Большинство туроператоров и турагентов (далее — оператор) наивно полагают, что для соблюдения закона о персданных достаточно получить согласие на обработку ПДн от туриста.
Такое заблуждение грозит не только получением многомиллионных штрафов на имя турфирмы, но и на ее должностных лиц — генерального директора или ответственного сотрудника за обработку персданных.
В настоящей статье рассмотрим актуальные правила обработки ПДн с учетом всех последних изменений законодательства.
Что такое персональные данные туриста
Персданными туриста выступает любая информация, которая прямо или косвенно относится к нему, а также необходима для реализации туристического продукта. Чаще всего к таким данным относятся: ФИО; данные гражданского и загранпаспорта; пол; дата рождения; фотография; информация о трудовой деятельности и другие персональные данные.
Уведомление Роскомнадзора при обработке персональных данных
Уведомлять ведомство придется о всех значимых фактах при обработке персданных туристов-клиентов:
о намерении осуществлять обработку персональных данных;
об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
о прекращении оператором обработки персональных данных;
об осуществлении трансграничной передачи персональных данных;
о факте неправомерной или случайной передачи персональных данных.
Указанные уведомления могут быть направлены как в бумажном, так и в электронном виде. Для электронной подачи потребуется наличие усиленной квалифицированной электронной подписи или средства аутентификации ЕСИА (Госуслуги).
Сама форма уведомлений представлена на портале персданных Роскомнадзора, которая заполняется и подается там же. Можно выбрать и другой способ, заполнить на портале форму, затем распечатать и подписать ее. Последним шагом останется нарочно направить уведомление в уполномоченный орган.
Если вы хотите получить пакет документов, которые необходимы для исполнения требований законодательства в части обработки персональных данных, оставляйте заявку на этом сайте!
О трансграничной передаче данных субъектов персданных
Турагентства, которые отправляют личную информацию своих клиентов-граждан РФ на территорию стороннего государства, осуществляют трансграничную передачу персональных данных.
В качестве примера приведем процедуру бронирования номера в египетском и турецком отелях для российского гражданина. Чаще всего для регистрации постояльца требуется предоставить сведения в отношении его паспортных данных, пола, гражданства, номера телефона и т.д.
Указанная информация может быть передана иностранному государству только после определения его «адекватности» по порядку защиты прав субъекта ПДн.
Что это значит
С 01.03.2023 вступил в законную силу приказ Роскомнадзора от 05.08.2022 № 128, которым установлен перечень зарубежных стран, обеспечивающих адекватную защиту прав субъекта ПДн. Часть стран из этого перечня является стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а другая часть, хоть и не является стороной Конвенции, но имеет в наличии уполномоченный орган по защите прав субъектов ПДн, да и в целом налаженную нормативно-правовую сферу защиты персональных данных.
В список «адекватных государств» входят такие популярные туристические направления, как Кипр, Турция, Таиланд, Китай, Грузия, Индия, Армения, Азербайджан, Беларусь. Но что насчет путешествий в полюбившиеся всем россиянам ОАЭ, Египет, Мальдивы, Шри-Ланку, Кубу, Сейшелы, Вьетнам? Как быть оператору, отправляющему сведения о туристах-гражданах РФ в отели, перечисленных стран?
Возвращаясь к бронированию номера в египетском и турецком отелях, разберем на их примере порядок предварительных действий туркомпании, направленных на защиту персональных данных.
Вам нужен пакет документов для соблюдения требований законодательства в части обработки персональных данных? Оставляйте заявку на этой странице, и наш менеджер свяжется с вами.
