The presentation includes some clarifications of the Federal Law No 242-FZ, dated 21 July 2014 and case studies from IP/IT practice which demonstrate experience of Dentons in resolving complex personal data and privacy issues in dynamic Russian environment. The presentation was first delivered at the Conference “Personal Data – New Realities” which was held at Hotel Four Seasons in St. Petersburg on 21 May 2015 and organized by IBM.
Презентация посвящена общему обзору юридических аспектов разработки компьютерных игр. В основном, описывает вопросы интеллектуальной собственности. Не затрагивает прямо налоговые и корпоративные аспекты.
Law and game design are closer to each other than you may imagine – both fields involve modeling of social reality using formal tools, and there is almost no difference between the rules of a game and legal standards. It follows that the law is not only a limiting factor (disabler), as in the case of content limitations, or a factor, opening new “external” solutions, such as the use of virtual currency for real money (enabler), but may well serve as a source of inspiration for pure design ideas (carry). The presentation is based on examples from computer games that most closely intersect with the law.
Презентация посвящена общему обзору юридических аспектов разработки компьютерных игр. В основном, описывает вопросы интеллектуальной собственности. Не затрагивает прямо налоговые и корпоративные аспекты.
Law and game design are closer to each other than you may imagine – both fields involve modeling of social reality using formal tools, and there is almost no difference between the rules of a game and legal standards. It follows that the law is not only a limiting factor (disabler), as in the case of content limitations, or a factor, opening new “external” solutions, such as the use of virtual currency for real money (enabler), but may well serve as a source of inspiration for pure design ideas (carry). The presentation is based on examples from computer games that most closely intersect with the law.
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
Экспертное предложение по более эффективному использованию технологий в работе
судов общей юрисдикции и совершенствованию судебной практики по спорам,
связанным с IT.
Экспертное предложение по более эффективному использованию технологий в работе судов общей юрисдикции и совершенствованию судебной практики по спорам, связанным с IT.
Проект разработан в рамках концепции “Суд будущего” при участии Фонда Кудрина по поддержке гражданских инициатив.
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли, выступил с докладом на тему «Закон о персональных данных. Практика применения». В своем выступлении Михаил Яценко рассказал об опыте организации работы с персональными данными и типичных проблемах, возникающих при этом.
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
[Arkhipov] How Lawyers Add Value to Game Design (GDC Europe 2014 Submission)Vladislav Arkhipov
This presentation, submitted to GDC Europe 2014, conveys the idea that lawyers can add to game design by doing three things. First, by 'lawyering' itself (consulting, litigaition, patent checks). Second, by identifying new opportunities for game design at intersection of real and virtual world. Third, by helping to see an essential similarity between rules of a game and legal rules, by drawing more inspiration by analogy.
What kinds of electronic currency are present now? What are the main principles of Bitcoin? What is the most recent answer of the Russian regulatory bodies to cryptocurrencies?
TUL Lecture in Russian Contract Law, E-commerce and IP Law.Vladislav Arkhipov
Presentations for part of the lectures in Russian business law (contracts, e-commerce and IP law) at Tallinn University Law School 25.11-28.11.2003. To be added during the week.
Short presentation delivered at theoretic seminar at law faculty of St. Petersburg State University on 22 March 2013 after the speech of Victor Naumov (Salans). The presentation contatins general considerations of legal aspects of social networks and features several links to statistics and practice. Russian only.
Russian Personal Data Legislation: Localization Requirement
1. Практические аспекты требования о
«локализации персональных данных»
21 мая 2015
Конференция компании IBM «Персональные данные – новые реалии»
Санкт-Петербург
Владислав Архипов
советник, кандидат юридических наук, член
консультативного совета Роскомнадзора *
* Владислав Архипов – доцент юридического
факультета Санкт-Петербургского
государственного университета
2. Требование о «локализации персональных данных»
2
Федеральный закон от 21.07.2014 N 242-ФЗ с 1 сентября 2015 года --
статья 18 Закона о персональных данных будет дополнена частью 5
следующего содержания:
«5. При сборе персональных данных, в том числе посредством
информационно-телекоммуникационной сети "Интернет", оператор
обязан обеспечить запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение персональных данных
граждан Российской Федерации с использованием баз данных,
находящихся на территории Российской Федерации, за исключением
случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего
Федерального закона».
21 мая 2015
3. Что ясно на сегодняшний день?
3
Основание выводов -- системная интерпретация действующего
законодательства:
Юрисдикция. Требование о «локализации персональных данных»
будет применяться к российским компаниям (в том числе, дочерним), а
также к филиалам / представительствам иностранных компаний.
Любой формат сбора. Требование о «локализации персональных
данных» распространяется на сбор персональных данных российских
граждан как с использованием Интернета, так и без.
Трансграничная передача возможна. Трансграничная передача
персональных данных, при соблюдении условий, установленных
статьей 12 Закона о персональных данных, не запрещается.
