Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай - в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

Проблема №1. Введение клиента в заблуждение Вранье

На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных - 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц - 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно - неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.

Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я уже писал в своей старой статье о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.

Проблема № 2. Отсутствие индивидуализации

Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему - если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.

Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:

Используется ли виртуализация?
- используются мобильные средства?
- резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
- и т.д. и т.п.

Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».

Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.

Проблема № 3. Сомнительное качество самих документов

Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных - ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам - настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как - «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».

Проблема № 4. Безопасность

К чему это все?

Согласно Федеральному закону № 152-ФЗ «О персональных данных» под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес места регистрации и проживания;
• семейное, социальное, имущественное положение;
• образование, профессия, доходы;
• паспортные данные;
• и т.п.

На заметку: Позиция судов такова, что даже отдельный email или номер мобильного телефона также является персональными данными, так как он позволяет косвенно определить физическое лицо (субъекта персональных данных) http://bit.ly/delo_provider .

Согласно закону №152-ФЗ «О персональных данных» под обработкой персональных данных подразумевается любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Персональные данные необходимо защищать согласно 152-ФЗ «О персональных данных», который вменяет это в обязанность каждой компании, индивидуальному предпринимателю или бюджетной организации, обрабатывающим персональные данные. Оператор персональных данных обязан принять ряд мер для выполнения требований законодательства Российской Федерации, касающихся обработки и обеспечения безопасности персональных данных.

В противном случае оператор персональных данных и его сотрудники могут понести дисциплинарную, административную и уголовную ответственность, а запрет на обработку персональных данных Роскомнадзора может привести к остановке деятельности компании.

В Российской Федерации существует три основных регулятора в данной сфере:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.
• Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.

Регуляторы проводят как плановые, так и внеплановые проверки, о которых операторы персональных данных предупреждаются за сутки.

Для выполнения закона необходимо иметь пакет организационно-распорядительной документации, назначить ответственных лиц за организацию обработки и обеспечение безопасности персональных данных, подать уведомление об обработке персональных данных в Роскомнадзор, определить уровень защищенности информационных систем для хранения персональных данных и принять организационные и технические меры для обеспечения безопасности персональных данных.

На заметку: Выполнить требования закона можно следующими способами:

• Заказать комплексный аудит, привести бизнес-процессы в соответствие требованиям закона №152-ФЗ и поручить разработку комплекта документов экспертам.
• Нанять специалиста по информационной безопасности, который будет следить за выполнением закона самостоятельно. При этом за качество никто не отвечает и найти такого сотрудника весьма сложно.
• Воспользоваться автоматизированными системами подготовки документов, одной из которых является онлайн-сервис Б-152.

2.1. Пользователь выражает свое согласие с условиями Политики и дает Оператору конкретное и сознательное согласие на обработку Оператором своих персональных данных на условиях, предусмотренных Политикой и Законом:

• при регистрации на Сайте — для персональных данных, которые Пользователь предоставляет Оператору при заполнении формы для регистрации, расположенной в сети Интернет по адресу . Пользователь считается давшим согласие на обработку своих персональных данных при проставлении галочки в поле “Я принимаю условия пользовательского соглашения и даю согласие на обработку моих персональных данных” в момент нажатия кнопки “Зарегистрироваться”;
• при внесении/изменении персональных данных в разделах “Мой профиль и программы” и “Настройки” Личного кабинета — для персональных данных, которые Пользователь предоставляет при редактировании информации в Личном кабинете. Пользователь считается давшим согласие на обработку своих вновь внесенных или измененных персональных данных в момент нажатия кнопки “Сохранить”;
• при заполнении формы обратной связи — для персональных данных, которые Пользователь предоставляет Оператору при заполнении формы обратной связи, расположенной в сети Интернет по адресу http://сайт/contacts/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля формы обратной связи, в момент нажатия кнопки “Отправить”;
• при вступлении в команду экспертов Оператора — для персональных данных, которые Пользователь предоставляет при заполнении формы заявки, расположенной в сети Интернет по адресу http://сайт/experts/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля заявки, в момент нажатия кнопки “Отправить”;
• при заполнении заявки в Аспирантскую школу Оператора — для персональных данных, которые Пользователь предоставляет при заполнении формы заявки, расположенной в сети Интернет по адресу http://сайт/aspirant/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля заявки, в момент нажатия кнопки “Отправить”;
• при отправке сообщения в Центр развития карьеры Оператора — для персональных данных, которые Пользователь предоставляет Оператору при заполнении формы обратной связи, расположенной в сети Интернет по адресу http://сайт/career/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля формы сообщения, в момент нажатия кнопки “Отправить”.

