ПРАВО.ru
Практика
25 сентября 2024, 13:00

Утечки и освобождение от штрафов: актуальное в сфере персональных данных

Утечки и освобождение от штрафов: актуальное в сфере персональных данных
Бизнесу бывает непросто наладить внутренние процессы, связанные с обработкой и хранением персданных. Все усложняется тем, что ежегодно количество утечек растет и приходится решать, как себя вести: сообщать ли о случившемся добровольно или попытаться сделать вид, что ничего не произошло? Есть ли способы освободиться от штрафа в такой ситуации? Признают ли суды какие-то обстоятельства смягчающими? Эти и многие другие вопросы эксперты из различных отраслей обсудили на конференции Право.ru, посвященной персональным данным.

Развитие регулирования

Первую сессию, посвященную развитию регулирования персональных данных, открыла докладом Елена Агаева, партнер, руководитель практики защиты персональных данных Адвокатское Бюро ЕПАМ Адвокатское Бюро ЕПАМ Федеральный рейтинг. группа АПК и сельское хозяйство группа Антимонопольное право группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (споры high market) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (защита прав и судебные споры) группа Комплаенс группа Международные судебные разбирательства группа Международный арбитраж группа Морское право группа Недвижимость, земля, строительство (консультирование) группа Недвижимость, земля, строительство (споры) группа Разрешение споров в судах общей юрисдикции группа Санкционное право группа Страховое право группа ТМТ (телекоммуникации, медиа и технологии) группа Уголовное право группа Фармацевтика и здравоохранение (фармацевтика) группа Банкротство (реструктуризация и консультирование) группа ГЧП/Инфраструктурные проекты группа Защита персональных данных группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа Корпоративное право/Слияния и поглощения (high market) группа Налоговое консультирование и споры (консультирование) группа Налоговое консультирование и споры (споры) группа Природные ресурсы/Энергетика группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Семейное и наследственное право группа Транспортное право группа Трудовое и миграционное право группа Финансовое/Банковское право группа Цифровая экономика группа Частный капитал группа Экологическое право 1место По выручке 1место По количеству юристов 2место По выручке на юриста Профайл компании Она же выступила модератором. Агаева рассказала об экстерриториальности закона «О персональных данных». В выступлении она объяснила слушателям правило локализации: оно означает, что первичный сбор данных российских граждан должен происходить на территории России и лишь впоследствии их можно передавать трансгранично. Закон «О персональных данных» рассчитан и на те компании, которые не имеют выраженного юридического присутствия в России, например это онлайн-бизнес, собирающий и обрабатывающий персданные, продолжила Агаева. В качестве примера эксперт привела дело United Parcel Service, на которую наложили штраф за повторное нарушение требований о локализации (№ 05-1180/422/2023). Еще Агаева упомянула так называемый закон о «приземлении» IT-компаний и перечислила обязанности иностранного лица, ведущего деятельность в интернете (например, зарегистрировать личный кабинет на сайте Роскомнадзора).

Нужно оценивать, подпадает ли конкретный случай под требования об уведомлении и каким образом происходит передача. А это зависит от того, в какую страну мы передаем эти данные.

Елена Агаева, партнер, руководитель практики защиты персональных данных Адвокатское Бюро ЕПАМ Адвокатское Бюро ЕПАМ Федеральный рейтинг. группа АПК и сельское хозяйство группа Антимонопольное право группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (споры high market) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (защита прав и судебные споры) группа Комплаенс группа Международные судебные разбирательства группа Международный арбитраж группа Морское право группа Недвижимость, земля, строительство (консультирование) группа Недвижимость, земля, строительство (споры) группа Разрешение споров в судах общей юрисдикции группа Санкционное право группа Страховое право группа ТМТ (телекоммуникации, медиа и технологии) группа Уголовное право группа Фармацевтика и здравоохранение (фармацевтика) группа Банкротство (реструктуризация и консультирование) группа ГЧП/Инфраструктурные проекты группа Защита персональных данных группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа Корпоративное право/Слияния и поглощения (high market) группа Налоговое консультирование и споры (консультирование) группа Налоговое консультирование и споры (споры) группа Природные ресурсы/Энергетика группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Семейное и наследственное право группа Транспортное право группа Трудовое и миграционное право группа Финансовое/Банковское право группа Цифровая экономика группа Частный капитал группа Экологическое право 1место По выручке 1место По количеству юристов 2место По выручке на юриста Профайл компании

