Comply. | Комплаенс-бутик

Comply на карте LegalTech Comply вошел в группу «Комплаенс / Управление рисками» на карте российского LegalTech с нашим цифровым решением — системой кадрового электронного документооборота Comply.Consent 😎 Comply.Consent, помимо кадровых процессов, позволяет также автоматизировать большую часть юридических процедур. В системе предусмотрены модули: 🔵автоматизации декларирования и расследования конфликта интересов 🔵сбора согласий на обработку данных сотрудников и третьих лиц 🔵маршрутизации различных служебных записок и ознакомления сотрудников с локальными актами. Весь документооборот происходит в единой системе, что упрощает работу юристам и самим сотрудникам. К тому же система доступна как офисным работникам, так и «синим воротничкам» на производстве. Карта российского LegalTech — удобный инструмент для навигации в пространстве отечественных решений по автоматизации работы юристов. Проект предоставляет доступ к актуальному списку консультантов по направлению LegalTech и регулярно обновляется. Подробнее о проекте можно почитать здесь.

IP-мнение от Comply Новые запреты в рекламе В июне в Государственную Думу был внесен законопроект, который запрещает распространение рекламы с использованием сайтов и платформ: 🔵«нежелательных» организаций; 🔵организаций, чья деятельность признана судом экстремистской; 🔵доступ к которым заблокирован Роскомнадзором. Риски Если законопроект будет принят в текущем виде, участники рынка не смогут размещать свою рекламу на Facebook*, Instagram* и многих других платформах и сайтах. Напомним, что только за 2023 год в России заблокировано порядка 670 тысяч интернет-ресурсов. За нарушение закона рекламодатель и рекламораспространитель будут нести ответственность по части 1 статьи 14.3 КоАП РФ: штраф от 100 до 500 тыс. руб. для юридических лиц. Что нужно сделать? 🔵провести аудит долгосрочных договоров на размещение рекламы и заранее начать переговоры с контрагентами по изменению условий отношений с ними; 🔵оценить риски признания старых публикаций на запрещенных ресурсах рекламой; 🔵скорректировать коммуникационную стратегию бизнеса, с учетом новых запретов. В законопроект еще могут быть внесены поправки, его рассмотрение запланировано на июль. То есть, уже осенью могут начать действовать новые правила в сфере рекламы. ❗️ Вывод Законопроект неизбежно затронет весь российский рынок интернет-рекламы, повлияет на ее заказчиков, рекламные агентства, блогеров и других участников. В целом, он находится в русле недавно принятого закона о запрете рекламы на ресурсах иностранных агентов. Представителям бизнеса следует заранее подготовиться к быстрой смене порядка работы и «держать руку на пульсе». *Деятельность Meta Platforms Inc. по реализации продуктов Facebook и Instagram запрещена в РФ по основаниям осуществления экстремистской деятельности.

Comply на конференции Legal for Tech 26 июля в Санкт-Петербурге ИТМО и RPPA проведут конференцию, посвященную Legal for Tech. Эксперты обсудят юридические вызовы при работе с технологиями и обработке данных на понятном языке и с реальными примерами. Артем Дмитриев, управляющий партнер Comply, выступит с темой «Front-end комплаенс: устранение критичных рисков». Встречаемся в городе на Неве! 📅 Дата: 26 июля 🕒 Время: с 15:00 до 19:00 Подробная программа и регистрация по ссылке.

