Большинство туроператоров и турагентов (далее — оператор) наивно полагают, что для соблюдения закона о персданных достаточно получить согласие на обработку ПДн от туриста.
Такое заблуждение грозит не только получением многомиллионных штрафов на имя турфирмы, но и на ее должностных лиц — генерального директора или ответственного сотрудника за обработку персданных.
В настоящей статье рассмотрим актуальные правила обработки ПДн с учетом всех последних изменений законодательства.
Персданными туриста выступает любая информация, которая прямо или косвенно относится к нему, а также необходима для реализации туристического продукта. Чаще всего к таким данным относятся: ФИО; данные гражданского и загранпаспорта; пол; дата рождения; фотография; информация о трудовой деятельности и другие персональные данные.
Уведомлять ведомство придется о всех значимых фактах при обработке персданных туристов-клиентов:
Указанные уведомления могут быть направлены как в бумажном, так и в электронном виде. Для электронной подачи потребуется наличие усиленной квалифицированной электронной подписи или средства аутентификации ЕСИА (Госуслуги).
Сама форма уведомлений представлена на портале персданных Роскомнадзора, которая заполняется и подается там же. Можно выбрать и другой способ, заполнить на портале форму, затем распечатать и подписать ее. Последним шагом останется нарочно направить уведомление в уполномоченный орган.
Турагентства, которые отправляют личную информацию своих клиентов-граждан РФ на территорию стороннего государства, осуществляют трансграничную передачу персональных данных.
В качестве примера приведем процедуру бронирования номера в египетском и турецком отелях для российского гражданина. Чаще всего для регистрации постояльца требуется предоставить сведения в отношении его паспортных данных, пола, гражданства, номера телефона и т.д.
Указанная информация может быть передана иностранному государству только после определения его «адекватности» по порядку защиты прав субъекта ПДн.
С 01.03.2023 вступил в законную силу приказ Роскомнадзора от 05.08.2022 № 128, которым установлен перечень зарубежных стран, обеспечивающих адекватную защиту прав субъекта ПДн. Часть стран из этого перечня является стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а другая часть, хоть и не является стороной Конвенции, но имеет в наличии уполномоченный орган по защите прав субъектов ПДн, да и в целом налаженную нормативно-правовую сферу защиты персональных данных.
В список «адекватных государств» входят такие популярные туристические направления, как Кипр, Турция, Таиланд, Китай, Грузия, Индия, Армения, Азербайджан, Беларусь. Но что насчет путешествий в полюбившиеся всем россиянам ОАЭ, Египет, Мальдивы, Шри-Ланку, Кубу, Сейшелы, Вьетнам? Как быть оператору, отправляющему сведения о туристах-гражданах РФ в отели, перечисленных стран?
Возвращаясь к бронированию номера в египетском и турецком отелях, разберем на их примере порядок предварительных действий туркомпании, направленных на защиту персональных данных.
Отсутствие Египта или любой другой страны в списке Роскомнадзора не подразумевает запрет на передачу им персональных данных, но накладывает обязанность на турбизнес по совершению следующих действий:
От отеля или гостиницы потребуется запросить сведения:
Сделать такую оценку придется, поскольку Роскомнадзор может запросить ее или иные подтверждающие документы, если у него возникнут сомнения относительно достоверности сведений, указанных в уведомлении о намерении провести трансграничную передачу данных.
Предоставляется оценка или иные подтверждающие документы в течение 10 рабочих дней с даты получения запроса Роскомнадзора предоставить запрашиваемые сведения. А если потребуется больше времени, то можно увеличить срок не более чем на 5 рабочих дней путем направления мотивированного уведомления с указанием уважительной причины такого продления.
Направление уведомления возможно как в бумажном, так и в электронном виде, с обязательным указанием сведений, предусмотренных п. 3 ст. 12 закона № 152.
Если в течение 10 рабочих дней не поступит запрет или ограничение на передачу персональных данных туриста, то все в порядке — передача разрешена с соблюдением правил защиты информации.
В случае направления Роскомнадзором запроса рассмотрение уведомления приостанавливается до даты предоставления оператором запрошенной информации. До истечения срока проверки уведомления трансграничная передача персональных данных за границу запрещена.
В случае если оператор, не дожидаясь ответа от ведомства, все-таки направил ПДн туриста для бронирования номера, а потом и вовсе получил запрет или ограничение на передачу, то он будет обязан обеспечить уничтожение иностранным контрагентом полученных данных, иначе больших штрафов не избежать.
