Законность Покупки И Продажи Баз Данных В 2023 Году
Наверное, уже весь Хабр знает, что наши персональные данные давно и успешно стали объектом законной и незаконной торговли. Про рынок банковской информации, данных мобильных операторов и госорганов я писал тут в статье: «Анализ цен черного рынка на персональные данные и пробив».
Про так называемую законную часть этого бизнеса сейчас говорить не будем, поговорим о ее незаконной стороне и попробуем разобраться с тем, как всё-таки пресекают эту деятельность и пресекают ли вообще.
В этой статье расскажу о том, кого и как в России ловят за незаконную торговлю данными. Только реальные случаи, никакой теории!
Если судить по огромному количеству предложений по «пробиву» на черном рынке, то может сложиться впечатление, что государство и частные компании — операторы персональных данных (банки, операторы сотовой связи и т.п.) попросту самоустранились от решения данной проблемы.
Однако, случаи, когда продавцов персданных ловят и даже судят, есть. Правда, стоит отметить, что ловят, как правило, непосредственных исполнителей заказов, т.е.
сотрудников организаций, имеющих доступ к информации в силу своих служебных обязанностей.
А вот посредники, активно нанимающие таких неблагонадежных сотрудников банков, операторов связи, госорганов, а затем перепродающие данные граждан на черном рынке, зачастую остаются в тени и уходят от наказания.
Я сделал подборку за год всех случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ и которые проходили в моем канале «Утечки информации». Их оказалось не так много, но чем богаты…
Февраль 2018
В суд направлено дело четверых жителей Пензы, арестованных за продажу персональных данных абонентов сотовых операторов.
По данным следствия, в октябре 2016 года 26-летний житель Пензы и его 27-летний знакомый решили найти инсайдеров, имеющих доступ к двум операторам сотовой связи, которые за вознаграждение станут копировать персональные данные абонентов и сведения об их телефонных переговорах.
Подельникам удалось договориться с двумя 20-летними девушками, работавшими в салонах операторов сотовой связи. В интернете на специализированных форумах было размещено объявление о продаже персональных данных абонентов и информации о звонках. С декабря 2016 по конец марта 2017 года было получено 17 заказов, каждый стоимостью от 500 до 4 000 рублей.
Март
Прокуратура Нижегородской области сообщает, что по версии следствия 30–летний оперуполномоченный уголовного розыска ОМВД России по Богородскому району в 2015 году за денежное вознаграждение организовал незаконную передачу информации из ведомственных банков данных МВД.
В 2016 году он привлёк к этому и своего младшего брата, также занимавшего должность оперуполномоченного уголовного розыска. Злоумышленники систематически использовали доступ в базы данных МВД России для получения и передачи служебной информации через интернет неопределенному кругу лиц. Эта преступная деятельность продолжалась более года.
Отмечается, что таким образом мужчины получили доход свыше 700 тыс. рублей.
В Липецкой области на сотрудницу банка завели сразу три уголовных дела. Финансовый консультант местного офиса известного банка незаконно использовала персональные данные клиентов о счетах и вкладах.
В ходе проверки выяснилось, что сотрудница банка использовала личные данные клиентов для хищения денег с их счетов и вкладов. Замечу только, что тут было хищение средств со счетов клиентов, а не торговля данными, видимо поэтому банк решился на подачу заявления в МВД.
Других публичных случаев, когда банки официально расследуют незаконный доступ к информации клиентов, мне не известно.
Два бывших оперуполномоченных из Богородска (Нижегородская область) получили по 1,5 года лишения свободы условно за использование персональных данных из базы МВД.
В ходе следствия установлены обстоятельства получения полицейскими 800 тысяч рублей от граждан из более чем 20 субъектов РФ.
Большая часть переданных персональных данных связана с проверкой сведений о собственниках автомототранспортных средств.
Апрель
33-летний экс-следователь одного из московских райотделов полиции, уволившись по собственному желанию из правоохранительных органов, решил зарабатывать деньги на торговле данными о частных телефонных переговорах.
Раздобыв поддельную печать Мещанского райсуда Москвы, за два года успел оформить порядка 300 липовых судебных решений о предоставлении данных детализации телефонных переговоров, а также информации о самих абонентах у основных операторов сотовой связи. Стоимость одного заказа на детализацию и данные об абоненте колебалась от 45 тыс. до 100 тыс. руб.
, при этом самому бывшему следователю доставалось 10–15 тыс. руб. Остальные деньги распределялись между посредниками, с которыми экс-следователь в основном общался с помощью мессенджеров.
В Саратове по результатам прокурорской проверки возбуждено уголовное дело в отношении должностного лица.
Установлено, что с марта по декабрь 2016 года помощник оперативного дежурного управления внутренних дел по городу Саратову, имеющий доступ к сведениям о происшествиях и преступлениях, произошедших на территории города Саратова, систематически передавал сведения о фактах смерти граждан индивидуальному предпринимателю, который осуществлял деятельность в сфере ритуальных услуг.
Поймали бывшего начальника одного из подразделений Комитета по управлению городским имуществом и земельными ресурсами администрации Нижнего Новгорода.
За взятку в 1,2 миллиона рублей 36-летний начальник управления согласился в течение года передавать любые сведения ограниченного доступа, в том числе персональные данные граждан, которые содержатся в информационных системах по учёту объектов недвижимости и земельных участков. В подтверждение своей готовности к «сотрудничеству» чиновник передал USB-носитель с частью запрошенных данных. В декабре суд приговорил бывшего начальника к лишению свободы на срок 8 лет с отбыванием в колонии строго режима, а также штрафу в размере 3,6 млн рублей, по статье за взяточничество. Кроме того, в течение 5 лет он не сможет занимать определенные должности.
