Преступления, связанные с кражей личности, актуальны для России уже не первый год, поэтому стало важным правильно обрабатывать и хранить персональные данные, обеспечивать их безопасность и не допускать утечек информации. В 2006 году вступил в силу 152-ФЗ «О персональных данных», который обязывает все организации правильно оформлять и поддерживать в актуальном состоянии документацию, связанную с защитой персональных данных.

Оформление документации по защите персональных данных

Онлайн-сервис предназначен для помощи организациям в оформлении документации по защите персональных данных с минимальными затратами времени и средств. Процедура внесения и обработки информации предельно проста, с ней может справиться даже сотрудник, не имеющий юридической подготовки, достаточно внести в онлайн-формы основные данные - информацию об организации, список допущенных к обработке персональной информации лиц, доступные информационные системы - сервис сам сформирует все необходимые документы.

Подключившись к сервису оформления документации по защите персональных данных, Вы получите:

1. Упрощенную систему работы с документами.

Главным преимуществом данной системы является простота в управлении информацией. Поэтапное выполнение простых требований позволяет формировать и контролировать процесс изменения около 100 документов без длительной специализированной подготовки.
В зависимости от формы собственности организации, штата сотрудников, наличия средств защиты информации сервис подскажет необходимые для формирования пакета документов шаги. При изменениях одного из необходимых параметров вам достаточно внести соответствующие данные в систему, а при пересмотре законодательства вы получите своевременное автоматическое уведомление.

2. Информационную и техническую поддержку.

Если у вас возникают вопросы по эксплуатации сервиса или требуется техническая поддержка, специалисты готовы проконсультировать вас в онлайн-консультанте, по телефону или электронной почте. В отдельных случаях возможен выезд специалиста для решения возникающих вопросов. Кроме того, инженеры смогут помочь вам подобрать необходимый набор средства защиты информации.

3. Безопасность.

В большинстве случаев от вас требуется лишь получение доступа к онлайн-сервису. Информация обрабатывается на серверах, доступ к которым осуществляется по защищенным каналам.
Программно-аппаратные средства, защищающие сервер, не только сертифицированы по требованиям защиты информации, но и обеспечивает максимальную защиту данных от несанкционированного доступа. Информация автоматически копируется на резервные носители, поэтому, в случае сбоев в работе оборудования ее легко будет восстановить.

4. Удаленный доступ.

Вы можете воспользоваться услугами сервиса с любого компьютера, на котором установлено соответствующее программное обеспечение для обеспечения защищенного доступа, в любой день недели, 24 часа в сутки. Это особенно важно, если вы работаете по гибкому графику либо требуется срочно завершить проект в неурочное время.

5. Автоматическое обновление.

Актуальность базы гарантируется договорными обязательствами. Оформляя подписку на использование сервиса, вы получаете гарантии разработчика, несущего ответственность за своевременное обновление информации. При изменении законодательной базы пользователи, имеющие доступ к аккаунту организации, получают специальные уведомления о необходимости коррекции данных.

6. Гарантии организации разработчика.

ГК «Центр информационной безопасности» располагает штатом опытных инженеров, отслеживающих последние изменения в законодательстве. С учетом изменений своевременно корректируются шаблоны документов онлайн-сервиса.

7. Возможность бесплатного тестирования сервиса.

Возможность бесплатного использования демо-версии сервиса в течение 1 месяца позволит Вам оценить преимущества сервиса.

2.1. Пользователь выражает свое согласие с условиями Политики и дает Оператору конкретное и сознательное согласие на обработку Оператором своих персональных данных на условиях, предусмотренных Политикой и Законом:

