Городисский и Партнеры
Задать вопрос
pat@gorodissky.ru Ru En Jp Cn Kz
www.gorodissky.ru
+7 495 937 6116
pat@gorodissky.com
Задать вопрос Заказать звонок
Меню
x
 
 
  • О нас 
    • Структура
    • Проекты
    • Рейтинги
    • Gorodissky IP School
    • Карьера
    • Контакты
    • Презентация о фирме Презентация о фирме
    • Дом Майкова Дом Майкова
    • О М.Л. ГОРОДИССКОМ О М.Л. ГОРОДИССКОМ
  • Команда
  • Услуги 

    Практика
    патентных поверенных

    • Изобретения и полезные модели
    • Промышленные образцы
    • Селекционные достижения
    • Патентование за рубежом
    • Патентные исследования
    • Проверка на патентную чистоту
    • Заключения о нарушении патентов
    • Товарные знаки
    • Регистрация товарных знаков за рубежом
    • Мониторинг товарных знаков
    • Заключения о нарушении товарных знаков
    • Географические указания и НМПТ
    • Поддержание в силе охранных документов
    • Программы для ЭВМ, базы данных и топологии интегральных микросхем

    Юридическая
    практика

    • Стратегический консалтинг
    • Судебные споры
    • Защита прав и борьба с контрафактной продукцией
    • Авторские и смежные права
    • Недобросовестная конкуренция и недостоверная реклама
    • Реклама и медиа
    • Правовая экспертиза и аудит
    • Налогообложение и бухгалтерский учет
    • Сделки по распоряжению ИС
    • Доменные имена и веб-сайты
    • Защита бренда on-line и off-line
    • Интернет и электронная торговля
    • Коммерческая тайна и ноу-хау
    • Информационные технологии, защита информации и персональных данных
    • Телекоммуникации и связь
  • Медиа-центр 
    • Статьи и публикации
    • Информационные бюллетени
    • Новости законодательства
    • «Городисский» в СМИ
    • Новости
    • Анонсы
    • Видео
    • Подписка на рассылку
    • Информационный бюллетень № 1 (159) 2025 Информационный бюллетень № 1 (159) 2025
  • Офисы фирмы 
    • Москва тел: +7 (495) 937-61-16
    • Казань тел: +7 (843) 236-32-32
      тел: +7 (843) 236-43-43
      тел: +7 (843) 247-22-44
    • Владивосток тел: +7 (423) 246-91-00
    • Н.Новгород тел: +7 (831) 430-73-39
    • Пермь тел: +7 (342) 258 34 38; +7 (342) 208 74 74
    • Саров тел: +7 (831) 344 5275
    • Уфа тел: +7 (347) 286 5861
    • Дубай тел: +971 43 55 4882
    • Санкт-Петербург тел: +7 (812) 327-50-56
      тел: +7 (812) 233-07-09
    • Екатеринбург тел: +7 (343) 351-13-83
    • Самара тел: +7 (846) 270-26-12
      тел: +7 (846) 270-26-14
      тел: +7 (846) 270-26-13
    • Краснодар тел: +7 (861) 210-08-66
    • Дубна тел: +7 (496) 219-92-99
      тел: +7 (496) 219-92-29
    • Новосибирск тел: +7 (383) 209 3045
    • Киев тел:
    • Астана тел: +7 (7172) 270901
    • Бишкек тел: + 996 312 975715
 
 
+7 495 937 6116
pat@gorodissky.com
Заказать звонок Задать вопрос
Ru En Jp Cn Kz
  • Статьи и публикации
  • Информационные бюллетени
  • Новости законодательства
  • «Городисский» в СМИ
  • Новости
  • Анонсы
  • Видео
  • Подписка на рассылку
Версия для печати
Главная/Медиа-центр/Статьи и публикации/Offline и online: как бизнесу работать с персональными данными

Offline и online: как бизнесу работать с персональными данными

30 июля 2021

Право.ru

Медведев Сергей Валерьевич

Старший партнер, Патентный поверенный РФ, к.ю.н., LL.M.
Начальник юридического отдела

Задать вопрос автору

С обработкой персональных данных сталкиваются все компании и предприниматели. И те, кто работает offline, и те, кто ведет бизнес в интернете. Один из самых популярных вопросов – как не попасть на большие штрафы из-за нарушения законодательства о защите персональных данных? Требование о «локализации» баз с персональными данными российских граждан появилось несколько лет назад, но реализовать его все так же непросто. Кому-то добавил сложностей новый закон о «приземлении» ИТ-компаний. А если российская организация выходит на европейский рынок, нужно соблюдать еще и GDPR. Обо всем об этом, а также о проверках Роскомнадзора и комплаенс-проектах в сфере персональных данных мы поговорили с Сергеем Медведевым — партнером юридической фирмы «Городисский и Партнеры», лучшим российским юристом в области защиты информации и персональных данных по версии Best Lawyers 2021.

