Регистрация турагента в Роскомнадзоре: пошаговая инструкция

Рассказываем, как турагенту зарегистрироваться в Роскомнадзоре, что для этого нужно и как заполнить уведомление.

Без регистрации турагента в Роскомнадзоре в качестве оператора персональных данных (ПДн) вы рискуете получить в лучшем случае предписание, в худшем — штраф. Кроме того, нарушение может привести не только к финансовым издержкам, но и к потере доверия клиентов. Мы расскажем, когда регистрация обязательна, как ее пройти и какие уведомления должны подавать турагенты. 

Какие данные считаются персональными

Персональные данные — это любая информация, которая прямо или косвенно позволяет идентифицировать человека (ст.3 ФЗ от 27.07.2006 №152-ФЗ). Для турагентов это особенно важно, так как вы работаете с клиентами напрямую и получаете данные, которые попадают под действие ФЗ №152-ФЗ и должны быть защищены.

К персональным данным относятся:

  • ФИО клиента, дата рождения, паспортные данные;

  • контактные данные: телефон, адрес электронной почты, почтовый адрес;

  • сведения о здоровье, если речь идет о турах с покупкой медстраховки.

Пример: вы, как турагент, принимаете заявку на туристическую путевку. Клиент указывает ФИО, паспортные данные и контактный телефон. Эти сведения вы фиксируете в системе бронирования и используете для оформления билетов, страховки и связи с клиентом. При этом закон требует, чтобы доступ к таким данным имел только ограниченный круг лиц, а хранение было безопасным — на защищенном сервере.

Кто такой оператор персональных данных

Оператор персональных данных — это физическое или юридическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн.

Все турагенты являются операторами вне зависимости от формы бизнеса (юрлицо или ИП), так как им для исполнения обязательств по договору нужны персональные данные клиентов. 

Что входит в обязанности турагента как оператора ПДн:

  1. Определение целей обработки ПДн — оператор должен ясно понимать, зачем собираются данные клиентов (например, оформление туров, страховок, билетов). 

  2. Публикация политики обработки ПДн. Это обязательное требование п.2 ч.1 ст..18.1 ФЗ №152-ФЗ. Политику нужно разместить на сайте и информационном стенде компании. 

  3. Обеспечение законности обработки — данные обрабатываются только на основаниях, предусмотренных законом (исполнение договора, согласие субъекта и т.д.).

  4. Сбор минимального объема данных — только те сведения, которые реально нужны для оказания услуги. Например, вы не можете запрашивать информацию об имущественном положении клиента, так как она не нужна для исполнения договорных обязательств. 

  5. Обеспечение достоверности и актуальности данных — оператор должен принимать меры, чтобы сведения клиентов были точными и своевременно обновлялись.

  6. Обеспечение конфиденциальности и безопасности данных — внедрение технических и организационных мер защиты.

  7. Предоставление информации субъекту ПДн — клиент имеет право знать, какие данные собираются, как они используются и кому передаются.

  8. Реализация прав субъектов ПДн — клиент может требовать уточнения, блокировки или удаления своих данных в рамках закона.

  9. Контроль за соблюдением законодательства сотрудниками — обучение и инструктаж персонала, регулярная проверка соблюдения правил обработки.

Обязан ли турагент регистрироваться в Роскомнадзоре

Регистрация турагента в Роскомнадзоре обязательна, поскольку он не попадает в перечень исключений, предусмотренных ст.22 ФЗ №152-ФЗ. Например, большинство турагентов обрабатывают ПДн с помощью средств автоматизации — технических или программных устройств, которые используются для сбора, хранения, обработки или передачи ПДн в автоматическом режиме. 

Проще говоря, средства автоматизации — это все, что позволяет работать с данными без ручного ввода и контроля на каждом шаге. В практике турагента это может быть:

  1. Компьютеры и серверы, на которых хранятся и обрабатываются данные клиентов.

  2. CRM-системы и системы бронирования — автоматизируют регистрацию заказов, расчет стоимости, рассылку подтверждений.

  3. Электронные таблицы с макросами или базы данных — если они позволяют автоматически сортировать, фильтровать и обновлять данные.

  4. Онлайн-формы на сайте — сбор данных через формы бронирования, анкеты клиентов, регистрационные формы.

  5. Почтовые и мессенджер-сервисы с автоматической интеграцией в CRM — когда информация клиентов сразу попадает в систему без ручного ввода.

Как турагенту зарегистрироваться в Роскомнадзоре: пошаговая инструкция

1. Первый этап — назначение ответственного за организацию обработки ПДн. Это требование п.1 ст.18.1 ФЗ №152-ФЗ. Ответственным может быть штатный сотрудник, руководитель или сторонняя организация. Сведения о нем обязательно указываются в уведомлении. Если вы работаете как ИП, ответственным автоматически считаетесь вы. 

В дальнейшем именно ответственный взаимодействует с Роскомнадзором при получении запросов или проведении проверок. Также он контролирует соблюдение оператором и его работниками законодательства в сфере персональных данных, доводит до сотрудников требования ФЗ №152-ФЗ и других законов, организует прием и обработку обращений и запросов субъектов ПДн или их представителей. Все обязанности и полномочия ответственного указываются в должностной инструкции. 

