Без регистрации турагента в Роскомнадзоре в качестве оператора персональных данных (ПДн) вы рискуете получить в лучшем случае предписание, в худшем — штраф. Кроме того, нарушение может привести не только к финансовым издержкам, но и к потере доверия клиентов. Мы расскажем, когда регистрация обязательна, как ее пройти и какие уведомления должны подавать турагенты.
Какие данные считаются персональными
Персональные данные — это любая информация, которая прямо или косвенно позволяет идентифицировать человека (ст.3 ФЗ от 27.07.2006 №152-ФЗ). Для турагентов это особенно важно, так как вы работаете с клиентами напрямую и получаете данные, которые попадают под действие ФЗ №152-ФЗ и должны быть защищены.
К персональным данным относятся:
ФИО клиента, дата рождения, паспортные данные;
контактные данные: телефон, адрес электронной почты, почтовый адрес;
сведения о здоровье, если речь идет о турах с покупкой медстраховки.
Пример: вы, как турагент, принимаете заявку на туристическую путевку. Клиент указывает ФИО, паспортные данные и контактный телефон. Эти сведения вы фиксируете в системе бронирования и используете для оформления билетов, страховки и связи с клиентом. При этом закон требует, чтобы доступ к таким данным имел только ограниченный круг лиц, а хранение было безопасным — на защищенном сервере.
Кто такой оператор персональных данных
Оператор персональных данных — это физическое или юридическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн.
Все турагенты являются операторами вне зависимости от формы бизнеса (юрлицо или ИП), так как им для исполнения обязательств по договору нужны персональные данные клиентов.
Что входит в обязанности турагента как оператора ПДн:
Определение целей обработки ПДн — оператор должен ясно понимать, зачем собираются данные клиентов (например, оформление туров, страховок, билетов).
Публикация политики обработки ПДн. Это обязательное требование п.2 ч.1 ст..18.1 ФЗ №152-ФЗ. Политику нужно разместить на сайте и информационном стенде компании.
Обеспечение законности обработки — данные обрабатываются только на основаниях, предусмотренных законом (исполнение договора, согласие субъекта и т.д.).
Сбор минимального объема данных — только те сведения, которые реально нужны для оказания услуги. Например, вы не можете запрашивать информацию об имущественном положении клиента, так как она не нужна для исполнения договорных обязательств.
Обеспечение достоверности и актуальности данных — оператор должен принимать меры, чтобы сведения клиентов были точными и своевременно обновлялись.
Обеспечение конфиденциальности и безопасности данных — внедрение технических и организационных мер защиты.
Предоставление информации субъекту ПДн — клиент имеет право знать, какие данные собираются, как они используются и кому передаются.
Реализация прав субъектов ПДн — клиент может требовать уточнения, блокировки или удаления своих данных в рамках закона.
Контроль за соблюдением законодательства сотрудниками — обучение и инструктаж персонала, регулярная проверка соблюдения правил обработки.
Обязан ли турагент регистрироваться в Роскомнадзоре
Регистрация турагента в Роскомнадзоре обязательна, поскольку он не попадает в перечень исключений, предусмотренных ст.22 ФЗ №152-ФЗ. Например, большинство турагентов обрабатывают ПДн с помощью средств автоматизации — технических или программных устройств, которые используются для сбора, хранения, обработки или передачи ПДн в автоматическом режиме.
Проще говоря, средства автоматизации — это все, что позволяет работать с данными без ручного ввода и контроля на каждом шаге. В практике турагента это может быть:
Компьютеры и серверы, на которых хранятся и обрабатываются данные клиентов.
CRM-системы и системы бронирования — автоматизируют регистрацию заказов, расчет стоимости, рассылку подтверждений.
Электронные таблицы с макросами или базы данных — если они позволяют автоматически сортировать, фильтровать и обновлять данные.
Онлайн-формы на сайте — сбор данных через формы бронирования, анкеты клиентов, регистрационные формы.
Почтовые и мессенджер-сервисы с автоматической интеграцией в CRM — когда информация клиентов сразу попадает в систему без ручного ввода.
Как турагенту зарегистрироваться в Роскомнадзоре: пошаговая инструкция
1. Первый этап — назначение ответственного за организацию обработки ПДн. Это требование п.1 ст.18.1 ФЗ №152-ФЗ. Ответственным может быть штатный сотрудник, руководитель или сторонняя организация. Сведения о нем обязательно указываются в уведомлении. Если вы работаете как ИП, ответственным автоматически считаетесь вы.
В дальнейшем именно ответственный взаимодействует с Роскомнадзором при получении запросов или проведении проверок. Также он контролирует соблюдение оператором и его работниками законодательства в сфере персональных данных, доводит до сотрудников требования ФЗ №152-ФЗ и других законов, организует прием и обработку обращений и запросов субъектов ПДн или их представителей. Все обязанности и полномочия ответственного указываются в должностной инструкции.
2. Второй этап — оформление документов по ПДн. Некоторые ошибочно считают, что это можно сделать позже или вообще не оформлять. Но на самом деле сначала составляются документы, поскольку информация, которую вы укажете в них, понадобится для заполнения уведомления в РКН.