Существенной разницей при работе с контрагентами, т.е. отелями из «адекватных стран», является возможность осуществление трансграничной передачи сразу после отправки уведомления в Роскомнадзор без ожидания ответа, т.е. срока в 10 рабочих дней. В остальном алгоритм действий аналогичный вышеуказанному:
Ограничений по количеству и частоте подачи уведомлений не предусмотрено (письмо Роскомнадзора от 09.11.2022 № 08ВМ-98928).
По выбору оператора может быть отправлено как одно уведомление сразу на все цели трансграничной передачи и на все страны, так и заполняться форма на каждую отдельную цель и страну.
В случае каких-либо изменений в трансграничной передаче уведомление подается повторно с новыми вводными.
Количество локальных документов, обязательных для обработки ПДн (клиентов, работников, соискателей), зависит в большей степени от объема целей, определенных в уведомлении о начале или осуществлении любой обработки персданных, в том числе при уведомлении о намерении провести трансграничную передачу данных.
В связи с чем перечислим документы, которые подготавливаются в обязательном порядке для обработки ПДн независимо от выбранных целей в уведомлении.
Первым документом, без которого турагентство не вправе начинать обработку ПДн субъекта, является согласие на обработку персональных данных.
Получить письменное согласие придется от соискателей, работников, клиентов и т.д. Причем на каждого субъекта составляется отдельное согласие, поскольку в нем всегда указывается конкретная цель в единственном числе (например, для оформления трудовых отношений и т.д.).
Если обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн, то согласие не потребуется.
Для продвижения своих услуг и повышения доверия новых клиентов турагентство на своем сайте публикует отзывы клиентов, содержащие ФИО, фотографию и другую личную информацию. Или помогает от имени клиента отправить заявку на бронирование билетов, номера и т.п. В таких случаях речь идет о раскрытии персданных, на что требуется получить отдельное согласие субъекта на распространение ПДн.
В случае если турист отказывается дать согласие на обработку, оператор обязан будет проинформировать его в письменной форме о последствиях такого отказа.
Вторым документом, определяющим правила работы со всей конфиденциальной информацией, не только с персданными турфирмы, является политика в отношении обработки персональных данных.
Политика не только обязательна к размещению на сайте, она должна размещаться на каждой электронной странице/вкладке сайта турагентства.
Кроме того, при составлении проекта указанного документа следует полностью соблюдать требования законодательства в части субъектов ПДн, без содержания условий, ущемляющих права работников турагентства и клиентов-туристов.
Третьим документом, которым устанавливается порядок обработки ПДн, а также происходит закрепление сотрудника, осуществляющего внутренний контроль за соблюдением законодательства РФ о персональных данных, является приказ о назначении ответственного за работу с персданными. Документ внутренний, поэтому публикации или представлению в общем доступе не подлежит. Однако его наличие может проверить Роскомнадзор.
Существуют и другие административно-распорядительные документы, определяющие права сотрудников по работе с ПДн (например, приказ об утверждении места хранения информации с личными данными; список или журнал лиц, обрабатывающих ПДн; иные положения, регламенты, инструкции и т.д.)
Кроме того, в настоящее время почти не встретишь компанию или ИП, осуществляющих обработку персданных на бумажном носителе, без использования компьютерной техники. Поэтому операторы, использующие средства автоматизации, должны заботиться и о технических мерах защиты.
Как минимум, в компании должны быть приняты: модель угроз безопасности ПДн при их обработке в информационных системах; матрица доступа к техническим, программным средствам информационной системы ПДн и т.п.
Вышеперечисленные документы — это лишь малая часть из общего количества документов, которые составляются в целях правильной и законной деятельности при обработке персданных.
Не стоит забывать, что туристические фирмы работают с огромным массивом конфиденциальной информации, поступающей от клиентов. Обязанность не раскрывать третьим лицам и не распространять данные без согласия клиента — должна фиксироваться не только в Агентском договоре, но и в обязательстве о неразглашении ПДн, которое подписывается всеми сотрудниками, у которых есть доступ к сведениям о клиентах.
Таким образом, объем документов, составляемых для обеспечения безопасности хранения и передачи ПДн, достаточно велик, и их подготовка требует не только квалифицированных сотрудников в этой области, но и большого запаса во времени, которого может и не быть при внеплановой проверке Роскомнадзора. С непростой задачей в подготовке необходимых документов ПДн вряд ли турагентство справится самостоятельно.
Рекомендуется в целях экономии времени и избежания больших штрафов обращаться за помощью к специализированным организациям, которые представляют пакет готовых документов для обработки персданных в туротрасли.