Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай - в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

Проблема №1. Введение клиента в заблуждение Вранье

Тут, наверное, сразу стоит начать с примеров.

На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных - 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц - 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно - неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.

Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я уже писал в своей старой статье о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.

Проблема № 2. Отсутствие индивидуализации

Само собой, практически все сервисы по подготовке комплекта документов вам расскажут о гибкой персонализации комплекта документов сугубо под вас, но это утверждение вполне можно было бы привести как третий пример проблемы № 1.

Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему - если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.

Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:

Используется ли виртуализация?
- используются мобильные средства?
- резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
- и т.д. и т.п.

Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».

Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.

Проблема № 3. Сомнительное качество самих документов

Отчасти проблема перекликается с предыдущей, но если в проблеме №2 речь больше шла об особенностях автоматизированного заполнения, то тут речь о том тексте шаблонов, который не подвергается изменению. Накосячить умудряются в самых простых инструкциях.

Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных - ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам - настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как - «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».

Проблема № 4. Безопасность

Как ни странно, сервисы, которые призваны повысить информационную безопасность, сами вызывают ряд вопросов, начиная от банального отсутствия шифрования при отправке форм с конфиденциальными данными, заканчивая как эти данные хранятся на сервисе, как организован физический доступ к серверам и многое другое. При этом мы помним, что пока что сервисы работают по принципу «легко и просто» и не собирают большого количества информации, но могут и «усовершенствоваться». Но тем не менее, как минимум персональные данные ответственных и членов различных комиссий, а также базовые данные по информационной системе придется предоставить.

К чему это все?

Я убежден, что продавать болванки документов, даже под соусом автоматического заполнятора шаблонов за деньги это прошлый век. Я убежден, что запугивание потенциальных клиентов и их обман это тупиковая маркетинговая модель. Стоимость подписки на такие сервисы составляет от 10 до 50 тысяч рублей в год. За эти деньги можно привлечь специалиста, который подготовит качественный комплект с полноценным аудитом бизнес-процессов и IT-инфраструктуры (да, в кризис опытный специалист может согласиться поработать даже за 10 тысяч рублей). Но если выбор пал на шаблоны, то платить за это деньги не вижу никакого смысла. К тому же разные документы можно вполне бесплатно нагуглить. Как я и обещал, для упрощения этой задачи, выложил некоторую подборку

Преступления, связанные с кражей личности, актуальны для России уже не первый год, поэтому стало важным правильно обрабатывать и хранить персональные данные, обеспечивать их безопасность и не допускать утечек информации. В 2006 году вступил в силу 152-ФЗ «О персональных данных», который обязывает все организации правильно оформлять и поддерживать в актуальном состоянии документацию, связанную с защитой персональных данных.

Оформление документации по защите персональных данных

Онлайн-сервис предназначен для помощи организациям в оформлении документации по защите персональных данных с минимальными затратами времени и средств. Процедура внесения и обработки информации предельно проста, с ней может справиться даже сотрудник, не имеющий юридической подготовки, достаточно внести в онлайн-формы основные данные - информацию об организации, список допущенных к обработке персональной информации лиц, доступные информационные системы - сервис сам сформирует все необходимые документы.

Подключившись к сервису оформления документации по защите персональных данных, Вы получите:

1. Упрощенную систему работы с документами.

Главным преимуществом данной системы является простота в управлении информацией. Поэтапное выполнение простых требований позволяет формировать и контролировать процесс изменения около 100 документов без длительной специализированной подготовки.
В зависимости от формы собственности организации, штата сотрудников, наличия средств защиты информации сервис подскажет необходимые для формирования пакета документов шаги. При изменениях одного из необходимых параметров вам достаточно внести соответствующие данные в систему, а при пересмотре законодательства вы получите своевременное автоматическое уведомление.

2. Информационную и техническую поддержку.

Если у вас возникают вопросы по эксплуатации сервиса или требуется техническая поддержка, специалисты готовы проконсультировать вас в онлайн-консультанте, по телефону или электронной почте. В отдельных случаях возможен выезд специалиста для решения возникающих вопросов. Кроме того, инженеры смогут помочь вам подобрать необходимый набор средства защиты информации.

3. Безопасность.

В большинстве случаев от вас требуется лишь получение доступа к онлайн-сервису. Информация обрабатывается на серверах, доступ к которым осуществляется по защищенным каналам.
Программно-аппаратные средства, защищающие сервер, не только сертифицированы по требованиям защиты информации, но и обеспечивает максимальную защиту данных от несанкционированного доступа. Информация автоматически копируется на резервные носители, поэтому, в случае сбоев в работе оборудования ее легко будет восстановить.