— Какие услуги операторы персональных данных могут получить в вашей компании?

— Законодательство о персональных данных в последнее время меняется в России чуть ли не ежемесячно. В этой связи на рынке возрастает потребность в юристах, специализирующихся на вопросах в сфере защиты персональных данных. Для нашей фирмы практика защиты информации и персональных данных — одно из самых главных направлений в области ТМТ [телекоммуникации, медиа и технологии — прим. ред.]. Наши услуги в сфере персональных данных можно разделить на четыре большие группы. Юридический консалтинг (подготовка заключений, меморандумов, различных ответов на вопросы клиентов, а также консультирование по вопросам защиты персональных данных в рамках коммерческих и корпоративных сделок и гражданско-правовых договоров), сопровождение проверок регулятора (Роскомнадзора),комплаенс-проекты и подготовка документации по персональным данным, а также судебные споры. Важно заметить, что мы полностью делаем юридическую и организационную часть, а техническую часть самостоятельно не выполняем.

— Если рассматривать юридический консалтинг, с какими вопросами чаще всего к вам приходят клиенты?

— Один из самых популярных запросов в последнее время — работа с персональными данными в Интернете. Эта потребность есть как у российских, так и у зарубежных компаний. Например, когда открывается интернет-магазин в Рунете, нужны разные документы, подтверждающие бизнес-процессы и выполнение оператором требований законодательства. В частности, политика обработки персональных данных, согласия физического лица (субъекта) на обработку персональных данных, а также политика в отношении cookie-файлов. Да, кстати, по мнению Роскомнадзора «отслеживание» поведения субъекта в Инете по cookie — это тоже работа с персональными данными. Также мы делаем пользовательские соглашения, публичные оферты, лицензионные соглашения и иные документы в зависимости от запроса и ситуации клиента.

Довольно часто у нас бывают вопросы, связанные с поручениями на обработку персональных данных в сделках. Например, при франчайзинге, лицензировании, трансфере технологий. Если сделка трансграничная, ситуация, конечно же, усложняется — подключается еще и зарубежное правовое регулирование. Мы помогаем уследить за тем, чтобы соблюдались все применимые нормы и законы, не только российские. Работаем по иностранному праву через субподрядчиков (иностранных консультантов).

— Российское законодательство в этой сфере не самое суровое?

— Нет, регулирование в США и Европе гораздо жестче по отношению к операторам персональных данных. Возьмем, к примеру, GDPR – Общий регламент защиты персональных данных Евросоюза. Российская компания обязана соблюдать его, если продает товары или оказывает услуги на европейском рынке. GDPR серьезнее ограничивает операторов как минимум по трем причинам.

Во-первых, в нем гораздо больше требований, чем в нашем законе. Грубо говоря, чтобы не нарушить европейские правила, бизнес должен постоянно думать о персональных данных своих клиентов, формировать реестры, вносить изменения в документы и так далее. Поэтому многие компании привлекают внешних консультантов, нанимают сторонних DPO (ответственных за обработку персональных данных), чтобы не делать всё своими руками.

Во-вторых, GDPR предусматривает огромные штрафы. Они могут достигать 20 млн евро или 4% годового глобального дохода компании. В России таких штрафов не бывает.

В-третьих, за соблюдением GDPR нужно внимательно следить. Обо всех утечках данных надо своевременно сообщать регулятору и принимать необходимые меры. В России пока нет ответственности за утечку данных.

— А что такое комплаенс-проект? Это вообще популярная услуга в России?

— Комплаенс-проект – это прежде всего исследование бизнес-процессов в компании на предмет «вовлечения» в них персональных данных, выполнение юридических, организационных и технических мер защиты, включая подготовку необходимой документации для обеспечения соответствия требованиям законодательства, подачу уведомления в Роскомнадзор, а также проведение тренинга по работе с персональными данными. Это комплексная и достаточно популярная услуга, которую клиенты запрашивают сейчас.