Ladoga подает знаки Производитель и импортер алкогольной продукции Ladoga подал иск к испанской Envasados Eva в суд по интеллектуальным правам. Ему не удалось зарегистрировать товарный знак Emerald из-за того, что права на него принадлежат иностранной компании. Правовая охрана с бренда будет снята, если он не использовался на российском рынке в течение трех лет. Однако разбирательство может затянуться из-за длительной процедуры извещения зарубежных правообладателей. Ситуацию комментирует Максим Али, партнер, руководитель практики интеллектуальной собственности Comply:

Даже если товарный знак не используется, то его все равно сначала нужно исключить из реестра Роспатента. Процедура извещения иностранного правообладателя может занимать полгода, поэтому разбирательство может затянуться. Испанской компании необходимо будет доказать в суде фактическое использование бренда для винной продукции в течение трех лет. Количество иностранных компаний, которые могут и хотят подтвердить присутствие на российском рынке, сокращается. К тому же некоторые из них заняли пассивную позицию: им проще числиться ответчиком в споре, чем продавать свой товарный знак или совершать какие-то другие действия. К 2025 году ожидается экспоненциальный рост подобных разбирательств, поскольку для брендов, которые ушли из России в марте 2022 года, пройдет трехлетний срок.

Подробнее читайте на сайте газеты Коммерсантъ.

Privacy-мнение от Comply Стоит ли включаться в реестр операторов РКН? Пожалуй, это один из наиболее вечных вопросов. Что любопытно, даже ужесточение формулировок 152-ФЗ в 2022 году не склонило полностью рынок на сторону адептов включения в Реестр. Почему же нет, когда, казалось бы, да? Разбираемся. Сперва, почему «да» 🔵Из очевидного – включившись в Реестр, нет рисков из невключения в него. Да-да, такие риски есть, и не только риск предписания. В целом невключение в Реестр – ст. 13.11 ч. 1 и ст. 19.7 КоАП. Хотя эти риски НЕ существенные и, судя по практике, вероятность их наступления стремится к нулю. 🔵А если в компании утечка, то без записи в реестре оперативно НЕ уведомить РКН. И вот тогда последствия могут быть более осязаемыми, например, внеплановая проверка РКН. 🔵Благонадежность в глазах партнеров и клиентов. Не раз были случаи, когда банки или другие игроки не контрактуются с контрагентом, у которого в ходе vendor-check’а не находится записи в реестре РКН. Что уж там, сами рекомендуем проверять партнеров, что особенно актуально в свете грядущих оборотных штрафов. 🔵Законопроект предусматривает штрафы до 300 тысяч рублей за неуведомление о начале обработки ПД, что добавляет еще один возможный аргумент в копилку «сторонников» включения в Реестр. 🔵Если передаете ПД в иные страны, то не сможете уведомить РКН о трансграничной передаче. Если, конечно же, вообще планировали уведомить. Но надо понимать, что без такого уведомления передача в неадекватные страны может быть нарушением 13.11 ч. 1, хотя практики такой и нет…пока. 🔵Новое веяние, хотя и не проверенное на практике РКН – НЕ включать в Политику на сайте громоздкие таблицы с указанием целей и категорий обрабатываемых ПД, а сделать ссылку на запись в Реестре, где и будет содержаться необходимая информация по процессам обработки ПД. Ловко! Почему же «нет»? 🔵Включение в Реестр теоретически повышает риск внимания РКН к компании, например, включение в план по дистанционному мониторингу сайтов. Скорее всего нет, но никто не доказал обратное =)) 🔵Теперь РКН проверяет более тщательно информацию на сайте компании vs данные в Реестре. Если РКН обнаружит хотя бы три несоответствия, вместо десяти, как это было ранее, компания действительно будет больше интересовать РКН. А отсутствие записи в Реестре, вероятно, делает невозможным применение этих индикаторов риска. 🔵Однажды включившись, обновляться потребуется регулярно – до 15 числа месяца, следующего за месяцем, в котором произошли эти изменения. 🔵Даже если получим запрос или предписание РКН на включение в Реестр, то сможем это сделать в течение 10 рабочих дней. Если, конечно, у вас есть актуальная RoPA. 🔵И вообще, какие риски, если срок давности привлечения к административной ответственности за непредоставление информации РКН на практике составляет всего 3 месяца, да и еще с момента нарушения, а не с момента выявления! Поэтому вроде и нарушение есть, а ответственность за него – не особо. ❗️ Мы умышленно не приводим контраргументы, которые есть для каждого тезиса выше «за» или «против». Ведь включение в реестр операторов РКН – весьма индивидуальный вопрос, учитывающий оценку бизнес-рисков и особенности вашего бизнеса. Но очевидно, что, даже если вы не включаетесь в Реестр прямо сейчас, следует подготовить проект уведомления РКН, который в случае запроса вы сможете оперативно направить. В следующий раз обсудим (не)уведомление РКН о трансграничной передаче ПД и после выпустим наш Comply.Pulse по этим уведомлениям РКН. ➡️Важно – если у вас были от РКН запреты / ограничения на трансграничную передачу, то пишите в комментариях или [email protected] (анонимность гарантирована) – учтем в анализе вместе с нашими инсайдами 🙂