Именно персональные данные. Требование о «локализации
персональных данных» распространяется только на «персональные
данные» как таковые, и не все данные пользователей могут оказаться
персональными.
21 мая 2015
4. Практические ситуации: опыт Dentons (отдельные
примеры)
4
Запросы клиентов Dentons -- характер бизнеса, направленность анализа (отдельные
примеры):
Российская дочерняя компания американской IT-корпорации. Разработка политики
персональных данных.
Филиал иностранной игровой компании в России. Разработка стратегии работы с
персональными данными и отдельных документов для отдельного локального
проекта.
Иностранная игровая компания без филиалов / представительств в России. Оценка
рисков и формирование стратегий снижения рисков в условиях относительной
анонимности пользователей.
Российская дочерняя компания международной медицинской компании. Разработка
бизнес-процессов работы с персональными данными в ходе FCPA-расследования,
предполагающего передачу данных в США.
Иностранная компания – поставщик TV-решений, не имеющая филиалов /
представительств в России. Оценка рисков и формирование стратегий снижения
рисков.
Российская дочерняя компания – поставщик решений в области интернет-рекламы.
Оценка рисков и формирование стратегий снижения рисков.
21 мая 2015
5. Общий алгоритм работы по проектам
5
Общий алгоритм работы по проектам, связанным с персональными
данными и требованием о «локализации»:
21 мая 2015
№ Предмет Основной вопрос Вариант решения
1.
Правовая природа
данных
Являются ли данные
персональными?
Изменение состава
данных (по возможности)
2.
Виды операций с
данными
Какие операции
производятся с данными?
Изменение операций
(пример – использование)
3.
Маршрут «потоков
данных»
Через какие юрисдикции
проходят данные?
Изменение маршрута
данных
4.
Локальные акты
(«политики»)
Отражены ли прямые и
косвенные требования?
Изменения положений /
принятие новых актов
5.
Документы [с]
пользователями
Есть ли полнота по форме
и по содержанию?
Изменение содержания и
формы (в т.ч. способа)
6.
Документы [с]
контрагентами
Имеются ли гарантии в
части данных?
Дополнение документов
гарантиями
6. Критерий 1. Ограничительное толкование понятия
«персональные данные»
6
Согласно п. 9 ст. 3 Закона о персональных данных, обезличивание персональных
данных - действия, в результате которых становится невозможным без использования
дополнительной информации определить принадлежность персональных данных
конкретному субъекту персональных данных.
Если невозможно определить принадлежность персональных данных конкретному
субъекту персональных данных (при буквальном толковании, используемом «по
умолчанию» - как прямую, так и косвенную принадлежность), то такие данные уже не
могут быть персональными.
Пример:
Набор данных А: Фамилия, имя и отчество + номер паспорта + «вымышленный» адрес
электронной почты - это персональные данные.
Набор данных Б: Фамилия, имя и отчество + номер паспорта + «вымышленный» адрес
электронной почты - это уже НЕ персональные данные.
Вывод:
Персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных
данных), позволяющая без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных.
21 мая 2015
7. Критерий 2. Возможность нарушения прав с
использованием данных
7
Согласно ст. 2 Закона о персональных данных, цель данного закона - обеспечение
защиты прав и свобод человека и гражданина при обработке его персональных данных,
в том числе защиты прав на неприкосновенность частной жизни, личную и семейную
тайну.
Если возможно недобросовестное использование данных, относящихся к конкретному
субъекту, но не позволяющих его однозначно идентифицировать, при котором могут
быть нарушены права такого субъекта, то такие данные находятся в «зоне риска»
признания персональными.
Пример:
«Чувствительные» данные: номер мобильного телефона; данные банковской карты,
не включая имя, фамилию и billing address (т.е. вид платежной системы, срок действия
карты, номер карты и CVC).
Вывод:
Если данные позволяют идентифицировать субъекта без дополнительной информации
– это персональные данные, в любом случае. Если данные не позволяют однозначно
идентифицировать субъекта, но могут «легко» привести к нарушению его прав, то такие
данные – в «зоне риска» признания персональными.
21 мая 2015
8. Персональные данные в судебной практике (2014)
21 мая 2015 8
• Паспортные данные (напр. Апелляционное определение Московского
городского суда от 22.05.2014 г. по делу № 33-14709).
• Данные технического паспорта на дом (напр. Определение Приморского
краевого суда от 28.04.2014 г. по делу № 33-3718).
• Адреса места жительства индивидуальных предпринимателей, указанные
в общедоступном плане проверок (напр. Апелляционное определение
Волгоградского областного суда от 24.04.2014 г. по делу № 33-4427/2014).
• Сведения о пересечении государственной границы (напр. Апелляционное
определение Московского городского суда от 10.04.2014 г. по делу № 33-
11688).
