GDPR і захист персональних даних
Мінімізуйте ризики в обробці персональних даних та уникніть грошових і репутаційних втрат
Дати:
28 вересня — 11 листопада
Після навчання з GDPR у вас залишаться шаблони документів:
- Data Protection Impact Assessment — процедура оцінювання ризиків для персональних даних
- Data Processing Agreement — договір про обробку персональних даних між контролером та процесором
- RoPA — реєстр обробки персональних даних
- SCC — інструмент передачі даних за межі ЄС у рамках GDPR
- Legitimate Interest Assessment — аналіз, який допомагає визначити, чи можна обробляти персональні дані на підставі законного інтересу відповідно до статті 6(1)(f) GDPR
- Transfer Impact Assessment — аналіз ризиків передачі персональних даних за межі Європейського економічного простору
Викладачі курсу
Станіслав
Коваленко
- Head of Compliance and Data Protection в групі компаній Nova Global
- Перший офіційно призначений DPO в Україні
- 19+ років досвіду роботи у сфері юриспруденції, з них за напрямом privacy compliance — більше ніж 6 років
- Сертифікований аудитор за стандартами ISO/IEC 27001, 27701
- Визнаний найкращим комплаєнс-офіцером в Україні у 2019 та 2021 роках за версією видання «Юридична практика»
- Голова Data Privacy комітету та співзасновник International Advisers Association
Ася
Мініна
- Head of Compliance у Clym
- 6+ років досвіду у сфері захисту персональних даних в ІТ-компаніях
- Інтегрувала принципи privacy by design у 4 продукти, що знизило регуляторні ризики та підвищило довіру користувачів
- Має досвід у впорядкуванні міжнародної передачі даних між компаніями в Україні, Європейському Союзі та Сполучених Штатах
- Сертифікована фахівчиня із захисту інформації в Європі та інформаційних технологій у сфері конфіденційності
- В Ciklum розробила та впровадила навчальну програму для понад 3000 співробітників, адаптовану до специфічних потреб компанії
Запрошена лекторка
Ми рекомендуємо цей курс про GDPR, якщо ви:
-
Юрист чи адвокат Дізнаєтеся, як впровадити правила обробки даних у межах реальних бізнес-процесів, щоб компанія уникла порушень і штрафів. Розберетеся з договірними обовʼязками та навчитеся обґрунтовувати підстави для обробки даних у різних ситуаціях.
-
Менеджер з інформаційної безпеки Зможете гарантувати безпечну обробку даних, навчитеся адаптувати наявну систему до міжнародних стандартів та долати технічні виклики. Отримаєте чіткий алгоритм реагування на інциденти, Data Breach та різні типи запитів на доступ до персональних даних.
-
Compliance Consultant Розбиратиметеся з локальними інтерпретаціями законів та враховуватимете вказівки регулюючих органів. Опануєте інструменти моніторингу відповідності обробки даних до стандартів GDPR на кожному етапі. Зможете встановлювати правила роботи з даними та проводити тренінги.
ПРОГРАМА
Персональні дані та GDPR
- що таке персональні дані
- які категорії даних існують
- як працює європейська правова база
- сфери дії GDPR
- як законопроєкт №8153 узгоджується з GDPR
Домашнє завдання: прочитаєте статті 1–5 GDPR і перевірите, чи компанія підпадає під дію GDPR
Законна обробка персональних даних
- принципи обробки даних: стаття 5 GDPR, законопроєкт №8153
- підстави для законної обробки даних: стаття 6 GDPR, законопроєкт №8153
- як оцінити законність обробки
- як обрати підставу для різних цілей
- як провести Legitimate Interest Assessment
Практика: на одному з кейсів визначите правові підстави обробки та оціните легітимний інтерес
Контролери та процесори персональних даних. Представництво в ЄС
- хто такий контролер даних
- хто такий процесор даних
- обов’язки контролерів та процесорів
- як працюють спільні контролери
- коли потрібен DPO
DPIA та безпека обробки даних
- коли проводити DPIA
- як оцінити вплив на захист даних
- технічні та організаційні заходи безпеки
- обов’язки процесорів щодо безпеки
- Privacy by Design та Privacy by Default
Домашнє завдання: оціните, чи потрібна DPIA для системи відеоспостереження, і запропонуєте заходи безпеки
Права суб’єктів даних
- як працюють запити суб’єктів даних
- коли права суб’єктів можна обмежити
- вимоги до контролерів та процесорів
- як побудувати процес обробки запитів
Домашнє завдання: оціните запит клієнтки на доступ до даних і визначите, що розкрити, в чому відмовити й що приховати
RoPA на практиці
Практика: пропрацюєте RoPA на воркшопі
DPA: договір про обробку даних
- що має містити DPA
- як перевірити договір про обробку даних
- як працює DPA з українським процесором
- коли потрібні стандартні договірні положення
- представництво в ЄС для компаній поза межами ЄС
Практика: розберете DPA для українського IT-підрядника та SCC+DPA для компанії в США
Міжнародна передача даних
- коли можна передавати дані за межі ЄС
- як працює Transfer Impact Assessment
- обов’язки контролерів та процесорів у третіх країнах
- як передавати дані з України в ЄС
- як законопроєкт №8153 впливає на транскордонну обробку
Практика: розберете кейси передачі даних в Україну та США
Домашнє завдання: підготуєте юридичну позицію для європейського партнера щодо передачі даних в Україну
Data breach: інциденти й реагування
- що вважається data breach
- типи інцидентів з персональними даними
- обов’язки контролера під час порушення
- обов’язки процесора під час порушення
- як законопроєкт №8153 регулює інциденти
Домашнє завдання: оціните data breach в e-commerce та визначите, кого потрібно повідомити
Cookie, Privacy Policy та ePrivacy
- як працює ePrivacy Directive
- що має містити Privacy Policy
- вимоги до Cookie Policy
- як налаштовувати cookie-банери
- як працює згода на вебсайтах і в застосунках
Домашнє завдання: проаналізуєте Privacy Policy Secure Privacy за статтею 13 GDPR і запропонуєте покращення
Інформаційна безпека для GDPR-комплаєнсу. Запрошений лектор
Запрошена лекторка — Катерина Саранчук
- як інформаційна безпека підтримує GDPR-комплаєнс
- тріада CIA: Confidentiality, Integrity, Availability
- чим CISO відрізняється від DPO
- ISO 27001 і SOC 2 для захисту даних
- як відрізнити security incident від data breach
- мінімальні заходи безпеки для бізнесу
GDPR, DUAA 2025 та AI Act
- як змінюється європейське цифрове право
- ключові реформи UK GDPR у DUAA 2025
- класифікація AI-систем за рівнями ризику
- ролі providers і deployers в AI Act
- нові правила автоматизованих рішень в Англії
Відповідальність за порушення GDPR
- штрафи та санкції за GDPR
- відповідальність у законопроєкті №8153
- відповідальність контролера і процесора
- як працює Data Protection Authority
- що таке One-Stop Shop
Домашнє завдання: проаналізуєте data breach у хмарного провайдера і визначите відповідальність контролера, процесора й наглядових органів
GDPR та інші закони про захист даних
- глобальний вплив GDPR
- підхід США до захисту даних
- секторальне регулювання в США
- чим GDPR відрізняється від CCPA
- як GDPR впливає на закони інших країн
- Q&A-сесія
Забронювати місце
Приєднуйтеся та впроваджуйте ефективні практики з безпеки даних без ризику порушення конфіденційності та правил GDPR.


