Персональные данные в IT-сфере: правовые аспекты обработки и ответственности операторов

Продолжительность курса: 24 ак. ч.

Описание курса:
Персональные данные играют ключевую роль в функционировании ИТ-сервисов. Использование функционала «личного кабинета», форм обратной связи, персонализации и аналитики, рекомендательных алгоритмов, монетизации сервиса и многих других аспектов их функционирования невозможно без обработки персональных данных. Кроме того, использование ИТ-решений, построенных с использованием технологий Больших данных, Блокчейн, Интернета вещей, Искусственного интеллекта в ряде случаев сопряжено с обработкой персональных данных физических лиц: клиентов и их контактных лиц, посетителей веб-сайта, работников и пр. Настоящий курс повышения квалификации посвящен анализу применимых норм законодательства, существующей судебной практики и подходов Роскомнадзора по вопросам сбора и обработки персональных данных в ИТ-сервисах, ключевым обязанностям оператора и ответственности за их нарушение.

Аудитория:
• Юристы, работающие или планирующие работать в сфере применения законодательства об интеллектуальной собственности, а также реализация проектов в области интернета

Необходимая подготовка:
• Не требуется.

Программа курса:
Модуль 1. Общие положения о правовом регулировании персональных данных:
• Действие Федерального закона «О персональных данных» в территориальном и личностном аспектах. Экстерриториальный подход в регулировании персональных данных применительно к интернет-среде. Сравнение российской и европейской моделей регулирования. Определение автоматизированной обработки персональных данных. Взаимосвязь правового режима персональных данных с другими правовыми институтами: коммерческой тайной, тайной связи, базой данных как объектом гражданских прав. Соотношение понятий «неприкосновенность частной жизни» («приватность») и «персональные данные». Совокупность нормативно-правовых требований к обработке и защите персональных данных;
• Определение и классификация персональных данных: специальные категории, биометрическая информация, данные, признаваемые общедоступными, а также стандартные (обычные) персональные данные. Обзор подходов Роскомнадзора и судебной практики в вопросах отнесения информации к персональным данным. Правовое регулирование обезличенных данных. Соотношение понятий «большие пользовательские данные» и персональные данные. Специфика использования массивов данных, содержащих персональную информацию, для целей аналитики Больших данных и обучения моделей искусственного интеллекта. Особенности анонимизированных данных;
• Субъекты правоотношений, регулируемых законодательством в сфере персональных данных. Определение и содержание понятия «обработка персональных данных». Лицо, являющееся субъектом персональных данных, и его правомочия, а также особенности правового положения несовершеннолетних. Определение и характеристика оператора персональных данных. Понятие и признаки лица, осуществляющего обработку персональных данных по заданию оператора (так называемого «обработчика»). Правовая квалификация провайдеров облачных услуг (IaaS и SaaS) в рамках законодательства о персональных данных.

Модуль 2. Ключевые законодательные требования к обработке персональных данных и их применение к ИТ-сервисам:
• Особенности получения согласия субъекта персональных данных на их обработку в электронной форме. Анализ наиболее часто используемых оснований для обработки персональных данных без согласия владельца: исполнение обязанностей по законодательству, реализация условий договора, достижение законных интересов оператора. Принцип целевой направленности обработки персональных данных и принцип минимизации объема используемой информации;
• Ключевые обязательства оператора персональных данных в сфере функционирования ИТ-сервисов. Порядок уведомления Роскомнадзора о начале обработки персональных данных. Специфика алгоритмической обработки персональных данных с целью принятия юридически значимых решений в отношении физических лиц, а также обязанности, связанные с этим процессом. Требования к локализации баз данных с персональными данными на территории Российской Федерации: содержательные аспекты, механизм исполнения, возникающие практические трудности. Порядок трансграничной передачи персональных данных: реализация актуальных норм. Взаимосвязь положений о локализации и трансграничной передаче персональных данных. Обязанности операторов при выявлении случаев несанкционированного раскрытия (утечки) персональных данных. Особенности обработки информации, добровольно размещённой субъектом в открытом доступе. Порядок взаимодействия с запросами субъектов персональных данных.

Модуль 3. Контрольно-надзорная деятельность в отношении операторов, осуществляющих деятельность в электронной среде:
• Применение риск-ориентированного подхода в деятельности по контролю и надзору. Классификация рисков по группам тяжести и вероятности возникновения, а также влияние итогового рейтинга оператора на интенсивность и форму надзорных мероприятий. Проведение контрольных действий без непосредственного взаимодействия с оператором персональных данных;
• Специфика проведения выездных и документальных проверок со стороны Роскомнадзора. Особенности профилактических и инспекционных визитов.

Модуль 4. Ответственность за нарушение законодательства о персональных данных:
• Особенности привлечения к уголовной ответственности за нарушение законодательства в сфере персональных данных. Анализ статьи 137 УК РФ и новый состав правонарушений, предусмотренный статьёй 272.1 УК РФ;
• Ответственность в административном порядке за нарушение норм законодательства о персональных данных. Введение новых составов правонарушений, связанных с несанкционированным раскрытием или утечкой персональных данных;
• Ограничение доступа к веб-ресурсам, где обработка персональных данных осуществляется с нарушением требований законодательства.

Окончательная цена указывается в договоре на обучение.