. Значит и вреда субъектам нет. Вот и у них… например, в Европе статус данных как персональных определяется контекстом — если у получателя нет дополнительной информации, которую он мог бы использовать для деобезличивания, а также нет правомерных способов получения такой информации, то данные в его распоряжении признаются анонимными. Этот подход можно найти не только в практике CJEU и английских судов, но и разъяснениях ICO.

📍Что не так?

🔵В ЕС допускается гибкий выбор методов обезличивания (псевдонимизации) под ответственность оператора. Нам предлагается обратный подход – перечень методов строго закрыт и включает введение идентификаторов, изменение состава/семантики, перемешивание, преобразование (обобщение), декомпозицию (разделение массива). Эти методы, за исключением преобразования, уже были зафиксированы в приказе РКН № 996.

🔵Если иным образом преобразовывать ПД, то они остаются ПД или же перестают быть ПД вовсе. И все еще непонятен момент перехода из одного состояния в другое. Важно, что РКН не сформулировал четкие требования к результатам, не обозначил способы проверки эффективности обезличивания. Пока что не предусмотрена и прямая ответственность за некачественное обезличивание, т.к. ч. 7 ст. 13.11 КоАП РФ применяется только к госорганам.

🔵Коли обезличивание – лишь одно из действий по обработке ПД, то необходимо правовое основание для обезличивания per se. То есть, если в ваших согласиях / договорах обезличивание ПД не предусмотрено, то получается, что этот десерт не для вас. Есть, конечно, обратная аргументация, что обезличивание будет покрываться правовым основанием для последующей обработки обезличенных данных, но будет ли РКН считать так же...

📍Если все-таки обезличивать…

Придется разработать документы:
🔵порядок обработки ПД, полученных в результате обезличивания;
🔵порядок обезличивания;
🔵оценка достаточности применяемых методов.

Также оператор обязан:
🔵использовать информационные системы и ПО, обеспечивающие безопасность и конфиденциальность;
🔵обеспечить раздельное хранение исходных и обезличенных данных;
🔵вести учет действий по обезличиванию и работе данными.

Итого, чтобы обезличить данные «по-настоящему», теперь понадобятся регламенты, акты, журналы, отдельные БД, инструкции и, конечно же, бесконечная вера в то, что бумага все стерпит, а РКН – оценит.

Стоит ли игра свеч, завтра ответим 🙂

Есть Национальные цели развития, Национальная стратегия развития ИИ и Стратегия развития рынка БД. Там про необходимость буста доступности данных разработчикам ИИ.

А поможет ли в действительности проект РКН в достижении этих целей? Кажется, что проект РКН – это, конечно же, шаг, но вряд ли достаточный. И вот почему.

📍Методы vs результат

По результатам рассмотрения предложений бизнес-сообщества к проекту, РКН подтвердил, что:
➡️ все предлагаемые бизнесом новые подходы уже отражены в проекте;
➡️ открытый перечень методов обезличивания «не будет отвечать принципу правовой определенности».

Но при этом четких требований к результату обезличивания РКН тоже не определяет. Хмм… можно предположить, что такой подход даже более рискованный. А вы как думаете, при каком подходе риски деобезличивания выше?

🔵Установление фиксированных методов обезличивания без четких требований к результату.
VS 
🔵Открытый перечень методов с четко определенными критериями качества обезличивания.

Нам кажется, что при первом подходе, выбранном для проекта, риски куда выше. То есть, условия и параметры определения эффективности обезличивания (например, уровень вероятности деобезличивания) гораздо важнее самих методов обезличивания в контексте рисков. 

Более того, все равно обезличенные данные остаются персональными со всеми обязанностями, ограничениями и рисками. Поэтому остается неясным, с какой целью устанавливаются ограничения на возможные методы обезличивания. 

Если есть сомнения в эффективности «открытого» подхода, то можно апробировать конкретные методики оценки эффективности обезличивания, например, в рамках контролируемой и защищенной инфраструктуры доверенных посредников.

Но мы все же надеемся, что диспозиция проекта РКН отражает осторожное развитие регулирования с возможной перспективой введения открытого перечня допустимых методов обезличивания. В отдельном треке коллеги из АБД уже проделали колоссальную работу по оценке риска деобезличивания – был предложен математический подход к оценке вероятности повторной идентификации при обработке обезличенных данных исходя из конкретных бизнес-сценариев их использования. Применение риск-ориентированного подхода позволит выбирать наиболее эффективные методы обезличивания, обеспечивая при этом максимальную защиту данных.

