Структура и краткое содержание курса
Тема 1: Основы регулирования персональных данных
Лекция: раскрываются фундаментальные принципы правового регулирования персональных данных в Российской Федерации, анализируется структура Федерального закона №152-ФЗ, определяются ключевые понятия и элементы правового режима персональных данных. Слушатели изучают различия между правовыми основаниями обработки, особенности применения отдельных видов оснований, а также рассматривают примеры правоприменительной практики и наиболее частые ошибки операторов при выборе правовых оснований.
Практическое занятие: участники курса анализируют реальные ситуации и определяют корректные основания обработки персональных данных, сравнивают формы документов (пользовательских соглашений, согласий и тд) и выявляют их недостатки, учатся квалифицировать действия оператора в спорных ситуациях, моделируют правильный выбор основания обработки.
Тема 2: Права и обязанности оператора персональных данных
Лекция: рассматриваются обязанности оператора на всех этапах жизненного цикла обработки данных, включая предоставление информации субъектам, обеспечение точности данных, корректировку и удаление данных по запросу, а также особенности взаимодействия оператора с Роскомнадзором. Подробно разбираются процедуры реагирования на запросы субъектов, сроки, требования к содержанию ответов и ответственность за их нарушение.
Практическое занятие: слушатели работают с примерами запросов субъектов персональных данных и Роскомнадзора, классифицируют запросы, готовят проекты ответов, моделируют процесс исправления или удаления данных, анализируют корректность запрашиваемой информации и применяют нормы о сроках и порядке ответа.
Тема 3: Организация деятельности по обработке персональных данных
Лекция: освещаются вопросы построения внутренней системы обработки персональных данных в организации, включая создание схем информационных потоков, документирование процессов, распределение ролей участников, работу ответственного за ПД, отношения с подрядчиками и механизмы внутреннего аудита. Уделяется внимание выявлению рисков и способам организации внутреннего контроля, использования ИСПДн.
Практическое занятие: слушатели разрабатывают структурированную схему обработки персональных данных (реестр обработок персональных данных) для условной организации, определяют роли и ответственности, выявляют рисковые точки, создают фрагмент внутреннего регламента обработки ПД и анализируют законность передачи ПД третьим лицам, подготавливают чек-листы для проведения внутреннего аудита.
Тема 4: Документы, сопровождающие деятельность оператора персональных данных
Лекция: изучается система локальных нормативных актов оператора: политика обработки ПД, согласия субъектов, поручения обработки, внутренние регламенты, положения о защите данных. Рассматриваются требования к структуре документов, условия их действительности, типичные нарушения и ошибки.
Практическое занятие: слушатели готовят проект политики обработки ПД для условной организации, составляют образец согласия на обработку данных (в установленных случаях) и проект договора поручения обработки. Проводится анализ реальных документов организаций, исправление выявленных ошибок и корректировка формулировок под требования закона.
Тема 5: Специальные обязанности оператора при обработке персональных данных
Лекция: подробно рассматриваются правовые режимы трансграничной передачи ПД, локализации данных, обработки специальных категорий ПД и биометрических данных. Объясняются требования закона, процедуры уведомления, условия правомерной обработки и меры безопасности, обязательные при работе с чувствительными данными.
Практическое занятие: слушатели анализируют модели трансграничной передачи данных, оценивают правомерность передачи в конкретные государства, изучают реальные схемы обработки специальных категорий и биометрии, выявляют нарушения и формируют предложения по их устранению.
Тема 6: Организация деятельности оператора персональных данных в сети Интернет
Лекция: изучаются особенности правового регулирования обработки ПД на сайтах, в мобильных приложениях и иных цифровых платформах. Рассматриваются требования к политике конфиденциальности сайта, пользовательскому соглашению, cookie-уведомлениям, структуре интернет-форм, а также обязанности оператора предоставлять пользователю информацию о своих действиях.
Практическое занятие: слушатели анализируют реально существующие политики конфиденциальности и пользовательские соглашения, выявляют несоответствия требованиям законодательства, разрабатывают исправленный фрагмент политики для интернет-сайта и моделируют корректное уведомление пользователя об обработке данных.
Тема 7: Обеспечение безопасности персональных данных
Лекция: изучаются основополагающий технические и организационные меры защиты персональных данных, требования статьи 19 Федерального закона, структура модели угроз, выбор уровня защищённости, типичные ошибки операторов, а также возможные причины утечек данных. Уделяется внимание анализу систем защиты, документированию мер и обеспечению непрерывного контроля, в том числе, для операторов, являющихся ИП, самозанятыми.
Практическое занятие: слушатели создают модель угроз для условной организации, выявляют уязвимости, определяют необходимые меры защиты, составляют таблицу «угроза — уязвимость — мера». Слушатели формируют перечень мер, необходимых для соблюдения требований законодательства, для оператора, являющегося ИП (ФЛ).
Тема 8: Надзор и ответственность за нарушение законодательства о персональных данных
Лекция: детально рассматриваются полномочия Роскомнадзора, виды проверок, порядок проведения административных расследований, составы административных правонарушений, ответственность операторов ПД, а также примеры судебной и административной практики.
Практическое занятие: слушатели моделируют процесс подготовки оператора к проверке Роскомнадзора, процесс проведения проверки Роскомнадзора, анализируют отдельные протоколы об административных правонарушениях, судебные решения.
Тема 9: Практические аспекты деятельности оператора персональных данных
Лекция: систематизируются знания, необходимые оператору ПД, включая порядок подачи уведомления об обработке ПД, уведомления о трансграничной передаче, правила взаимодействия с субъектами, ответы на запросы, подготовку документов и построение внутренней системы контроля.
Практическое занятие: слушатели заполняют уведомление об обработке ПД, готовят уведомление о трансграничной передаче, уведомление об инциденте, составляют проект ответа на запрос регулятора. После выполнения проводится анализ ошибок и обсуждение алгоритмов правильных действий оператора в типичных ситуациях.