2.2. Срок, в течение которого действует согласие Пользователя на обработку Оператором его персональных данных — 10 (десять) лет со дня, когда Пользователь считается давшим оператору Согласие на обработку своих персональных данных в соответствии с положениями п.2.1. Политики.

3. УСЛОВИЯ ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕМ

Оператор исходит из того, что при предоставлении своих персональных данных на Сайте Пользователь:

3.1. Является дееспособным лицом. В случае недееспособности согласие на обработку персональных данных предоставляется законным представителем Пользователя, ознакомившемся и согласившемся с условиями Политики;
3.2. Указывает достоверную информацию о себе в объемах, необходимых для использования Сайта и оказания услуг Оператором Пользователю;
3.3. Поддерживает предоставленные персональные данные в актуальном состоянии. Последствия предоставления Пользователем недостоверной или недостаточной информации определены в Пользовательском соглашении, расположенном в сети Интернет по адресу ;
3.4. На безвозмездной основе дает согласие на использование его фотографии в качестве изображения Пользователя. Пользователь обязуется не предоставлять фотографии третьих лиц в качестве изображения Пользователя;
3.5. Осознает, что при использовании Сайта информация на Сайте, размещаемая Пользователем о себе, может становиться доступной для других Пользователей Сайта, может быть скопирована и распространена такими Пользователями.
3.6. Ознакомлен с настоящей Политикой, выражает свое информированное и осознанное согласие с ней.

4. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ

4.1. К персональным данным Пользователя, обрабатываемым Оператором при регистрации Пользователя на Сайте, изменении Пользователем информации в Личном кабинете, оказании Оператором в отношении Пользователя услуг, относятся:

1. Фамилия, имя, отчество;
2. Номер мобильного телефона;
3. Адрес электронной почты;
4. Данные аккаунтов в социальных сетях (ссылки на профили Пользователя в ВКонтакте, Facebook, LinkedIn, Twitter);
5. Изображение;
6. Домашний адрес;
7. Дата рождения;
8. Место рождения;
9. Место работы;
10. Должность;
11. Профессия;
12. Данные и копия документа, удостоверяющего личность;
13. Данные и копия документа об образовании;
14. Данные и копия свидетельства о заключении брака (в случае смены фамилии);

4.2. К персональным данным Пользователя, обрабатываемым Оператором при заполнении Пользователем формы обратной связи, формы заявки Пользователя на вступление в команду экспертов Оператора, при отправке Пользователем сообщения в Центр развития карьеры Оператора, относятся:

1. Адрес электронной почты;
2. Данные, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, информация о браузере и виде операционной системы устройства Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Сайту.

4.3. К персональным данным Пользователя, обрабатываемым Оператором при заполнении Пользователем заявки в Аспирантскую школу Оператора, относятся:

1. Город;
2. Адрес электронной почты;
3. Наименование курса, который Пользователь прошел у Оператора;
4. Ссылка на профиль Пользователя в Facebook;
5. Данные, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, информация о браузере и виде операционной системы устройства Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Сайту.