📍Вопросы к правовому основанию

А кроме этого, на практике возникают и вопросы по «бонусному» основанию обработки ПД «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, следующие:

🔵Какой периметр статистических и иных исследовательских целей? Входят ли коммерческие цели, такие как обучение ИИ-моделей или продуктовая аналитика в их определения? Казалось бы, что да.

🔵Само по себе обезличивание в указанных целях может осуществляться на основании п. 9 ч. 1 ст. 6 152-ФЗ, т.е. для его проведения иное правовое основание не требуется? В Европе, например, считается, что обезличивание – совместимая цель, на которую не нужно отдельное основание. Это и логично, ведь правовые основания даются на всю обработку ПД в определенной цели, а не на конкретные операции. А вот у нас на практике не всегда так.

🔵А можно в рамках этого основания «в статистических или иных исследовательских целях…» передавать / поручить обработку ПД третьему лицу?

Было бы здорово получить по этим вопросам разъяснения контролирующего органа, чтобы исключить на практике любые «серые» зоны для толкования.

Кстати, в рамках Петербургского международного юридического форума 21 мая обязательно будут обсуждаться эти вопросы.
Так что скоро вернемся с апдейтом!  🙂

Рекомендации для тех, кто еще не запрыгнул в последний (?) вагон подачи уведомлений до конца мая

Тик-так, тик-так - звучит сейчас из всех Telegram-каналов потому, что до 30 мая и вступления в силу штрафа за неуведомление Роскомнадзора всё меньше времени. Ранее у нас было отдельное privacy-мнение по вопросам уведомления.

Что делать прямо сейчас, если уведомление всё же хочется подать в ближайшее время, но не был проведен аудит или реестрирование бизнес-процессов? ⬇️

1. Зафиксируйте стандартные процессы обработки данных в компании:
🔵подбор персонала;
🔵кадровое администрирование;
🔵пропускной режим;
🔵другие типовые процессы.

2. На начальном этапе укажите стандартный набор данных, не включая детали, в которых нет уверенности (Точно ли это обрабатываем? Точно ли понимаем корректное основание?).

3. Особое внимание уделите front-end процессам:
🔵Проанализируйте клиентский путь на сайтах, приложениях со стороны посетителя - веб-формы, подписки, cookie, политики.
🔵Зафиксируйте основные цели обработки в уведомлении с набором данных, которые очевидно собираются в front-end.

4. При выявлении нарушений на сайтах и в приложениях (забыли разместить новую версию политики, некорректные информирования / согласия):
🔵Оперативно внесите необходимые корректировки, так как Роскомнадзор вполне может проверить ваши ресурсы при обработке уведомления.
🔵Исключите сбор избыточных данных из процессов, если вы никак не можете выбрать подходящее основание, а может и их ценность для процесса.

Дальнейшие действия

После финализации уведомления:

🔣Максимально оперативно подать уведомление.
🔣В спокойном режиме провести полноценный аудит, чтобы реестрирование процессов было более корректным и полноценным.
🔣Подать информационное письмо о внесении изменений в запись для актуализации информации обо всех процессах компании. 🙂

Privacy-риски – это далеко не только про штрафы

Когда мы говорим о рисках в сфере ПД, большинство думает об оборотных штрафах, грозно нависших над бизнесом. Но, по нашему опыту, самый драматичный удар – не рублем, а комплексной перестройкой процесса / системы.

РКН может выдать предписание об устранении нарушений в течение определенного срока. Формально время есть, но фактически изменение архитектуры IT-систем и бизнес-процессов под требования РКН – это дорого, долго и больно.

🔣 У нас был кейс, где выполнение предписания РКН обошлось клиенту в 370 000 евро. Эти колоссальные цифры не включают в себя репутационные потери и остановку части операций на время внесения изменений.

Эффективная митигация privacy-рисков требует их комплексной оценки и выработки соответствующей методики управления.

➡️ Именно об этом будем говорить на грядущей встрече ПРО ПД.

Друзья, до встречи 🙂

ПМЮФ: послевкусие

Петербургский международный юридический форум (ПМЮФ) 2025 завершился на прошлой неделе. Заметный фокус был сделан, конечно же, на ПД. На что следует обратить внимание?