• Адрес регистрации должностного лица, сведения о его доходах и
собственности, распространяемые в непредусмотренных для
официальной процедуры форме (напр. Определение Санкт-
Петербургского городского суда от 31.03.2014 г. № 33-4198/14).
• Данные работника, указанные в трудовом договоре (напр. Апелляционное
определение Верховного суда Республики Саха (Якутия) от 23.10.2013 г. по
делу № 33-4172/13).
9. Общая направленность юридических решений
21 мая 2015 9
В зависимости от особенностей бизнеса и «стартовых условий»:
• Изменение набора данных. Сокращение объема данных с учетом
критериев отнесения данных к категории «персональных данных».
Применимо не во всех областях.
• Делегирование функций, связанных с персональными данными.
Функции могут быть делегированы внутри группы или сторонним
провайдерам.
• Локализация «первичной базы данных» в России. Зарубежные базы
данных могут «обновляться» после российской при соблюдении
правил трансграничной передачи.
10. Изменения законодательства: ограничение
доступа к сетевым ресурсам
10
Тем же законом в Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите информации» вводится новая ст. 15.5
«Порядок ограничения доступа к информации, обрабатываемой с нарушением
законодательства Российской Федерации в области персональных данных»
• Реестр. В целях ограничения доступа к информации в сети "Интернет",
обрабатываемой с нарушением законодательства Российской Федерации в области
персональных данных, создается автоматизированная информационная система
"Реестр нарушителей прав субъектов персональных данных
• Судебный акт. Основанием для включения в данный реестр нарушителей
информации является вступивший в законную силу судебный акт.
• Заявление субъекта. Субъект персональных данных вправе обратиться в
федеральный орган исполнительной власти, осуществляющий функции по контролю
и надзору в сфере средств массовой информации, массовых коммуникаций,
информационных технологий и связи, с заявлением о принятии мер по ограничению
доступа к информации, обрабатываемой с нарушением законодательства
Российской Федерации в области персональных данных, на основании вступившего
в законную силу судебного акта. Форма указанного заявления утверждается
федеральным органом исполнительной власти, осуществляющим функции по
контролю и надзору в сфере средств массовой информации, массовых
коммуникаций, информационных технологий и связи.
21 мая 2015
11. Проект нормативного акта: контроль и надзор за
соблюдением требований
11
На публичное обсуждение вынесен проект Постановления Правительства Российской
Федерации «Об утверждении Положения о государственном контроле и надзоре за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации».
• Государственный контроль и надзор – на территории Российской Федерации и
«находящихся под юрисдикцией Российской Федерации территориях» (п. 1).
• Плановые и внеплановые проверки (п. 3).
• Документарные и выездные проверки (п. 4).
• Внеплановые проверки – на основании решения [заместителя] руководителя
[территориального органа] Роскомнадзора по результатам широкого круга оснований
/ источников (п. 7).
• Доступ к IT-инфраструктуре, связанной с персональными данными, при проверке (п.
9).
• Предупреждение о плановой проверке и внеплановой документарной проверке – не
позднее чем в течение 3 дней до проведения (п. 19).
• Предупреждение о внеплановой выездной проверке – не менее чем за 24 часа до
проведения (п. 20).
21 мая 2015
13. Спасибо!
Владислав Архипов
советник
практика по ИС, ИТ и телекоммуникациям
T: +7 812 325 84 44
F: +7 812 325 84 54
E: vladislav.arkhipov@dentons.com
Dentons
БЦ «Северная Столица»
Наб. реки Мойки, д. 36
191186, Санкт-Петербург
Российская Федерация
www.dentons.com
www.arkhipov.info
14. Key
Offices, associate officesx
and facilities*
Associate firms and special alliances*
Kansas City
Edmonton
CalgaryVancouver
San Francisco
Silicon Valley
Los Angeles
Phoenix
Dallas
Toronto
Atlanta
Montreal
Ottawa
New York
Short Hills
Washington, DC
St. Louis
Chicago
London
Milton Keynes
Madrid
Barcelona
Paris
Brussels
Berlin
St. Petersburg
Moscow
Kiev
Warsaw
Istanbul
Prague
Bratislava
Budapest
Frankfurt
BucharestZurich
Baku
Ashgabat
Tashkent
Almaty
Algiers
Casablanca
Tripoli
Noukachott
Praia
Bissau
Accra
São Tomé
Luanda
Cape Town
Johannesburg
Maputo
Port Louis
Lusaka
Dar es Salam
Nairobi
Kamapala
Kigali
Bujumbura
Beirut
Cairo
Muscat
Dubai
Doha
Abu Dhabi
Singapore
Hong Kong
Beijing
Shanghai
New Orleans
Miami
Boston
Amman
Riyadh
Lagos
Tbilisi
Krasnodar
Rostov on Don
Astana
World map
CIS focus
St. Petersburg
Moscow
Kiev
Krasnodar
Rostov on Don
Baku
Ashgabat
Tashkent
Almaty
Astana