«Мягкое право» для персданных Помогут ли механизмы самоконтроля операторов в защите личной информации граждан. Для защиты субъектов персональных данных необходимо ввести элемент «мягкого права», поскольку, в дополнение к государственному, необходим самоконтроль операторов персданных, полагают в Роскомнадзоре. Эксперты одобряют эту инициативу и считают своевременной, ведь механизмы добровольной компенсации помогут смягчить для граждан ущерб от утечек информации. Артем Дмитриев, управляющий партнер Comply: «Мягкое право» – это хорошие практики, «белые книги», разъяснения контекста и правил работы с данными, которые имеют лишь рекомендательный характер, но не санкционированы властью в форме закона. Такие или похожие инструменты уже есть, например, «белая книга» Ассоциации больших данных (АБД). Здорово, что эта тема была акцентирована в выступлении Милоша Вагнера. Ведь важно понимать, что без прямого участия контролирующих органов в работе над нормами такого права вряд ли получится сделать его безопасным и комфортным для применения всеми участниками рынка, в том числе субъектами персданных. Для того чтобы «мягкое право» начало работать, необходима платформа для эффективного взаимодействия бизнеса и государства в форме, например, совета с участием Минцифры и Роскомнадзора. А также экспертного и бизнес-сообществ. Это позволит обеспечить реальное и оперативное воздействие принимаемых на платформе решений на рынок, в том числе на правоприменительную практику и создание того самого «мягкого права». К наиболее приоритетным и очевидным направлениям «мягкого права» относятся проработка и согласование с контролирующими органами концепций opt-out (конклюдентных) согласий и законного интереса. При проработке этих концепций как раз могут быть учтены и рекомендованы дополнительные гарантии защиты прав субъектов ПД, например, эффективная механика отзыва субъектами таких согласий и возражения против обработки через формы отписок и стоп-листы, понятность субъектам условий такой обработки персданных (рекомендации к уведомлениям, стандартизированные иконки в приложениях и на сайтах). Кроме совершенствования согласий, другими перспективными направлениями для обсуждения и проработки мягкого права должны быть вопросы обезличивания данных, понятные и прозрачные критерии для добровольной оценки соответствия операторов ПД. По этим направлениям при совместной работе государственных органов, экспертного и бизнес-сообществ должны разрабатываться методические рекомендации и отраслевые стандарты. Подробнее читайте на сайте RSpectr.

«Мягкое право» для персданных Помогут ли механизмы самоконтроля операторов в защите личной информации граждан. Для защиты субъектов персональных данных необходимо ввести элемент «мягкого права», поскольку, в дополнение к государственному, необходим самоконтроль операторов персданных, полагают в Роскомнадзоре. Эксперты одобряют эту инициативу и считают своевременной, ведь механизмы добровольной компенсации помогут смягчить для граждан ущерб от утечек информации. Артем Дмитриев, управляющий партнер Comply, комментирует для издания RSpectr: Артем Дмитриев, управляющий партнер Comply:

