1. Umum

1.1. Peraturan mengenai pengolahan data pribadi (selanjutnya disebut Peraturan) bertujuan untuk melindungi hak dan kebebasan individu yang data pribadinya diproses oleh Perseroan Terbatas "Turbodok" (selanjutnya disebut layanan Turbodok).

1.2. Peraturan ini dikembangkan sesuai dengan ayat 2, bagian 1, pasal. 18.1 Undang-Undang Federal 27 Juli 2006 No. 152-FZ “Tentang Data Pribadi” (selanjutnya disebut Undang-Undang Federal “Tentang Data Pribadi”).

1.3. Peraturan tersebut berisi informasi yang harus diungkapkan sesuai dengan Bagian 1 Seni. 14 Undang-Undang Federal “Tentang Data Pribadi”, dan merupakan dokumen publik.

2. Informasi mengenai pengolahan data pribadi

2.1. Layanan Turbodok memproses data pribadi secara hukum dan adil untuk memenuhi fungsi, wewenang dan tanggung jawab yang diberikan oleh hukum, untuk melaksanakan hak dan kepentingan sah layanan Turbodok, karyawan layanan Turbodok dan pihak ketiga.

2.2. Layanan Turbodok menerima data pribadi langsung dari subjek data pribadi.

2.3. Layanan Turbodok memproses data pribadi secara otomatis dan non-otomatis, dengan dan tanpa penggunaan teknologi komputer.

2.4. Tindakan pemrosesan data pribadi meliputi pengumpulan, pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), ekstraksi, penggunaan, transfer (distribusi, penyediaan, akses), depersonalisasi, pemblokiran, penghapusan, dan pemusnahan.

2.5. Basis data informasi yang berisi data pribadi warga negara Federasi Rusia berlokasi di wilayah Federasi Rusia.

3. Informasi tentang layanan Turbodok

3.1. Nama lengkap perusahaan badan hukum: Perseroan Terbatas "Turbodok".

3.2. Alamat layanan Turbodok: 127006, Moskow, st. Rumah Dolgorukovskaya 35, kamar. 51.

3.3. NPWP 7707847355, pos pemeriksaan 770701001.

3.4. Bertanggung jawab untuk mengatur pemrosesan data pribadi: Dmitry Nikolaevich Osmolovsky.

3.5. Alamat layanan Turbodok di Internet ada di .

3.6. Basis data informasi yang berisi data pribadi warga negara Federasi Rusia terletak di alamat: Kota St. Petersburg, Bolshoy Sampsonievsky Prospekt, gedung 77. Dedicated Server Center LLC (Lisensi untuk “Layanan komunikasi Telematika” No. 123019).

4. Informasi tentang menjamin keamanan data pribadi

4.1. Layanan Turbodok menunjuk orang yang bertanggung jawab untuk mengatur pemrosesan data pribadi untuk memenuhi tugas yang diatur oleh Undang-Undang Federal “Tentang Data Pribadi” dan tindakan hukum pengaturan yang diadopsi sesuai dengan itu.

4.2. Layanan Turbodok menerapkan serangkaian tindakan hukum, organisasi, dan teknis untuk menjamin keamanan data pribadi untuk memastikan kerahasiaan data pribadi dan perlindungannya dari tindakan melanggar hukum:

— menyediakan akses tak terbatas ke teks Peraturan di situs web promosi layanan Turbodoc http://site/personal-data-regulations-turbodoc;

— sesuai dengan Peraturan, menyetujui dan memberlakukan dokumen “Peraturan tentang pemrosesan data pribadi” dan tindakan lokal lainnya;

— membiasakan karyawan dengan ketentuan peraturan perundang-undangan tentang data pribadi, serta Peraturan;

— memberikan akses kepada karyawan terhadap data pribadi yang diproses dalam sistem informasi layanan Turbodok, serta media material mereka hanya untuk pelaksanaan tugas pekerjaan;

— menetapkan aturan untuk akses ke data pribadi yang diproses dalam sistem informasi layanan TurboDok, dan juga memastikan pendaftaran dan akuntansi semua tindakan dengan data tersebut;