По своему опыту, я бы поставил ее на второе место по востребованности, сразу после общего юридического консалтинга. При выполнении комплаенс-проектов мы исследуем и оцениваем все бизнес-процессы компании, выясняем, по каким «каналам» она получает и передает персональные данные в группе компаний, например, и в пользу контрагентов. Основные типы персональных данных — это данные работников и данные клиентов (контрагентов). Бывают также разные цели, способы, сроки и правовые основания для обработки данных. Для всех категорий субъектов персональных данных мы «рисуем» матрицу, на основе которой формируем необходимый комплект документов.

Как правило, у компании уже есть 5-10 документов, и она думает, что этого достаточно, чтобы соответствовать закону. Приходится разочаровывать клиента и объяснять, что этого не достаточно. Часто, например, в компаниях нет положения о видеонаблюдении, положения об архиве, положения о пропускном режиме. Мы помогаем подготовить полноценный комплект документов, отвечающий всем требованиям законодательства, а также подаем уведомление в Реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Некоторые компании полагают, что они могут не подавать такое уведомление. Но по практике под исключения из этого правила почти никто не подпадает.

Добавлю, что в комплаенс-проектах есть не только правовая, но и техническая составляющая, которую я упомянул. Мы работаем с несколькими проверенными и опытными субподрядчиками – специализированными ИТ-компаниями, у которых есть нужные лицензии для такой работы. Эти организации помогают нашим клиентам реализовать технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах. Например, проводят аудит информационных систем персональных данных, помогают выбрать уровень защищенности персональных данных в ИТ-системах, готовят модель угроз, консультируют по различным вопросам информационной безопасности.

— А проверки Роскомнадзора – большой стресс для компании? К консультантам приходят с такими вопросами или предпочитают сами справляться?

— Конечно, приходят, и очень часто. Повышенное внимание регулятора никому не нравится, все хотят подготовиться получше, чтобы не нарваться на штрафы. Роскомнадзор может проводить не только плановые, но и внеплановые проверки операторов персональных данных. График плановых проверок публикуется на год вперед. А вот к внеплановой выездной проверке подготовиться почти невозможно, о ней должны предупредить не менее чем за 24 часа до начала ее проведения. Кстати, с 1 июля 2021 г. действует новое Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных, поэтому операторам надо подготовиться к прохождению проверок по новым правилам.

Не так давно мы помогали «пережить» проверку Роскомнадзора российской дочерней компании Alibaba Group. Ее российский сегмент, aliexpress.ru, обрабатывает персональные данные десятков миллионов российских пользователей. Мы провели первоначальный аудит бизнес-процессов, оценили риски, подготовили документы, предоставили ряд консультаций, сопровождали клиента во время визитов представителей Роскомнадзора. В итоге проверка прошла в целом успешно, никаких штрафов не было. Хотя обойтись без нарушений достаточно сложно на практике — требований много, объем работы очень большой, а времени, как правило, недостаточно, чтобы на максимум отработать соответствующий проект.

— Споры о персональных данных – это обычно конфликты с их субъектами, то есть с физлицами. Может ли бизнес использовать законодательство о персональных данных, чтобы «уколоть» конкурента?

— Да, такое тоже встречается, когда, например, человек подает жалобу в Роскомнадзор или обращается в суд за защитой своих прав, но фактически в интересах конкурента. Дело в том, что самый серьезный риск в таких спорах — блокировка интернет-ресурса. Для всех компаний, которые ведут бизнес в интернете это критично, потому что влечет огромные убытки в связи с блокировкой их деятельности в онлайн-режиме. Поэтому к спорам в этой области нужно относиться очень серьезно.

Не так давно у нас в практике было подобное дело. Физлицо, скорее всего, связанное с конкурентом, подало иск к нашему клиенту – крупному российскому маркетплейсу. Якобы тот незаконным образом собирал и использовал персональные данные, а также передавал их сторонним сервисам без согласия истца. Нам удалось выиграть это дело и «засилить» решение суда первой инстанции в апелляции. Можно отметить, что это дело стало одним из прецедентных для формирования судебной практики по защите персональных данных при использовании средств веб-аналитики.

— Комплаенс-проекты, проверки Роскомнадзора, судебные споры – это объемные и комплексные проекты. А с более мелкими вопросами работаете?

— Конечно, точечно мы тоже помогаем. Недавно к нам обратился крупный французский бренд одежды и аксессуаров. Ему нужна была форма согласия на обработку персональных данных клиентов, чтобы доставлять им товары и рассылать рекламу. Мы разработали эту форму.