Май
В Воронеже бывшую сотрудницу сотовой компании обвинили в незаконной слежке за телефонными звонками.
Ей вменяют нарушение части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений граждан, совершенное лицом с использованием своего служебного положения).
Следователи установили, что с 30 ноября 2017 года по 22 февраля 2018-го работница сотовой компании, находясь на рабочем месте, незаконно просматривала детализации телефонных соединений.
Июнь
В Мордовии сотрудники сотовых компаний, торговавшие персональными данными, получили условный срок. 27-летний оператор контактного центра ООО «Т2Мобайл» Анатолий Панишев получил 1 год 7 месяцев, а 24-летняя специалист ПАО «Вымпелком» Анна Синева – 1 год 4 месяца.
Следствием установлено, что в феврале 2017 года к Панишеву с использованием Telegram обратилась бывшая сотрудница ООО «Т 2-Мобайл» (г. Саранск) Синева с предложением передачи ей фотографий с паспортными данными, номерами телефонов, которые она предоставляла в WhatsApp и Telegram. За один номер телефона она обещала платить по 200 рублей.
По некоторым данным, Синева перепродавала персональные данные в интернете по 500 рублей.
В период с февраля по апрель 2017 года Панишев через компьютерную программу Invoice копировал на свой телефон персональные данные абонентов, включающие фамилии, имена, отчества, реквизиты документов, удостоверяющих личность, параметры оказания услуг — сведения о денежных средствах на лицевом счете, и через Telegram передавал их на мобильный телефон Синевой.
Сентябрь
Бывший замначальника отдела полиции №1 «Северное» ОМВД России по Нахимовскому району в Севастополе получил три года колонии за продажу данных о смерти людей сотрудникам ритуальной фирмы. Александр Барановский признан виновным в получении взяток от владельца ритуальной фирмы. Он в течение нескольких лет он передавал информацию о фактах смерти граждан и данные их родственников.
Октябрь
ФСБ задержала российского пограничника, который, вероятно, продал информацию о заграничных поездках Александра Петрова и Руслана Боширова, обвиненных в отравлении полковника ГРУ Сергея Скрипаля. Пограничник работал в Северо-Западном федеральном округе.
Вместе с ним был задержан сотрудник одного из подразделений Федеральной налоговой службы (ФНС). Задержания проходили в рамках спецоперации по предотвращению утечек из закрытых баз данных.
Кстати говоря, эта спецоперация довольно сильно подкосила черный рынок «госпробива» на какое-то время.
Ноябрь
В Калининграде задержали 25-летнего менеджера салона сотовой связи за продажу персональных данных клиента. К менеджеру обратился неизвестный мужчина, который попросил за вознаграждение предоставить данные на определенного абонента. Дело возбуждено по части 3 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание — лишение свободы на срок до пяти лет.
Суд Томска приговорил к трем годам условно бывшего участкового полиции, который за финансовое вознаграждение сообщал сотруднику ритуального бюро персональные данные умерших.
“Установлено, что в период с 27 декабря 2017 года по 3 апреля 2018 года подсудимый, являясь участковым ОМВД России по Томскому району, получил взятку в виде денег на общую сумму 21 тысяча рублей за незаконное предоставление конфиденциальных сведений умерших лицу, действующему в интересах коммерческой организации, предоставляющей ритуальные услуги. Эти данные в дальнейшем использовались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг”.
Декабрь
Следственное управление Следственного комитета по Новосибирской области возбудило уголовное дело о незаконной передаче сведений, составляющих коммерческую тайну, в отношении сотрудницы «Русской телефонной компании».
20 ноября прошлого года подозреваемая зашла в систему под своим рабочим логином и паролем и скопировала информацию, содержащую сведения о дате и времени соединений, номерах исходящих и входящих соединений абонента сотовой связи МТС, после чего передала эти данные третьим лицам. В отношении подозреваемой возбуждено уголовное дело по ч.2 ст.
183 УК РФ (незаконная передача третьим лицам сведений, составляющих коммерческую тайну). Сотруднице грозит до трех лет лишения свободы.
Прокуратура Ленинского района Магнитогорска направила в суд уголовное дело в отношении бывшей начальницы городского управления пенсионного фонда, обвиняемой в получении взятки и злоупотреблении полномочиями.
В 2017 году женщина передала сотруднику коммерческого банка персональные данные горожан, которые незаконно использовались в служебной деятельности кредитного учреждения. За это начальница пенсионного фонда получила взятку в размере 61,4 тыс. руб.
Эти деньги были перечислены на банковский счет ее дочери под видом оказания материальной помощи от работодателя.
Домодедовский городской суд Московской области признал сотрудника полиции виновным в совершении коррупционных преступлений и приговорил к четырем годам шести месяцам лишения свободы. Кроме того, осужденный оштрафован на 600 тыс. руб.
Суд установил, что полицейский на протяжении нескольких месяцев неоднократно получал взятки в размере до 15 тыс. руб.
через посредника за предоставление бланков миграционных карт и персональных данных иностранцев из автоматизированной базы данных.
Январь 2019
В Муроме завершено расследование уголовного дела в отношении бывшего работника салона сотовой связи, которому предъявлено обвинение по ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров), ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч. 3 ст.