➡️ 40 000 уведомлений за месяц
РКН зафиксировал беспрецедентный рост количества поступивших уведомлений за май. Причина – отнюдь не весеннее обострение, а вполне прагматичная: введение штрафа за позднее уведомление. И, судя по цифрам, бизнес это услышал. Поговаривают, жадные консультанты запугали бизнес. Так вот оно что… Но кажется, РКН доволен работой такого кнута, ведь именно ради этого санкция и вводилась. А значит, рано или поздно кара наверняка настигнет тех, кто припозднился. Это не значит, что в июне начнется крестовый поход РКН, но privacy-интроверты получили еще один риск – и даже не столько штрафа, сколь нежелательного внимания к своему бизнесу со стороны контролирующего органа. Время покажет, какая стратегия оказалась лучше для управления privacy-виктимностью.

➡️ Из князя в грязи
Тема ЗИ (он же законный интерес) как альтернативы согласию в повестке РКН и бизнеса. Разумеется, согласие по-прежнему значимо, но контролирующий орган и рынок признают его неловкость и неуместность. Милош Эдуардович отдельно подчеркивает, что ситуацию необходимо менять и использовать иные основания обработки ПД, помимо согласий. А согласие должно быть последним в ряду оснований. Но повторимся: не спешите пока отказываться от согласий везде и всюду. Поверьте, они еще очень даже пригодятся. Но продолжаем следить за «легитимизацией» конкретных кейсов ЗИ.

➡️ Ответственность и составы
Также обсуждался водораздел между административной и уголовной ответственностью за нарушения в области ПД. РКН уверенно очерчивает правовые периметры – УК для хакеров и сервисов «пробива». Но для бизнеса и, что тревожно, правоохранительных органов этот водораздел до сих пор размыт. Это создаёт высокий уровень неопределённости в правоприменении новой бланкетной нормы. За сим, мы на этапе внедрений в проектах уже накатываем и элементы уголовно-правового комплаенса наряду с privacy-комплаенсом. А вы?

➡️ Сегрегация операторов с изюминкой
На секции также было высказано мнение, что дифференциация операторов ПД – не вопрос регуляторики, а вопрос факта. Тут про отобрать у маленьких, ибо не разумеют, что делают, а вот крупный бизнес защищает, как подобает. Окей. И, к слову, с позицией контролирующего органа сложно не согласиться, ведь чем меньше операторов – тем проще / эффективнее контроль. Ранее уже обсуждались критерии уполномоченных операторов ПД, с которыми следует себя соотнести, дабы оценить шансы на попадание в эту когорту. А вот из любопытного – крупные компании, быть может, смогут использовать полученные (!) от малого бизнеса данные, например, для обучения ИИ.

➡️ Privacy-уборка
Екатерина Ефимова, руководитель направления ПД в ГРЧЦ, обозначила проблематику накапливания данных операторами на вырост и всякий случай. Цифровая захламленность стала новой формой загрязнения, и необходим новый тренд – дата-минимализм. Privacy-уборка ненужных, устаревших и недостоверных данных должна стать регулярной процедурой на пути к цифровой гигиене. Мы любим такие метафоры. Поддерживаем слог! И тренд тоже.

➡️ Обезличивание ПД
Отдельный блок обсуждений был посвящён обезличиванию ПД. Мы совсем недавно разбирали обезличивание и новый Приказ РКН тут и тут. А кроме этого, в рамках отдельной сессии на ПМЮФ Артем Дмитриев, Управляющий партнер Comply, также вспоминал об обезличивании в контексте доступности данных для разработчиков ИИ. Но обезличивание наряду с доверенными посредниками, конечно же. С полной записью сессии можно ознакомиться по ссылке. 🙂

💙 Внимание опрос!

Интересный и анонимный 😇

🔵В последнее время некоторые b2b digital-сервисы, обрабатывающие ПД преимущественно в рамках поручения, принялись активно, если не агрессивно, ограничивать свою ответственность.
Даже сильнее чем раньше.

🔵Почему? Потому что если у них утекут ПД, то оштрафуют скорее всего оператора – их клиента. Но затем-то клиент все равно придет взыскивать убытки. Конечно, если в договоре на сей счет нет каких-либо ограничений.

🔵Мы никого не критикуем и не поощряем, но наблюдаем =))

И вот далее наш вопрос. Голосуйте и пишите в комментариях обоснование или свою позицию, например, почему бы согласились / нет, даже если вам и не предлагали ограничивать ответственность. Вопрос весьма прикладной получился. ⬇️