— Какие требования в области персональных данных бизнесу особенно трудно соблюдать?

— Если нужно назвать что-то одно, то я остановился бы на «локализации» персональных данных. С 2015 года все операторы обязаны осуществлять первичный сбор и хранить персональные данные российских граждан с использованием баз данных, находящихся на территории РФ. За нарушение в том числе этого требования заблокировали соц-сеть LinkedIn. В последнее время обострился конфликт Роскомнадзора с Facebook и Twitter. В прошлом году этим соц-сетям назначили крупные штрафы.

Недавно на сайте Роскомнадзора появилась информация, что сервисы Facebook, WhatsApp и Twitter своевременно не предоставили документы, подтверждающие выполнение требования о локализации. Таким образом, для Facebook и Twitter это будет повторное нарушение требования о локализации (ч. 9 ст. 13.11 КоАП), что может повлечь за собой штрафы до 18 млн руб.

Кстати, для того, чтобы добиться соблюдения требований российского законодательства иностранными компаниями регулятор стал применять и технические меры. Помните, как недавно замедляли работу Twitter? На мой взгляд, это было связано с отказом соцсети удалить запрещенную в РФ информацию. Думаю, нельзя исключать, что такие меры воздействия со временем могут распространиться и на иные сферы и сервисы, работающие в России.

Недавно Роскомнадзор начал отправлять «веерные» рассылки международным компаниям. Просит сообщить, каким образом локализованы данные граждан РФ. Мы следим за практикой регулятора по этому вопросу тоже и предлагаем нашим клиентам некоторые правовые пути решения этого вопроса.

Да, Роскомнадзор периодически проводит семинары и вебинары по локализации. Но у компаний все равно возникают вопросы. Например, многие интересуются, можно ли использовать привычное им «облачное» решение, которое работает в РФ? К сожалению, чаще всего ответ отрицательный, необходимо использовать локальный «физический» сервер. Как правило, эта проблема возникает у иностранных компаний, у которых нет российских подразделений и местных серверов. Получается, что сервер нужно арендовать, а это дополнительные расходы и увеличение риска утечки данных, за что нет ответственности, как я уже отметил.

— Утечки персональных данных бывают и у зарубежных, и у российских компаний. Юридически с этим как-то можно бороться?

— Сейчас у нас нет эффективного механизма привлечения к ответственности за утечки данных, отсутствуют оборотные штрафы за такие действия по примеру GDPR. Парадоксально, но привлечь операторов за неправильно оформленное согласие на обработку персональных данных значительно проще, чем за допущенную утечку данных. Кстати, сложно привлечь к ответственности тех, кто использует нелегально полученные персональные данные или даже продает их третьим лицам. Такого состава правонарушения нет в ст. 13.11 КоАП, где прописаны основные штрафы за нарушения в области персональных данными.

— Теперь вместо термина «общедоступные персональные данные» в законе фигурирует понятие «персональные данные, разрешенные субъектом персональных данных для распространения». Как эти поправки влияют на работу операторов персональных данных?

— Эти изменения вступили в силу с 1 марта 2021 года. Теперь нужно получать согласие на распространение персональных данных по новой форме, требования к содержанию которой были недавно утверждены Роскомнадзором. В таком согласии нужно устанавливать определенные запреты и условия использования и передачи данных. В каждой компании есть свои бизнес-процессы, поэтому существующую форму согласия необходимо адаптировать под каждую ситуацию и каждого клиента. Например, для соц-сети нужно одно согласие, для интернет-магазина — совсем другое.

— Мы говорили о «локализации» персональных данных. Бок о бок с ней идет новый закон о «приземлении» ИТ-компаний. В чем смысл такой атаки на иностранный бизнес?

— Действительно, согласно этому закону теперь владельцам иностранных информационных ресурсов придется выбрать между созданием филиала, открытием представительства или учреждением российского юридического лица в России. Это правило применимо не ко всем, а только к тем, у кого суточная аудитория больше 500 000 российских пользователей.

Для чего нужны такие новые правила? Во-первых, это «рычаг» с политической точки зрения. А во-вторых, этот закон можно использовать для того, чтобы штрафы за нарушения в области локализации данных попадали в российский бюджет. Например, у Facebook и Twitter нет ни локализованных баз данных, ни корпоративного присутствия в России. Вот Роскомнадзор штрафует их, но как получить штраф, если они не выплатят его добровольно? Гораздо проще будет принудительно исполнить такое решение или повлиять на его исполнение, если у иностранной компании будет российская «дочка» и имущество на нашей территории. Кстати, иностранные компании должны учредить офис в России к 1 января 2022 года, времени остается совсем мало.