— menilai kerugian yang mungkin ditimbulkan pada subjek data pribadi jika terjadi pelanggaran terhadap Undang-Undang Federal “Tentang Data Pribadi”;

— mengidentifikasi ancaman terhadap keamanan data pribadi selama pemrosesannya dalam sistem informasi layanan Turbodok;

— menerapkan langkah-langkah organisasi dan teknis dan menggunakan alat keamanan informasi yang diperlukan untuk mencapai tingkat keamanan data pribadi yang ditetapkan;

— mendeteksi fakta akses tidak sah terhadap data pribadi dan mengambil tindakan respons, termasuk pemulihan data pribadi yang diubah atau dimusnahkan sebagai akibat dari akses tidak sah terhadap data tersebut;

— menilai efektivitas langkah-langkah yang diambil untuk memastikan keamanan data pribadi sebelum mengoperasikan sistem informasi layanan Turbodok;

— melakukan pengendalian internal atas kepatuhan pemrosesan data pribadi dengan Undang-Undang Federal “Tentang Data Pribadi”, peraturan yang diadopsi sesuai dengannya, persyaratan untuk perlindungan data pribadi, Kebijakan, Peraturan, dan tindakan lokal lainnya, termasuk kontrol atas langkah-langkah yang diambil untuk menjamin keamanan data pribadi dan tingkat keamanannya ketika diproses dalam sistem informasi layanan Turbodok.

5. Hak subjek data pribadi

5.1. Subjek data pribadi berhak:

— untuk menerima data pribadi yang berkaitan dengan subjek ini dan informasi mengenai pemrosesannya;

- untuk mengklarifikasi, memblokir, atau menghancurkan data pribadinya jika data tersebut tidak lengkap, ketinggalan jaman, tidak akurat, diperoleh secara ilegal, atau tidak diperlukan untuk tujuan pemrosesan yang disebutkan;

— untuk menarik persetujuan yang diberikan olehnya untuk pemrosesan data pribadi;

- untuk melindungi hak dan kepentingan sah mereka, termasuk ganti rugi dan ganti rugi atas kerusakan moral di pengadilan;

— untuk mengajukan banding atas tindakan atau kelambanan layanan TurboDok ke badan yang berwenang untuk melindungi hak-hak subjek data pribadi atau di pengadilan.

5.2. Untuk melaksanakan hak dan kepentingan sahnya, subjek data pribadi berhak menghubungi layanan Turbodok atau mengirimkan permintaan secara langsung atau dengan bantuan perwakilan. Permintaan tersebut harus berisi informasi yang ditentukan dalam Bagian 3 Seni. 14 Undang-Undang Federal “Tentang Data Pribadi”.

Menurut Undang-Undang Federal No. 152-FZ “Tentang Data Pribadi”, data pribadi berarti informasi apa pun yang berkaitan dengan individu yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung (subjek data pribadi).

• nama belakang, nama depan, patronimik;
• tahun, bulan, tanggal dan tempat lahir;
• alamat tempat pendaftaran dan tempat tinggal;
• keluarga, sosial, status properti;
• pendidikan, profesi, pendapatan;
• rincian paspor;
• dll.

Catatan: Posisi pengadilan adalah bahwa satu email atau nomor ponsel juga merupakan data pribadi, karena memungkinkan Anda untuk secara tidak langsung mengidentifikasi seseorang (subjek data pribadi) http://bit.ly/delo_provider.

Menurut Undang-Undang Nomor 152-FZ “Tentang Data Pribadi”, pemrosesan data pribadi berarti setiap tindakan atau serangkaian tindakan dengan data pribadi, termasuk pengumpulan, pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), ekstraksi, penggunaan, transfer (distribusi, penyediaan, akses), depersonalisasi, pemblokiran, penghapusan, penghancuran.

Data pribadi harus dilindungi sesuai dengan Undang-Undang Federal 152 “Tentang Data Pribadi”, yang menjadikan hal ini sebagai tanggung jawab setiap perusahaan, pengusaha perorangan, atau organisasi anggaran yang memproses data pribadi. Operator data pribadi wajib mengambil sejumlah tindakan untuk mematuhi persyaratan undang-undang Federasi Rusia mengenai pemrosesan dan keamanan data pribadi.