183 УК РФ (незаконное получение сведений, составляющих коммерческую тайну). В январе 2017 года, 23-летний бывший сотрудник салона сотовой связи неоднократно подделывал заявления от имени клиентов на получение сведений о соединениях, а при получении данных копировал их на сменный носитель.
Он направил от имени клиентов 43 сервисных запроса на получение детализаций абонентов — часть запросов была удовлетворена. Такая активность насторожила сотрудников безопасности телефонной компании — работника вычислили, после чего он был уволен, а материалы были переданы в следственные органы.
Уголовное дело с утвержденным обвинительным заключением направлено в суд. В соответствии с законом обвиняемому грозит до 5 лет лишения свободы.
В Перми бывшая сотрудница полиции обвиняется в злоупотреблении должностными полномочиями (ч. 1 ст. 285 УК РФ) и мелком взяточничестве (ч. 1 ст. 291.2 УК РФ). В 2017 году она имела доступ к сведениям банков, которые содержали персональные данные клиентов.
Без ведома самих граждан и соответствующих запросов компетентных органов она предоставляла эти данные директору коммерческой организации. За эти сведения бывшая сотрудница полиции получала вознаграждение — от 100 до 500 рублей.
После того, как случаи взяточничества вскрылись, женщину уволили из органов внутренних дел. Уголовное дело завершено, материалы дела переданы в суд.
Сотрудник мобильного оператора «Мегафон» в Санкт-Петербурге был обвинен в совершении преступления, ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений).
Суд установил, что подсудимый находился в должности инженера по разработке отчетности корпоративного хранилища данных и нес обязательство по сохранению конфиденциальной информации компании. Он, используя свое служебное положение, имея доступ к данным биллинговых систем, получил доступ к конфиденциальной информации потерпевшего и передал эту информацию неустановленным лицам.
С учетом позиции государственного обвинения, отсутствии возражений со стороны потерпевшего, ходатайство следователя удовлетворено, подсудимому назначен штраф в размере 100 тыс. рублей.
Февраль
В Новосибирске суд вынес приговор двум бывшим сотрудникам МТС, которые украли базу данных абонентов Новосибирска, Барнаула, Новокузнецка и Бердска. На момент совершения кражи, один из злоумышленников уже уволился из МТС, а второй продолжал работать в должности ведущего супервайзера. Кража была совершена 18 июля 2018 года.
Двое злоумышленников свободно зашли в офис и проникли в кабинет с компьютером, который имел доступ в корпоративную сеть. Один из них попросил логин и пароль у начальства. Скачанную базу данных попытались отправить себе на личную почту в виде файла-архива, но из-за большого размера это не удалось сделать.
Тогда архив разделили на несколько частей и вновь отправили на почту. Всего в украденной базе были данные 506,185 абонентов, содержащие: фамилии, имена, отчества, номера телефонов и адреса.
Во время предварительного следствия злоумышленники признались, что пытались продать данные каждого абонента по одному рублю за запись, заработав таким образом более 500 тысяч рублей.
26 февраля 2019 года суд признал Никиту Черницова и Виталия Иванова виновными по статье 183 УК РФ «Сбор сведений, составляющих коммерческую тайну, причинивший крупный ущерб или совершенный из корыстной заинтересованности». Черницова приговорили к 1 году 6 месяцам условно с аналогичным испытательным сроком, а Иванову дали на три месяца меньше.
В Томске вынесен приговор бывшему участковому уполномоченному полиции, получившему взятку за предоставление в интересах ритуальной фирмы сведений об умерших гражданах.
В суде выяснили, что со 2 января по 18 июня 2018 года подсудимый, в то время работавший в должности участкового, получил взятку в 42 тысячи рублей за незаконное предоставление конфиденциальных сведений о персональных данных умерших граждан лицу, действующему в интересах коммерческой организации, оказывающей ритуальные услуги. Эти данные в дальнейшем предназначались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг Суд приговорил подсудимого к трем с половиной годам лишения свободы условно с испытательным сроком три года. Также его лишили права в течение двух лет занимать должности в системе правоохранительных органов РФ.
Суд в Новосибирске признал виновным руководителя ритуального агентства в даче взяток. 41-летнего мужчину приговорили к семи годам лишения свободы условно с испытательным сроком три года. Предприниматель давал взятки сотрудникам полиции, чтобы получить информацию о персональных данных умерших в Новосибирске, а именно их фамилию, имя, отчество, дату рождения и смерти, а также местонахождение.
Март
В Воронежской области суд рассмотрит дело 38-летней начальницы отдела ПАО СК «Росгострах», которая незаконно копировала базу данных клиентов в июле 2018 года. По версии следствия, женщина, имея доступ к базе клиентов, скопировала себе их персональные данные, контакты и информацию о стоимости страховых услуг.
Для отправки данных самой себе она использовала корпоративную электронную почту. Уголовное дело возбуждено по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации). Максимальная санкция – лишение свободы на 4 года.
Законность покупки и продажи баз данных в 2023 году – Юридическая поддержка
Существует ряд причин, по которым владельцы принимают решение продать бизнес.
- Во-первых, это желание избавиться от готовой модели бизнеса с целью заработка денег — в основном это касается тех ситуаций, когда компанию учреждают и развивают специально, чтобы впоследствии продать.
- Во-вторых, есть противоположные ситуации, когда в компании ведется не очень успешная деятельность, накапливаются долги, и тогда принимается решение о ее продаже тем, кто впоследствии сможет заняться реабилитацией. Иными словами, речь идет об избавлении от проблемного актива.
- В-третьих, компанию продают, чтобы расплатиться с личными долгами. Также владельцы могут преследовать цель оптимизации компании: в составе крупного холдинга или конгломерата дела бизнеса могут существенно наладиться.