• при регистрации на Сайте — для персональных данных, которые Пользователь предоставляет Оператору при заполнении формы для регистрации, расположенной в сети Интернет по адресу . Пользователь считается давшим согласие на обработку своих персональных данных при проставлении галочки в поле “Я принимаю условия пользовательского соглашения и даю согласие на обработку моих персональных данных” в момент нажатия кнопки “Зарегистрироваться”;
• при внесении/изменении персональных данных в разделах “Мой профиль и программы” и “Настройки” Личного кабинета — для персональных данных, которые Пользователь предоставляет при редактировании информации в Личном кабинете. Пользователь считается давшим согласие на обработку своих вновь внесенных или измененных персональных данных в момент нажатия кнопки “Сохранить”;
• при заполнении формы обратной связи — для персональных данных, которые Пользователь предоставляет Оператору при заполнении формы обратной связи, расположенной в сети Интернет по адресу http://сайт/contacts/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля формы обратной связи, в момент нажатия кнопки “Отправить”;
• при вступлении в команду экспертов Оператора — для персональных данных, которые Пользователь предоставляет при заполнении формы заявки, расположенной в сети Интернет по адресу http://сайт/experts/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля заявки, в момент нажатия кнопки “Отправить”;
• при заполнении заявки в Аспирантскую школу Оператора — для персональных данных, которые Пользователь предоставляет при заполнении формы заявки, расположенной в сети Интернет по адресу http://сайт/aspirant/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля заявки, в момент нажатия кнопки “Отправить”;
• при отправке сообщения в Центр развития карьеры Оператора — для персональных данных, которые Пользователь предоставляет Оператору при заполнении формы обратной связи, расположенной в сети Интернет по адресу http://сайт/career/. Пользователь считается давшим согласие на обработку своих персональных данных, внесенных в поля формы сообщения, в момент нажатия кнопки “Отправить”.

2.2. Срок, в течение которого действует согласие Пользователя на обработку Оператором его персональных данных — 10 (десять) лет со дня, когда Пользователь считается давшим оператору Согласие на обработку своих персональных данных в соответствии с положениями п.2.1. Политики.

3. УСЛОВИЯ ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕМ

Оператор исходит из того, что при предоставлении своих персональных данных на Сайте Пользователь:

3.1. Является дееспособным лицом. В случае недееспособности согласие на обработку персональных данных предоставляется законным представителем Пользователя, ознакомившемся и согласившемся с условиями Политики;
3.2. Указывает достоверную информацию о себе в объемах, необходимых для использования Сайта и оказания услуг Оператором Пользователю;
3.3. Поддерживает предоставленные персональные данные в актуальном состоянии. Последствия предоставления Пользователем недостоверной или недостаточной информации определены в Пользовательском соглашении, расположенном в сети Интернет по адресу ;
3.4. На безвозмездной основе дает согласие на использование его фотографии в качестве изображения Пользователя. Пользователь обязуется не предоставлять фотографии третьих лиц в качестве изображения Пользователя;
3.5. Осознает, что при использовании Сайта информация на Сайте, размещаемая Пользователем о себе, может становиться доступной для других Пользователей Сайта, может быть скопирована и распространена такими Пользователями.
3.6. Ознакомлен с настоящей Политикой, выражает свое информированное и осознанное согласие с ней.

4. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ

4.1. К персональным данным Пользователя, обрабатываемым Оператором при регистрации Пользователя на Сайте, изменении Пользователем информации в Личном кабинете, оказании Оператором в отношении Пользователя услуг, относятся:

1. Фамилия, имя, отчество;
2. Номер мобильного телефона;
3. Адрес электронной почты;
4. Данные аккаунтов в социальных сетях (ссылки на профили Пользователя в ВКонтакте, Facebook, LinkedIn, Twitter);
5. Изображение;
6. Домашний адрес;
7. Дата рождения;
8. Место рождения;
9. Место работы;
10. Должность;
11. Профессия;
12. Данные и копия документа, удостоверяющего личность;
13. Данные и копия документа об образовании;
14. Данные и копия свидетельства о заключении брака (в случае смены фамилии);

4.2. К персональным данным Пользователя, обрабатываемым Оператором при заполнении Пользователем формы обратной связи, формы заявки Пользователя на вступление в команду экспертов Оператора, при отправке Пользователем сообщения в Центр развития карьеры Оператора, относятся:

1. Адрес электронной почты;
2. Данные, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, информация о браузере и виде операционной системы устройства Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Сайту.

4.3. К персональным данным Пользователя, обрабатываемым Оператором при заполнении Пользователем заявки в Аспирантскую школу Оператора, относятся:

1. Город;
2. Адрес электронной почты;
3. Наименование курса, который Пользователь прошел у Оператора;
4. Ссылка на профиль Пользователя в Facebook;
5. Данные, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, информация о браузере и виде операционной системы устройства Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Сайту.