«Мягкое право» – это хорошие практики, «белые книги», разъяснения контекста и правил работы с данными, которые имеют лишь рекомендательный характер, но не санкционированы властью в форме закона. Такие или похожие инструменты уже есть, например, «белая книга» Ассоциации больших данных (АБД). Здорово, что эта тема была акцентирована в выступлении Милоша Вагнера. Ведь важно понимать, что без прямого участия контролирующих органов в работе над нормами такого права вряд ли получится сделать его безопасным и комфортным для применения всеми участниками рынка, в том числе субъектами персданных. Для того чтобы «мягкое право» начало работать, необходима платформа для эффективного взаимодействия бизнеса и государства в форме, например, совета с участием Минцифры и Роскомнадзора. А также экспертного и бизнес-сообществ. Это позволит обеспечить реальное и оперативное воздействие принимаемых на платформе решений на рынок, в том числе на правоприменительную практику и создание того самого «мягкого права». К наиболее приоритетным и очевидным направлениям «мягкого права» относятся проработка и согласование с контролирующими органами концепций opt-out (конклюдентных) согласий и законного интереса. При проработке этих концепций как раз могут быть учтены и рекомендованы дополнительные гарантии защиты прав субъектов ПД, например, эффективная механика отзыва субъектами таких согласий и возражения против обработки через формы отписок и стоп-листы, понятность субъектам условий такой обработки персданных (рекомендации к уведомлениям, стандартизированные иконки в приложениях и на сайтах). Кроме совершенствования согласий, другими перспективными направлениями для обсуждения и проработки мягкого права должны быть вопросы обезличивания данных, понятные и прозрачные критерии для добровольной оценки соответствия операторов ПД. По этим направлениям при совместной работе государственных органов, экспертного и бизнес-сообществ должны разрабатываться методические рекомендации и отраслевые стандарты.

Old fashion coгласия Сегодня на ПМЭФ Милош Вагнер сделал несколько комментариев относительно будущего privacy-регулирования в РФ. Итак, по мнению замглавы РКН, согласия — устаревший инструмент, их слишком много, поэтому бизнесу надо запретить собирать их в ряде случаев, ограничив их заранее определенным перечнем. И можно было бы РКН поддержать — о развитии opt-out подхода и отказе от культа согласий мы говорим давно, как и индустрия, например, АБД. В то же время, за благими намерениями, как мы знаем, скрывается дорога в... Итак, несколько «НО». ❗️НО раз. Хорошо было бы подумать об «усилении» прочих оснований обработки ПД — что есть кроме согласий, например, законный интерес. Как раз этот самый законный интерес и является основанием для последующей реализации субъектом ПД своего права на отказ (как это было устроено в ЕС директиве, являвшейся прообразом 152-ФЗ). Как раз бизнес и хотел бы его использовать, да нет понятных механизмов и рискованно без разъяснений РКН. Если работал бы законный интерес, то и не было бы нужды ограничивать бизнес в сборе согласий. Ведь именно жесткие позиции самого РКН и судов во многом и послужили причиной текущей девальвации согласий, которые собираются на всё и ни на что. Итак, было бы хорошо, но нам предлагают очередные ограничения — списки use-кейсов и перечни исключений, когда (не)можно собирать согласия. ❗️НО два. РКН также вновь подтвердил свою приверженность принципу минимизации данных. Прекрасно! Но и здесь вместо того, чтобы пойти по пути разъяснительной работы, выпуская рекомендации или белые книги по работе с данными в разных секторах и контекстах обработки (как, например, это делает французский CNIL или белорусский Центр защиты данных) надзорный орган предлагает законодательно закреплять минимально необходимые списки данных, допустимые к обработке. Кажется, что этот подход вновь приведет только к дальнейшему перекосу регулирования, при том, что не принесет субъектам существенных гарантий защиты их интересов. О чем мы и говорили в предыдущем посте про win-win подход в регулировании. Итого, если собираетесь «подсушить» согласия, пожалуйста, расскажите сперва хотя бы когда и как гарантированно можно использовать законный интерес или opt-out согласия. И согласия все же точно НЕ устаревший инструмент, а вот их понимание в правоприменительной практике устарело безвозвратно — факт 🙂

