Data Protection Officers

• Обсуждение организационной структуры курса, целей и формата.
• Презентация преподавательского и менторского состава и распаковка профессионального пути с акцентом на карьерные истории.
• Знакомство со слушателями.

• DKIW модель.
• Понятие персональных данных и их обработки.
• Персональные данные и тайны.

• Основания и принципы обработки данных.
• Паттерны.
• Типовые ситуации обработки: хорошие и плохие практики.
• Ошибки в документах, коммуникации и ИТ-среде.
• Жизненные кейсы и решения.
• Статус регулятора.

• Роли. Участие информационных посредников.

• Кто такой DPO в России и в мире. Принципы независимости, подотчетности и компетентности. Кто фактически выполняет роль DPO в российских компаниях.
• Принципы работы DPO и ключевые источники. Руководства и стандарты.
• Квалификационные требования и карьерные треки. Базовые компетенции и развитие по направлениям: искусственный интеллект, кибербезопасность, интеллектуальная собственность, privacy engineering. DPO как архитектор приватности.
• Типы лидерства DPO. Стили и подходы к управлению без формального авторитета. Адаптация роли под зрелость процессов и бизнес-контекста.
• Ступени развития компетенций. От junior до senior: задачи, зоны влияния, навыки. Рост через правовую экспертизу, продуктовую вовлеченность и стратегическую значимость.
• Формирование и работа команды DPO. Построение privacy-функции. Вовлечение смежных ролей. Обоснование ценности приватности для руководства и команд.
• Инструментарий и микросервисы DPO.
• Ответственность DPO. Юридические, организационные и репутационные риски. Реальные границы ответственности. Механизмы управления и страхования рисков. Матрица распределения ответственности (RACI).
• Место DPO в оргструктуре. Возможные модели подчинения. Факторы, влияющие на эффективность роли. Влияние позиции DPO на её восприятие и результативность.

• Трансформация подходов к регулированию обработки персональных данных: ключевые тренды 2025 года.
• Особенности распространения персональных данных.
• Регулирование обработки биометрических персональных данных.
• Порядок трансграничной передачи персональных данных.
• Инциденты с персональными данными – уведомления и ответственность.
• Требования к обработке данных потребителей.
• Использование законного интереса как правовое основание для обработки персональных данных.
• Уведомление Роскомнадзора об обработке ПД.

• Что должен понимать DPO в первые недели.

• Виды обработки и когда они «особенные».

• Инвентаризация: что обрабатываем и зачем.

• Принципы обработки ПД — не только теория.

• Красные флаги: на что обратить внимание в первые 100 дней.

• Чек-лист первых шагов DPO.

• Интерактив по созданию своего плана для данной компании.

• Выявление, оценка и коммуникация рисков privacy compliance.
• Выбор методов и инструментов управления рисками.
• Оценка результатов управления рисками и корректирующие меры.
• Элементы PIA, DPIA, PRA, гэп-анализ.
• Taxonomy of Privacy.
• Вред, причиняемый незаконной обработкой персональных данных.
• Критерии определения рисков в обработке персональных данных глазами государства.
• Оценка рисков различных моделей согласия на обработку персональных данных.
• Оценка рисков повторной идентификации после обезличивания персональных данных.
• Локализация баз персональных данных: базовые стратегии, оценка интегрального уровня юридических рисков, формула расчета привлекательности стратегий.
• Риск менеджмент обработки персональных данных в рамках мобильного приложения.
• Спецификация риск-менеджмента и алгоритм риск-менеджмента процесса обработки персональных данных.

• Что такое идентифицируемость.

• Идентифицируемость vs Анонимность.
• Формализованные подходы к оценке.
• Порядок проведения оценки идентифицирующего потенциала.

• Интерактив: разбираем реальные кейсы.

• Анализ бизнес-процессов как основа для приватности: что такое бизнес-процесс, примеры типовых процессов.
• Методики анализа и описания бизнес-процессов.
• Подходы к формированию перечня бизнес-процессов.
• Построение единого подхода по инвентаризации информационных активов в разрезе бизнес-процессов: способы инвентаризации.
• Создание и поддержание реестра процессов обработки персональных данных (RoPA).

• Правовые основания и бизнес-процессы.

• Легитимный интерес — универсальный ответ?

• Согласие: где и как.

• Когда исполнение договора можно использовать как основание.

