Что входит в обязанности оператора ПДн

Обязанности оператора персональных данных определяются ФЗ №152 и уточняются постановлением Правительства №1119 от 01.11.2012, которое регламентирует меры по защите персональных данных при их обработке. Для туроператоров и турагентов соблюдение этих требований — залог законной работы и защиты клиентов.

Ниже приведем основные обязанности оператора при обработке ПДн:

1. Определение целей обработки и правомерность действий. Оператор должен четко понимать, зачем собираются данные клиентов. Например, для бронирования туров, оформления страховки, рассылки уведомлений или маркетинговых предложений. Каждая цель должна быть законной и соответствовать заявленной в Политике обработки.

2. Разработка Политики обработки ПДн. Она должна быть в открытом доступе на сайте (при наличии). Если у компании есть офис, ее необходимо разместить на информационном стенде.

3. Получение согласия на обработку персональных данных в туризме. Оно не требуется, если ПДн нужны для исполнения договора — оказания услуг в сфере туризма. Для обработки в целях сверх договора нужно отдельное согласие клиента. Оно должно быть конкретным, информированным и свободным — клиенту важно понимать, на что он соглашается.

4. Обеспечение конфиденциальности и безопасности данных. Согласно ст.ст.18.1 и 19 ФЗ-152 и Постановлению №1119, оператор обязан применять меры защиты:

технические: например, антивирусная защита, настройка и разграничение прав доступа, использование средств шифрования;

организационные: назначение ответственных лиц, утверждение перечня должностей с доступом к ПДн, регулярное обучение персонала, обеспечение сохранности носителей ПДн, оформление локальных документов по обработке ПДн, оценка вреда, ознакомление сотрудников с правилами обработки ПДн, осуществление внутреннего контроля и аудита.

5. Ведение документации и учет действий. Необходимо фиксировать, какие ПДн вы получаете, кому передаете и как уничтожаете. Документы должны быть доступны для внутреннего контроля и проверок Роскомнадзора.

6. Информирование субъектов данных о правах. Клиент имеет право знать, какие данные о нем обрабатываются, как они используются, требовать исправления или удаления информации. Для этого оператор публикует политику обработки ПДн на сайте и размещает ее на информационном стенде в офисе.

7. Уведомление Роскомнадзора об обработке ПДн. Его нужно подать до начала сбора данных, иначе организацию или ИП могут оштрафовать на сумму до 300 000 рублей (ч.10 ст.13.11 КоАП).

8. Контроль за соблюдением законодательства при передаче данных третьим лицам. Туроператоры обычно передают данные гостиницам, авиа- или страховым компаниям, поэтому с ними необходимо заключать соглашения, обеспечивающие соблюдение требований ФЗ №152-ФЗ.

9. Уничтожение данных по достижении цели обработки. После этого оператор обязан уничтожить их. Для этого создается отдельная комиссия, по результатам оформляется акт уничтожения и выгрузка из журнала ИСПДн.

Важно! Нарушение практически любого пункта чревато штрафами по ст.13.11 КоАП и репутационными потерями.