Уже прошел почти месяц с 1 июля 2017 года, когда вступили в силу поправки к закону ФЗ-152 «О персональных данных», а вместе с ними требования ко всем владельцам сайтов об ответственности за нарушение при взаимодействии с личными данными клиента.

Уже нельзя действовать так, как раньше, — просто получить личные данные посетителя сайта, предложив ему подписаться на новости или ценный продукт. Теперь мы обязаны предупредить всех без исключения о том, что будем хранить и обрабатывать персональные данные, даже если мы и не планировали этим заниматься.

Все размышления и дебаты на тему, «какие именно данные являются персональными», «а надо ли мне выполнять требования закона, если я не собираю и не обрабатываю данные клиентов», «я ничего не продаю, только предлагаю подписаться на новости сайта», «люди сами принимают решение, когда оставляют свои данные в форме подписки — я никого не заставляю» и т. д. и т. п., остались в прошлом — в интернете есть масса информации, в которой можно найти ответы на эти вопросы, да и бессмысленны эти споры. Нужно просто принять новшества, как данность, и просто выполнить необходимые действия. Лично я не очень много времени потратила на подобную деятельность — быстро сообразила, чтобы избежать штрафов, которые выросли до 75 000 рублей, проще всего сделать так, как «велит закон» и занялась созданием правовых документов для своих сайтов — Политикой конфиденциальности и Пользовательским соглашением.

Так как я не могу предугадать визит Инспектора Роскомнадзора на мой сайт с целью фиксации нарушения, то логичнее всего было устранить эти нарушения заблаговременно. Что я благополучно сделала, и советую всем, у кого есть:

• форма подписки на сайте
• страница обратной связи
• форма комментирования

Как создать политику конфиденциальности и пользовательское соглашение

Я посмотрела несколько сайтов коллег, которые уже внесли изменения и создали необходимые документы, изучила письма на эту тему, пришедшие на почту, и нашла простой, понятный и очень полезный сервис 152фз.рф, который проверил мои сайты на предмет наличия правовых документов, выдал свой вердикт и предложил доверить ему их создание.

Вообщем-то, меня все устроило, а особенно то, что текст документов полностью отображал мои потребности для обработки и хранения персональных данных клиентов, и то, что я могла воспользоваться его услугами бесплатно.

⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓⇓

На сервисе в доступной форме предоставлена вся информация о том, зачем, кому и почему нужно выполнять требования закона ФЗ-152. Затем вам покажут, какие штрафы грозят за их невыполнение, кого и как уже наказали, и предложат воспользоваться одним из трех тарифов.

Для владельцев обычных сайтов, которых в сети великое множество, подойдет бесплатный тариф. А далее, в картинках — пошаговые действия, проделанные мною лично, для большей наглядности и для того, чтобы вы имели представления о том, какую информацию нужно подготовить для создания документов.

После того, как все документы были созданы, я внимательно изучила текст каждого из них, немного подкорректировала, и скачала pdf-файлы на свой компьютер. Затем, с помощью , который стал моей любимой палочкой-выручалочкой, я перевела PDF в WORD, скопировала текст и вставила его с ссылкой на сервис в только что созданные страницы сайта. Ссылки на документы также разместила в подвале сайта.

Сразу замечу, что я решила оставить Политику конфиденциальности, которую создавала немного раньше, без изменений, а Пользовательское соглашение взять с сервиса 152фз.рф. Но могу и передумать))

Вы можете сделать также, а можете воспользоваться другими доступными способами размещения документов на своем сайте:

1. загрузить pdf-файлы на сайт и разместить в удобном месте ссылки на эти документы
2. установить на сайте виджет 152фз.рф с помощью кода на странице готовых документов

Форма подписки на рассылку

Еще один важный шаг, который сделать необходимо — разместить в форме подписки на новые статьи сайта или рассылку писем следующий текст. При необходимости вы можете его изменить.

Нажимая на кнопку, я принимаю пользовательское соглашение и подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта

С формой подписки мне не так повезло, как с правовыми документами, — случилось ЧП и при удалении неактивной формы подписки исчезла активная вместе со всеми подписчиками… Восстановить не получилось, так же, как и создать новую форму подписки, а сервис рассылок sendpulse пока только кормит меня обещаниями исправить техническую проблему, которая возникает при создании новой формы. Сейчас думаю, что этот текст можно было разместить под формой, главное, чтобы он был на странице, а в форме или под формой — разницы нет. Эх, знать бы раньше, где соломку подстелить… Пока переживаю. Уверена, что у вас при внесении изменений в форму подписки подобных проблем не возникнет.