• Примеры частых ошибок.

• Кто есть кто: ключевые роли.
• Как подступиться к определению роли: методы и решения.
• Оформление поручения.

• Когда это не поручение, а передача.

• Организационные меры.

• Что такое Privacy Due Diligence?

• Что должен включать опросник.
• Как составить и адаптировать опросник.

• Проведение проверки.

• Что делать по результатам.
• Как это зафиксировать: отчёт по результатам due diligence.

• Критерии локализации.
• Архитектурные паттерны.
• Работа с калькулятором рисков по локализации.
• Отрисовка карты потоков данных.
• Юридическая обвязка трансграничной передачи данных.
• Факторы страны-получателя.
• Технические меры.

• Виды запросов субъектов.
• Как устроен жизненный цикл запроса.
• Практика идентификации.
• Сроки и последствия просрочки.
• А можно ли отказать?
• Типовые ошибки.

• Тесты на минимизацию и избыточность.
• Тест на сроки хранения.
• Тест на законность и соразмерность.

• участники приносят свои кейсы или разбирают предложенные
• эксперт делится подходами, как принимать решение под неопределенностью
• обсуждаем варианты действий и их последствия

• Как работает legal design в праве и почему он важен для privacy-коммуникации.
• Принципы структурирования, визуализации, типографики и UX в документах DPO.
• Примеры удачного и неудачного дизайна документации.

• Изучение действующего процесса управления документацией.
• Определение заинтересованных лиц и вовлечение их в процесс подготовки документации (создание “рабочей группы”).
• Разработка проектов документации с учетом принятых обычаев и норм в организации.
• Согласование проектов с заинтересованными лицами в соответствии с принятыми в организации маршрутами согласования.
• Утверждение и ввод в действие согласованной документации в соответствии с установленным в организации процессом управления документацией.

• Зачем нужен аудит обработки ПД.
• Планирование аудита.

• Проведение интервью с владельцами процессов.

• Выявление нарушений и несоответствий.
• Подготовка отчёта по аудиту.
• Презентация результатов.

• Что такое ИСПДн.
• Группировка ИС в ИСПДн: примеры, ошибки, советы.
• Моделирование угроз по методике ФСТЭК.
• Определение уровня защищенности ИСПДн.
• Этапы и подходы в проектировании СЗПДн.

• Проблематика приватности в ИТ.
• Опыт взаимодействия DPO с ИТ-проектами.
• Цели и функции инженера по приватности и как он может помочь DPO.
• Набор минимальных технических знаний для DPO в роли инженера по приватности или менеджера ИТ-проектов.
• Разбор прикладных задач DPO, решаемых с привлечением ИТ:

• Обзор линейки инструментов для автоматизации DPO-функции.
• Промпты и агенты: как DPO использовать ИИ эффективно.

• Старт с нуля.

• Стратегия и фокус.

• Формирование команды.

• Бюджет и buy-in.

• Интеграция в оргструктуру.

• Метрики и первые результаты

• Ошибки и неожиданные находки

• Фиксации целей, понимание аудитории и планирование.
• Архитектура программы.
• Форматы мероприятий и активности.
• Инструменты и платформы.
• Маскоды и шаблоны.
• Как измерять успех.

• ИИ и приватность: где заканчивается DPO и начинается AI Ethics.
• Информационная безопасность и DPO: союзники или разные миры.
• Интеллектуальная собственность: как не потерять данные и права.
• Риски на стыке трёх зон: практические кейсы.
• Как строить диалог с командами вне privacy-функции.

• Что проверяет Роскомнадзор в рамках контроля.
• Типовой сценарий проверки.
• Что должно быть готово заранее.
• Типовые ошибки.

• Разогрев: «Сигналы» утечки.
• Идентификация и сбор информации.
• Принятие решений.
• Коммуникация.
• Действия по устранению последствий.

Преподаватель: Алексей Мунтян, Николай Дмитрик, Екатерина Ефимова, Анастасия Грачева, Кристина Боровикова, Герман Сабиров, Лилия Дутко, Павел Мищенко, Елизавета Воронцова, Екатерина Басниева, Павел Новожилов, Ксения Смирнова, Анастасия Сковпень, Анастасия Гайнетдинова, Антон Брагинец, Елизавета Дмитриева, Екатерина Калугина, Марина Юфа, Кирилл Зюбанов, Артем Дмитриев