Мысль о трансграничной передаче персданных продолжил Валерий Нарежный, советник Городисский и Партнеры Городисский и Партнеры Федеральный рейтинг. группа Защита персональных данных группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа ТМТ (телекоммуникации, медиа и технологии) . Эксперт рассказал, что все страны можно разделить на две категории: с достаточной защитой персональных данных и отсутствием таковой. «Неадекватные» страны — это те, что не участвуют в конвенции Совета Европы и не ввели у себя аналогичное ей регулирование, пояснил Нарежный. Это влияет на порядок трансграничной передачи, в частности на решение, достаточно ли просто подать уведомление в Роскомнадзор и сразу же передать данные или следует выждать после этого десять дней. К слову, если получатель данных — ваш работник, который находится в командировке за рубежом, то порядок трансграничной передачи не нужно соблюдать, добавил спикер. Но есть и такие ситуации, когда предоставление данных неочевидно. Например, если используются иностранные облачные сервисы, которые, по мнению Нарежного, можно назвать серой зоной. По возможности избегайте их использования, посоветовал юрист. Нарежный дал и еще одну важную рекомендацию: сформулировать в договоре условие об уничтожении персональных данных получателем в случае, если Роскомнадзор запретит такую трансграничную передачу.

Как собирать и хранить персональные данные: рекомендации бизнесу

Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Клифф Клифф Федеральный рейтинг. группа Фармацевтика и здравоохранение (медицина и здравоохранение) группа Защита персональных данных группа Интеллектуальная собственность (регистрация) группа Корпоративное право/Слияния и поглощения (mid market) группа Ритейл, FMCG, общественное питание группа ТМТ (телекоммуникации, медиа и технологии) 48место По выручке , предложила перейти от вопроса трансграничной передачи данных к проблемам правонарушений в этой сфере. Ахмедова рассказала о системе квалификации правонарушений, основанной на приказе Роскомнадзора от 27.10.2022 № 178. Правда, добавила она, весь приказ — это квинтэссенция вопросов без ответов. Спикер обратила внимание, что требования об оценке вреда применяются к двум видам случаев: нарушению закона «О персональных данных» и к рисковым правомерным действиям. Все случаи применительно к степени вреда — высокой, средней и низкой — Ахмедова разделила на три группы. Первую она назвала очевидными нарушениями, вторую — случаями, не предусмотренными в законодательстве. В третью категорию вошли рисковые случаи. Классификация степеней вреда не несет практического значения, высказала свое мнение юрист.

Определение степени вреда не имеет никаких последствий, они нигде не написаны. Никаких других разъяснений о том, зачем это нужно, тоже нет.

Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Клифф Клифф Федеральный рейтинг. группа Фармацевтика и здравоохранение (медицина и здравоохранение) группа Защита персональных данных группа Интеллектуальная собственность (регистрация) группа Корпоративное право/Слияния и поглощения (mid market) группа Ритейл, FMCG, общественное питание группа ТМТ (телекоммуникации, медиа и технологии) 48место По выручке

Резюмируя, эксперт сказала, что бизнесу и юристам требуется дополнительный приказ Роскомнадзора, в котором появились бы ответы на возникшие вопросы. «Может быть, Роскомнадзор нас и не услышит, но я считаю важным высказать эту мысль», — закончила выступление Ахмедова.

На самом деле Роскомнадзор все услышал, потому что следующей микрофон взяла в руки Екатерина Ефимова, руководитель направления персональных данных ФГУП ГРЧЦ (Роскомнадзор). Она подняла тему использования законных оснований при обработке персональных данных.