Бронирование номера в египетском отеле или в стране с «неадекватной» защитой прав субъекта персональных данных
Отсутствие Египта или любой другой страны в списке Роскомнадзора не подразумевает запрет на передачу им персональных данных, но накладывает обязанность на турбизнес по совершению следующих действий:
1. Провести оценку соблюдения иностранным партнером мер по адекватной защите прав субъектов ПДн
От отеля или гостиницы потребуется запросить сведения:
о мерах по защите ПДн и об условиях прекращения их обработки;
о правовом регулировании в области ПДн иностранного государства;
о самом лице, которому планируется трансграничная передача персональных данных (наименование либо ФИО, номера телефона, почтовый или электронный адрес).
Сделать такую оценку придется, поскольку Роскомнадзор может запросить ее или иные подтверждающие документы, если у него возникнут сомнения относительно достоверности сведений, указанных в уведомлении о намерении провести трансграничную передачу данных.
Предоставляется оценка или иные подтверждающие документы в течение 10 рабочих дней с даты получения запроса Роскомнадзора предоставить запрашиваемые сведения. А если потребуется больше времени, то можно увеличить срок не более чем на 5 рабочих дней путем направления мотивированного уведомления с указанием уважительной причины такого продления.
2. Подготовить и направить уведомление в Роскомнадзор о намерении провести трансграничную передачу данных
Направление уведомления возможно как в бумажном, так и в электронном виде, с обязательным указанием сведений, предусмотренных п. 3 ст. 12 закона № 152.
3. Дождаться ответа от Роскомнадзора
Если в течение 10 рабочих дней не поступит запрет или ограничение на передачу персональных данных туриста, то все в порядке — передача разрешена с соблюдением правил защиты информации.
В случае направления Роскомнадзором запроса рассмотрение уведомления приостанавливается до даты предоставления оператором запрошенной информации. До истечения срока проверки уведомления трансграничная передача персональных данных за границу запрещена.
4. Направление ПДн или их уничтожение при запрете или ограничении
В случае если оператор, не дожидаясь ответа от ведомства, все-таки направил ПДн туриста для бронирования номера, а потом и вовсе получил запрет или ограничение на передачу, то он будет обязан обеспечить уничтожение иностранным контрагентом полученных данных, иначе больших штрафов не избежать.
Новые требования законодательства достаточно объемны и сложны. Если вы хотите получить бесплатную консультацию профильного юриста, оставляйте заявку на этом сайте.
Бронирование номера в турецком отеле или в стране с «адекватной» защитой прав субъекта персданных
Существенной разницей при работе с контрагентами, т.е. отелями из «адекватных стран», является возможность осуществление трансграничной передачи сразу после отправки уведомления в Роскомнадзор без ожидания ответа, т.е. срока в 10 рабочих дней. В остальном алгоритм действий аналогичный вышеуказанному:
Проводится оценка соблюдения иностранным контрагентом конфиденциальности и безопасности ПДн при их обработке;
Уведомляется Роскомнадзор;
При получении запрета или ограничения обеспечивается уничтожении иностранным контрагентом полученных данных.
Сколько уведомлений о трансграничной передаче подается в Роскомнадзор
Ограничений по количеству и частоте подачи уведомлений не предусмотрено (письмо Роскомнадзора от 09.11.2022 № 08ВМ-98928).
По выбору оператора может быть отправлено как одно уведомление сразу на все цели трансграничной передачи и на все страны, так и заполняться форма на каждую отдельную цель и страну.
В случае каких-либо изменений в трансграничной передаче уведомление подается повторно с новыми вводными.
Как не нарваться на штрафы, работая с персональными данными?
Бесплатная памятка для юридических лиц
Забирайте памятку по соблюдению законодательства о персональных данных бесплатно!
Оставьте контакты, вышлем памятку на ваш e-mail:
Документы, требуемые оператору для обработки персональных данных
Количество локальных документов, обязательных для обработки ПДн (клиентов, работников, соискателей), зависит в большей степени от объема целей, определенных в уведомлении о начале или осуществлении любой обработки персданных, в том числе при уведомлении о намерении провести трансграничную передачу данных.
В связи с чем перечислим документы, которые подготавливаются в обязательном порядке для обработки ПДн независимо от выбранных целей в уведомлении.