2. Второй этап — оформление документов по ПДн. Некоторые ошибочно считают, что это можно сделать позже или вообще не оформлять. Но на самом деле сначала составляются документы, поскольку информация, которую вы укажете в них, понадобится для заполнения уведомления в РКН. 

Какие документы нужны:

  • политика обработки ПДн;

  • положения об обработке и защите ПДн клиентов, сотрудников и иных лиц;

  • приказ о назначении ответственного за организацию обработки;

  • журналы учета, акты, регламенты, инструкции и т.д. 

Общее количество документов может достигать 60 наименований. Если у вас небольшой бизнес и мало сотрудников, понадобится минимальный комплект. 

3. Третий этап — заполнение уведомления. Форма доступна на сайте РКН. Выберите способ подписания и подачи: через Госуслуги или с помощью настроенного плагина КриптоПро. Также вы можете заполнить бланк на сайте, распечатать, подписать его и представить в территориальное отделение Роскомнадзора. 

В уведомлении указываются сведения об организации-операторе, а также информация о процессах обработки. Особое внимание уделите следующим разделам:

  • Цели обработки ПДн. Укажите только то, что соответствует действительности. В вашем случае это «подготовка, заключение и исполнение гражданско-правового договора». Если у вас предусмотрена маркетинговая кампания, добавьте «продвижение товаров, работ и услуг на рынке». Для всех юридических лиц обязательно ведение кадрового и бухгалтерского учета, в этом случае тоже нужно выбрать соответствующую цель. 

  • Категории ПДн. Это сведения, которые вы обрабатываете для оказания услуг турагента: ФИО, паспортные данные и т.д. Если у вас есть сотрудники, выберите цель «ведение кадрового и бухгалтерского учета», а в качестве категорий ПДн укажите данные, которые вы обрабатываете для этих целей.

  • Категории субъектов ПДн. Должны соответствовать целям обработки и категориям ПДн. Это могут быть сотрудники, клиенты, посетители сайта, соискатели и т.д. 

  • Правовое основание обработки. Вы можете обрабатывать ПДн без согласия клиентов в рамках договора, поэтому укажите «обработка данных необходима для исполнения договора, стороной которого выступает субъект ПДн». Если обрабатываете данные сверх договора, это можно делать только с согласия клиента, понадобится галочка напротив соответствующего пункта в уведомлении. 

  • Осуществление трансграничной передачи данных (ТППДн). Выберите «не осуществляется». Если вы продаете туры в другие государства, после подачи этого уведомления нужно направить еще одно — о намерениях осуществлять ТППДн и дождаться, когда Роскомнадзор одобрит ТППДн. При передаче данных в страны, обеспечивающие адекватную защиту, ждать 10 рабочих дней не нужно, можно направлять их сразу. Также необходимо подать уведомление об изменении сведений в первоначальном уведомлении, т.к. вы уже будете осуществлять ТППДн.  

4. Четвертый этап — подача уведомления. Способ подачи вы выбираете в самом начале. Когда уведомление будет сформировано, отправьте его на рассмотрение. В ответ вы получите регистрационный номер и ключ для отслеживания статуса. Роскомнадзор рассмотрит документ в течение 30 календарных дней.

5. Пятый этап — проверка регистрации турагента в Роскомнадзоре. Это можно сделать через открытый реестр на сайте РКН — достаточно указать название, ИНН или регистрационный номер. В открывшемся окне вы увидите информацию, которая будет доступна и другим людям — при необходимости они смогут проверять вашу компанию в реестре. В нем указывается то же самое, что и в уведомлении, за исключением сведений о мерах защиты ПДн. 

Какие еще уведомления в Роскомнадзор подавать турагенту

Помимо уведомления о начале обработки ПДн, туроператоры обязаны подавать в РКН и другие уведомления в зависимости от ситуации:

  1. Об изменении сведений, содержащихся в первоначальном уведомлении. Например, если поменялся ответственный за организацию обработки или другие данные. Документ подается не позднее 15 числа месяца, следующего за месяцем изменений.

  2. О намерении осуществлять трансграничную передачу ПДн. Направляется до отправки данных в другое государство. Если оно входит в перечень стран, обеспечивающих адекватную защиту, можно передавать ПДн сразу после отправки уведомления. Если нет, придется ждать до 10 рабочих дней, когда Роскомнадзор его рассмотрит — ведомство может ограничить или запретить передачу. 

  3. Об утечке ПДн. Направляется в течение 24 часов с момента выявления инцидента. Далее в течение 72 часов нужно отправить отчет о результатах внутреннего расследования. 

  4. О прекращении обработки ПДн. Такое уведомление направляется в ведомство в течение 10 рабочих дней с момента регистрации прекращения деятельности юрлица или ИП в ИФНС. 

Важно! За неподачу некоторых уведомлений предусмотрены штрафы. Так, если не пройдена регистрация турагента в Роскомнадзоре, могут оштрафовать на сумму до 300 000 рублей (ч.10 ст.13.11 КоАП). За неподачу уведомления об утечке штраф выше — до 3 млн рублей (ч.11 ст.13.11 КоАП). 

Чтобы без проблем зарегистрироваться в Роскомнадзоре и законно обрабатывать персональные данные, обратитесь к юристам всероссийского сервиса «Роском Онлайн». Они проконсультируют по всем вопросам, подготовят необходимые документы и возьмут на себя всю процедуру регистрации. 

