Онлайн сервис персональные данные. Документы для и бизнеса. Гарантии организации разработчика

1. Общие

1.1. Положение в отношении обработки персональных данных (далее — Положение) направлено на защиту прав и свобод физических лиц, персональные данные которых обрабатывает Общество с ограниченной ответственностью "Турбодок" (далее — сервис Турбодок).

1.2. Положение разработано в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

1.3. Положение содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.

2. Сведения об обработке персональных данных

2.1. Сервис Турбодок обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов сервиса Турбодок, работников сервиса Турбодок и третьих лиц.

2.2. Сервис Турбодок получает персональные данные непосредственно у субъектов персональных данных.

2.3. Сервис Турбодок обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

2.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

2.5. Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.

3. Сведения о сервисе Турбодок

3.1. Полное фирменное наименование юридического лица: Общество с ограниченной ответственностью "Турбодок".

3.2. Адрес сервиса Турбодок: 127006, г. Москва, ул. Долгоруковская дом 35, пом. 51.

3.3. ИНН 7707847355, КПП 770701001.

3.4. Ответственный за организацию обработки персональных данных: Осмоловский Дмитрий Николаевич.

3.5. Адрес сервиса Турбодок в сети Интернет по адресу .

3.6. База данных информации, содержащей персональные данные граждан Российской Федерации, находится по адресу: Город Санкт-Петербург, Большой Сампсониевский проспект, дом 77. ООО «Центр Выделенных Серверов» (Лицензия на «Телематические услуги связи» №123019) .

4. Сведения об обеспечении безопасности персональных данных

4.1. Сервис Турбодок назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

4.2. Сервис Турбодок применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

— обеспечивает неограниченный доступ к тексту Положения на промо сайте сервиса Турбодок http://сайт/положение-персональных-данных-turbodoc;

— во исполнение Положения утверждает и приводит в действие документ «Положение об обработке персональных данных» и иные локальные акты;

— производит ознакомление работников с положениями законодательства о персональных данных, а также с Положением;

— осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе сервиса Турбодок, а также к их материальным носителям только для выполнения трудовых обязанностей;

— устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе сервиса Турбодок, а также обеспечивает регистрацию и учёт всех действий с ними;

— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

— производит определение угроз безопасности персональных данных при их обработке в информационной системе сервиса Турбодок;

— применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы сервиса Турбодок;

— осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе сервиса Турбодок.

5. Права субъектов персональных данных

5.1. Субъект персональных данных имеет право:

— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— на отзыв данного им согласия на обработку персональных данных;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

— на обжалование действий или бездействия сервиса Турбодок в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к сервису Турбодок либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».

Согласно Федеральному закону № 152-ФЗ «О персональных данных» под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

фамилия, имя, отчество;
год, месяц, дата и место рождения;
адрес места регистрации и проживания;
семейное, социальное, имущественное положение;
образование, профессия, доходы;
паспортные данные;
и т.п.

На заметку: Позиция судов такова, что даже отдельный email или номер мобильного телефона также является персональными данными, так как он позволяет косвенно определить физическое лицо (субъекта персональных данных) http://bit.ly/delo_provider .

Согласно закону №152-ФЗ «О персональных данных» под обработкой персональных данных подразумевается любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Персональные данные необходимо защищать согласно 152-ФЗ «О персональных данных», который вменяет это в обязанность каждой компании, индивидуальному предпринимателю или бюджетной организации, обрабатывающим персональные данные. Оператор персональных данных обязан принять ряд мер для выполнения требований законодательства Российской Федерации, касающихся обработки и обеспечения безопасности персональных данных.

В противном случае оператор персональных данных и его сотрудники могут понести дисциплинарную, административную и уголовную ответственность, а запрет на обработку персональных данных Роскомнадзора может привести к остановке деятельности компании.

В Российской Федерации существует три основных регулятора в данной сфере:

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.
Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.

Регуляторы проводят как плановые, так и внеплановые проверки, о которых операторы персональных данных предупреждаются за сутки.

Для выполнения закона необходимо иметь пакет организационно-распорядительной документации, назначить ответственных лиц за организацию обработки и обеспечение безопасности персональных данных, подать уведомление об обработке персональных данных в Роскомнадзор, определить уровень защищенности информационных систем для хранения персональных данных и принять организационные и технические меры для обеспечения безопасности персональных данных.

На заметку: Выполнить требования закона можно следующими способами:

Заказать комплексный аудит, привести бизнес-процессы в соответствие требованиям закона №152-ФЗ и поручить разработку комплекта документов экспертам.
Нанять специалиста по информационной безопасности, который будет следить за выполнением закона самостоятельно. При этом за качество никто не отвечает и найти такого сотрудника весьма сложно.
Воспользоваться автоматизированными системами подготовки документов, одной из которых является онлайн-сервис Б-152.

