Насколько вы хороши в работе с персональными данными? Пишите в комментариях, в каких вопросах правильный ответ – ДА. Авторы первых 5-ти верных ответов получат подарки от Comply 🎁Подробнее эти вопросы обсудим 28 мая в 15:00 на сессии «Два притопа, три прихлопа. Как справляться с privacy-комплаенсом» на V Петербургском правовом саммите.Состав спикеров уникальный: представитель ГРЧЦ Роскомнадзора, замруководителя Московского УФАС, CDPO Wildberries&Russ и DPO МТС, а вести беседу будет управляющий партнер Comply Артем Дмитриев.💡 Проверьте себя по вопросам в карточках ⬆️🙂 MAX | YT | RT | LI | Комплайтека
Всем привет! 🇹🇭 В этот раз – Бангкок: делимся впечатлениями от ежегодного ретрита Comply и, конечно, IP- и privacy-фан-фактами из этой прекрасной страны, полной контрастов. 🔵Privacy-парадокс Вы наверняка знали, что Таиланд – одна из самых gender-friendly стран Азии. Но, как выяснилось, здесь нет юридического признания гендерной идентичности. В официальных документах гендерный маркер проявляется через титул перед именем: Mr / Miss / Mrs. И, что примечательно, изменить его в соответствии со своей идентичностью никак нельзя. Так, чувствительная информация раскрывается не через хакерскую атаку и утечку базы, а при обычной проверке ID на Walking Street. Предъявил ID – и чувствительные данные уже у того, кому это знать не всегда обязательно. Рrivacy-show без согласия! Хотя в определенных случаях это поможет избежать пикантных ситуаций… Вот вам плохой пример дата-минимализма в реальной жизни. Самый privacy-friendly подход иногда не в том, чтобы собрать еще одно согласие, а в том, чтобы не показывать лишний маркер без необходимости. 🔵Биометрия за крипту Worldcoin предлагал сканировать радужку глаза в обмен на токены. На первый взгляд – добровольно, прозрачно, за вознаграждение – win-win? Но тайский регулятор считает: биометрия – это high-risk данные, а вознаграждение ставит под вопрос свободу согласия. Итог – требование остановить операции и удалить биометрию ~1,2 млн пользователей. Ибо стимулированный consent ≠ свободный consent. 🔵А что с ТЗ?Знали ли вы, с каким трепетом и уважением тайцы относятся к своей королевской семье? Портреты местных монархов повсюду, а банкноты с их изображениями мы на всякий случай даже не сгибали… Приобрести исключительное право на портрет Его Величества тоже не выйдет – закон запрещает регистрировать изображения членов королевской семьи, их имена, гербы. Здесь явно прослеживается подстраивание гражданско-правовых институтов под особый конституционный статус монархии. В связи с такими строгими правилами необходима особая аккуратност
Privacy–мнение: МИЮФ – подслушано про ПДСегодня в рамках Московского инновационного юридического форума прошла встреча с участием представителей ГРЧЦ, АБД и других замечательных спикеров. В очередной раз поднимался вопрос избыточного использования бизнесом согласий в качестве основания обработки, в том числе с примерами их постыдного использования. Например, согласие на обработку ФИО, чтобы к сотруднику можно было обращаться по имени в опен-спейсе. Как вам такая цель обработки? Затронули и тему отраслевых стандартов, которые призваны стать простыми правилами работы с ПД и помогать, в первую очередь (но не только), малышам без развитой DPO-функции. В них будут правила обработки ПД для конкретных индустрий: 🔵перечень ПД, 🔵сроки хранения, 🔵порядок уничтожения, 🔵правовые основания и т.