Privacy-мнение от Comply ⬇️ Нам бы win-win подход С одной стороны, очевидный тренд интенсификации privacy-регулирования, а с другой – нисходящий тренд обеспечения интересов участников рынка. Разбираемся. Появляется все больше инициатив в сфере данных: 🔵Депутаты говорят об институте спецоператоров данных, которые будут обрабатывать данные недостаточно «privacy-взрослого» бизнеса. 🔵Кажется, что вот-вот увидит свет инициатива по data-национализации с обязательной передачей бизнесом данных за свой счет в государственные озера. 🔵Не умолкают разговоры и по поводу проекта закона об оборотных штрафах – со страхованием ответственности за утечки данных, видимо, пора смириться. 🔵Кроме того, предлагаемые законопроектом меры смягчения ответственности – выплаты компенсаций пострадавшим субъектам и обязательные инвестиции в информационную безопасность – по сути, подразумевают еще больше нагрузки на бизнес. Как видно, интенсивность privacy-регулирования продолжает расти. Кому от этого хорошо? 1️⃣ Интересы бизнеса почти не учитываются – разве что кроме механизмов смягчения ответственности по оборотным штрафам при добровольной сертификации, но и тут без гарантий. Ни давно ожидаемых послаблений в части обезличивания данных, ни запущенных экспериментальных режимов по обмену данными через доверенного посредника, ни других так ожидаемых рынком разъяснений. Вот так и законный интерес, и opt-out согласия – есть, но нет. 2️⃣ Будет лукавством сказать, что интенсивности регулирования хоть как-то корреспондируют и «новые» гарантии субъектов. Например, биометрия и ЕБС всё больше проникает в повседневную жизнь, что далеко не всем по нраву. Культ согласий тоже не в пользу субъектов, очевидно. Новые правила о разъяснении рекомендательных технологий также вряд ли особо помогают пользователям понять масштаб обработки данных. Но государство все же активно декларирует заботу о людях – тут, например, и инициативы по компенсациям за утечки в онлайне. 3️⃣ А что интересы государства – такого же участника рынка? Хочется думать, что государству хорошо тогда, когда интересы и бизнеса, и пользователей сбалансированы. Но это не точно. Точно лишь то, что государству тоже очень нужны данные. Похоже, что data-национализация в том или ином объеме предопределена. 4️⃣ Пока регулирование явно неравномерно учитывает интересы бизнеса, государства и субъектов. Приоритет явно отдан этатическим интересам. Значит ли это, что мы пошли китайским privacy-путем? Хм… Китай все же, несмотря на свой явный патернализм, предлагает серьезные возможности для data-экономики. Например, биржи данных и облегченные режимы работы с данными в специальных экономических зонах. Возможно, такой опыт следует перенять и нам. ➡️Итого очевидно, что рост регуляторной нагрузки НЕ пропорционален усилению реальной защиты прав субъектов данных и интересов бизнеса.

Алоха, privacy-инженер! 👋 Пятничное — образовательный контент от наших друзей из RPPA. Профессия privacy-инженера становится более востребованной, хотя ещё не до конца ясно, кто он больше: разработчик с legal бэкграундом или DPO с IT-компетенциями. Пожалуй, он посредник между DPO и IT, объединяющий некоторые функции обоих и обладающий практическим пониманием IT-продуктов. Этот специалист отвечает на вопросы DPO «зачем?» и IT-специалистов «как?». Вас уже ждут 60 минут подкаста с ценными инсайтами от практикующих privacy-инженеров 👌 Честно сказать, мы и не представляем, как можно провести даже базовый privacy-аудит, не обладая этими компетенциями, не говоря уже про product-комлаенс. Так что слушаем! 👇 Apple | Яндекс | Castbox