Безопасность персональных данных: юридические аспекты и практические рекомендации

1. Нормативно-правовые акты, регулирующих работу с персональными данными, и новые требований законодательства.

• Международные соглашения о защите персональных данных и их трансграничной передаче. Требования GDPR на территории РФ и их применимость по отношению к российским операторам.
• Обзор ключевых изменений ФЗ «О персональных данных»
• Документы Роскомнадзора, ФСТЭК и ФСБ, которые необходимо учитывать при организации работы с персональными данными.
• Трудовой кодекс Российской Федерации о защите персональных данных работника.

2. Понятие и виды персональных данных (ПДн) в соответствии с нормами законодательства. Специальные категории. Обработка видео и фото: когда начинаются биометрические персональные данные? Персональные данные, разрешенные для распространения.

3. Условия обработки персональных данных, оператор данных и его обязанности. Организация хранения персональных данных. Новые требования к уничтожению персональных данных.

• Способы обработки ПДн: с использованием средств автоматизации и без использования. Информационная система персональных данных (ИСПДн)
• Порядок оформления согласия на использование ПДн. Иные оснований для обработки персональных данных.
• Обработка персональных данных родственников и других связанных с работниками лиц (дети, родители, супруги и т. д.): приём данных, обработка, хранение, удаление. Персональные данные несовершеннолетних, особенности обработки данных, разрешённых субъектом для распространения.
• Организация хранения персональных данных.
• Допустимый срок обработки ПДн и условия ее прекращения. Право граждан возражать против обработки персональных данных: изменения и новые правила.
• Обязанность уничтожить ПДн: незаконное получение ПДн или отсутствие необходимости в этих данных; неправомерная обработка ПДн; достижение цели обработки ПДн; отзыв субъектом ПДн согласия на обработку. Документальное подтверждение уничтожения: акт уничтожения ПДн + выгрузка из журнала регистрации событий в ИСПДн

4. Практическое задание «Обработка персональных данных соискателей, работников и уволившихся сотрудников»

• Слушателям предстоит на практике отработать навыки работы с ПДн соискателей, работников и уволившихся сотрудников. Требуется правильно провести передачу данных третьим лицам (банкам, страховым компаниям и т. д.), в том числе лиц, не являющихся сотрудниками компании.

5. Комплаенс в области персональных данных в компании.

• Выстраивание системы комплаенса в области персональных данных на всех этапах и для компаний любого размера. Основные обязанности и функции.
• Персональные данные в системе документооборота компании, порядок работы с открытыми персональными данными. Меры по защите конфиденциальной информации. Ограничение доступа к персональным данным. Виды ответственности за нарушение правил работы с данными, незаконное получение и передачу данных.

6. Организационно-распорядительная документация по защите персональных данных в организации.

• Типовой комплект документов для оформления обработки ПДн – на что обратить внимание?
• Локальные акты (положения, инструкции); распорядительные документы (приказы по организации); типовые формы (согласия, обязательства о конфиденциальности, анкеты и т.д.); журналы, реестры и перечни, листы ознакомления; договорная документация; акты (об соотношении возможного вреда и принимаемых мер, о внутреннем контроле (аудите) и т.д.; технические документы.

7. Практическое задание «Дисциплинарные взыскания и увольнение как способы защиты данных».

• Участники отрабатывают навык увольнения сотрудника за разглашение персональных данных или коммерческой тайны, разбирают возможные ошибки работодателя, которые могут привести к восстановлению работника через суд.

8. Обработка персональных данных через сайт

• Согласие на обработку персональных данных и маркетинговые коммуникации: как получить и отозвать согласие.
• Пользовательское соглашение: нужно ли оно на сайте и как его составить.
• Уведомления о сборе файлов cookie: как правильно уведомить пользователей и сохранить их согласие.

9. Ответственность за нарушение законодательства, регламентирующего вопросы использования персональных данных.

• Уведомление Роскомнадзора (РКН): изменения в составлении и подаче уведомления об обработке персональных данных: когда компания должна его обновить и можно ли его не подавать; что учесть при заполнении уведомления?
• Уведомление РКН об инциденте и о результатах его проверки - что учесть: выявлено неправомерное копирование базы данных; копия базы данных доступна в интернет; получено сообщение с угрозой раскрыть базу данных.
• Новые требования к оценке вреда субъекту ПДн. Как оценивать вред? Степени вреда.
• Проверки РКН в 2025 году: порядок проведения и основные особенности. Утечка ПД в Интернет как основание для внеплановой проверки. Профилактический визит РКН. Основания для внеплановых проверок. Инспекционный визит. Объявление предостережения. Документарная проверка. Выездная проверка. Чек-лист Роскомнадзора.

10. Деловая игра «Аудит бизнес – процессов»

• 1 блок «Кадровая служба»: обработка персональных данных работников: прием сведений, обработка, хранение, уничтожение, личные дела действующих и уволенных работников; что нельзя хранить в личном деле; обработка данных членов семьи без правовых оснований; несвоевременное уничтожение данных; ДМС; миграционный / воинский учет; командировки; медосмотры; неправильно организованный рекрутинг и обработка персональных данных соискателей; архивное хранение; заказ визиток.
• 2 блок «Бухгалтерская служба»: хранение первички; архивное хранение; зарплатный проект; аутсорсинг в бухгалтерии; исполнительные листы.
• 3 блок «Служба безопасности»: пропускной режим; видеонаблюдение.
• 4 блок «Юридическая служба»: работа с договорами, доверенностями, использование подрядных организаций и т.п.

11. Тестирование* по курсу «Безопасность персональных данных: юридические аспекты и практические рекомендации»