Первым документом, без которого турагентство не вправе начинать обработку ПДн субъекта, является согласие на обработку персональных данных.
Получить письменное согласие придется от соискателей, работников, клиентов и т.д. Причем на каждого субъекта составляется отдельное согласие, поскольку в нем всегда указывается конкретная цель в единственном числе (например, для оформления трудовых отношений и т.д.).
Если обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн, то согласие не потребуется.
Для продвижения своих услуг и повышения доверия новых клиентов турагентство на своем сайте публикует отзывы клиентов, содержащие ФИО, фотографию и другую личную информацию. Или помогает от имени клиента отправить заявку на бронирование билетов, номера и т.п. В таких случаях речь идет о раскрытии персданных, на что требуется получить отдельное согласие субъекта на распространение ПДн.
В случае если турист отказывается дать согласие на обработку, оператор обязан будет проинформировать его в письменной форме о последствиях такого отказа.
Вторым документом, определяющим правила работы со всей конфиденциальной информацией, не только с персданными турфирмы, является политика в отношении обработки персональных данных.
Политика не только обязательна к размещению на сайте, она должна размещаться на каждой электронной странице/вкладке сайта турагентства.
Кроме того, при составлении проекта указанного документа следует полностью соблюдать требования законодательства в части субъектов ПДн, без содержания условий, ущемляющих права работников турагентства и клиентов-туристов.
Третьим документом, которым устанавливается порядок обработки ПДн, а также происходит закрепление сотрудника, осуществляющего внутренний контроль за соблюдением законодательства РФ о персональных данных, является приказ о назначении ответственного за работу с персданными. Документ внутренний, поэтому публикации или представлению в общем доступе не подлежит. Однако его наличие может проверить Роскомнадзор.
Существуют и другие административно-распорядительные документы, определяющие права сотрудников по работе с ПДн (например, приказ об утверждении места хранения информации с личными данными; список или журнал лиц, обрабатывающих ПДн; иные положения, регламенты, инструкции и т.д.)
Кроме того, в настоящее время почти не встретишь компанию или ИП, осуществляющих обработку персданных на бумажном носителе, без использования компьютерной техники. Поэтому операторы, использующие средства автоматизации, должны заботиться и о технических мерах защиты.
Как минимум, в компании должны быть приняты: модель угроз безопасности ПДн при их обработке в информационных системах; матрица доступа к техническим, программным средствам информационной системы ПДн и т.п.
Вышеперечисленные документы — это лишь малая часть из общего количества документов, которые составляются в целях правильной и законной деятельности при обработке персданных.
Не стоит забывать, что туристические фирмы работают с огромным массивом конфиденциальной информации, поступающей от клиентов. Обязанность не раскрывать третьим лицам и не распространять данные без согласия клиента — должна фиксироваться не только в Агентском договоре, но и в обязательстве о неразглашении ПДн, которое подписывается всеми сотрудниками, у которых есть доступ к сведениям о клиентах.
Таким образом, объем документов, составляемых для обеспечения безопасности хранения и передачи ПДн, достаточно велик, и их подготовка требует не только квалифицированных сотрудников в этой области, но и большого запаса во времени, которого может и не быть при внеплановой проверке Роскомнадзора. С непростой задачей в подготовке необходимых документов ПДн вряд ли турагентство справится самостоятельно.
Рекомендуется в целях экономии времени и избежания больших штрафов обращаться за помощью к специализированным организациям, которые представляют пакет готовых документов для обработки персданных в туротрасли.
Если вы не хотите столкнуться с претензиями Роскомнадзора, оставляйте заявку на пакет документов для соблюдения всех законодательных требований в чести персональных данных — на этой странице.
Документы для организации работы с персональными данными
Получите 60 документов и организуйте в своей компании работу с персональными данными согласно требованиям Роскомнадзора и ФЗ №152
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8Jximt
Начать дискуссию