7.МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты информации, предоставляемой Пользователями, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц. Такие действия, в частности, включают:

• Назначение лица, ответственного за обработку персональных данных;
• Регистрация в реестре операторов персональных данных;
• Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
• Контроль фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

8.ПРАВА ПОЛЬЗОВАТЕЛЯ

При использовании Сайта Пользователь вправе:

1. 1. По своему усмотрению предоставлять Оператору персональные данные для их обработки на условиях, указанных в Политике;
   2. Самостоятельно вносить изменения и исправления в свои персональные данные в Личном кабинете;
   3. Удалять свои персональные данные из Личного кабинета;
   4. Требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если такие данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Требование предъявляется в порядке, предусмотренном в разделе 9 Политики;
   5. Направить Оператору заявление об отзыве своего согласия на обработку персональных данных в порядке, предусмотренном в разделе 9 Политики;
   6. На основании запроса получать от Оператора информацию, касающуюся обработки его персональных данных в порядке, предусмотренном в разделе 9 Политики.

9.ОБРАЩЕНИЯ ПОЛЬЗОВАТЕЛЕЙ

1. 1. Пользователь вправе направлять Оператору свои запросы и требования (далее – Обращение) , в том числе относительно использования его персональных данных, а также отзыва согласия на обработку персональных данных.Пользователь вправе направлять Оператору обращения следующими способами:
      1. В письменной форме по адресу Оператора, указанному в разделе 11 Политики;
      2. В форме электронного документа (скан- или фотокопия документа), направленного с адреса электронной почты Пользователя, указанного им при регистрации на Сайте, по адресу электронной почты Оператора: [email protected].

1. 1. Запрос или требование, направляемое Пользователем, должны содержать следующую информацию:
      1. Фамилию, имя, отчество Пользователя;
      2. Данные основного документа, удостоверяющего личность Пользователя или его представителя;
      3. Сведения, подтверждающие участие Пользователя в отношениях с Оператором (в частности, логин и пароль Пользователя на Сайте);
      4. Суть обращения;
      5. Подпись Пользователя или его представителя.

9.3. Оператор обязуется рассмотреть обращение, направить ответ на поступившее обращение и при наличии для этого законных оснований — удовлетворить заявленное Пользователем требование в установленные законом сроки. Ответ на обращение, а также уведомление о действиях, совершенных с персональными данными Пользователя по его обращению, направляются в форме, соответствующей форме обращения Пользователя.

10.ИЗМЕНЕНИЕ ПОЛИТИКИ

1. 1. Оператор оставляет за собой право вносить изменения в Политику. На Пользователе лежит обязанность при каждом использовании Сайта или его сервисов знакомиться с текстом Политики.
   2. Новая редакция Политики вступает в силу с момента ее размещения в соответствующем разделе сайта Оператора. Продолжение пользования Сайтом или его сервисами после публикации новой редакции Политики означает принятие Политики и ее условий Пользователем. В случае несогласия с условиями Политики Пользователь должен незамедлительно прекратить использование Сайта и его сервисов.

11. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ

1. Общие

1.1. Положение в отношении обработки персональных данных (далее — Положение) направлено на защиту прав и свобод физических лиц, персональные данные которых обрабатывает Общество с ограниченной ответственностью "Турбодок" (далее — сервис Турбодок).

1.2. Положение разработано в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

1.3. Положение содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.

2. Сведения об обработке персональных данных

2.1. Сервис Турбодок обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов сервиса Турбодок, работников сервиса Турбодок и третьих лиц.

2.2. Сервис Турбодок получает персональные данные непосредственно у субъектов персональных данных.

2.3. Сервис Турбодок обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

2.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

2.5. Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.

3. Сведения о сервисе Турбодок

3.1. Полное фирменное наименование юридического лица: Общество с ограниченной ответственностью "Турбодок".

3.2. Адрес сервиса Турбодок: 127006, г. Москва, ул. Долгоруковская дом 35, пом. 51.

3.3. ИНН 7707847355, КПП 770701001.

3.4. Ответственный за организацию обработки персональных данных: Осмоловский Дмитрий Николаевич.

3.5. Адрес сервиса Турбодок в сети Интернет по адресу .

3.6. База данных информации, содержащей персональные данные граждан Российской Федерации, находится по адресу: Город Санкт-Петербург, Большой Сампсониевский проспект, дом 77. ООО «Центр Выделенных Серверов» (Лицензия на «Телематические услуги связи» №123019) .