Это любая информация, относящаяся к физическому лицу, по которой прямо или косвенно можно его определить.

К такой информации относится в том числе имя, данные о местоположении, факторы характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

Email , IP -адрес, идентификатор в социальной сети - все это может быть персональными данными.

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные граждан ЕС, не зависимо от местонахождения такой компании.
Нормы GDPR коснутся всех тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины.

GDPR также будут применяться ко всем организациям, вне зависимости от местонахождения, если они любым образом собирают, анализируют или контролируют поведение жителей Евросоюза.

Все российские компании, ориентированные на субъектов в Евросоюзе после 26 мая 2018 г. окажутся в сфере действия Регламента GDPR. В этой связи, согласно требованиям Регламента, такие компании должны назначить своего представителя в Евросоюзе.

Представитель - это физическое или юридическое лицо, созданное в Евросоюзе, которое представляет контролёра или обработчика персональных данных, в отношении их обязательств, предусмотренных Регламентом.

Представитель должен действовать от имени контролёра или обработчика, может взаимодействовать с любыми компетентными органами Евросоюза, государства-члена, включая надзорные органы.

Представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или обработчика, и осуществлять любые действия в целях обеспечения соблюдения Регламента GDPR.

Если у российских операторов персональных данных, к примеру, предоставляющие услуги через интернет для лиц в странах Евросоюза, есть представительства и филиалы в странах Евросоюза, то функции представителя могут быть возложены на них.

Представитель может не назначаться, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработка персональных данных, связана с уголовными приговорами и правонарушениями, или если контролёр является органом или учреждением государственной власти.

Уже прошел почти месяц с 1 июля 2017 года, когда вступили в силу поправки к закону ФЗ-152 «О персональных данных», а вместе с ними требования ко всем владельцам сайтов об ответственности за нарушение при взаимодействии с личными данными клиента.

Уже нельзя действовать так, как раньше, — просто получить личные данные посетителя сайта, предложив ему подписаться на новости или ценный продукт. Теперь мы обязаны предупредить всех без исключения о том, что будем хранить и обрабатывать персональные данные, даже если мы и не планировали этим заниматься.

Все размышления и дебаты на тему, «какие именно данные являются персональными», «а надо ли мне выполнять требования закона, если я не собираю и не обрабатываю данные клиентов», «я ничего не продаю, только предлагаю подписаться на новости сайта», «люди сами принимают решение, когда оставляют свои данные в форме подписки — я никого не заставляю» и т. д. и т. п., остались в прошлом — в интернете есть масса информации, в которой можно найти ответы на эти вопросы, да и бессмысленны эти споры. Нужно просто принять новшества, как данность, и просто выполнить необходимые действия. Лично я не очень много времени потратила на подобную деятельность — быстро сообразила, чтобы избежать штрафов, которые выросли до 75 000 рублей, проще всего сделать так, как «велит закон» и занялась созданием правовых документов для своих сайтов — Политикой конфиденциальности и Пользовательским соглашением.

Так как я не могу предугадать визит Инспектора Роскомнадзора на мой сайт с целью фиксации нарушения, то логичнее всего было устранить эти нарушения заблаговременно. Что я благополучно сделала, и советую всем, у кого есть:

форма подписки на сайте
страница обратной связи
форма комментирования

Как создать политику конфиденциальности и пользовательское соглашение

Я посмотрела несколько сайтов коллег, которые уже внесли изменения и создали необходимые документы, изучила письма на эту тему, пришедшие на почту, и нашла простой, понятный и очень полезный сервис 152фз.рф, который проверил мои сайты на предмет наличия правовых документов, выдал свой вердикт и предложил доверить ему их создание.

Вообщем-то, меня все устроило, а особенно то, что текст документов полностью отображал мои потребности для обработки и хранения персональных данных клиентов, и то, что я могла воспользоваться его услугами бесплатно.

⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓

На сервисе в доступной форме предоставлена вся информация о том, зачем, кому и почему нужно выполнять требования закона ФЗ-152. Затем вам покажут, какие штрафы грозят за их невыполнение, кого и как уже наказали, и предложат воспользоваться одним из трех тарифов.

Для владельцев обычных сайтов, которых в сети великое множество, подойдет бесплатный тариф. А далее, в картинках — пошаговые действия, проделанные мною лично, для большей наглядности и для того, чтобы вы имели представления о том, какую информацию нужно подготовить для создания документов.