Какие документы нужны:
политика обработки ПДн;
положения об обработке и защите ПДн клиентов, сотрудников и иных лиц;
приказ о назначении ответственного за организацию обработки;
журналы учета, акты, регламенты, инструкции и т.д.
Общее количество документов может достигать 60 наименований. Если у вас небольшой бизнес и мало сотрудников, понадобится минимальный комплект.
3. Третий этап — заполнение уведомления. Форма доступна на сайте РКН. Выберите способ подписания и подачи: через Госуслуги или с помощью настроенного плагина КриптоПро. Также вы можете заполнить бланк на сайте, распечатать, подписать его и представить в территориальное отделение Роскомнадзора.
В уведомлении указываются сведения об организации-операторе, а также информация о процессах обработки. Особое внимание уделите следующим разделам:
Цели обработки ПДн. Укажите только то, что соответствует действительности. В вашем случае это «подготовка, заключение и исполнение гражданско-правового договора». Если у вас предусмотрена маркетинговая кампания, добавьте «продвижение товаров, работ и услуг на рынке». Для всех юридических лиц обязательно ведение кадрового и бухгалтерского учета, в этом случае тоже нужно выбрать соответствующую цель.
Категории ПДн. Это сведения, которые вы обрабатываете для оказания услуг турагента: ФИО, паспортные данные и т.д. Если у вас есть сотрудники, выберите цель «ведение кадрового и бухгалтерского учета», а в качестве категорий ПДн укажите данные, которые вы обрабатываете для этих целей.
Категории субъектов ПДн. Должны соответствовать целям обработки и категориям ПДн. Это могут быть сотрудники, клиенты, посетители сайта, соискатели и т.д.
Правовое основание обработки. Вы можете обрабатывать ПДн без согласия клиентов в рамках договора, поэтому укажите «обработка данных необходима для исполнения договора, стороной которого выступает субъект ПДн». Если обрабатываете данные сверх договора, это можно делать только с согласия клиента, понадобится галочка напротив соответствующего пункта в уведомлении.
Осуществление трансграничной передачи данных (ТППДн). Выберите «не осуществляется». Если вы продаете туры в другие государства, после подачи этого уведомления нужно направить еще одно — о намерениях осуществлять ТППДн и дождаться, когда Роскомнадзор одобрит ТППДн. При передаче данных в страны, обеспечивающие адекватную защиту, ждать 10 рабочих дней не нужно, можно направлять их сразу. Также необходимо подать уведомление об изменении сведений в первоначальном уведомлении, т.к. вы уже будете осуществлять ТППДн.
4. Четвертый этап — подача уведомления. Способ подачи вы выбираете в самом начале. Когда уведомление будет сформировано, отправьте его на рассмотрение. В ответ вы получите регистрационный номер и ключ для отслеживания статуса. Роскомнадзор рассмотрит документ в течение 30 календарных дней.
5. Пятый этап — проверка регистрации турагента в Роскомнадзоре. Это можно сделать через открытый реестр на сайте РКН — достаточно указать название, ИНН или регистрационный номер. В открывшемся окне вы увидите информацию, которая будет доступна и другим людям — при необходимости они смогут проверять вашу компанию в реестре. В нем указывается то же самое, что и в уведомлении, за исключением сведений о мерах защиты ПДн.
Какие еще уведомления в Роскомнадзор подавать турагенту
Помимо уведомления о начале обработки ПДн, туроператоры обязаны подавать в РКН и другие уведомления в зависимости от ситуации:
Об изменении сведений, содержащихся в первоначальном уведомлении. Например, если поменялся ответственный за организацию обработки или другие данные. Документ подается не позднее 15 числа месяца, следующего за месяцем изменений.
О намерении осуществлять трансграничную передачу ПДн. Направляется до отправки данных в другое государство. Если оно входит в перечень стран, обеспечивающих адекватную защиту, можно передавать ПДн сразу после отправки уведомления. Если нет, придется ждать до 10 рабочих дней, когда Роскомнадзор его рассмотрит — ведомство может ограничить или запретить передачу.
Об утечке ПДн. Направляется в течение 24 часов с момента выявления инцидента. Далее в течение 72 часов нужно отправить отчет о результатах внутреннего расследования.
О прекращении обработки ПДн. Такое уведомление направляется в ведомство в течение 10 рабочих дней с момента регистрации прекращения деятельности юрлица или ИП в ИФНС.
Важно! За неподачу некоторых уведомлений предусмотрены штрафы. Так, если не пройдена регистрация турагента в Роскомнадзоре, могут оштрафовать на сумму до 300 000 рублей (ч.10 ст.13.11 КоАП). За неподачу уведомления об утечке штраф выше — до 3 млн рублей (ч.11 ст.13.11 КоАП).
Чтобы без проблем зарегистрироваться в Роскомнадзоре и законно обрабатывать персональные данные, обратитесь к юристам всероссийского сервиса «Роском Онлайн». Они проконсультируют по всем вопросам, подготовят необходимые документы и возьмут на себя всю процедуру регистрации.