Медведев Сергей Валерьевич
Все статьи автора Об авторе

Поделиться:
Вернуться назад
РАСПЕЧАТАТЬ

Используя этот сайт, Вы выражаете согласие на сбор и обработку Ваших персональных данных, в том числе с привлечением сторонних сервисов и с применением cookie-файлов и средств веб-аналитики, на условиях, изложенных в Политике в отношении обработки персональных данных в интернете. Вы также принимаете условия нашего Пользовательского соглашения.

Понятно
Рейтинг юридического рынка ОАЭ, Право.ру
ПРАВО-300
Рейтинг лучших российских юристов
ПРАВО300 - Рекомендованные юристы
Рейтинг юридических фирм ИД «КоммерсантЪ»
Media Law International
WIPR Leaders
Участие в рейтинге Lexology Legal Influencers
IAM 1000
WTR-1000
Chambers & Partners Europe
IAM Global Leaders
Who’s Who Legal
The Patent Lawyer Magazine рекомендует
Лучшие юристы в области ИС
The Legal 500\EMEA рекомендует
The Trademark Lawyer Magazine рекомендует
Managing Intellectual Property
MIP IP Stars
Leaders League
PCT Filer Top-5
Expert Guides
The Top 250 Women in IP 2019
WIPR's Influential Women in IP 2019
Leaders League Лучшая Европейская Фирма в Области Интеллектуальной Собственности 2018

© ООО «Юридическая фирма Городисский и Партнеры», 2015-2025

Россия 129090, Москва, ул. Большая Спасская, 25, стр. 3
Телефон: +7 495 937 6116; E-mail: pat@gorodissky.com
+7 495 937 6116 +7 495 937 6116  
Интернет-агентство «Артус» Создание сайтов —
интернет-агентство «Артус»
  • Пользовательское соглашение
  • Карта сайта
  • Обратная связь
  • Поиск
  • Политика в отношении обработки персональных данных
 

Ваше сообщение отправлено

Спасибо за обращение.
Мы обязательно свяжемся с Вами
в ближайшее время.
 
 

Заказать звонок

code img
Отправить
 
 

Заявка принята

Спасибо за обращение.
Мы обязательно свяжемся с Вами
в ближайшее время.
 
 

Задать вопрос

code img
отправить сообщение
 
 

Заявка принята

Спасибо за обращение.
Мы обязательно свяжемся с Вами
в ближайшее время
 
 

Форма обратной связи

* поля, обязательные для заполнения
отправить сообщение
 
 

Форма обратной связи

отправить сообщение
 
 

CALCULATE national patents/trademarks



Country Object Status Claims Grace period Year/number of classes Budget Quantity Info Delete
-
-

Official fee: 0 USD

Service fee: 0 USD

Total: 0 USD

-
-

Official fee: 0 USD

Service fee: 0 USD

Total: 0 USD

Add
SUBTOTAL: Official fee: 0 USD Service fee: 0 USD Total: 0 USD
 
 

Заявка принята

Спасибо за обращение.
Мы обязательно свяжемся с Вами
в ближайшее время
 
 

Info

 
 

Thank you

Your message was successfully sent
 
 

Thank you

Dear Sender,
Your message has been submitted.
Thank you for using Gorodissky & Partners online maintenance system.

Please ensure that our confirmation of receipt has reached your e-mail indicated in the feedback form. In the absence of the same you are strongly requested to contact us by ipms@gorodissky.ru

Sincerely yours,
IP Renewals & Recordals Department

 
 

About eurasian patent

text
 
 

Dear Sender,


Your message has been submitted. Thank you for using Gorodissky & Partners online maintenance system.
Please ensure that our confirmation of receipt has reached your e-mail indicated in the feedback form. In the absence of the same you are strongly requested to contact us by ipms@gorodissky.ru

Sincerely yours,
IP Renewals & Recordals Department
 
 

Ваша вакансия принята

Спасибо за обращение.
Мы обязательно свяжемся с Вами
в ближайшее время
 
 

Ваше сообщение отправлено

Спасибо за обращение.
Мы обязательно свяжемся с Вами
в ближайшее время