Комплаенс в области персональных данных

Содержание курса

1. Понятия «конфиденциальность», «приватность» и «персональные данные». Виды персональных данных.
• Понятие «конфиденциальность информации» в российском законодательстве
• Право человека на приватность. Понятия «privacy» и «data protection»
• Понятие «персональные данные» в законодательстве и на практике
• Биометрические персональные данные. Специальные категории персональных данных. Обезличенные данные
• Персональные данные, разрешенные субъектом персональных данных для распространения (федеральный закон №519-ФЗ)
• Данные веб-аналитики и cookie-файлы в интернете

2. Планирование комплаенс-мероприятий в области персональных данных
• Реформа законодательства в области персональных данных. Система нормативно-правовых требований по обработке и защите персональных данных
• Экстерриториальное действие российского законодательства в области персональных данных
• Риск-ориентированный подход к комплаенсу. Основы управления правовыми рисками
• Порядок организации комплаенс-проекта. Формирование команды
• Основные этапы комплаенс-проекта

3. Ответственный за организацию обработки персональных данных – Data Protection Officer (DPO)
• Задачи, функции и полномочия DPO. Позиция DPO в корпоративной структуре компании
• Участие DPO в планировании и реализации комплаенс-мероприятий
• Правовое и организационное обеспечение деятельности DPO
• Ключевые профессиональные навыки DPO
• Ответственность DPO по российскому законодательству

4. Бизнес-процессы, связанные с обработкой персональных данных
• Юридические понятия «обработка персональных данных» и «операции с персональными данными»
• Принципы обработки персональных данных
• Анализ бизнес-процессов организации, связанных с обработкой персональных данных
• Цель обработки персональных данных
• Способы обработки персональных данных
• Правовые основания и условия обработки персональных данных
• Допустимый срок обработки персональных данных и условия ее прекращения

5. Лица, участвующие в обработке персональных данных
• Оператор персональных данных
• Совместная обработка персональных данных несколькими операторами
• Лицо, обрабатывающее персональные данные по поручению оператора (процессор). Договор на поручение обработки персональных данных
• Субъект персональных данных и его основные права

6. Аудит бизнес-процессов, связанных с обработкой персональных данных
• Цели, задачи и порядок организации аудита в компании в области персональных данных
• Основные методы и приемы правового аудита в области персональных данных
• Подготовка отчета о правовом аудите. Data mapping

7. Правовые и организационные мероприятия оператора персональных данных
• Система организационно-распорядительной документации в области персональных данных. Политика в отношении обработки персональных данных
• Реестр бизнес-процессов, связанных с обработкой персональных данных
• Юридическое сопровождение и документирование бизнес-процессов, связанных с обработкой персональных данных
• Управление доступом к персональным данным и иной конфиденциальной информации
• Организация работы с материальными носителями персональных данных и обеспечение их защищенности
• Организация обучения работников и их ознакомления с требованиями в области персональных данных
• Составление и подача уведомления об обработке персональных данных

8. Информационная система персональных данных (ИСПДн). Мероприятия по технической защите ИСПДн
• Техническая защита персональных данных
• Регуляторы в области технической защиты персональных данных
• Определение угроз безопасности персональных данных
• Выбор организационных и технических мер по обеспечению безопасности персональных данных
• Обезличивание персональных данных
• Шифрование персональных данных
• Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации
• Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных
• Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию на них

9. Локализация баз персональных данных. Трансграничная передача персональных данных
• Структурирование международных проектов в области персональных данных
• Требование о локализации баз персональных данных на территории России: содержание, порядок выполнения, практические сложности
• Новые законодательные требования и ограничения в области трансграничной передачи персональных данных. Сбор обязательных сведений о получателе данных и иностранном государстве, на территорию которого передаются данные
• Уведомление Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных

10. Сделки с персональными данными
• Правовые аспекты «покупки» и «продажи» персональных данных
• Формирование базы данных и распоряжение правами на нее
• Юридическое оформление передачи персональных данных между операторами

11. Комплаенс-контроль в компании
• Выстраивание системы внутреннего контроля для предотвращения нарушений в области персональных данных
• Действия DPO по реагированию на нарушения в области персональных данных.
• Внутренние расследования. Уведомление Роскомнадзора об инциденте и о результатах расследования
• Применение дисциплинарных взысканий к работникам за нарушения в области персональных данных
• Действия DPO при получении запросов от субъектов персональных данных, надзорных и правоохранительных органов

12. Контрольно-надзорная деятельность Роскомнадзора в области персональных данных. Ответственность за нарушения
• Новый порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных (Постановление Правительства РФ от 29.06.2021 № 1046)
• Виды контрольно-надзорных мероприятий
• Тактика действий по сопровождению надзорной проверки на стороне оператора персональных данных
• Мораторий на контрольные (надзорные) мероприятия (Постановления Правительства РФ от 10.03.2022 №336 и от 24.03.2022 №448)
• Виды ответственности за нарушения в области персональных данных и порядок привлечения к ответственности. Кейсы

13. Мастер-класс «Внедрение комплексной программы защиты персональных данных в организации. От простого к сложному»

14. Основы General Data Protection Regulation (GDPR)
• Принципы обработки персональных данных по европейскому законодательству
• Правовые основания обработки данных. Отличия согласия и легитимного интереса от аналогичных институтов в российском праве и правоприменительной практике. Правовое регулирование куки
• Территориальное действие GDPR. Соотношение понятий GDPR и 152-ФЗ
Как правильно оформить передачу данных между участниками их обработки. Трансграничная передача персональных данных из ЕС в иностранные государства
• Data protection by design & by default. Права субъектов персональных данных. Алгоритм ответа на запросы
• Реагирование на утечки данных. Информирование надзорного органа и субъектов персональных данных

15. Международные стандарты обеспечения информационной безопасности
• Рекомендации UK ICO по безопасности персональных данных (Великобритания)
• Базовые требования по защите информации, включая персональные данные, от NCSC Cyber Essentials (Великобритания)
• Требования CNIL по безопасности персональных данных (Франция)
• Рекомендации ENISA по безопасности персональных данных (Евросоюз)
• Международные стандарты ISO 27701, ISO 27018, ISO 29100, ISO 29151
• Иные международные требования по защите персональных данных в разных приложениях (блокчейн, искусственный интеллект, большие данные и т.п.)