После того, как все документы были созданы, я внимательно изучила текст каждого из них, немного подкорректировала, и скачала pdf-файлы на свой компьютер. Затем, с помощью , который стал моей любимой палочкой-выручалочкой, я перевела PDF в WORD, скопировала текст и вставила его с ссылкой на сервис в только что созданные страницы сайта. Ссылки на документы также разместила в подвале сайта.

Сразу замечу, что я решила оставить Политику конфиденциальности, которую создавала немного раньше, без изменений, а Пользовательское соглашение взять с сервиса 152фз.рф. Но могу и передумать))

Вы можете сделать также, а можете воспользоваться другими доступными способами размещения документов на своем сайте:

загрузить pdf-файлы на сайт и разместить в удобном месте ссылки на эти документы
установить на сайте виджет 152фз.рф с помощью кода на странице готовых документов

Форма подписки на рассылку

Еще один важный шаг, который сделать необходимо — разместить в форме подписки на новые статьи сайта или рассылку писем следующий текст. При необходимости вы можете его изменить.

Нажимая на кнопку, я принимаю пользовательское соглашение и подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта

С формой подписки мне не так повезло, как с правовыми документами, — случилось ЧП и при удалении неактивной формы подписки исчезла активная вместе со всеми подписчиками… Восстановить не получилось, так же, как и создать новую форму подписки, а сервис рассылок sendpulse пока только кормит меня обещаниями исправить техническую проблему, которая возникает при создании новой формы. Сейчас думаю, что этот текст можно было разместить под формой, главное, чтобы он был на странице, а в форме или под формой — разницы нет. Эх, знать бы раньше, где соломку подстелить… Пока переживаю. Уверена, что у вас при внесении изменений в форму подписки подобных проблем не возникнет.

Вот такие несложные действия нужно было сделать каждому владельцу обычных, небольших сайтов до 1 июля 2017 года. Согласитесь, это совсем несложно и не займет много времени. Если вас не устраивают документы, которые есть сейчас на вашем сайте, или вы только что вернулись из отпуска, а сделать вовремя не успели…, то в любом случае, на моем сайте для вас теперь есть полезный совет и на эту тему. Копилочка советов пополняется… Желаю всем успехов и правильных действий!

Я согласен на обработку моих персональных данных в соответствии с

Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай - в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

Проблема №1. Введение клиента в заблуждение Вранье

Тут, наверное, сразу стоит начать с примеров.

На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных - 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц - 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно - неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.

Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я уже писал в своей старой статье о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.

Проблема № 2. Отсутствие индивидуализации

Само собой, практически все сервисы по подготовке комплекта документов вам расскажут о гибкой персонализации комплекта документов сугубо под вас, но это утверждение вполне можно было бы привести как третий пример проблемы № 1.

Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему - если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.

Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:

Используется ли виртуализация?
- используются мобильные средства?
- резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
- и т.д. и т.п.

Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».

Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.

Проблема № 3. Сомнительное качество самих документов

Отчасти проблема перекликается с предыдущей, но если в проблеме №2 речь больше шла об особенностях автоматизированного заполнения, то тут речь о том тексте шаблонов, который не подвергается изменению. Накосячить умудряются в самых простых инструкциях.

Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных - ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам - настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как - «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».

Проблема № 4. Безопасность

Как ни странно, сервисы, которые призваны повысить информационную безопасность, сами вызывают ряд вопросов, начиная от банального отсутствия шифрования при отправке форм с конфиденциальными данными, заканчивая как эти данные хранятся на сервисе, как организован физический доступ к серверам и многое другое. При этом мы помним, что пока что сервисы работают по принципу «легко и просто» и не собирают большого количества информации, но могут и «усовершенствоваться». Но тем не менее, как минимум персональные данные ответственных и членов различных комиссий, а также базовые данные по информационной системе придется предоставить.

К чему это все?

Я убежден, что продавать болванки документов, даже под соусом автоматического заполнятора шаблонов за деньги это прошлый век. Я убежден, что запугивание потенциальных клиентов и их обман это тупиковая маркетинговая модель. Стоимость подписки на такие сервисы составляет от 10 до 50 тысяч рублей в год. За эти деньги можно привлечь специалиста, который подготовит качественный комплект с полноценным аудитом бизнес-процессов и IT-инфраструктуры (да, в кризис опытный специалист может согласиться поработать даже за 10 тысяч рублей). Но если выбор пал на шаблоны, то платить за это деньги не вижу никакого смысла. К тому же разные документы можно вполне бесплатно нагуглить. Как я и обещал, для упрощения этой задачи, выложил некоторую подборку