Раньше субъект мог отслеживать, во взаимоотношения с какими операторами он входит. Сейчас же, с точки зрения гражданина, очень трудно реализовать защиту своих прав. Один вопрос, продолжает Ефимова, если субъект нашел где-то свои слитые персональные данные, но совсем другой — доказать, что кто-то за ним следит и предлагает суперусовершенствованную рекламу. Эксперт заметила, что в российском законодательстве, как и в европейском, действует принцип равенства сторон. Предполагается, что у оператора и субъекта есть базовые знания для реализации своих прав, но это, по ее мнению, не так. Ефимова обратила внимание, что субъект не может даже оценить, в каком количестве отношений он состоит. Большинство текущих правовых оснований нечестны для субъекта персональных данных. Некоторые согласия составляют 80 страниц, объяснила спикер, и непонятно, как дальше жить без тревожности из-за вопроса о том, что же было на этих страницах.

Помимо этого, отметила Ефимова, уже собрался научно-технический совет по гармонизации правовых оснований. Он займется вопросом ухода от культа согласий. Обязательно будет переходный период для выстраивания иерархии правовых оснований, и уже прозвучало предложение внедрить «калькулятор выбора правового основания» на сайте Роскомнадзора.

Подробно о тенденциях судебной практики по делам, связанным с привлечением к административной ответственности за нарушение требования о локализации персональных данных, рассказала Ксения Смирнова, генеральный директор, Privacy Tech. Начиная с 2019 года, приняли более 50 судебных решений по этой категории дел, при этом большинство из них касалось иностранных ИТ-компаний и завершилось наложением административного штрафа. Несмотря на высокие штрафы за нарушение требования о локализации (до 18 млн руб.), мировые суды учитывают разные смягчающие обстоятельства в подобных разбирательствах, особенно, если компания соблюдает российское законодательство. Еще Смирнова сформулировала несколько критериев успешной стратегии в таких делах на досудебной и судебной стадиях. Она посоветовала конструктивно взаимодействовать с регулятором: предоставлять чиновникам пояснения и документы, контролируя входящую корреспонденцию.

Технологический прорыв или угроза

За последние годы не только участились случаи передачи субъектом своих персональных данных, но и появилось более детальное регулирование биометрии. Об этом рассказала Рената Любимова, начальник Службы правового сопровождения проектов развития ГУП «Московский метрополитен». По ее словам, раньше биометрические данные обрабатывались хаотично, и, к примеру, фотографиями клиентов оперировали фитнес-клубы, индивидуальные предприниматели, магазины и прочие. От обычных персданных регулирование не отличалось, хотя, как подметила Любимова, способов, как можно использовать биометрию, куда больше. Потому и появились специальные правила для нее, закрепленные в законе № 572. Теперь использовать биометрию можно только в случаях, установленных правительством, а хранятся «сырые» данные в единой биометрической системе. Любимова рассказала, что для этой системы разработали концепцию региональных сегментов — до конца 2027-го в них могут храниться и обрабатываться биометрические данные. В Москве регсегмент работает с августа 2024 года. Любимова выступила за то, что использование биометрии — это технологический прорыв, а не угроза конфиденциальности. Она заверила слушателей в том, что опасения граждан безосновательны, ведь законодательство содержит строгий запрет на сбор биометрии без согласия, и за соблюдением этого требования тщательно следят.

Выступавшая после Мария Осташенко, партнер и руководитель практики «Защита данных и кибербезопасность» АЛРУД АЛРУД Федеральный рейтинг. группа Антимонопольное право группа Арбитражное судопроизводство (корпоративные споры) группа Банкротство (споры high market) группа Защита персональных данных группа Комплаенс группа Корпоративное право/Слияния и поглощения (high market) группа Международные судебные разбирательства группа Недвижимость, земля, строительство (консультирование) группа Ритейл, FMCG, общественное питание группа Санкционное право группа Трудовое и миграционное право группа Фармацевтика и здравоохранение (фармацевтика) группа Финансовое/Банковское право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа Международный арбитраж группа Природные ресурсы/Энергетика группа Разрешение споров в судах общей юрисдикции группа ТМТ (телекоммуникации, медиа и технологии) группа Уголовное право Профайл компании , о защищенности данных говорила не так уверенно.