7.МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты информации, предоставляемой Пользователями, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц. Такие действия, в частности, включают:

• Назначение лица, ответственного за обработку персональных данных;
• Регистрация в реестре операторов персональных данных;
• Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
• Контроль фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

8.ПРАВА ПОЛЬЗОВАТЕЛЯ

При использовании Сайта Пользователь вправе:

1. 1. По своему усмотрению предоставлять Оператору персональные данные для их обработки на условиях, указанных в Политике;
   2. Самостоятельно вносить изменения и исправления в свои персональные данные в Личном кабинете;
   3. Удалять свои персональные данные из Личного кабинета;
   4. Требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если такие данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Требование предъявляется в порядке, предусмотренном в разделе 9 Политики;
   5. Направить Оператору заявление об отзыве своего согласия на обработку персональных данных в порядке, предусмотренном в разделе 9 Политики;
   6. На основании запроса получать от Оператора информацию, касающуюся обработки его персональных данных в порядке, предусмотренном в разделе 9 Политики.

9.ОБРАЩЕНИЯ ПОЛЬЗОВАТЕЛЕЙ

1. 1. Пользователь вправе направлять Оператору свои запросы и требования (далее – Обращение) , в том числе относительно использования его персональных данных, а также отзыва согласия на обработку персональных данных.Пользователь вправе направлять Оператору обращения следующими способами:
      1. В письменной форме по адресу Оператора, указанному в разделе 11 Политики;
      2. В форме электронного документа (скан- или фотокопия документа), направленного с адреса электронной почты Пользователя, указанного им при регистрации на Сайте, по адресу электронной почты Оператора: [email protected].

1. 1. Запрос или требование, направляемое Пользователем, должны содержать следующую информацию:
      1. Фамилию, имя, отчество Пользователя;
      2. Данные основного документа, удостоверяющего личность Пользователя или его представителя;
      3. Сведения, подтверждающие участие Пользователя в отношениях с Оператором (в частности, логин и пароль Пользователя на Сайте);
      4. Суть обращения;
      5. Подпись Пользователя или его представителя.

9.3. Оператор обязуется рассмотреть обращение, направить ответ на поступившее обращение и при наличии для этого законных оснований — удовлетворить заявленное Пользователем требование в установленные законом сроки. Ответ на обращение, а также уведомление о действиях, совершенных с персональными данными Пользователя по его обращению, направляются в форме, соответствующей форме обращения Пользователя.

10.ИЗМЕНЕНИЕ ПОЛИТИКИ

1. 1. Оператор оставляет за собой право вносить изменения в Политику. На Пользователе лежит обязанность при каждом использовании Сайта или его сервисов знакомиться с текстом Политики.
   2. Новая редакция Политики вступает в силу с момента ее размещения в соответствующем разделе сайта Оператора. Продолжение пользования Сайтом или его сервисами после публикации новой редакции Политики означает принятие Политики и ее условий Пользователем. В случае несогласия с условиями Политики Пользователь должен незамедлительно прекратить использование Сайта и его сервисов.

11. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ

Уже прошел почти месяц с 1 июля 2017 года, когда вступили в силу поправки к закону ФЗ-152 «О персональных данных», а вместе с ними требования ко всем владельцам сайтов об ответственности за нарушение при взаимодействии с личными данными клиента.

Уже нельзя действовать так, как раньше, — просто получить личные данные посетителя сайта, предложив ему подписаться на новости или ценный продукт. Теперь мы обязаны предупредить всех без исключения о том, что будем хранить и обрабатывать персональные данные, даже если мы и не планировали этим заниматься.

Все размышления и дебаты на тему, «какие именно данные являются персональными», «а надо ли мне выполнять требования закона, если я не собираю и не обрабатываю данные клиентов», «я ничего не продаю, только предлагаю подписаться на новости сайта», «люди сами принимают решение, когда оставляют свои данные в форме подписки — я никого не заставляю» и т. д. и т. п., остались в прошлом — в интернете есть масса информации, в которой можно найти ответы на эти вопросы, да и бессмысленны эти споры. Нужно просто принять новшества, как данность, и просто выполнить необходимые действия. Лично я не очень много времени потратила на подобную деятельность — быстро сообразила, чтобы избежать штрафов, которые выросли до 75 000 рублей, проще всего сделать так, как «велит закон» и занялась созданием правовых документов для своих сайтов — Политикой конфиденциальности и Пользовательским соглашением.