д. Заживем! Ведь к разработке стандартов инициативно и активно привлекаются представители бизнеса, что отрадно. По задумке, стандарты должны снизить головную боль для бизнеса – в части понимания, как нужно, а для РКН – как оценить комплаенс оператора. У бизнеса будет переходный период, чтобы привести обработку ПД к стандарту. Первоочередные сферы: 🔵туризм, 🔵образование, 🔵ЖКХ, 🔵здравоохранение. Поднимался вопрос регулирования нейроданных – синтезируемых ПД, представляющих собой сведения о реакции субъекта на информационные стимулы и используемых для персонализации контента. Каков статус таких ПД? Какие правила к ним применять? Скоро во всех чатах прайвасистов страны. Как водится, не обошлось без обсуждения грядущих законопроектов по ИИ – один от Минцифры и tech giants, а другой – от Совета Федерации. А точнее, что они не сильно и регулируют обработку ПД в контексте ИИ, а отсылают к 152-ФЗ и иному регулированию. В общем, картина регулирования еще размыта. В любом случае ожидаем в июле внесения законопроекта в ГД. Будем посмотреть!Выступления спикеров и обсуждения можно послушать более подробно ➡️ тут. Основной вывод – добросовестный комплаенс нынче дорого стоит. Ну а что сегодня деше
🔣Отдельность согласия Требование об отдельности согласия вызвало у бизнеса почти экзистенциальный кризис. Отдельный документ? Отдельная галочка? РКН, к счастью, внес ясность – отдельность не равна изолированности. Согласие может быть оформлено, например, на оборотной стороне документа, если: 🔵оно визуально и по смыслу отделено от иных условий; 🔵субъект однозначно понимает, что перед ним именно согласие на обработку ПД; 🔵согласие не «растворено» в тексте договора, оферты или правил. Речь идет не о физическом носителе, а о юридической автономности волеизъявления. Это логично – согласие должно быть осознанным, а не побочным эффектом подписания чего-то еще. 🔣Ювенальные согласия Согласия несовершеннолетних – тема щепетильная для всякого оператора ПД, поскольку несовершеннолетние «живут» в интернете и являются «чувствительной» категорией субъектов. До разъяснений РКН в профессиональном сообществе бытовали две позиции – несовершеннолетние: 🔵не вправе давать согласие самостоятельно, поскольку 152-ФЗ не содержит оговорок о согласиях частично дееспособных лиц, поэтому их скорее нужно рассматривать как недееспособных, а значит, согласие за них должны давать законные представители (ч. 6 ст. 9 152-ФЗ), ИЛИ;🔵вправе давать самостоятельно согласие, поскольку обладают частичной дееспособностью. Ст. 26 ГК дает ограниченный перечень правоотношений, где они вправе действовать самостоятельно и сами давать согласие. Однако в 2022 г. РКН написал, что первая позиция ошибочна, а вторая допустима. Такая же позиция была воспроизведена ЦА РКН, а Ю. Е. Контемиров на вебинаре 2025 г. подтвердил ее актуальность. На первый взгляд никакой коллизии нет, но в 2024 году РКН ЦФО занял консервативную позицию, фактически усилив роль законных представителей и тем самым поколебав единообразие позиции ЦА РКН. Как же быть операторам ПД в таком случае? Это privacy-неопределенность или есть решение? Мы спросили у Минцифры и РКН, и их ответы (тут и тут) просты – несовершеннолетние от 14 до 18 лет впр
Закон об ИИ vs ИС: обзор для «Шортрида»Осенью 2027 года может заработать новый закон об ИИ, о котором мы писали в недавнем IP-мнении. Законопроект уже получил волну критики, в том числе от Совета по кодификации. Многих взволновали положения по интеллектуальной собственности (IP) – ведь они вторгаются на территорию части 4 ГК РФ.Максим Али, партнер практики интеллектуальной собственности, рассказал о первом опубликованном проекте закона в колонке на «Шортриде».За какими изменениями стоит следить юристам по IP:🔵Охраноспособность генерируемого контента привязали к «оригинальности», но такого критерия нет ни в ГК, ни в практике. Есть риск, что требование начнет экстраполироваться на дела, не связанные с ИИ.🔵Кто первоначальный правообладатель сгенерированного контента – закон не раскрывает. Распределение прав отдается на откуп соглашениям с платформами, но вопрос о цепочке перехода прав остается открытым.