Наконец, бизнес могут продавать, основываясь на тенденциях в сфере экономики: те или иные активы продаются, если есть основания полагать, что изменение экономической ситуации приведет к обременению актива.
Due diligence: как правильно проверить бизнес до покупки
Покупке крупного бизнеса предшествует масштабная преддоговорная работа, венцом которой является такая процедура, как due diligence (пер. с англ. «юридическая проверка бизнеса»).
На стадии этой проверки бизнес контрагента проверяется буквально «вдоль и поперек», изучаются все возможные риски, осуществляется проверка бухгалтерской отчетности, налоговой дисциплины, отсутствие долгов, база контрагентов, наличие лицензий и судебных споров, финансовая и юридическая документация.
https://www.youtube.com/watch?v=ssp0f-Jx3Tg\u0026pp=ygVa0JfQsNC60L7QvdC90L7RgdGC0Ywg0J_QvtC60YPQv9C60Lgg0Jgg0J_RgNC-0LTQsNC20Lgg0JHQsNC3INCU0LDQvdC90YvRhSDQkiAyMDIzINCT0L7QtNGD
В due diligence могут быть задействованы специалисты различных профилей, а затраты на эту проверку обычно внушительные, но такова цена оценки всех рисков перед покупкой бизнеса.
Основными рисками, с которыми может столкнуться покупатель, являются риски наличия непогашенных долгов на балансе приобретаемого актива, риски наличия актуальных судебных процессов, которые могут привести к тем или иным последствиям или повлиять на итоговую стоимость бизнеса, наличие налоговых и иных правонарушений за предприятием.
В рамках процедуры due diligence также проверяется надлежащее учреждение общества, надлежащий выпуск акций общества, право собственности продавца на отчуждаемый актив, участие общества в других обществах, соблюдение предприятием экологического законодательства (а в современных реалиях экологический due diligence будет только набирать обороты).
Отсюда можно сделать вывод о том, что рисков большое количество, и необходимо все их учесть перед покупкой компании. Стоит также отметить, что когда речь идет о покупке крупного бизнеса, куда привлекают юристов солидных компаний, то риск попасть в руки мошеннику, как правило, равен нулю.
Оценка бизнеса перед продажей или покупкой
Первичная, можно сказать «эмпирическая», оценка бизнеса осуществляется бесплатно посредством мониторинга СМИ, различных порталов, где размещается общая информация о приобретаемом активе.
Как правило, затем потенциальный контрагент обращается в юридический и финансовый консалтинг или аудиторскую компанию, которые проводят данную проверку платно, что является более действенным способом оценки во избежание различных рисков.
Экспертная оценка проходит посредством изучения документов организации. Обычно юристам предоставляется доступ или к электронным базам данных, или в специальное помещение, где юристы и эксперты могут ознакомиться с документами. По итогам юридической проверки составляется отчет, где описываются различные риски и проблемы или их отсутствие.
Заключение сделки: основные шаги
Выделяют такие способы приобретения бизнеса, как сделки слияния и поглощения — они включают в себя куплю-продажу контрольного пакета акций (share deal) или долей в уставном капитале общества, куплю-продажу основных активов общества. Предприятие также можно приобрести как имущественный комплекс (в соответствии с параграфом 8 гл.30 ГК РФ) — приобретение имущества, используемого в предпринимательской деятельности (asset deal).
Весь преддоговорный этап должен происходить в сопровождении юристов, которые будут изучать документацию, пункты договоров. Они, вероятнее всего, этот договор и составят.
В крупных сделках обязательно подписывается такое преддоговорное соглашение, как соглашение о порядке ведения переговоров (п.5 ст.434.1 ГК РФ).
Оно позволяет регламентировать поведение сторон на стадии заключения договора и направлено на конкретизацию требований к добросовестному ведению переговоров, установлению порядка распределения расходов на ведение переговоров и иные права и обязанности.
Также в обязательном порядке стороны заключают соглашение о конфиденциальности в отношении информации, которая стала им известна на преддоговорной стадии. Это классический договор на стадии заключения, поэтому им пренебрегать нельзя.
Кроме того, рекомендуется заключить соглашение об эксклюзивности, сутью которого является установление обязанности продавца не вести переговоры о продаже актива с другими лицами. Одним из условий соглашения об эксклюзивности может быть запрет о сообщении о продаже бизнеса другим лицам.
Примеры из практики
В деятельности нашей компании был опыт проведения краткосрочного due diligence — речь шла о купле-продаже голосующих акций компании. Поскольку сроки на проведение юридической проверки были урезаны, то в рамках сделки по купле-продажи акции был включен опцион на обратный выкуп акций в случае обнаружения недостатков в приобретаемом активе.
Механизм включения опциона на обратный выкуп акций при условии обнаружения недостатков в активе является достаточно распространенным способом подстраховки и довольно часто используется и после полноценного due diligence.
Также уже в рамках другого проекта наша компания участвовала в купле-продаже акций компании. Однако на стадии due diligence были выявлены судебные дела в отношении контрагента и его компании, которые могли привести к существенным рискам для потенциального покупателя. В итоге наш клиент отказался от покупки акций.
Работа по франшизе: плюсы и минусы франчайзинга в России
В России достаточно много, в частности, зарубежных компаний, которые работают по договору коммерческой концессии (= по договору франчайзинга). Этот договор регулируется ст.