Jika tidak, operator data pribadi dan karyawannya dapat dikenakan tanggung jawab disipliner, administratif, dan pidana, dan larangan pemrosesan data pribadi oleh Roskomnadzor dapat mengakibatkan penangguhan aktivitas perusahaan.

Di Federasi Rusia ada tiga regulator utama di bidang ini:

• Layanan Federal untuk Pengawasan Komunikasi, Teknologi Informasi, dan Komunikasi Massa (Roskomnadzor) adalah badan yang berwenang untuk melindungi hak-hak subjek data pribadi dan melakukan kontrol dan pengawasan atas kepatuhan pemrosesan data pribadi dengan persyaratan undang-undang Federasi Rusia di bidang data pribadi.
• Layanan Federal untuk Kontrol Teknis dan Ekspor (FSTEC Rusia) melakukan kontrol dan pengawasan atas tindakan organisasi dan teknis untuk melindungi data pribadi.
• Layanan Keamanan Federal (FSB Rusia) melakukan kontrol dan pengawasan atas perlindungan data pribadi biometrik dan tindakan kriptografi untuk melindungi data pribadi.

Regulator melakukan inspeksi terjadwal dan tidak terjadwal, yang mana operator data pribadi diberitahukan 24 jam sebelumnya.

Untuk mematuhi hukum, perlu memiliki paket dokumentasi organisasi dan administrasi, menunjuk orang yang bertanggung jawab untuk mengatur pemrosesan dan memastikan keamanan data pribadi, menyampaikan pemberitahuan tentang pemrosesan data pribadi ke Roskomnadzor, menentukan tingkat keamanan sistem informasi untuk menyimpan data pribadi dan mengambil tindakan organisasi dan teknis untuk memastikan keamanan data pribadi.

Catatan: Anda dapat mematuhi persyaratan hukum dengan cara berikut:

• Memesan audit yang komprehensif, menyesuaikan proses bisnis dengan persyaratan UU No. 152-FZ dan mempercayakan pengembangan serangkaian dokumen kepada para ahli.
• Pekerjakan seorang spesialis keamanan informasi yang akan memantau kepatuhan terhadap hukum secara independen. Pada saat yang sama, tidak ada yang bertanggung jawab atas kualitas dan sangat sulit menemukan karyawan seperti itu.
• Menggunakan sistem penyiapan dokumen otomatis, salah satunya adalah layanan online B-152.

Hampir sebulan telah berlalu sejak 1 Juli 2017, ketika amandemen Undang-Undang Federal No. 152 “Tentang Data Pribadi” mulai berlaku, dan dengan itu persyaratan bagi semua pemilik situs web untuk bertanggung jawab atas pelanggaran saat berinteraksi dengan klien pribadi data.

Tidak mungkin lagi bertindak seperti sebelumnya - cukup dapatkan data pribadi pengunjung situs dengan mengundangnya berlangganan berita atau produk berharga. Sekarang kami berkewajiban untuk memperingatkan semua orang tanpa kecuali bahwa kami akan menyimpan dan memproses data pribadi, meskipun kami tidak berencana untuk melakukannya.

Segala pemikiran dan perdebatan mengenai topik “data apa yang bersifat pribadi”, “apakah saya harus mematuhi persyaratan hukum jika saya tidak mengumpulkan dan memproses data pelanggan”, “Saya tidak menjual apa pun, saya hanya menawarkan untuk berlangganan ke berita situs”, “ orang membuat keputusan sendiri ketika mereka meninggalkan data mereka dalam formulir berlangganan - saya tidak memaksa siapa pun,” dll., dll., adalah masa lalu - ada banyak informasi tentang Internet di mana Anda dapat menemukan jawaban atas pertanyaan-pertanyaan ini, dan perdebatan ini tidak ada gunanya. Anda hanya perlu menerima inovasi begitu saja dan cukup melakukan tindakan yang diperlukan. Secara pribadi, saya tidak menghabiskan banyak waktu untuk kegiatan seperti itu - saya segera menyadari bahwa untuk menghindari denda, yang mencapai 75.000 rubel, cara termudah adalah melakukan apa yang dikatakan undang-undang dan mulai membuat dokumen hukum untuk situs saya - Kebijakan Privasi dan Perjanjian Pengguna.