4. Сведения об обеспечении безопасности персональных данных

4.1. Сервис Турбодок назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

4.2. Сервис Турбодок применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

— обеспечивает неограниченный доступ к тексту Положения на промо сайте сервиса Турбодок http://сайт/положение-персональных-данных-turbodoc;

— во исполнение Положения утверждает и приводит в действие документ «Положение об обработке персональных данных» и иные локальные акты;

— производит ознакомление работников с положениями законодательства о персональных данных, а также с Положением;

— осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе сервиса Турбодок, а также к их материальным носителям только для выполнения трудовых обязанностей;

— устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе сервиса Турбодок, а также обеспечивает регистрацию и учёт всех действий с ними;

— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

— производит определение угроз безопасности персональных данных при их обработке в информационной системе сервиса Турбодок;

— применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы сервиса Турбодок;

— осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе сервиса Турбодок.

5. Права субъектов персональных данных

5.1. Субъект персональных данных имеет право:

— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— на отзыв данного им согласия на обработку персональных данных;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

— на обжалование действий или бездействия сервиса Турбодок в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к сервису Турбодок либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».

Согласно Федеральному закону № 152-ФЗ «О персональных данных» под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес места регистрации и проживания;
• семейное, социальное, имущественное положение;
• образование, профессия, доходы;
• паспортные данные;
• и т.п.

На заметку: Позиция судов такова, что даже отдельный email или номер мобильного телефона также является персональными данными, так как он позволяет косвенно определить физическое лицо (субъекта персональных данных) http://bit.ly/delo_provider .

Согласно закону №152-ФЗ «О персональных данных» под обработкой персональных данных подразумевается любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Персональные данные необходимо защищать согласно 152-ФЗ «О персональных данных», который вменяет это в обязанность каждой компании, индивидуальному предпринимателю или бюджетной организации, обрабатывающим персональные данные. Оператор персональных данных обязан принять ряд мер для выполнения требований законодательства Российской Федерации, касающихся обработки и обеспечения безопасности персональных данных.

В противном случае оператор персональных данных и его сотрудники могут понести дисциплинарную, административную и уголовную ответственность, а запрет на обработку персональных данных Роскомнадзора может привести к остановке деятельности компании.

В Российской Федерации существует три основных регулятора в данной сфере:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.
• Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.

Регуляторы проводят как плановые, так и внеплановые проверки, о которых операторы персональных данных предупреждаются за сутки.

Для выполнения закона необходимо иметь пакет организационно-распорядительной документации, назначить ответственных лиц за организацию обработки и обеспечение безопасности персональных данных, подать уведомление об обработке персональных данных в Роскомнадзор, определить уровень защищенности информационных систем для хранения персональных данных и принять организационные и технические меры для обеспечения безопасности персональных данных.

На заметку: Выполнить требования закона можно следующими способами:

• Заказать комплексный аудит, привести бизнес-процессы в соответствие требованиям закона №152-ФЗ и поручить разработку комплекта документов экспертам.
• Нанять специалиста по информационной безопасности, который будет следить за выполнением закона самостоятельно. При этом за качество никто не отвечает и найти такого сотрудника весьма сложно.
• Воспользоваться автоматизированными системами подготовки документов, одной из которых является онлайн-сервис Б-152.

Это любая информация, относящаяся к физическому лицу, по которой прямо или косвенно можно его определить.

К такой информации относится в том числе имя, данные о местоположении, факторы характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

Email , IP -адрес, идентификатор в социальной сети - все это может быть персональными данными.

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные граждан ЕС, не зависимо от местонахождения такой компании.
Нормы GDPR коснутся всех тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины.

GDPR также будут применяться ко всем организациям, вне зависимости от местонахождения, если они любым образом собирают, анализируют или контролируют поведение жителей Евросоюза.

Все российские компании, ориентированные на субъектов в Евросоюзе после 26 мая 2018 г. окажутся в сфере действия Регламента GDPR. В этой связи, согласно требованиям Регламента, такие компании должны назначить своего представителя в Евросоюзе.

Представитель - это физическое или юридическое лицо, созданное в Евросоюзе, которое представляет контролёра или обработчика персональных данных, в отношении их обязательств, предусмотренных Регламентом.

Представитель должен действовать от имени контролёра или обработчика, может взаимодействовать с любыми компетентными органами Евросоюза, государства-члена, включая надзорные органы.

Представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или обработчика, и осуществлять любые действия в целях обеспечения соблюдения Регламента GDPR.

Если у российских операторов персональных данных, к примеру, предоставляющие услуги через интернет для лиц в странах Евросоюза, есть представительства и филиалы в странах Евросоюза, то функции представителя могут быть возложены на них.

Представитель может не назначаться, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработка персональных данных, связана с уголовными приговорами и правонарушениями, или если контролёр является органом или учреждением государственной власти.