1027 ГК РФ, где указано, что по договору коммерческой концессии одна сторона (правообладатель) обязуется предоставить другой стороне (пользователю) за вознаграждение на срок или без указания срока право использовать в предпринимательской деятельности комплекс принадлежащих правообладателю исключительных прав, включающий:
- право на товарный знак,
- знак обслуживания,
- права на другие предусмотренные договором объекты исключительных прав, в частности на коммерческое обозначение, секрет производства (ноу-хау).
Основной плюс механизма франчайзинга заключается в том, что это, по сути, готовый бизнес в концептуальном плане, так как правообладатель передает в пользование практически всю атрибутику бизнеса, осуществляет обучение персонала и обязуется оказывать содействие за обусловленную стоимость (royalty/роялти).
Также бизнесменам, работающим по модели франчайзинга, нет необходимости в поиске поставщиков, так как продукция заранее предопределена соглашением и поставщик в том числе.
Одним из плюсов является и тот факт, что франчайзи будет работать в уже готовой сфере бизнеса при низком уровне конкуренции, так как франчайзер стремится сделать так, чтобы на одной территории влияния осуществлял свою деятельность всего один франчайзи.
Минус заключается в том, что зачастую роялти очень большие по размеру, и бизнес должен действительно успешно работать, чтобы окупаться.
Более того, первоначальные инвестиции достаточно крупные в принципе.
Также договор коммерческой концессии связывает франчайзи жесткими обязательствами следовать концепту и политике компании-франчайзера, вне зависимости от того, является ли такой бизнес успешным.
Как получить максимум из готового бизнеса?
Купля-продажа крупного бизнеса остается важной темой в современной предпринимательской сфере.
Вне зависимости от причин, которые руководят предпринимателями перед продажей бизнеса, необходимо уделить значительное внимание процедуре юридической и финансовой проверки покупаемого актива, так как это позволит максимально избежать рисков и получить актив по той цене, которую он действительно стоит.
Маркетплейсы: как регулируется их работа в России
Пандемия еще сильнее подтолкнула развитие онлайн-торговли по всему миру, включая Россию. По данным исследования M.A.Research, в 2021 году это направление стало самым быстрорастущим сегментом ретейла, а оборот рынка продаж в интернете вырос на 32% — до 4,2 трлн руб. При этом обсуждаемая сфера остается плохо урегулированной. Да и судебная практика с участием маркетплейсов не отличается единообразием и предсказуемостью. В похожих случаях одни суды наказывают торговые площадки за продажу бракованного товара, а другие — нет.
Основы регулирования
Российское законодательство не всегда успевает за стремительным развитием новых технологий. Термина «маркетплейс» в нем до сих пор нет, оно должно появиться как «цифровая платформа» лишь с принятием «пятого антимонопольного пакета». По словам главы ФАС Максимом Шаскольского, новеллы планируют утвердить уже в этом году.
Пока такие торговые онлайн-площадки квалифицируют по закону «О защите прав потребителей» как агрегаторов информации о товарах или услугах. На подобных сайтах потребитель может выбрать нужную вещь, узнать ее основные характеристики и купить по безналичной оплате.
И не нужно путать онлайн-магазин и маркетплейс. Первый — сайт одной фирмы, через который та продает только свои товары. Второй — обычный посредник между различными продавцами и покупателями. Одним словом, маркетплейс — цифровой аналог ярмарки или рынка, объясняет руководитель юридической функции Shopping Live Анна Саливон.
Регистрация баз данных в Роспатенте — пошаговая инструкция процедуры
В статье рассказываем, из каких этапов состоит процедура, куда надо подавать документы и на что обратить внимание при регистрации базы данных.
Программы ЭВМ и базы данных – сложные продукты, права на которые обычно принадлежат команде разработчиков или компании-заказчику. Чтобы защитить права на программу или базу данных, можно пройти процедуру депонирования в Роспатенте.
Регистрация базы данных в Роспатенте
Как в России охраняют базы данных с точки зрения права
В России базы данных приравнены к произведениям, поэтому находятся под защитой авторского права. База данных в юридической сфере определена как сборник, совокупность материалов.
В Гражданском кодексе РФ прописано, что автор произведения – то лицо, которое вложило творческий труд в создание. Это ключевая мысль, которая влияет на правовую охрану баз данных. Что это означает:
- В базе данных охраняется не содержание, а форма – по какому принципу систематизированы материалы, как размещены и расположены относительно друг друга.
- Чтобы база данных попала под защиту авторского право, нужно, чтобы ее создание было результатом творчества. Произведением не считается простой список, реестр данных, например, база поставщиков. Объектом охраны будет выступать именно решение, которое применили для этой базы – система хранения, способ управления, принципы использования, интерфейс.
- База данных должна быть реализована, например, записана на каком-то носителе. Потому что просто идея не охраняется авторским правом.
Чтобы база данных стала результатом творчества, а не результатом механического сбора информации, можно, например, добавить систему фильтрации.
Еще одна особенность БД – она должна работать на ЭВМ – смартфон, ПК, планшет или другое устройство. Если это просто печатный справочник, фактически – это тоже база, но она не охраняется авторским правом. Потому что в ней как раз нет той творческой составляющей, которая нужна для этого.
Сами данные тоже могут охраняться авторским правом, при условии, что это результат творчества. Если разработчик использует чужие материалы, нужно получить письменное согласие правообладателя на использование информации.
Какие права есть у автора
Право на БД возникает в момент создания, оно принадлежит именно автору – разработчику (Database Developer, DevOps-инженеры). Но затем право использования может быть передано компании или третьим лицам.