Karena saya tidak dapat memprediksi kunjungan Inspektur Roskomnadzor ke website saya untuk mencatat pelanggaran, hal yang paling logis adalah menghilangkan pelanggaran tersebut terlebih dahulu. Apa yang saya lakukan berhasil, dan saya menyarankan semua orang yang memiliki:

• formulir berlangganan di situs
• halaman umpan balik
• formulir komentar

Cara membuat kebijakan privasi dan perjanjian pengguna

Saya melihat beberapa situs web rekan-rekan yang telah melakukan perubahan dan membuat dokumen yang diperlukan, mempelajari surat-surat tentang topik ini yang datang melalui email, dan menemukan layanan 152фз.рф yang sederhana, mudah dipahami, dan sangat berguna, yang memeriksa keberadaan situs web saya. dokumen hukum dan mengeluarkan putusan saya dan menawarkan untuk mempercayai dia dengan kreasi mereka.

Secara umum, saya puas dengan semuanya, terutama fakta bahwa teks dokumen sepenuhnya mencerminkan kebutuhan saya untuk memproses dan menyimpan data pribadi klien, dan fakta bahwa saya dapat menggunakan layanannya secara gratis.

⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓

Layanan ini menyediakan dalam bentuk yang dapat diakses semua informasi tentang mengapa, kepada siapa dan mengapa perlu mematuhi persyaratan Undang-Undang Federal No. 152. Kemudian mereka akan menunjukkan kepada Anda denda apa yang akan Anda hadapi karena kegagalan untuk mematuhi, siapa yang telah dihukum dan bagaimana caranya, dan mereka akan ditawari untuk menggunakan salah satu dari tiga tarif.

Untuk pemilik situs web biasa, yang banyak terdapat di Internet, paket gratis cocok. Dan kemudian, dalam gambar, ada tindakan langkah demi langkah yang saya lakukan secara pribadi, untuk kejelasan yang lebih besar dan agar Anda memiliki gambaran tentang informasi apa yang perlu Anda persiapkan untuk membuat dokumen.

Setelah semua dokumen dibuat, saya mempelajari teks masing-masing dokumen dengan cermat, mengoreksinya sedikit, dan mengunduh file pdf ke komputer saya. Kemudian, menggunakan , yang menjadi penyelamat favorit saya, saya mengonversi PDF ke WORD, menyalin teks dan menempelkannya dengan tautan ke layanan ke halaman situs yang baru dibuat. Tautan ke dokumen juga terletak di footer situs.

Saya akan segera mencatat bahwa saya memutuskan untuk meninggalkan Kebijakan Privasi, yang saya buat sedikit sebelumnya, tanpa perubahan, dan mengambil Perjanjian Pengguna dari layanan 152fz.rf. Tapi saya mungkin berubah pikiran))

Anda dapat melakukan hal yang sama, atau Anda dapat menggunakan metode lain yang tersedia untuk memposting dokumen di situs web Anda:

1. unggah file pdf ke situs web dan letakkan tautan ke dokumen-dokumen ini di tempat yang nyaman
2. pasang widget 152фз.рф di website menggunakan kode pada halaman dokumen yang sudah jadi

Formulir berlangganan buletin

Langkah penting lainnya yang perlu diambil adalah menempatkan teks berikut dalam formulir berlangganan artikel situs baru atau buletin email. Anda dapat mengubahnya jika perlu.

