Закон о персональных данных: как турагенту избежать штрафов

Содержание

• Что такое закон о персональных данных
• Что означает закон для турагентов и туроператоров
• Как избежать штрафов

Что такое закон о персональных данных

В 2006 году в Российской Федерации был принят Федеральный закон № 152 «О персональных данных», который определил параметры сбора, обработки и использования сведений о физических лицах. 

Основные термины

Персональные данные — это информация, связанная прямо или косвенно с конкретным человеком. Данные могут быть:

• общедоступные — включая ФИО, дату и место рождения, адрес проживания, контактные сведения и факты о профессиональной деятельности;
• специальные — охватывают в том числе политическую позицию, религиозные убеждения и, например, состояние здоровья;
• биометрические — касаются физиологических и биологических характеристик, позволяющих идентифицировать личность;
• прочие — это информация, которая не относится к категориям выше.

Оператор персональных данных — организация или индивидуальный предприниматель, которые обрабатывают персональные данные. Они могут делать это сами или передавать полномочия третьей стороне по отдельному договору. На практике обработка персональных данных может выглядеть так: турагент или туроператор собирает информацию, загружает её в специальную таблицу, а потом использует систематизированные материалы для рассылки персональных предложений. 

Оператор персональных данных — организация или индивидуальный предприниматель, которые обрабатывают персональные данные. Фото: Pressmaster / Shutterstock.com

Что означает закон для турагентов и туроператоров

Во-первых, эти субъекты должны регистрироваться как операторы персональных данных в Роскомнадзоре. Для этого необходимо направить в госорган уведомление, указав в нём свои идентификационные данные, ответственных лиц, цель и сроки обработки получаемой информации, а также какие меры приняты для обеспечения безопасности передаваемых материалов. 

Во-вторых, турагенты и туроператоры должны направлять в то же ведомство и другие уведомления, например:

• информацию о передаче данных туристов в зарубежную страну для последующего оформления поездки туда;
• сведения о неправомерной передаче информации.

Формы подобных документов можно посмотреть на сайтах Роскомнадзора и «Консультант Плюс». 

Что надо учитывать при направлении уведомлений в Роскомнадзор

Зелёный список стран. В марте 2023 года Роскомнадзор (Приказ № 128) определил список государств, где обеспечивается «адекватная защита прав при передаче персональных данных». В перечень входят, например, Австрия, Италия, Греция, Грузия, Бельгия, Испания, Швеция, Мексика и другие страны. 

Если отель, в котором планируется разместить клиента, находится на территории страны из такого зелёного списка, то алгоритм работы туроператора или турагента будет простым:

• сначала надо оценить, как зарубежная гостиница соблюдает требования по информационной безопасности, каким образом возможно прекращение обработки персональной информации и кто конкретно будет иметь к ней доступ;
• затем — направить уведомление в Роскомнадзор;
• далее — не дожидаясь ответа от ведомства, направить необходимые материалы в адрес иностранного партнёра.

В перечень зелёных стран входит Австрия. Фото: Nok Lek Travel Lifestyle / Shutterstock.com

Другие страны. Совсем другое дело, если отель расположен в стране, которая не соответствует стандартам защиты. Тогда формат взаимодействия будет таким:

• сначала от заграничного отеля нужно запросить документы с ответом на вопросы: какие меры предпринимаются для сохранения переданных персональных данных (1), какое используется национальное правовое регулирование в этой сфере (2) и кто будет получателем передаваемых материалов (3) — требуется записать его ФИО, наименование, контактные номера и адреса почты;
• затем — направить уведомление в Роскомнадзор;
• если ведомство не ответило или не запретило передачу информации в течение 10 рабочих дней, то это юридически разрешает отправку материалов. При этом РКН вправе направить турагенту или туроператору дополнительный запрос. Тогда срок замораживается, и данные клиентов отправлять нельзя. 

Все полученные от заграничного отеля документы надо сохранить. Роскомнадзор может их потребовать, чтобы убедиться: персональные данные гражданина, отправленные в зарубежную страну, надёжно защищены.

При этом если не выдержать сроки ответа от РКН и отправить сведения о клиенте в страну не из перечня Приказа №128, то такие данные нужно будет уничтожить, если от ведомства поступит запрет. Госоргану потребуется представить доказательства, подтверждающие ликвидацию направленных материалов: это может быть документ от зарубежного отеля.

Какие документы нужны при работе с клиентом

Вот о каких документах следует позаботиться турагенту или туроператору:

• согласие на обработку персональных данных;
• согласие на распространение персональных данных — этот документ необходим, если планируется собрать в дальнейшем отзыв от клиента о поездке и опубликовать его, например, на своём сайте;
• политика обработки персональных данных — это общий стратегический документ, который определяет подходы к работе с подобными сведениями;
• порядок обработки персональных данных.

Конечно, этот перечень не будет полным без дополнительных указаний:

• надо назначить сотрудника, который будет ответственен за работу с данными;
• определить, где разместят информацию;
• указать список работников, которые имеют доступ к ней;
• подготовить документы, которые определяют меры защиты полученной информации.

Турагенту следует позаботиться о документах. Фото: REDPIXEL.PL / Shutterstock.com

Какие штрафы предусмотрены

Если не соблюдать порядок обработки персональных сведений о личности, можно получить административное наказание. 

• Например, если фирма, используя подобные данные, забыла о получении обязательного разрешения на это от клиента, то она заплатит штраф в размере от 300 до 700 тысяч рублей.
• Должностное лицо накажут на сумму от 100 000 до 300 000.
• Если на сайте организации нет политики по обработке персональных данных, то тогда с компании (юрлица) взыщут от 30 000 до 60 000 рублей.

Полный перечень санкций можно посмотреть здесь.

Если не соблюдать порядок обработки персональных сведений о личности, можно получить административное наказание. Фото: insta_photos / Shutterstock.com

Как избежать штрафов

Здесь следует действовать по таким принципам:

Отправить в Роскомнадзор уведомление с просьбой внести компанию в реестр операторов персональных данных и далее информировать ведомство о передаче такой информации, учитывая сроки.

Назначить ответственного внутри компании. Его рамочные полномочия: возможность внутреннего аудита, проведение инструктажей, отслеживание изменений профильного законодательства.

Разработать и утвердить нормы по работе с персональными данными внутри фирмы. Всех сотрудников корпорации надо ознакомить с локальными актами под роспись. Работники, которые допускаются к персональным данным клиентов, должны представить письменные обязательства о неразглашении таких сведений.

Разместить на сайте компании документы: Политику в области обработки персональных данных, уведомления, касающиеся файлов cookie, формы соответствующих согласий.

Команда сервиса Островок B2B стремится облегчать жизнь турагентам: для этого у нас реализована возможность отправлять сведения о турпоездках в систему «Электронная путёвка», не выходя из приложения. Будьте бдительны — и работайте без стресса! 

Перейти в Островок B2B

Фото обложки: Marek Levak / pexels.com