Вот такие несложные действия нужно было сделать каждому владельцу обычных, небольших сайтов до 1 июля 2017 года. Согласитесь, это совсем несложно и не займет много времени. Если вас не устраивают документы, которые есть сейчас на вашем сайте, или вы только что вернулись из отпуска, а сделать вовремя не успели…, то в любом случае, на моем сайте для вас теперь есть полезный совет и на эту тему. Копилочка советов пополняется… Желаю всем успехов и правильных действий!

Я согласен на обработку моих персональных данных в соответствии с

2.1. Пользователь выражает свое согласие с условиями Политики и дает Оператору конкретное и сознательное согласие на обработку Оператором своих персональных данных на условиях, предусмотренных Политикой и Законом:

• при регистрации на Сайте — для персональных данных, которые Пользователь предоставляет Оператору при заполнении формы для регистрации, расположенной в сети Интернет по адресу . Пользователь считается давшим согласие на обработку своих персональных данных при проставлении галочки в поле “Я принимаю условия пользовательского соглашения и даю согласие на обработку моих персональных данных” в момент нажатия кнопки “Зарегистрироваться”;
• при внесении/изменении персональных данных в разделах “Мой профиль и программы” и “Настройки” Личного кабинета — для персональных данных, которые Пользователь предоставляет при редактировании информации в Личном кабинете. Пользователь считается давшим согласие на обработку своих вновь внесенных или измененных персональных данных в момент нажатия кнопки “Сохранить”;
• при заполнении формы обратной связи — для персональных данных, которые Пользователь предоставляет Оператору при заполнении формы обратной связи, расположенной в сети Интернет по адресу http://сайт/contacts/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля формы обратной связи, в момент нажатия кнопки “Отправить”;
• при вступлении в команду экспертов Оператора — для персональных данных, которые Пользователь предоставляет при заполнении формы заявки, расположенной в сети Интернет по адресу http://сайт/experts/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля заявки, в момент нажатия кнопки “Отправить”;
• при заполнении заявки в Аспирантскую школу Оператора — для персональных данных, которые Пользователь предоставляет при заполнении формы заявки, расположенной в сети Интернет по адресу http://сайт/aspirant/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля заявки, в момент нажатия кнопки “Отправить”;
• при отправке сообщения в Центр развития карьеры Оператора — для персональных данных, которые Пользователь предоставляет Оператору при заполнении формы обратной связи, расположенной в сети Интернет по адресу http://сайт/career/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля формы сообщения, в момент нажатия кнопки “Отправить”.

2.2. Срок, в течение которого действует согласие Пользователя на обработку Оператором его персональных данных — 10 (десять) лет со дня, когда Пользователь считается давшим оператору Согласие на обработку своих персональных данных в соответствии с положениями п.2.1. Политики.

3. УСЛОВИЯ ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕМ

Оператор исходит из того, что при предоставлении своих персональных данных на Сайте Пользователь:

3.1. Является дееспособным лицом. В случае недееспособности согласие на обработку персональных данных предоставляется законным представителем Пользователя, ознакомившемся и согласившемся с условиями Политики;
3.2. Указывает достоверную информацию о себе в объемах, необходимых для использования Сайта и оказания услуг Оператором Пользователю;
3.3. Поддерживает предоставленные персональные данные в актуальном состоянии. Последствия предоставления Пользователем недостоверной или недостаточной информации определены в Пользовательском соглашении, расположенном в сети Интернет по адресу ;
3.4. На безвозмездной основе дает согласие на использование его фотографии в качестве изображения Пользователя. Пользователь обязуется не предоставлять фотографии третьих лиц в качестве изображения Пользователя;
3.5. Осознает, что при использовании Сайта информация на Сайте, размещаемая Пользователем о себе, может становиться доступной для других Пользователей Сайта, может быть скопирована и распространена такими Пользователями.
3.6. Ознакомлен с настоящей Политикой, выражает свое информированное и осознанное согласие с ней.

4. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ

4.1. К персональным данным Пользователя, обрабатываемым Оператором при регистрации Пользователя на Сайте, изменении Пользователем информации в Личном кабинете, оказании Оператором в отношении Пользователя услуг, относятся:

1. Фамилия, имя, отчество;
2. Номер мобильного телефона;
3. Адрес электронной почты;
4. Данные аккаунтов в социальных сетях (ссылки на профили Пользователя в ВКонтакте, Facebook, LinkedIn, Twitter);
5. Изображение;
6. Домашний адрес;
7. Дата рождения;
8. Место рождения;
9. Место работы;
10. Должность;
11. Профессия;
12. Данные и копия документа, удостоверяющего личность;
13. Данные и копия документа об образовании;
14. Данные и копия свидетельства о заключении брака (в случае смены фамилии);

4.2. К персональным данным Пользователя, обрабатываемым Оператором при заполнении Пользователем формы обратной связи, формы заявки Пользователя на вступление в команду экспертов Оператора, при отправке Пользователем сообщения в Центр развития карьеры Оператора, относятся:

1. Адрес электронной почты;
2. Данные, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, информация о браузере и виде операционной системы устройства Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Сайту.

4.3. К персональным данным Пользователя, обрабатываемым Оператором при заполнении Пользователем заявки в Аспирантскую школу Оператора, относятся:

1. Город;
2. Адрес электронной почты;
3. Наименование курса, который Пользователь прошел у Оператора;
4. Ссылка на профиль Пользователя в Facebook;
5. Данные, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, информация о браузере и виде операционной системы устройства Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Сайту.

7.МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты информации, предоставляемой Пользователями, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц. Такие действия, в частности, включают:

• Назначение лица, ответственного за обработку персональных данных;
• Регистрация в реестре операторов персональных данных;
• Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
• Контроль фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

8.ПРАВА ПОЛЬЗОВАТЕЛЯ

При использовании Сайта Пользователь вправе:

1. 1. По своему усмотрению предоставлять Оператору персональные данные для их обработки на условиях, указанных в Политике;
   2. Самостоятельно вносить изменения и исправления в свои персональные данные в Личном кабинете;
   3. Удалять свои персональные данные из Личного кабинета;
   4. Требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если такие данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Требование предъявляется в порядке, предусмотренном в разделе 9 Политики;
   5. Направить Оператору заявление об отзыве своего согласия на обработку персональных данных в порядке, предусмотренном в разделе 9 Политики;
   6. На основании запроса получать от Оператора информацию, касающуюся обработки его персональных данных в порядке, предусмотренном в разделе 9 Политики.

9.ОБРАЩЕНИЯ ПОЛЬЗОВАТЕЛЕЙ

1. 1. Пользователь вправе направлять Оператору свои запросы и требования (далее – Обращение) , в том числе относительно использования его персональных данных, а также отзыва согласия на обработку персональных данных.Пользователь вправе направлять Оператору обращения следующими способами:
      1. В письменной форме по адресу Оператора, указанному в разделе 11 Политики;
      2. В форме электронного документа (скан- или фотокопия документа), направленного с адреса электронной почты Пользователя, указанного им при регистрации на Сайте, по адресу электронной почты Оператора: [email protected].

1. 1. Запрос или требование, направляемое Пользователем, должны содержать следующую информацию:
      1. Фамилию, имя, отчество Пользователя;
      2. Данные основного документа, удостоверяющего личность Пользователя или его представителя;
      3. Сведения, подтверждающие участие Пользователя в отношениях с Оператором (в частности, логин и пароль Пользователя на Сайте);
      4. Суть обращения;
      5. Подпись Пользователя или его представителя.

9.3. Оператор обязуется рассмотреть обращение, направить ответ на поступившее обращение и при наличии для этого законных оснований — удовлетворить заявленное Пользователем требование в установленные законом сроки. Ответ на обращение, а также уведомление о действиях, совершенных с персональными данными Пользователя по его обращению, направляются в форме, соответствующей форме обращения Пользователя.

10.ИЗМЕНЕНИЕ ПОЛИТИКИ

1. 1. Оператор оставляет за собой право вносить изменения в Политику. На Пользователе лежит обязанность при каждом использовании Сайта или его сервисов знакомиться с текстом Политики.
   2. Новая редакция Политики вступает в силу с момента ее размещения в соответствующем разделе сайта Оператора. Продолжение пользования Сайтом или его сервисами после публикации новой редакции Политики означает принятие Политики и ее условий Пользователем. В случае несогласия с условиями Политики Пользователь должен незамедлительно прекратить использование Сайта и его сервисов.

11. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ

1. Общие

1.1. Положение в отношении обработки персональных данных (далее — Положение) направлено на защиту прав и свобод физических лиц, персональные данные которых обрабатывает Общество с ограниченной ответственностью "Турбодок" (далее — сервис Турбодок).

1.2. Положение разработано в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

1.3. Положение содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.

2. Сведения об обработке персональных данных

2.1. Сервис Турбодок обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов сервиса Турбодок, работников сервиса Турбодок и третьих лиц.

2.2. Сервис Турбодок получает персональные данные непосредственно у субъектов персональных данных.

2.3. Сервис Турбодок обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

2.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

2.5. Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.

3. Сведения о сервисе Турбодок

3.1. Полное фирменное наименование юридического лица: Общество с ограниченной ответственностью "Турбодок".

3.2. Адрес сервиса Турбодок: 127006, г. Москва, ул. Долгоруковская дом 35, пом. 51.

3.3. ИНН 7707847355, КПП 770701001.

3.4. Ответственный за организацию обработки персональных данных: Осмоловский Дмитрий Николаевич.

3.5. Адрес сервиса Турбодок в сети Интернет по адресу .

3.6. База данных информации, содержащей персональные данные граждан Российской Федерации, находится по адресу: Город Санкт-Петербург, Большой Сампсониевский проспект, дом 77. ООО «Центр Выделенных Серверов» (Лицензия на «Телематические услуги связи» №123019) .

4. Сведения об обеспечении безопасности персональных данных

4.1. Сервис Турбодок назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

4.2. Сервис Турбодок применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

— обеспечивает неограниченный доступ к тексту Положения на промо сайте сервиса Турбодок http://сайт/положение-персональных-данных-turbodoc;

— во исполнение Положения утверждает и приводит в действие документ «Положение об обработке персональных данных» и иные локальные акты;

— производит ознакомление работников с положениями законодательства о персональных данных, а также с Положением;

— осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе сервиса Турбодок, а также к их материальным носителям только для выполнения трудовых обязанностей;

— устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе сервиса Турбодок, а также обеспечивает регистрацию и учёт всех действий с ними;

— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

— производит определение угроз безопасности персональных данных при их обработке в информационной системе сервиса Турбодок;

— применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы сервиса Турбодок;

— осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе сервиса Турбодок.

5. Права субъектов персональных данных

5.1. Субъект персональных данных имеет право:

— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— на отзыв данного им согласия на обработку персональных данных;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

— на обжалование действий или бездействия сервиса Турбодок в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к сервису Турбодок либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».

Преступления, связанные с кражей личности, актуальны для России уже не первый год, поэтому стало важным правильно обрабатывать и хранить персональные данные, обеспечивать их безопасность и не допускать утечек информации. В 2006 году вступил в силу 152-ФЗ «О персональных данных», который обязывает все организации правильно оформлять и поддерживать в актуальном состоянии документацию, связанную с защитой персональных данных.

Оформление документации по защите персональных данных

Онлайн-сервис предназначен для помощи организациям в оформлении документации по защите персональных данных с минимальными затратами времени и средств. Процедура внесения и обработки информации предельно проста, с ней может справиться даже сотрудник, не имеющий юридической подготовки, достаточно внести в онлайн-формы основные данные - информацию об организации, список допущенных к обработке персональной информации лиц, доступные информационные системы - сервис сам сформирует все необходимые документы.

Подключившись к сервису оформления документации по защите персональных данных, Вы получите:

1. Упрощенную систему работы с документами.

Главным преимуществом данной системы является простота в управлении информацией. Поэтапное выполнение простых требований позволяет формировать и контролировать процесс изменения около 100 документов без длительной специализированной подготовки.
В зависимости от формы собственности организации, штата сотрудников, наличия средств защиты информации сервис подскажет необходимые для формирования пакета документов шаги. При изменениях одного из необходимых параметров вам достаточно внести соответствующие данные в систему, а при пересмотре законодательства вы получите своевременное автоматическое уведомление.