Dengan mengklik tombol tersebut, saya menerima perjanjian pengguna dan mengonfirmasi bahwa saya telah membaca dan menyetujui kebijakan privasi situs ini

Saya tidak seberuntung formulir berlangganan dibandingkan dengan dokumen resmi - keadaan darurat terjadi dan ketika saya menghapus formulir berlangganan yang tidak aktif, formulir berlangganan yang aktif menghilang bersama dengan semua pelanggan... Saya tidak dapat memulihkannya, karena serta membuat formulir berlangganan baru, dan layanan pengiriman sendpulse masih memberi saya janji untuk memperbaiki masalah teknis yang muncul saat membuat formulir baru. Sekarang menurut saya teks ini bisa saja diletakkan di bawah formulir, yang utama ada di halaman, tetapi dalam bentuk atau di bawah formulir - tidak ada perbedaan. Eh, andai saja aku tahu lebih awal di mana harus meletakkan sedotan itu... Aku masih khawatir. Saya yakin Anda tidak akan menemui masalah seperti itu saat melakukan perubahan pada formulir berlangganan.

Ini adalah langkah sederhana yang harus dilakukan setiap pemilik situs web kecil biasa sebelum 1 Juli 2017. Setuju, itu tidak sulit sama sekali dan tidak memakan banyak waktu. Jika Anda tidak puas dengan dokumen yang sekarang ada di website Anda, atau Anda baru saja kembali dari liburan, tetapi tidak punya waktu untuk menyelesaikannya tepat waktu... maka bagaimanapun, di website saya sekarang ada saran yang berguna untuk Anda tentang topik ini. Kumpulan nasihatnya terus bertambah... Saya berharap Anda semua sukses dan mengambil tindakan yang benar!

Artikel ini dikhususkan untuk berbagai jenis layanan untuk secara otomatis menghasilkan satu set dokumen internal suatu organisasi tentang perlindungan data pribadi berdasarkan beberapa informasi yang dimasukkan oleh pengguna. Sejujurnya, awalnya ini adalah postingan yang berisi kemarahan. Saya kesal dengan informasi yang diterima melalui saluran pribadi bahwa perwakilan dari salah satu layanan ini mengunjungi dokter kepala institusi medis di kota tempat saya tinggal dan mengancam saya dengan kantor kejaksaan dan hukuman karena melanggar undang-undang “Tentang Data Pribadi” jika saya menolak untuk berlangganan layanan tersebut. Namun kebetulan ikut campur - dalam proses penulisan artikel, hal-hal mendesak muncul. Dan semua tulisan yang sudah siap saat itu dikirim ke draft selama seminggu. Selama waktu ini, ketegangan telah sedikit mereda dan sekarang saya akan mencoba menjelaskan dengan tenang mengapa layanan tersebut tidak akan menjamin kualitas dokumentasi internal yang tepat tentang perlindungan data pribadi, saya akan berbicara tentang masalah lain dari portal tersebut dan di akhir saya akan memberikan link ke beberapa gado-gado dari dokumen yang sama.

Masalah #1. Menyesatkan klien Berbohong

Di salah satu situs, di halaman pertama tertulis bahwa denda maksimum karena melanggar aturan pemrosesan data pribadi adalah 300.000 rubel. Ini tidak benar. Saat ini, Pasal 13.11 Kode Pelanggaran Administratif Federasi Rusia menetapkan denda maksimum untuk badan hukum sebesar 10 ribu rubel. Di sini, tampaknya, kita berbicara tentang RUU No. 683952-6, yang mengatur perluasan Pasal 13.11 Kode Pelanggaran Administratif dan sebenarnya meningkatkan denda maksimum menjadi 300.000 rubel, tetapi RUU tersebut lolos pembacaan pertama pada musim gugur yang lalu dan ditangguhkan. Dan apakah pada akhirnya akan diterima masih belum diketahui. Kesimpulan: penulis situs ini tidak menyadari situasinya, atau sengaja mencoba mengeksploitasi perasaan takut akan denda yang besar, yang juga tidak baik.

Contoh kedua: layanan lain dengan sungguh-sungguh menjanjikan keberhasilan pemeriksaan apa pun oleh otoritas pengatur mana pun di bidang perlindungan data pribadi dengan dokumen mereka. Pertama, layanan ini tidak menghasilkan dokumen penting seperti "Model Ancaman", yang bahkan Roskomnadzor harus tunjukkan dan tanpanya, bahkan pemeriksaan dokumenter pun tidak dapat berhasil dilewati. Kedua, FSTEC dan FSB tidak hanya memeriksa lembaran kertas. Ketiga, saya sudah menulis di artikel lama saya bahwa di beberapa daerah (tidak semua) sistem stick beroperasi dan tidak mungkin berhasil lulus ujian, tidak peduli seberapa baik kita mempersiapkannya.