Так как я не могу предугадать визит Инспектора Роскомнадзора на мой сайт с целью фиксации нарушения, то логичнее всего было устранить эти нарушения заблаговременно. Что я благополучно сделала, и советую всем, у кого есть:

• форма подписки на сайте
• страница обратной связи
• форма комментирования

Как создать политику конфиденциальности и пользовательское соглашение

Я посмотрела несколько сайтов коллег, которые уже внесли изменения и создали необходимые документы, изучила письма на эту тему, пришедшие на почту, и нашла простой, понятный и очень полезный сервис 152фз.рф, который проверил мои сайты на предмет наличия правовых документов, выдал свой вердикт и предложил доверить ему их создание.

Вообщем-то, меня все устроило, а особенно то, что текст документов полностью отображал мои потребности для обработки и хранения персональных данных клиентов, и то, что я могла воспользоваться его услугами бесплатно.

⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓

На сервисе в доступной форме предоставлена вся информация о том, зачем, кому и почему нужно выполнять требования закона ФЗ-152. Затем вам покажут, какие штрафы грозят за их невыполнение, кого и как уже наказали, и предложат воспользоваться одним из трех тарифов.

Для владельцев обычных сайтов, которых в сети великое множество, подойдет бесплатный тариф. А далее, в картинках — пошаговые действия, проделанные мною лично, для большей наглядности и для того, чтобы вы имели представления о том, какую информацию нужно подготовить для создания документов.

После того, как все документы были созданы, я внимательно изучила текст каждого из них, немного подкорректировала, и скачала pdf-файлы на свой компьютер. Затем, с помощью , который стал моей любимой палочкой-выручалочкой, я перевела PDF в WORD, скопировала текст и вставила его с ссылкой на сервис в только что созданные страницы сайта. Ссылки на документы также разместила в подвале сайта.

Сразу замечу, что я решила оставить Политику конфиденциальности, которую создавала немного раньше, без изменений, а Пользовательское соглашение взять с сервиса 152фз.рф. Но могу и передумать))

Вы можете сделать также, а можете воспользоваться другими доступными способами размещения документов на своем сайте:

1. загрузить pdf-файлы на сайт и разместить в удобном месте ссылки на эти документы
2. установить на сайте виджет 152фз.рф с помощью кода на странице готовых документов

Форма подписки на рассылку

Еще один важный шаг, который сделать необходимо — разместить в форме подписки на новые статьи сайта или рассылку писем следующий текст. При необходимости вы можете его изменить.

Нажимая на кнопку, я принимаю пользовательское соглашение и подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта

С формой подписки мне не так повезло, как с правовыми документами, — случилось ЧП и при удалении неактивной формы подписки исчезла активная вместе со всеми подписчиками… Восстановить не получилось, так же, как и создать новую форму подписки, а сервис рассылок sendpulse пока только кормит меня обещаниями исправить техническую проблему, которая возникает при создании новой формы. Сейчас думаю, что этот текст можно было разместить под формой, главное, чтобы он был на странице, а в форме или под формой — разницы нет. Эх, знать бы раньше, где соломку подстелить… Пока переживаю. Уверена, что у вас при внесении изменений в форму подписки подобных проблем не возникнет.

Вот такие несложные действия нужно было сделать каждому владельцу обычных, небольших сайтов до 1 июля 2017 года. Согласитесь, это совсем несложно и не займет много времени. Если вас не устраивают документы, которые есть сейчас на вашем сайте, или вы только что вернулись из отпуска, а сделать вовремя не успели…, то в любом случае, на моем сайте для вас теперь есть полезный совет и на эту тему. Копилочка советов пополняется… Желаю всем успехов и правильных действий!