У разработчика есть право на:
- авторство – это значит, он имеет право на то, чтобы общество признавало его автором этой разработки;
- имя – это значит, разработчик сам решает, указывать ли имя автора, псевдоним или вообще остаться анонимным;
- неприкосновенность – автор решает, могут ли другие люди использовать его базу данных.
Передать эти права нельзя, то есть, они неотчуждаемы. Есть и другой тип прав – имущественные. Их разработчик может передать/продать заказчику или компании, в которой работает. О каких правах идет речь:
- на использование базы данных;
- на продажу, передачу по лицензии;
- на переработку;
- на публикацию, распространение.
- на извлечение БД – то есть, перенос на другой носитель.
Если кто-то скопирует часть сведений из базы данных, это не будет считаться нарушением – в базах данных охраняется форма, не содержание, как мы отметили выше.
Как права распределяются между соавторами
Обычно над программами работает несколько разработчиков. В случае с базами данных история такая же:
- Есть человек или группа людей, которые собирают данные;
- Есть программисты, которые непосредственно разрабатывают интерфейс, создают систему управления;
- Есть авторы, которые создали какие-то материалы, попавшие в базу.
Из этого списка все имеют право называться соавторами. Все они имеют право указать свое имя в списке авторов и могут передать исключительные права компании или заказчику.
Что такое смежные права
В соавторы нельзя включить руководителя, который контролировал создание базы данных, или менеджеров, которые создавали техническое задание. И даже владелец компании, оплатившей разработку базы данных, не может считаться автором.
Но есть важный момент: право распоряжаться ИТ-продуктом может распространяться на тех, кто оказал оплатил разработку, предоставил технику или организовал весь процесс. То есть, право распоряжаться базой есть у заказчика или компании-работодателя. В ГК РФ они определены как изготовители.
- У изготовителей есть свое исключительное право – извлекать из базы данных материалы, использовать их в любой форме.
- Правило распространяется на два вида баз данных: на те, в которых больше 10 тысяч элементов (материалов), либо на те, которые потребовали больших затрат и это доказано.
- И разработчик, и изготовитель могут подать заявку на регистрацию базы данных в Роспатенте.
Что регистрируют в качестве баз данных
Необязательно материалы должны быть авторскими, оригинальными. Объектами БД может быть любая ценная информация:
- контакты пользователей;
- история заказов в интернет-магазинах;
- фото или видео;
- результаты анализов пациентов;
- законы и другая юридическая информация;
- обучающие материалы;
- словари;
- финансовая отчетность публичных компаний и другая информация.
Например, у любой социальной сети, интернет-магазина или даже ресторана есть свои базы данных. Например, заведение общепита может хранить базу клиентов-держателей карт лояльности.
Система управления тоже бывает разной – от таблицы Excel до сложной системы, например, Oracle, MySQL и других. Самый простой пример базы данных – телеграм канал. По сути, весь блог – это элементы, и если поставить хештеги для поиска нужной информации, получается полноценная БД.
Зачем компании регистрируют базы данных
Авторское право защищает произведение, но если возникают споры, автору нужно доказать, что создатель – именно он. В суд нельзя прийти и сказать – это мое и точка. Нужны документы, которые подтверждают авторство.
Таким документом может быть свидетельство о регистрации в Роспатенте. Это свидетельство также необходимо, чтобы включить базу данных в реестр отечественного программного обеспечения. Попасть в этот реестр выгодно тем компаниям, кто работает с государственными или муниципальными предприятиями.
Где еще может понадобиться свидетельство о регистрации базы данных:
- при передаче исключительных прав, то есть, при продаже прав на программу;
- для выхода на зарубежный рынок;
- чтобы привлечь инвесторов, подтвердив наличие интеллектуальной собственности;
- чтобы поставить интеллектуальную собственность на баланс компании.
Сегодня в списке Роспатента числится 24,9 тыс. баз данных. Ежемесячно реестр пополняется новыми базами. Примеры:
- В декабре 2022 года Новосибирский государственный технический университет зарегистрировал базу данных для хранения жестов и их компонент русского жестового языка. Номер регистрации: 2023620522.
- В феврале 2023 года Санкт-Петербургское государственное казенное учреждение «Управление информационных технологий и связи» зарегистрировало базу данных, которая стала частью государственной информационной системы Санкт-Петербурга «Единая система электронного документооборота». Номер регистрации: 2023620475.
- В январе 2023 года автор Матафонова Анастасия Витальевна зарегистрировала базу «Реестр автотранспортных объектов в организациях, поднадзорных МТУ Ространснадзора по ДФО (Приморский край), допущенных к осуществлению международных автомобильных перевозок». Номер регистрации: 2023620341.
Как зарегистрировать базу данных
Процедура регистрации базы данных – это депонирование, то есть, подтверждение авторства. По сути, процедура такая: автор или правообладатель передает базу в Роспатент на хранение, а ведомство в обмен выдает свидетельство, где обозначен автор, дата подачи заявления, дата регистрации.
База данных вносится в реестр, который находится в открытом доступе.
Так выглядит информация о зарегистрированной базе данных. Здесь указан автор, название базы и описание – для чего она предназначена.
Чтобы зарегистрировать базу данных, нужно подать следующие документы в Роспатент:
- Заявка. Образец можно скачать на сайте Роспатента.
- Депонируемые материалы: что автор регистрирует. Здесь нужно показать пример заполнения базы с реальными данными и принцип, по которому систематизирована информация. Этот блок нужно оформить с титульной страницей, где указаны авторы и название БД.