4. Удаленный доступ.

Вы можете воспользоваться услугами сервиса с любого компьютера, на котором установлено соответствующее программное обеспечение для обеспечения защищенного доступа, в любой день недели, 24 часа в сутки. Это особенно важно, если вы работаете по гибкому графику либо требуется срочно завершить проект в неурочное время.

5. Автоматическое обновление.

Актуальность базы гарантируется договорными обязательствами. Оформляя подписку на использование сервиса, вы получаете гарантии разработчика, несущего ответственность за своевременное обновление информации. При изменении законодательной базы пользователи, имеющие доступ к аккаунту организации, получают специальные уведомления о необходимости коррекции данных.

6. Гарантии организации разработчика.

ГК «Центр информационной безопасности» располагает штатом опытных инженеров, отслеживающих последние изменения в законодательстве. С учетом изменений своевременно корректируются шаблоны документов онлайн-сервиса.

7. Возможность бесплатного тестирования сервиса.

Возможность бесплатного использования демо-версии сервиса в течение 1 месяца позволит Вам оценить преимущества сервиса.

Уже прошел почти месяц с 1 июля 2017 года, когда вступили в силу поправки к закону ФЗ-152 «О персональных данных», а вместе с ними требования ко всем владельцам сайтов об ответственности за нарушение при взаимодействии с личными данными клиента.

Уже нельзя действовать так, как раньше, — просто получить личные данные посетителя сайта, предложив ему подписаться на новости или ценный продукт. Теперь мы обязаны предупредить всех без исключения о том, что будем хранить и обрабатывать персональные данные, даже если мы и не планировали этим заниматься.

Все размышления и дебаты на тему, «какие именно данные являются персональными», «а надо ли мне выполнять требования закона, если я не собираю и не обрабатываю данные клиентов», «я ничего не продаю, только предлагаю подписаться на новости сайта», «люди сами принимают решение, когда оставляют свои данные в форме подписки — я никого не заставляю» и т. д. и т. п., остались в прошлом — в интернете есть масса информации, в которой можно найти ответы на эти вопросы, да и бессмысленны эти споры. Нужно просто принять новшества, как данность, и просто выполнить необходимые действия. Лично я не очень много времени потратила на подобную деятельность — быстро сообразила, чтобы избежать штрафов, которые выросли до 75 000 рублей, проще всего сделать так, как «велит закон» и занялась созданием правовых документов для своих сайтов — Политикой конфиденциальности и Пользовательским соглашением.

Так как я не могу предугадать визит Инспектора Роскомнадзора на мой сайт с целью фиксации нарушения, то логичнее всего было устранить эти нарушения заблаговременно. Что я благополучно сделала, и советую всем, у кого есть:

• форма подписки на сайте
• страница обратной связи
• форма комментирования

Как создать политику конфиденциальности и пользовательское соглашение

Я посмотрела несколько сайтов коллег, которые уже внесли изменения и создали необходимые документы, изучила письма на эту тему, пришедшие на почту, и нашла простой, понятный и очень полезный сервис 152фз.рф, который проверил мои сайты на предмет наличия правовых документов, выдал свой вердикт и предложил доверить ему их создание.

Вообщем-то, меня все устроило, а особенно то, что текст документов полностью отображал мои потребности для обработки и хранения персональных данных клиентов, и то, что я могла воспользоваться его услугами бесплатно.

⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓

На сервисе в доступной форме предоставлена вся информация о том, зачем, кому и почему нужно выполнять требования закона ФЗ-152. Затем вам покажут, какие штрафы грозят за их невыполнение, кого и как уже наказали, и предложат воспользоваться одним из трех тарифов.

Для владельцев обычных сайтов, которых в сети великое множество, подойдет бесплатный тариф. А далее, в картинках — пошаговые действия, проделанные мною лично, для большей наглядности и для того, чтобы вы имели представления о том, какую информацию нужно подготовить для создания документов.

После того, как все документы были созданы, я внимательно изучила текст каждого из них, немного подкорректировала, и скачала pdf-файлы на свой компьютер. Затем, с помощью , который стал моей любимой палочкой-выручалочкой, я перевела PDF в WORD, скопировала текст и вставила его с ссылкой на сервис в только что созданные страницы сайта. Ссылки на документы также разместила в подвале сайта.