🔵Обучать ИИ на общедоступных данных без согласия правообладателя – можно. Это явный реверанс в сторону разработчиков моделей, которым предлагают минимальные ограничения для использования чужих произведений. Но теперь не у дел остаются правообладатели, у которых даже нет явного opt-out механизма защиты. 🔵Владельцы сервисов смогут ограничивать использование сгенерированного контента в соглашении с пользователем. Будет ли игнорирование таких ограничений квалифицироваться как нарушение прав на ИС – также неясно.На что обратить внимание бизнесу:Закон возлагает обязанности, в том числе на пользователей ИИ. А иногда пользователь даже освобождается от ответственности, если вовремя принял меры к предотвращению нарушения.Это значит, что в дополнение к Privacy или IP Policy у компаний все чаще будут появляться AI Policy, чтобы:🔵предложить сотрудникам гайдлайны по использованию ИИ;🔵исключить использование, которое генерирует неприемлемые IP-риски и privacy-риски;🔵дать компании дополнительные аргументы для освобождения от ответственности – в том числе в таких сложных кейсах,
Утечки могут играючи повергнуть в панику. Но паниковать – не наш удел, ведь каждый час на счету. Итак, как обещали, в продолжение темы утечек делимся полезностями.Рабочая группаРешения нужно принимать быстро. Для этого следует выстроить процесс взаимодействия между подразделениями на случай утечки и распределить роли между стейкхолдерами. Спихнуть всю работу на ИБ / DPO = провалить реагирование. Грамотная работа с утечкой – результат слаженного взаимодействия менеджмента, ИБ, DPO, IT, юристов, владельцев процессов / систем и даже PR. «Базовый минимум» выглядит так:🔵ИБ – предотвращают выявляют и расследуют утечку, определяют, как устранить ее причины, документируя каждый этап;🔵IT – руки ИБ, за ними техническая реализация плана;🔵DPO – «держатель» процесса утечки, он/она/они координируют рабочую группу, принимают ключевые решения и несут за них ответственность, а также продумывают стратегию защиты в РКН и суде;🔵юристы – руки / консультанты DPO, а в части реализации правовой и судебной стратегии – ключевые акторы. Владельцы процессов / системУтечка всегда касается конкретного бизнес-процесса и системы, поэтому следует:🔵подготовить RoPA, чтобы можно было оперативно связаться с их владельцами, запрашивать сведения об организации процесса, системе, утекших ПД;🔵определить и проинформировать ответственных лиц от каждого вовлеченного в инцидент подразделения;🔵проинструктировать их о правилах взаимодействия с РКН: что (не) следует говорить, как правильно показать систему и т. д. Третьи лицаСписок задействованных лиц не ограничивается работниками компании. Важно заранее определить контур контрагентов, которые могут попасть в периметр проверки. В первую очередь это обработчики. Должны быть определены ответственные за взаимодействие с ними, а в договорах необходимо прописать порядок и сроки предоставления ими информации в случае запросов РКН, их ответственность за нарушения процедур.ИТ-системыВ рамках проверки / расследования инспектор РКН может запросить демо системы, ск
Privacy-мнение: утекли 70 000 душ, но без штрафа!Признаться, это удивило даже нас – отъявленных оптимистов и даже больше – соучастников многих подобных положительных дел. Из трех вынесенных решений по новым составам – два предупреждения и один скромный штраф… Например, в одном из дел была доказана утечка 70 000 ни в чем не повинных душ, что подпадает под ч. 13 ст. 13.11 КоАП – штраф до 10 млн рублей. Суд ограничился предупреждением. А из мини-утечек по ч. 1 компаниям удавалось избежать штрафов в 42% случаев. Ловко! Итого получается, что во времена арбитражной оттепели success-rate (т. е. утечка без штрафов) составляет 44%, тогда как в судах общей юрисдикции – только 16% (статистика с 2023 г.). Разница – кратная! На картинке – обновленная статистика. Любуемся напоследок…Да, эти решения вынесены арбитражными судами (АСы). Хоть с января судьба дел по ПД снова оказалась в руках головах мировых судей. Дела, которые АСы успели принять к рассмотрению до января, к счастью, будут рассмотрены ими же. В связи с этим еще некоторое время нас, вероятно, будет радовать их подход. Но чем дальше, тем интереснее – будут ли у нас поводы восторгаться решениями по утечным делам, когда их начнут выносить мировые судьи? Повлияет ли практика АСов на общую юрисдикцию? Например, решение апелляции по кейсу РЖД.