- Реферат с описанием на 900 знаков, где прописывают, для чего разработана база, на какой системе работает, в какой сфере используется.
- Если заявку подает изготовитель, нужно предоставить подтверждающие документы, которые доказывают количество элементов (больше 10 тысяч) или объем затрат на изготовление базы. Например, договор на оказание услуг, где обозначена цена.
- Согласие на обработку данных.
- Квитанция об уплате полшины.
- Документы, которые доказывают, что разработчик передает права заказчику / работодателю. Например, это может быть трудовой договор с соответствующим пунктом.
Как подать заявку
Заявку на регистрацию базы данных можно выслать почтой или прийти с документами в офис Роспатента: Бережковская наб., д. 24, стр. 12, Москва.
Но лучше заполнить заявление в электронном виде и отправить документы через сайт Роспатента или Госуслуги. Для этого нужна квалифицированная электронная подпись.
Чтобы сэкономить время на оформление и подачу заявки, можно делегировать процесс юридической компании «Гардиум». Юристы компании помогают получить аккредитацию ИТ-компаниям, регистрируют базы данных и другую интеллектуальную собственность.
Сколько стоит регистрация
Размер пошлины для физлиц – 3500 рублей, для юрлиц – 4500 рублей. Реквизиты для перечисления средств можно взять на сайте Роспатента.
Этапы регистрации
Регистрация проходит так:
- Готовим документы: пишем реферат, заполняем заявку, оплачиваем пошлину.
- Подаем заявку через сайт Госуслуг или через Роспатент.
- Роспатент проверяет, все ли документы в порядке, оплачена ли пошлина.
- Ведомство выносит решение в течение 62 дней. Чаще всего это происходит гораздо быстрее – около 14 дней.
- Информация о базе данных вносится в реестр, публикуется в специальном бюллетене.
- Заявителю присылают в электронном виде свидетельство о регистрации.
Сколько действует регистрация
Базы данных – это произведения, которые охраняются авторским правом. Значит, и сроки защиты у них точно такие же, как и у других произведений – в течение жизни разработчика и еще 70 лет после смерти. Но это касается личных, неимущественных прав.
Имущественные права на базу данных действуют 15 лет после создания. Если разработчик или заказчик заинтересован в том, чтобы продлить охрану, можно внести изменения в функционал базы и перерегистрировать заново.
Выводы
Регистрация базы данных – необязательная процедура, но желательная. Так компания может подтвердить авторство и право на базу. Это может помочь в суде или в случае продажи интеллектуальной собственности / всего бизнеса. Также свидетельство необходимо, если надо попасть в реестр отечественного ПО.
Зарегистрировать базу данных лучше с помощью специалистов. Юридическая компания «Гардиум» больше 20 лет занимается интеллектуальной собственностью и выполняет разные задачи для ИТ-компаний: от аккредитации до регистрации товарных знаков и получения патентов на ИТ-продукты.
Регистрация Базы данных в Роспатенте
52 000 ₽
Заказать
Внесение в реестр Минцифры (минкомсвязи)
102 700 ₽
Заказать
Патентование ПО как изобретения с гарантией
196 700 ₽
Заказать
Новые правила для операторов персональных данных: обзор изменений с 1 марта 2023 г
С 1 марта 2023 года произошли изменения законодательства в области персональных данных. Расскажем про новые требования к компаниям
С начала марта 2023 года вступили в силу нововведения в части обработки персональных данных актуальные для любого бизнеса:
- о порядке уничтожения персональных данных,
Расскажем в статье о новых требованиях и дадим рекомендации к их соблюдению.
Доказательства уничтожения на 3 года
Вступили в силу Требования к подтверждению уничтожения персональных данных (действуют до 1 марта 2029 года). Ранее порядок фиксации факта уничтожения персональных данных определялся операторами самостоятельно.
С 1 марта операторы персональных данных должны при уничтожении персональных данных составлять специальный документ — Акт об уничтожении персональных данных.
Ранее компании уже могли применять подобный документ в своей практике, в том числе по рекомендации Роскомнадзора, но теперь его составление стало обязательным, и к нему предъявляются определенные требования. Такой Акт составляется как в случае уничтожения материальных (бумажных) носителей, содержащих персональные данные (обработка без использования средств автоматизации), так и в случае уничтожения персональных данных, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации). Акт об уничтожении, помимо прочего, должен содержать перечень категорий уничтоженных персональных данных, наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации); наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации); способ и причину уничтожения персональных данных.
При обработке данных с использованием средств автоматизации подтверждением уничтожения персональных данных также является выгрузка из журнала регистрации событий в информационной системе персональных данных (наряду с актом). При этом если в выгрузке невозможно указать какие-либо сведения, их можно отразить в акте. В этой ситуации подтверждением будут оба способа, независимо от способа обработки персональных данных.
Минимальный срок хранения актов об уничтожении персональных данных и выгрузок из журнала регистрации событий составляет 3 года.
Напомним, что уничтожение персональных данных – это действия, в результате которых становится невозможным восстановить содержание персональных данных (например, шредирование или иная утилизация документов, содержащих персональные данные). Уничтожение персональных данных осуществляется оператором персональных данных, в том числе:
- по достижении целей обработки соответствующих персональных данных или в случае утраты необходимости в достижении этих целей
- в случае, когда обработка персональных данных является по каким-либо причинам неправомерной (например, когда Роскомнадзор принял решение об отказе в трансграничной передаче персональных данных иностранным лицам)
- в случае получения требования от субъекта персональных данных об уничтожении его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных
Таким образом, правильное составление актов и выписок обезопасит оператора персональных данных от претензий со стороны Роскомнадзора и субъектов персональных данных в спорных случаях, так как подтвердит, что определенные персональные данные им больше не обрабатываются.
