Форма обучения: очная.

Режим занятий: 6 часов учебных занятий с преподавателем.

Цель семинара: повышение уровня компетенций работников образования в области обработки и защиты персональных данных в соответствии с требованиями законодательства Российской Федерации

Целевая аудитория: работники сферы образования, ответственные за обработку и защиту персональных данных в информационных системах.

1. Нормативно-правовое регулирование обработки персональных данных в РФ (45 минут)
1.1. Федеральный закон № 152-ФЗ "О персональных данных" от 27.07.2006: основные понятия, сфера действия, принципы и условия обработки, права субъектов персональных данных. (ФЗ-152)
1.2. Постановление Правительства РФ № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" от 01.11.2012: классификация ИСПДн, уровни защищенности, требования к мерам защиты. (ПП-1119)
1.3. Приказ ФСТЭК России № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 18.02.2013: конкретные меры защиты, соответствующие уровням защищенности ИСПДн. (Приказ ФСТЭК №21)
1.4. Обзор изменений в законодательстве о персональных данных (последние редакции законов, постановлений, разъяснения Роскомнадзора).
1.5. Ответы на вопросы слушателей.

2. Персональные данные в образовательной сфере: специфика и категории (45 минут)
·2.1. Определение категорий персональных данных, обрабатываемых в образовательных организациях: персональные данные обучающихся, родителей (законных представителей), работников.
2.2. Специальные категории персональных данных (ст. 10 ФЗ-152): обработка сведений о состоянии здоровья, расовой и национальной принадлежности, религиозных и философских убеждениях, интимной жизни. Особенности получения согласия на обработку.
2.3. Биометрические персональные данные (ст. 11 ФЗ-152): использование изображений, отпечатков пальцев, других биометрических данных в образовательном процессе.
2.4. Общедоступные персональные данные (ст. 8 ФЗ-152): размещение информации на сайте образовательной организации, в информационных стендах.
2.5. Обработка персональных данных в связи с реализацией образовательных программ (ведение электронного журнала, портфолио, участие в олимпиадах и конкурсах).
2.6. Ответы на вопросы слушателей.

3. Организационные и технические меры защиты персональных данных в ИСПДн (60 минут)
3.1. Классификация ИСПДн: критерии и порядок проведения классификации. Документирование результатов.
3.2. Определение угроз безопасности персональных данных: модели угроз, оценки рисков.
3.3. Разработка и внедрение организационных мер: назначение ответственных за обработку и защиту персональных данных, разработка локальных нормативных актов (политика обработки, положение о защите, инструкции), обучение персонала. 3.4. Реализация технических мер защиты в соответствии с требованиями ПП № 1119 и Приказа ФСТЭК № 21: идентификация и аутентификация, управление доступом, регистрация и учет, обеспечение целостности, антивирусная защита, межсетевое экранирование, обнаружение вторжений, криптографическая защита информации (при необходимости).
3.5. Контроль за соблюдением требований безопасности персональных данных: внутренний аудит, проверка выполнения требований, устранение выявленных нарушений.
3.6. Ответы на вопросы слушателей.

4. Практические аспекты реализации требований законодательства о персональных данных в сфере образования (60 минут)
4.1. Получение согласия на обработку персональных данных: форма, содержание, порядок отзыва, случаи, когда согласие не требуется (ст. 6 ФЗ-152). Примеры формулировок согласий для различных случаев обработки.
4.2. Уведомление Роскомнадзора об обработке персональных данных (ст. 22 ФЗ-152, Приказ Роскомнадзора № 94 от 30.05.2017): порядок и сроки подачи уведомления, содержание уведомления. Основания для внесения изменений в сведения, содержащиеся в уведомлении.
4.3. Права субъектов персональных данных (ст. 14-18 ФЗ-152): право на доступ к своим персональным данным, право на уточнение, блокирование, уничтожение персональных данных, право на обжалование действий оператора. Порядок рассмотрения запросов субъектов персональных данных.
4.4. Обеспечение конфиденциальности персональных данных: требования к работникам, имеющим доступ к персональным данным, ответственность за разглашение персональных данных (ст. 19 ФЗ-152).
4.5. Трансграничная передача персональных данных (ст. 12 ФЗ-152): условия и ограничения.
4.6. Ответы на вопросы слушателей.
4.7. Разбор кейсов: практические примеры нарушений законодательства о персональных данных в образовательных организациях и меры по их предотвращению.

5. Ответственность за нарушение законодательства в области персональных данных (45 минут)
5.1. Административная ответственность (КоАП РФ, ст. 13.11): виды нарушений, размеры штрафов.
5.2. Дисциплинарная ответственность (ТК РФ, ст. 192, 193): основания для применения, виды взысканий.
5.3. Гражданско-правовая ответственность (ГК РФ, ст. 151, 1099): возмещение морального вреда.
5.4. Уголовная ответственность (УК РФ, ст. 137, 272): виды преступлений, меры наказания.
5.5. Обзор судебной практики по делам о нарушениях законодательства о персональных данных.
5.6. Ответы на вопросы слушателей.

Методическое обеспечение:
— Презентация с теоретическим материалом.
— Раздаточные материалы (шаблоны некоторых документов, примеры формулировок согласий, перечень нормативных актов).
— Практические задания и кейсы для разбора.

Формы контроля:
— Текущий контроль: ответы на вопросы, участие в обсуждениях.
— Итоговый контроль: тестирование по пройденному материалу.