Да, мы все хотим больше удобства в жизни, но наши данные все же уязвимы и нуждаются в защите. Развивая технологии, нужно не забывать о принципах конфиденциальности и законности.

Мария Осташенко, партнер и руководитель практики «Защита данных и кибербезопасность» АЛРУД АЛРУД Федеральный рейтинг. группа Антимонопольное право группа Арбитражное судопроизводство (корпоративные споры) группа Банкротство (споры high market) группа Защита персональных данных группа Комплаенс группа Корпоративное право/Слияния и поглощения (high market) группа Международные судебные разбирательства группа Недвижимость, земля, строительство (консультирование) группа Ритейл, FMCG, общественное питание группа Санкционное право группа Трудовое и миграционное право группа Фармацевтика и здравоохранение (фармацевтика) группа Финансовое/Банковское право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа Международный арбитраж группа Природные ресурсы/Энергетика группа Разрешение споров в судах общей юрисдикции группа ТМТ (телекоммуникации, медиа и технологии) группа Уголовное право Профайл компании

Осташенко выделила некоторые модели послабления текущих ограничений, связанных с получением согласия на обработку персданных. Во-первых, это отказ от получения согласия в ряде случаев. Во-вторых, упрощение возможности получения такого согласия. В качестве примера для второй модели она привела концепцию opt-out (то есть конклюдентных) согласий и развитие альтернативных оснований для обработки данных.

Последнее предложение поддержал Роман Власов, юрист Melling, Voitishkin & Partners Melling, Voitishkin & Partners Федеральный рейтинг. группа Антимонопольное право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (реструктуризация и консультирование) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Недвижимость, земля, строительство (консультирование) группа Природные ресурсы/Энергетика группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Трудовое и миграционное право группа Банкротство (споры high market) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Защита персональных данных группа Интеллектуальная собственность (регистрация) группа Комплаенс группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа Налоговое консультирование и споры (консультирование) группа Налоговое консультирование и споры (споры) группа Разрешение споров в судах общей юрисдикции группа Санкционное право группа ТМТ (телекоммуникации, медиа и технологии) группа Фармацевтика и здравоохранение (фармацевтика) группа Финансовое/Банковское право группа Частный капитал группа Уголовное право 1место По выручке на юриста 2место По выручке 2место По количеству юристов Профайл компании Он заметил: обычные пользователи видят, что операторы предпочитают согласия на обработку, даже если можно использовать другие основания. Власов считает, что законный интерес — это недооцененное основание, ведь в отличие от согласия его нельзя отозвать. Есть плюс и для самих субъектов — мало кому нравится подписывать множество бумаг. При этом законный интерес должен соответствовать только трем критериям:

  • идентификация цели и необходимость обработки персданных для ее достижения;
  • квалификация права или интереса в качестве законного;
  • отсутствие нарушения прав и свобод субъекта.

С коллегой согласилась Валерия Эйстрах, юрист Melling, Voitishkin & Partners Melling, Voitishkin & Partners Федеральный рейтинг. группа Антимонопольное право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (реструктуризация и консультирование) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Недвижимость, земля, строительство (консультирование) группа Природные ресурсы/Энергетика группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Трудовое и миграционное право группа Банкротство (споры high market) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Защита персональных данных группа Интеллектуальная собственность (регистрация) группа Комплаенс группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа Налоговое консультирование и споры (консультирование) группа Налоговое консультирование и споры (споры) группа Разрешение споров в судах общей юрисдикции группа Санкционное право группа ТМТ (телекоммуникации, медиа и технологии) группа Фармацевтика и здравоохранение (фармацевтика) группа Финансовое/Банковское право группа Частный капитал группа Уголовное право 1место По выручке на юриста 2место По выручке 2место По количеству юристов Профайл компании

Роскомнадзор все более позитивно относится к альтернативным правовым основаниям. Надеюсь, скоро мы придем к европейскому подходу, когда согласие на обработку будет использоваться лишь в крайнем случае.

Валерия Эйстрах, юрист Melling, Voitishkin & Partners Melling, Voitishkin & Partners Федеральный рейтинг. группа Антимонопольное право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (реструктуризация и консультирование) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Недвижимость, земля, строительство (консультирование) группа Природные ресурсы/Энергетика группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Трудовое и миграционное право группа Банкротство (споры high market) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Защита персональных данных группа Интеллектуальная собственность (регистрация) группа Комплаенс группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа Налоговое консультирование и споры (консультирование) группа Налоговое консультирование и споры (споры) группа Разрешение споров в судах общей юрисдикции группа Санкционное право группа ТМТ (телекоммуникации, медиа и технологии) группа Фармацевтика и здравоохранение (фармацевтика) группа Финансовое/Банковское право группа Частный капитал группа Уголовное право 1место По выручке на юриста 2место По выручке 2место По количеству юристов Профайл компании

Наталия Спицына, cтарший юрист Seven Hills Legal Seven Hills Legal Федеральный рейтинг. группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (регистрация) группа Интеллектуальная собственность (консультирование) группа ТМТ (телекоммуникации, медиа и технологии) группа Фармацевтика и здравоохранение (фармацевтика) группа Цифровая экономика группа Защита персональных данных группа Ритейл, FMCG, общественное питание Профайл компании , дополнила, что есть два видения согласий на обработку. Первый — закрытое согласие, самый классический вариант с проставлением галочек. Он очень удобен бизнесу, но у него есть существенный недостаток: Роскомнадзор рассматривает это как ограничение субъекта в выборе условий. Открытый же перечень сложен и непонятен. Идеальный вариант — комбинированное согласие. В этом случае юрист рекомендует предусмотреть опцию «условия и запреты не установлены», чтобы субъект поставил там галочку.

Как настроить комплаенс и спастись от субсидиарки: что волнует топ-менеджеров

Об идее Осташенко, связанной с конклюдентными согласиями, высказалась Марина Юфа, руководитель практики правовой поддержки защиты данных «Авито». Она поделилась кейсом, в котором сотрудница поучаствовала в фотосессии, организованной работодателем. Фотографии счастливых сотрудников предназначались для публикации на сайте поиска работы, чтобы привлечь соискателей. Правда, на момент публикации сотрудница в компании уже не работала и попросила эти фотографии удалить, а работодатель настаивал, что изначально обозначил цель фотосессии. В итоге суд подтвердил, что это был случай конклюдентного согласия, но оно прекратилось после увольнения. Получается, сказала Юфа, что такое согласие имеет силу, но есть и ограничения.

Еще одна важная проблема, на которой заострила внимание Осташенко, — это защита субъектов персональных данных. Этому могут способствовать некоторые обсуждаемые в юридическом сообществе и на уровне государства инициативы. Например, штрафы за сбор и обработку избыточных персданных, усилие ответственности за утечки и развитие «мягкого права» со стороны Роскомнадзора, в частности появление разъяснений рекомендательного характера и «белые книги».

Как спастись от утечек

Михаил Ратушный, руководитель практики защиты персональных данных Ozon, считает, что универсального решения для защиты персданных не существует. А для того чтобы строить систему, нужно понимать, что ждет нас в 2025-м, заметил спикер. Ратушный уверен, что в следующем году произойдет избыточная обработка персданных и отказ от согласий в пользовательских соглашениях. Помимо этого, вероятно, появится страхование ответственности за утечки. А еще эксперт подчеркнул, что если увеличатся требования к финансовому обеспечению, то возможность обработки данных потеряют субъекты малого предпринимательства.