Если персональные данные не будут уничтожены по требованию субъекта персональных данных или Роскомнадзора, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, на организацию может быть наложен штраф до 90 000 рублей (ч.5 ст. 13.11 КоАП РФ). Акт об уничтожении как раз и будет служить доказательством выполнения такой обязанности.
- «Несмотря на избыточность требований к фиксации факта уничтожения персональных данных (большое количество информации в актах, длительность хранения документов), рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы уничтожения персональных данных, а также утвердить форму (шаблон) акта об уничтожении»
- Дарья Петрова, юрисконсульт
- Оставьте свои контакты, и мы направим Вам Форму Акта об уничтожении персональных данных:
Заявка отправлена!
Уведомление об изменениях в срок
В соответствии с новыми требованиями оператор персональных данных обязан уведомить Роскомнадзор об изменениях ранее предоставленных им сведений об обработке персональных данных, которые произошли в течение месяца, в срок не позднее 15 числа следующего месяца. Уведомление подается в отношении всех изменений.
Уведомлять нужно об изменении сведений, которые содержались в уведомлении об обработке (начале обработки) персональных данных, которое является основанием для включения в реестр операторов персональных данных.
Ранее уведомление об изменениях (в виде информационного письма) подавалось не позднее 10 рабочих дней с момента такого изменения. Рекомендуем компаниям регулярно производить анализ процессов обработки персональных данных с целью их актуализации, в том числе в реестре операторов персональных данных. Это важно в связи с тем, что Роскомнадзор при проведении проверки сравнивает данные, содержащиеся в реестре операторов персональных данных (данные в уведомлении и информационных письмах об изменениях), с содержанием внутренних документов оператора. Обычно подача информационных писем об изменении сведений об обработке персональных данных внутри компании возлагается на лицо, ответственное за организацию обработки персональных данных (руководитель или иной сотрудник).
За непредоставление уведомления об изменениях на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).
Начали действовать Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (действуют до 1 марта 2029 года). В соответствии с данным документом, оценка вероятного вреда осуществляется лицом, ответственным за организацию обработки персональных данных, или специальной комиссией, созданной оператором.
Ответственное лицо или комиссия для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных: высокую, среднюю или низкую.
Для определения степени вреда учитываются различные факторы, в частности:
- обработка биометрических персональных данных или специальных категорий персональных данных (о расовой, национальной принадлежности, религиозных убеждениях и др.)
- обработка персональных данных несовершеннолетних
- обезличивание персональных данных, в том числе для оказания специализированных услуг (скоринг, прогнозирование поведения потребителей)
- поручение обработки персональных данных иностранным лицам или сбор данных с использованием баз, находящихся за рубежом
- распространение персональных данных на веб-сайте
- продвижение товаров и услуг путем прямых контактов с потребителями с использованием собственных баз персональных данных
- получение согласия на обработку персональных данных посредством реализации на официальном сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных и другие факторы.
В случае если по итогам проведенной оценки вреда установлено, что субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
Результаты оценки должны фиксироваться Актом оценки вреда.
Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы оценки возможного вреда внутри компании, периодичность её проведения и круг ответственных лиц, а также утвердить форму (шаблон) акта оценки вреда.
Ответственность конкретно за непроведение оценки вреда законодательством не установлена, но в случае выявления нарушения при проверке Роскомнадзора его необходимо будет устранить, о чем организации может быть выдано соответствующее предписание.
Правильное сообщение об утечке
Вступил в силу Порядок взаимодействия Роскомнадзора и операторов персональных данных в рамках ведения реестра учета инцидентов в области персональных данных.
Операторы должны уведомлять Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
Предусмотрено 2 вида уведомлений – первичное и дополнительное. Первичное уведомление (предоставляется в течение 24 ч) должно содержать информацию о произошедшем инциденте, его предполагаемых причинах, возможном вреде субъекту персональных данных и мерах по его устранению, а дополнительное (предоставляется в течение 72 ч) — о результатах внутреннего расследования инцидента с указанием виновных лиц (если они выявлены). Если Роскомнадзор посчитает, что данные, предоставленные оператором в уведомлении некорректны или недостаточны, то он вправе запросить дополнительные сведения. Оператор предоставляет их в течение 3-х рабочих дней. В случае если Роскомнадзор самостоятельно выявляет утечку базы данных, принадлежащих конкретному оператору, то он направляет требование о предоставлении уведомления. При этом оператор может в уведомлениях (первичном и дополнительном), которые предоставляются по требованию Роскомнадзора, указать о том, что он не выявил факта утечки с приложением доказательств (в том числе результатов внутреннего расследования, оформленного актом). Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы выявления инцидентов утечки персональных данных, их профилактику и круг ответственных лиц, а также утвердить форму (шаблон) акта проведения внутреннего расследования. Это позволит, в частности, соблюсти достаточно короткие сроки для сообщения Роскомнадзору о фактах утечки.
За непредоставление уведомлений об утечке на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).
Для исключения нарушений законодательства о персональных данных и экономии времени рекомендуем доверить процесс профессионалам. Наши юристы в сфере персональных данных отслеживают все изменения закона и имеют богатый опыт сопровождения бизнеса по вопросам охраны персональных данных. Мы проконсультируем вас и составим все необходимые документы, учитывающие требования закона и рекомендации Роскомнадзора.
Подпишитесь на новостную рассылку CPO Group: