Data Protection Officers

• Обсуждение организационной структуры курса, целей и формата.
• Презентация преподавательского и менторского состава и распаковка профессионального пути с акцентом на карьерные истории.
• Знакомство со слушателями.

Преподаватели: Алексей Мунтян, Николай Дмитрик, Екатерина Ефимова, Анастасия Грачева, Кристина Боровикова, Герман Сабиров, Лилия Дутко, Павел Мищенко, Елизавета Воронцова, Екатерина Басниева, Павел Новожилов, Ксения Смирнова, Анастасия Сковпень, Анастасия Гайнетдинова, Антон Брагинец, Елизавета Дмитриева, Екатерина Калугина, Марина Юфа, Кирилл Зюбанов, Артем Дмитриев

• DKIW модель.
• Понятие персональных данных и их обработки.
• Персональные данные и тайны.

Преподаватели: Николай Дмитрик

• Роли. Участие информационных посредников.

Преподаватели: Николай Дмитрик

• Кто такой DPO в России и в мире. Принципы независимости, подотчетности и компетентности. Кто фактически выполняет роль DPO в российских компаниях.
• Принципы работы DPO и ключевые источники. Руководства и стандарты.
• Квалификационные требования и карьерные треки. Базовые компетенции и развитие по направлениям: искусственный интеллект, кибербезопасность, интеллектуальная собственность, privacy engineering. DPO как архитектор приватности.
• Типы лидерства DPO. Стили и подходы к управлению без формального авторитета. Адаптация роли под зрелость процессов и бизнес-контекста.
• Ступени развития компетенций. От junior до senior: задачи, зоны влияния, навыки. Рост через правовую экспертизу, продуктовую вовлеченность и стратегическую значимость.
• Формирование и работа команды DPO. Построение privacy-функции. Вовлечение смежных ролей. Обоснование ценности приватности для руководства и команд.
• Инструментарий и микросервисы DPO.
• Ответственность DPO. Юридические, организационные и репутационные риски. Реальные границы ответственности. Механизмы управления и страхования рисков. Матрица распределения ответственности (RACI).
• Место DPO в оргструктуре. Возможные модели подчинения. Факторы, влияющие на эффективность роли. Влияние позиции DPO на её восприятие и результативность.

Преподаватели: Алексей Мунтян

• Трансформация подходов к регулированию обработки персональных данных: ключевые тренды 2025 года.
• Особенности распространения персональных данных.
• Регулирование обработки биометрических персональных данных.
• Порядок трансграничной передачи персональных данных.
• Инциденты с персональными данными – уведомления и ответственность.
• Требования к обработке данных потребителей.
• Использование законного интереса как правовое основание для обработки персональных данных.
• Уведомление Роскомнадзора об обработке ПД.

Преподаватель: Алексей Мунтян

• Что должен понимать DPO в первые недели.

Термины, без которых никуда: ПД, обработка, автоматизированная обработка.
Виды персональных данных: общие, специальные, биометрические.

• Виды обработки и когда они «особенные».

Когда обработка требует доп.требований: трансграничная, автоматизация, биометрия.
Кейс: чем «обработка» отличается от «сбора»?

• Инвентаризация: что обрабатываем и зачем.

Сбор, получение, обезличивание: как отличать и документировать.
Поручение на обработку: с кем, как, на каких условиях.

• Принципы обработки ПД — не только теория.

9 принципов из 152-ФЗ: как их применить в реальности.
Кейс: какой принцип нарушается чаще всего?

• Красные флаги: на что обратить внимание в первые 100 дней.

Отсутствие учёта ПД, «забытые» операторы, рискованные поручения.
Где искать проблемы: сайты, CRM, HR, подрядчики.

• Чек-лист первых шагов DPO.

Что посмотреть, с кем поговорить, какие документы запросить.
Как быстро показать ценность DPO.

• Интерактив по созданию своего плана для данной компании.

Преподаватель: Кирилл Зюбанов

• Выявление, оценка и коммуникация рисков privacy compliance.
• Выбор методов и инструментов управления рисками.
• Оценка результатов управления рисками и корректирующие меры.
• Элементы PIA, DPIA, PRA, гэп-анализ.
• Taxonomy of Privacy.
• Вред, причиняемый незаконной обработкой персональных данных.
• Критерии определения рисков в обработке персональных данных глазами государства.
• Оценка рисков различных моделей согласия на обработку персональных данных.
• Оценка рисков повторной идентификации после обезличивания персональных данных.
• Локализация баз персональных данных: базовые стратегии, оценка интегрального уровня юридических рисков, формула расчета привлекательности стратегий.
• Риск менеджмент обработки персональных данных в рамках мобильного приложения.
• Спецификация риск-менеджмента и алгоритм риск-менеджмента процесса обработки персональных данных.

Преподаватель: Алексей Мунтян

• Что такое идентифицируемость.

Определения из законодательства и практики.
Прямая и косвенная идентификация.
Контекст, связь и внешний фон как факторы.

• Идентифицируемость vs Анонимность.
• Формализованные подходы к оценке.
• Порядок проведения оценки идентифицирующего потенциала.

Как организовать анализ: шаг за шагом.
Инвентаризация атрибутов и анализ связей.
Как принимать решение: нужны ли меры обезличивания или ограничения.

• Интерактив: разбираем реальные кейсы.

Преподаватель: Анастасия Грачева

• Анализ бизнес-процессов как основа для приватности: что такое бизнес-процесс, примеры типовых процессов.
• Методики анализа и описания бизнес-процессов.
• Подходы к формированию перечня бизнес-процессов.
• Построение единого подхода по инвентаризации информационных активов в разрезе бизнес-процессов: способы инвентаризации.
• Создание и поддержание реестра процессов обработки персональных данных (RoPA).

Преподаватель: Кристина Боровикова

• Правовые основания и бизнес-процессы.

Как привязать основания к бизнес-процесса.
Какие вопросы задавать процессным владельцам, чтобы выбрать нужное основание.
Кросс-проверка с целями и субъектами.

• Легитимный интерес — универсальный ответ?

Когда его можно применять, а когда — нельзя.
Какие оценки нужно провести (баланс интересов).
Как документировать и обосновывать.

• Согласие: где и как.

Где согласие необходимо по закону.
Способы подписания согласий: checkbox, ЭП, подписание бумажной формы, интерфейс приложения.
Что должно быть в согласии: состав, цель, срок, отзыв.
Обязательные и рекомендуемые шаблоны согласий.

• Когда исполнение договора можно использовать как основание.

Договор с субъектом данных.
Договор в интересах субъекта.
Какие действия входят в рамки исполнения договора, а какие — уже нет (например, маркетинг после оказания услуги).

• Примеры частых ошибок.

Преподаватель: Кирилл Зюбанов, Артем Дмитриев

• Кто есть кто: ключевые роли.
• Как подступиться к определению роли: методы и решения.
• Оформление поручения.

Содержание договора поручения.
Особенности при трансграничной передаче.

• Когда это не поручение, а передача.

Контрагенты со своими целями.
Совместные проекты с распределенной ответственностью.

• Организационные меры.

Ведение реестра обработчиков.
Модель контроля: кто, как и когда следит за соблюдением поручений.

Преподаватель: Герман Сабиров

• Что такое Privacy Due Diligence?

Какую цель преследуем.
Когда проводить.

• Что должен включать опросник.
• Как составить и адаптировать опросник.

Универсальный шаблон vs кастомизация под цель.
Как различать: опросники для обработчиков vs для третьих лиц.
Примеры вопросов с уровнями зрелости (начальный → продвинутый).

• Проведение проверки.

Форматы: таблица, онлайн-интервью, анкетирование.
Сигналы риска: избегание ответов, размытые формулировки, отсутствие базовых политик.
Как интерпретировать результаты: матрица оценки рисков.

• Что делать по результатам.
• Как это зафиксировать: отчёт по результатам due diligence.

Преподаватель: Артем Дмитриев

• Критерии локализации.
• Архитектурные паттерны.
• Работа с калькулятором рисков по локализации.
• Отрисовка карты потоков данных.
• Юридическая обвязка трансграничной передачи данных.
• Факторы страны-получателя.
• Технические меры.

Преподаватель: Алексей Мунтян

• Виды запросов субъектов.
• Как устроен жизненный цикл запроса.
• Практика идентификации.
• Сроки и последствия просрочки.
• А можно ли отказать?
• Типовые ошибки.

Преподаватель: Лилия Дутко

• Тесты на минимизацию и избыточность.
• Тест на сроки хранения.
• Тест на законность и соразмерность.

Преподаватель: Кирилл Зюбанов

На этой сессии:

• участники приносят свои кейсы или разбирают предложенные
• эксперт делится подходами, как принимать решение под неопределенностью
• обсуждаем варианты действий и их последствия

Преподаватель: Алексей Мунтян

• Как работает legal design в праве и почему он важен для privacy-коммуникации.
• Принципы структурирования, визуализации, типографики и UX в документах DPO.
• Примеры удачного и неудачного дизайна документации.

Преподаватель: Павел Мищенко

• Изучение действующего процесса управления документацией.
• Определение заинтересованных лиц и вовлечение их в процесс подготовки документации (создание “рабочей группы”).
• Разработка проектов документации с учетом принятых обычаев и норм в организации.
• Согласование проектов с заинтересованными лицами в соответствии с принятыми в организации маршрутами согласования.
• Утверждение и ввод в действие согласованной документации в соответствии с установленным в организации процессом управления документацией.

Преподаватель: Елизавета Воронцова

• Зачем нужен аудит обработки ПД.
• Планирование аудита.

Определение охвата и приоритетов.
Как выбрать метод: самооценка, интервью, наблюдение, анализ документов.
Инструменты: опросники, шаблоны для интервью, карты обработки.

• Проведение интервью с владельцами процессов.

Какие вопросы задавать.
Как выявлять фактические потоки данных.
Как DPO ведёт интервью: тон, фиксация, follow-up.

• Выявление нарушений и несоответствий.
• Подготовка отчёта по аудиту.
• Презентация результатов.

Как презентовать выводы руководству и не испугать команду.
Как продвигать изменения на основе аудита: soft skills DPO.

Преподаватель: Екатерина Басниева

• Что такое ИСПДн.
• Группировка ИС в ИСПДн: примеры, ошибки, советы.
• Моделирование угроз по методике ФСТЭК.
• Определение уровня защищенности ИСПДн.
• Этапы и подходы в проектировании СЗПДн.

Преподаватель: Павел Новожилов

• Проблематика приватности в ИТ.
• Опыт взаимодействия DPO с ИТ-проектами.
• Цели и функции инженера по приватности и как он может помочь DPO.
• Набор минимальных технических знаний для DPO в роли инженера по приватности или менеджера ИТ-проектов.
• Разбор прикладных задач DPO, решаемых с привлечением ИТ:

Автоматизированное удаление данных.
Выгрузка данных.
Управление согласиями.
Минимизация обработки данных.

Преподаватель: Елизавета Дмитриева

• Обзор линейки инструментов для автоматизации DPO-функции.
• Промпты и агенты: как DPO использовать ИИ эффективно.

Преподаватель: Ксения Смирнова, Екатерина Калугина

На этой сессии:
• участники приносят свои кейсы или разбирают предложенные
• эксперт делится подходами, как принимать решение под неопределенностью
• обсуждаем варианты действий и их последствия
Преподаватели: Павел Новожилов, Екатерина Басниева

• Старт с нуля.

Когда и зачем бизнесу впервые приходит запрос на приватность.
Что чаще всего есть на старте: хаос, внешняя проверка, давление регулятора, амбициозный DPO.

• Стратегия и фокус.

Как определить зону ответственности и приоритеты на первых этапах.
Какие процессы берём первыми: реестры, договоры, запросы субъектов, DPIA, risk-оценка?
Как быстро понять, где «горит».

• Формирование команды.

Кто нужен на старте? Кто может временно закрыть функции?
Где искать кадры (внутренние переходы, внешний рынок)?
Как проводить интервью и что спрашивать.

• Бюджет и buy-in.

Как обосновывать бюджет (и что просить в первую очередь)
Что проще всего «пробить» и как?
Презентация приватности как бизнес-функции: язык пользы.

• Интеграция в оргструктуру.

Как вписать privacy в существующую архитектуру.
Модели взаимодействия с безопасностью, ИТ, юристами, продактом.
Где DPO эффективен — внутри юр отдела, комплаенса, CIO?

• Метрики и первые результаты

Как измерять прогресс: maturity model, регистр процессов, KRI/KPI.
Когда функция становится «видимой» и полезной.

• Ошибки и неожиданные находки

Преподаватель: Елизавета Дмитриева, Кирилл Зюбанов

• Фиксации целей, понимание аудитории и планирование.
• Архитектура программы.
• Форматы мероприятий и активности.
• Инструменты и платформы.
• Маскоды и шаблоны.
• Как измерять успех.

Преподаватель: Марина Юфа

• ИИ и приватность: где заканчивается DPO и начинается AI Ethics.
• Информационная безопасность и DPO: союзники или разные миры.
• Интеллектуальная собственность: как не потерять данные и права.
• Риски на стыке трёх зон: практические кейсы.
• Как строить диалог с командами вне privacy-функции.

Преподаватель: Екатерина Калугина, Анастасия Сковпень, Анастасия Гайнетдинова