2. Информационную и техническую поддержку.

Если у вас возникают вопросы по эксплуатации сервиса или требуется техническая поддержка, специалисты готовы проконсультировать вас в онлайн-консультанте, по телефону или электронной почте. В отдельных случаях возможен выезд специалиста для решения возникающих вопросов. Кроме того, инженеры смогут помочь вам подобрать необходимый набор средства защиты информации.

3. Безопасность.

В большинстве случаев от вас требуется лишь получение доступа к онлайн-сервису. Информация обрабатывается на серверах, доступ к которым осуществляется по защищенным каналам.
Программно-аппаратные средства, защищающие сервер, не только сертифицированы по требованиям защиты информации, но и обеспечивает максимальную защиту данных от несанкционированного доступа. Информация автоматически копируется на резервные носители, поэтому, в случае сбоев в работе оборудования ее легко будет восстановить.

4. Удаленный доступ.

Вы можете воспользоваться услугами сервиса с любого компьютера, на котором установлено соответствующее программное обеспечение для обеспечения защищенного доступа, в любой день недели, 24 часа в сутки. Это особенно важно, если вы работаете по гибкому графику либо требуется срочно завершить проект в неурочное время.

5. Автоматическое обновление.

Актуальность базы гарантируется договорными обязательствами. Оформляя подписку на использование сервиса, вы получаете гарантии разработчика, несущего ответственность за своевременное обновление информации. При изменении законодательной базы пользователи, имеющие доступ к аккаунту организации, получают специальные уведомления о необходимости коррекции данных.

6. Гарантии организации разработчика.

ГК «Центр информационной безопасности» располагает штатом опытных инженеров, отслеживающих последние изменения в законодательстве. С учетом изменений своевременно корректируются шаблоны документов онлайн-сервиса.

7. Возможность бесплатного тестирования сервиса.

Возможность бесплатного использования демо-версии сервиса в течение 1 месяца позволит Вам оценить преимущества сервиса.

Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай - в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

Проблема №1. Введение клиента в заблуждение Вранье

Тут, наверное, сразу стоит начать с примеров.

На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных - 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц - 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно - неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.

Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я уже писал в своей старой статье о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.

Проблема № 2. Отсутствие индивидуализации

Само собой, практически все сервисы по подготовке комплекта документов вам расскажут о гибкой персонализации комплекта документов сугубо под вас, но это утверждение вполне можно было бы привести как третий пример проблемы № 1.

Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему - если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.

Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:

Используется ли виртуализация?
- используются мобильные средства?
- резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
- и т.д. и т.п.

Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».

Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.

Проблема № 3. Сомнительное качество самих документов

Отчасти проблема перекликается с предыдущей, но если в проблеме №2 речь больше шла об особенностях автоматизированного заполнения, то тут речь о том тексте шаблонов, который не подвергается изменению. Накосячить умудряются в самых простых инструкциях.

Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных - ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам - настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как - «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».

Проблема № 4. Безопасность

Как ни странно, сервисы, которые призваны повысить информационную безопасность, сами вызывают ряд вопросов, начиная от банального отсутствия шифрования при отправке форм с конфиденциальными данными, заканчивая как эти данные хранятся на сервисе, как организован физический доступ к серверам и многое другое. При этом мы помним, что пока что сервисы работают по принципу «легко и просто» и не собирают большого количества информации, но могут и «усовершенствоваться». Но тем не менее, как минимум персональные данные ответственных и членов различных комиссий, а также базовые данные по информационной системе придется предоставить.

К чему это все?

Я убежден, что продавать болванки документов, даже под соусом автоматического заполнятора шаблонов за деньги это прошлый век. Я убежден, что запугивание потенциальных клиентов и их обман это тупиковая маркетинговая модель. Стоимость подписки на такие сервисы составляет от 10 до 50 тысяч рублей в год. За эти деньги можно привлечь специалиста, который подготовит качественный комплект с полноценным аудитом бизнес-процессов и IT-инфраструктуры (да, в кризис опытный специалист может согласиться поработать даже за 10 тысяч рублей). Но если выбор пал на шаблоны, то платить за это деньги не вижу никакого смысла. К тому же разные документы можно вполне бесплатно нагуглить. Как я и обещал, для упрощения этой задачи, выложил некоторую подборку