Сразу замечу, что я решила оставить Политику конфиденциальности, которую создавала немного раньше, без изменений, а Пользовательское соглашение взять с сервиса 152фз.рф. Но могу и передумать))

Вы можете сделать также, а можете воспользоваться другими доступными способами размещения документов на своем сайте:

1. загрузить pdf-файлы на сайт и разместить в удобном месте ссылки на эти документы
2. установить на сайте виджет 152фз.рф с помощью кода на странице готовых документов

Форма подписки на рассылку

Еще один важный шаг, который сделать необходимо — разместить в форме подписки на новые статьи сайта или рассылку писем следующий текст. При необходимости вы можете его изменить.

Нажимая на кнопку, я принимаю пользовательское соглашение и подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта

С формой подписки мне не так повезло, как с правовыми документами, — случилось ЧП и при удалении неактивной формы подписки исчезла активная вместе со всеми подписчиками… Восстановить не получилось, так же, как и создать новую форму подписки, а сервис рассылок sendpulse пока только кормит меня обещаниями исправить техническую проблему, которая возникает при создании новой формы. Сейчас думаю, что этот текст можно было разместить под формой, главное, чтобы он был на странице, а в форме или под формой — разницы нет. Эх, знать бы раньше, где соломку подстелить… Пока переживаю. Уверена, что у вас при внесении изменений в форму подписки подобных проблем не возникнет.

Вот такие несложные действия нужно было сделать каждому владельцу обычных, небольших сайтов до 1 июля 2017 года. Согласитесь, это совсем несложно и не займет много времени. Если вас не устраивают документы, которые есть сейчас на вашем сайте, или вы только что вернулись из отпуска, а сделать вовремя не успели…, то в любом случае, на моем сайте для вас теперь есть полезный совет и на эту тему. Копилочка советов пополняется… Желаю всем успехов и правильных действий!

Я согласен на обработку моих персональных данных в соответствии с

1. Общие

1.1. Положение в отношении обработки персональных данных (далее — Положение) направлено на защиту прав и свобод физических лиц, персональные данные которых обрабатывает Общество с ограниченной ответственностью "Турбодок" (далее — сервис Турбодок).

1.2. Положение разработано в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

1.3. Положение содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.

2. Сведения об обработке персональных данных

2.1. Сервис Турбодок обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов сервиса Турбодок, работников сервиса Турбодок и третьих лиц.

2.2. Сервис Турбодок получает персональные данные непосредственно у субъектов персональных данных.

2.3. Сервис Турбодок обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

2.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

2.5. Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.

3. Сведения о сервисе Турбодок

3.1. Полное фирменное наименование юридического лица: Общество с ограниченной ответственностью "Турбодок".

3.2. Адрес сервиса Турбодок: 127006, г. Москва, ул. Долгоруковская дом 35, пом. 51.

3.3. ИНН 7707847355, КПП 770701001.

3.4. Ответственный за организацию обработки персональных данных: Осмоловский Дмитрий Николаевич.

3.5. Адрес сервиса Турбодок в сети Интернет по адресу .

3.6. База данных информации, содержащей персональные данные граждан Российской Федерации, находится по адресу: Город Санкт-Петербург, Большой Сампсониевский проспект, дом 77. ООО «Центр Выделенных Серверов» (Лицензия на «Телематические услуги связи» №123019) .

4. Сведения об обеспечении безопасности персональных данных

4.1. Сервис Турбодок назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

4.2. Сервис Турбодок применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

— обеспечивает неограниченный доступ к тексту Положения на промо сайте сервиса Турбодок http://сайт/положение-персональных-данных-turbodoc;

— во исполнение Положения утверждает и приводит в действие документ «Положение об обработке персональных данных» и иные локальные акты;

— производит ознакомление работников с положениями законодательства о персональных данных, а также с Положением;

— осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе сервиса Турбодок, а также к их материальным носителям только для выполнения трудовых обязанностей;

— устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе сервиса Турбодок, а также обеспечивает регистрацию и учёт всех действий с ними;

— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

— производит определение угроз безопасности персональных данных при их обработке в информационной системе сервиса Турбодок;

— применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы сервиса Турбодок;

— осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе сервиса Турбодок.

5. Права субъектов персональных данных

5.1. Субъект персональных данных имеет право:

— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— на отзыв данного им согласия на обработку персональных данных;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

— на обжалование действий или бездействия сервиса Турбодок в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к сервису Турбодок либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».