В постарбитражную эпоху мировыми судьями пока рассмотрено лишь одно дело об утечке. Там компанию сразу же оштрафовали на 150 000 по ч. 1 ст. 13.11 КоАП. Мировой судья решительно отмел возможность заменить штраф на предупреждение, несмотря на наличие статуса СМП, а также совершения правонарушения впервые. Напомним, что для АСов зачастую этого было достаточно, чтобы понять и простить. Во избежание сомнений мы по-прежнему считаем, что когда компания виновата в утечке – всякие штрафы уместны, а когда не виновата – неуместны никакие, и даже предупреждения. А виновата компания тогда, когда не защищала данные как должно. Должно – это так, как, к примеру, указано в нашем чек-листе. И, конечно ж
РКН уже вовсю шагает по стране с профвизитами! Мы как никто другой понимаем ваше беспокойство и даже писали об этом. Поэтому проводим вебинар, на котором расскажем про профвизиты РКН – все, что важно о них знать.На вебинаре обсудим:🔵Регулирование и порядок проведения профвизитов «на бумаге».🔵Формат профвизитов и возможные последствия для компаний.🔵Что сейчас на практике запрашивает РКН для профвизита.🔵Как проходили профвизиты: общение, зоны внимания РКН, итоги.🔵Как счастливчикам из плана готовиться к профвизиту.🔵На что обратить внимание остальным компаниям.Вебинар проведут Мария Пономарева и Анастасия Верещагина, старшие юристы privacy-практики Comply.📍Ждем вас: 🔵29 апреля, 11:00 🔵Регистрация по ссылке ⬅️Будем концентрироваться только на профвизитах – ничего лишнего!#Comply #PrivacySeasons🙂 MAX | YT | RT | LI | Комплайтека
Сегодня мы на конференции «Правовой код: маркировка, реклама, данные» от Право.ру 💙Первая сессия – public talk «Реклама-2026: как скоро мы дойдем до листовок на подъездах?», на ней в подробностях разбирает недавние изменения в законе о рекламе партнер Comply Максим Али.Рассказывает:🔵как сегодня соотносить расходы и риски в части рекламы;🔵почему ТЗ не является защитой на все случаи жизни;🔵какие каналы коммуникации важно держать под контролем.🖥 Делимся презентацией по ссылке. Далее в программе воркшоп «Разбор полетов: контент, который может обойтись дорого», экспертов модерирует также Максим Али. Вместе с юристами OZON, Авиасейлс и Яндекс он разберет рекламные и контентные кейсы 2025 года – от ИИ-роликов и дипфейков до нативной рекламы у блогеров и ошибок в маркировке.#Comply #IP🙂 MAX | YT | RT | LI | Комплайтека
Совместно с СПбГУ проводим для бакалавров и магистров конференцию «ПРАВО_ЭКСПО 2026».В программе:🔵Круглые столы, на которых обсудим регулирование ПД, новеллы в сфере IP, лигалтех и многое другое.🔵Модельный процесс по ПД – команды смогут отработать ключевые навыки, прикоснуться к работе DPO и проверить свои privacy-силы.🔵В деловой части выступят партнеры Сomply Артем Дмитриев, Сергей Сайганов и Максим Али, а также руководитель направления ПД, ГРЧЦ (РКН) Екатерина Ефимова. Помимо этого, наш младший юрист Карен Башаратьян будет курировать студенческую секцию "Правовые аспекты персональных данных и интеллектуальной собственности". Неплохая компания соберется!📍24 апреля на площадке юридического факультета СПбГУ.➡️ Подробная информация о конференции, а также ссылки для регистрации и участия – в канале ПРАВО_ЭКСПО 2026 в Telegram или в ВК.#Comply #Комплаенс #IP 🙂 MAX | YT | RT | LI | Комплайтека