Ирина Левова, директор по стратегическим проектам Ассоциации больших данных (АБД), поддержала тему, добавив несколько слов о смягчающих обстоятельствах при утечках. Суды учитывают финансовое состояние нарушителя, и если он не обладает большими средствами, то штраф могут снизить. Повлияет введение механизма добровольного аудита и успешное его прохождение, а разработка системы оценки в рамках добровольного аудита может еще больше смягчить ответственность. Еще одна добровольная вещь, которая, вероятнее всего, повлияет на размер наказания — это использование механизмов минимизации ущерба субъектами (например, кодексы и отраслевые соглашения). Получается, было бы актуально внести в текущее регулирование изменения, предполагающее прямое указание на смягчение ответственности, резюмировала выступления спикера Эйстрах.

Бизнес раскритиковал поправки об оборотных штрафах за утечки

О вызовах, с которыми сталкивается рынок, рассказала Елизавета Дмитриева, руководитель функции DPO «Самоката». Дмитриева отлично знает, насколько трудно наладить процессы внутри самой компании, ведь имеет большой опыт в этой сфере. Представьте, говорит она, вы пришли в компанию и пытаетесь сделать в ней комплаенс, начинаете с нуля как консультант или как DPO. Фокус вашего внимания направлен на что-то, что доступно внешнему наблюдателю, на документы, которые затребует регулятор при проверке. Когда фронтенд (интерфейс, который видит пользователь) в порядке, то кажется, что все отлично, но это не совсем так. Если до вас никто серьезно приватностью не занимался, то тут скрывается что-то нехорошее. Например, пользователи дают свою почту для рассылок, а ее используют в совсем других целях. Чем больше компания, тем больше проблема, но обнаружить ее трудно, если не знать, куда смотреть.

Об утечках данных говорил и Артем Дмитриев, управляющий партнер Comply Comply Федеральный рейтинг. группа Защита персональных данных группа Цифровая экономика группа ТМТ (телекоммуникации, медиа и технологии) группа Интеллектуальная собственность (консультирование) Количество утечек год от года растет, сказал юрист, но увеличивается и число внеплановых проверок. Более того, объем проверок вырос больше, чем число случаев утечки данных. Он поделился, что команда Comply проанализировала практику и пришла к любопытным выводам. Например, в основном компании штрафуют, но есть несколько счастливчиков, которые избежали наказания. Всего получилось выделить две группы доказательств, которые помогают освободиться от штрафа:

  • правильное реагирование на инцидент (в частности, компания постаралась минимизировать ущерб от утечки);
  • наличие рутинных privacy-процедур, то есть не просто иногда проводятся внутренние аудиты, а есть положение об аудитах, составлены чек-листы по их итогам.

Роскомнадзор может запрашивать нетривиальные документы, например инструкции к ИСПД, включая доступы, резервирование данных в вашей компании и так далее. Конечно, если у вас нет таких документов, вы вряд ли быстро найдете такие сведения.

Артем Дмитриев, управляющий партнер Comply Comply Федеральный рейтинг. группа Защита персональных данных группа Цифровая экономика группа ТМТ (телекоммуникации, медиа и технологии) группа Интеллектуальная собственность (консультирование)

Сейчас действует мораторий, а потому многие операторы расслабились, включился в обсуждение Артем Евсеев, руководитель практики IP, IT и защиты информации SAVINA LEGAL SAVINA LEGAL Федеральный рейтинг. группа Транспортное право группа Банкротство (споры mid market) Но мораторий — это не панацея и непонятно, продлят ли его, заметил Евсеев. Из-за моратория нет и единой правоприменительной практики, и неясно, как будут считать штрафы по нарушениям, состоящим из нескольких эпизодов.

Если вы уже подали уведомление об утечке данных, то новое уведомление по расширенным данным подавать не следует. В противном случае придется уплатить второй штраф за ту же утечку.

Максим Лагутин, основатель, исполнительный директор Б-152

Подвела итоги обсуждения Екатерина Липова, начальник отдела контроля процессов с ПДн «Альфа Банка». Она уверена, что даже если произошла фолс-утечка, то нужно сделать выводы и постараться понять, какие сотрудники ненадежны, есть ли в компании комитет, который в случае чего займется проблемой. Липова порекомендовала всем участникам мероприятия начать смотреть на штрафы позитивно и в дальнейшем использовать произошедшую многочасовую дискуссию для правильного построения процессов.