Masalah #2: Kurangnya penyesuaian

Sejujurnya, saya sendiri pernah menulis “pengisi” serupa untuk template di Java, tapi entah kenapa tidak cocok dengan pekerjaan saya, yang paling bisa dilakukan adalah memasukkan nama organisasi dan lainnya secara otomatis. mengulangi hal-hal dalam dokumen. Dan inilah alasannya - jika tujuannya adalah untuk menulis dokumentasi berkualitas tinggi, maka dokumentasi tersebut harus ditulis dengan tangan, dengan mempertimbangkan semua fitur proses bisnis organisasi dan fitur platform TI tempat informasi data pribadi disimpan. sistem dibangun. Di tempat kerja saya, biasanya, inilah tugasnya, dan bagi mereka yang perlu “keluar dari pengecekan” kami menyediakan kumpulan templat di bawah ini. Gratis. Namun di sini perlu diingat bahwa regulator juga tidak tinggal diam dan semakin sulit untuk lolos audit dengan seperangkat template, bukan dokumen yang diadaptasi dari tujuh tahun lalu.

Izinkan saya menjelaskan mengapa “pengisi” templat tidak akan membantu ketika mengembangkan kumpulan dokumen yang lengkap dan berguna. Ambil contoh, dokumen penting dan berguna “Instruksi Administrator Keamanan”. Tentu saja, ketika sebuah dokumen dibuat untuk dipamerkan, dokumen tersebut mengandung banyak kesalahan dan sangat sedikit kekhususan. Jika kita membuat dokumen lengkap, kita perlu menjelaskan semua tanggung jawab dan tindakan administrator keamanan, tergantung pada kondisi pengoperasian sistem informasi data pribadi. Dan ternyata isi dokumen tersebut dipengaruhi oleh banyak faktor:

Apakah virtualisasi digunakan?
- Apakah perangkat seluler digunakan?
- pencadangan, dengan cara apa dilakukan, dengan frekuensi berapa, di mana salinan cadangan disimpan?
- dll. dll.

Tentu saja, Anda dapat mencoba memperhitungkan semua ini dalam templat, tetapi pengguna layanan harus mengumpulkan dan memasukkan data dalam jumlah besar, yang bertentangan dengan prinsip “sederhana dan mudah, cukup bayar uang”.

Yang dapat dilakukan secara wajar oleh “pengisi” templat adalah berbagai perintah untuk penunjukan orang yang bertanggung jawab atau komisi apa pun. Segera setelah pertanyaan terkait proses bisnis atau fitur infrastruktur TI dimulai, masalah pun dimulai.

Masalah No. 3. Kualitas dokumen itu sendiri dipertanyakan

Contoh. Biasanya, sistem informasi menunjuk dua orang yang bertanggung jawab atas perlindungan data pribadi - satu orang bertanggung jawab untuk mengatur data pribadi (lebih lanjut tentang masalah organisasi) dan seorang administrator keamanan informasi (tentang masalah teknis - menyiapkan alat keamanan, dll.). Oleh karena itu, peran-peran ini biasanya disingkat menjadi “Penanggung Jawab” dan “Administrator”. Jadi, salah satu layanan menyebut kedua teman ini “bertanggung jawab untuk mengatur pemrosesan data pribadi” dan “bertanggung jawab untuk memastikan keamanan data pribadi” mereka menyingkatnya, seperti yang mungkin Anda duga, sebagai “Bertanggung jawab” dan (tiba-tiba!); "Bertanggung jawab". Dalam urutan penunjukan orang-orang yang bertanggung jawab ini, tidak ada tipu muslihat apa pun; kengerian dimulai ketika penulis dokumen mulai menggambarkan interaksi dua orang yang berbeda ini, ternyata seperti “Yang Bertanggung Jawab pada Yang Bertanggung Jawab dan Yang Bertanggung Jawab. berkendara.”

Masalah #4: Keamanan

Untuk apa semua ini?