– То же что и остальным: отправить уведомление в Роскомнадзор для включения в реестр операторов обработки персональных данных. Я не слышала, чтобы кого-то наказали за несвоевременное внесение сведений в Реестр. Но если Роскомнадзор уже прислал в адрес турфирмы письмо с требованием подать уведомление об обработке персональных данных, его нельзя игнорировать – в противном случае ведомство может обратиться в суд с ходатайством о возбуждении дела об административном правонарушении (ст.19.7 КоАП РФ) и взыскании соответствующего штрафа (с юридических лиц – от 3 до 5 тыс. рублей). Проблему не обойти.
– Но многие ссылаются на статью закона, гласящую, что можно работать и без уведомления Роскомнадзора, если персональные данные используются исключительно для целей реализации договора и не распространяются без согласия субъекта этих данных.
– Действительно, статью 22 ч.2 закона «О персональных данных» многие трактуют именно так, однако здесь стоит обратить внимание на ряд нюансов. Данная статья гласит, что «Оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».
На практике выходит, что договор на туристские услуги подписывает заказчик, в то время как в путешествие могут отправиться несколько человек, чьи персональные данные предоставляются заказчиком, то есть третьим лицом. Мало того, иногда этот заказчик вовсе не является потребителем услуги (например, взрослые дети покупают тур для родителей или в случае корпоративных заказов). Проще говоря, договор заключается не со всеми субъектами персональных данных, которые имеют намерение отправиться в путешествие. В то же время персональные данные потребителей туристских услуг всегда передаются третьим лицам, каковыми являются туроператоры, консульские учреждения, отели, авиакомпании, страховые компании и т.д.
– Получается, что каждый совершеннолетний клиент турфирмы должен давать согласие на обработку своих персональных данных?
– Да, каждый, причем – письменное согласие. Либо лицо, предоставляющее персональные данные другого субъекта, должно иметь соответствующие полномочия (нотариально заверенная доверенность – прим. ред.)
– Как правильно оформить такое согласие?
– Типовой формы согласия не существует, но в законе очень подробно перечислена информация, которая должна в нем содержаться (ст.9 ч. 4). Это, вопервых, ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе. Вовторых, наименование и адрес оператора, получающего согласие субъекта персональных данных. В-третьих, цель обработки персональных данных. В-четвертых, перечень персональных данных, на обработку которых дается согласие. В-пятых, перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых оператором способов обработки персональных данных. И, наконец, срок, в течение которого действует согласие, а также порядок его отзыва. Применительно к туристской отрасли это должен быть отдельный документ, который оформляется приложением к договору (будь то договор о реализации туристского продукта или договор возмездного оказания туристских услуг). Каждая турфирма должна разработать такой бланк самостоятельно. Особое внимание хочу обратить на то, что храниться персональные данные должны не дольше, чем этого требуют цели их обработки, и затем должны быть уничтожены (статья 5).
– А как же практика хранения копий паспортов, анкет постоянных клиентов, онлайн-бронирования, когда данные туристов нужны здесь и сейчас?
– В соответствии с требованиями закона, когда клиент вернулся из поездки, вся информация о нем должна быть уничтожена. Получается, что турфирмы находятся между двух огней: с одной стороны – надзорные органы, с другой – клиент. Конечно, каждый раз запрашивать данные постоянных клиентов противоречит деловой этике. И это одно из «больных мест» закона применительно к нашей отрасли.
– Кроме согласия нужны еще какие-нибудь документы, регламентирующие процесс обработки персональных данных?
– Уведомление в Роскомнадзор и бланк согласия – лишь верхушка айсберга. Следуя требованиям закона и иных подзаконных актов, турфирме придется разрабатывать целый пакет административно-распорядительных документов, локальных нормативных актов, регламентирующих действия по защите персональных данных своих клиентов. Я насчитала более 20 документов. Помимо уже упомянутого уведомления, отосланного в Роскомнадзор, бланка согласия на обработку персональных данных, это перечень данных, подлежащих защите, положение о защите персональных данных, разработка модели угроз и нарушителя, план мероприятий по обеспечению защиты ПД, перечень организационных мероприятий по обеспечению безопасности ПД, обрабатываемых в информационных системах персональных данных, отчет о результатах проведения внутренней проверки, инструкции для администратора и пользователей информационных систем персональных данных и т.д.
Зная технологии своего бизнеса, теоретически эти документы можно составить самостоятельно, но маловероятно, что у небольших турфирм найдутся трудовые и временные ресурсы для этого. Сегодня каждый предприниматель должен самостоятельно изучать законы и «рожать» необходимые для работы документы. В туротрасли до сих пор нет единого методического центра, который бы занимался подобными вопросами.
Впрочем, документы – это только часть работы, необходимой для реализации требований закона. Немалые финансовые средства необходимы и на разработку и защиту самой информационной системы персональных данных.
– А кто проверяет наличие этих документов, и что грозит за их отсутствие?
– Исполнение закона «О персональных данных» контролируют три проверяющих организации (регуляторы закона): Роскомнадзор (ведение реестра операторов персональных данных, защита прав субъектов ПДн), Федеральная служба безопасности Российской Федерации (криптография, трансграничная передача) и Федеральная служба по техническому и экспортному контролю (ФСТЭК) (техническая защита информации). Пока исполнение данного закона среди турфирм, насколько мне известно, проводит только Роскомнадзор. Но после 1 января 2011 года контролировать соответствие законодательству информационных систем персональных данных смогут и другие надзорные органы.
– Вы проводили семинары по обработке и защите персональных данных для турфирм. Какие вопросы чаще всего задавали слушатели?
- Первый семинар по этой теме мы провели еще в августе 2006 года, сразу после принятия закона. Примечательно, что подавляющее большинство слушателей этих семинаров – организации, занимающиеся приемом иностранных туристов, и отельеры. Другая часть слушателей – те, кто краем уха слышал о персональных данных или те, кто получил письмо Роскомнадзора. Но это капля в море – складывается впечатление, что большинство турфирм вообще не имеет представления о существовании этого закона. Даже среди наших слушателей существует путаница с термином «оператор», употребляемым в законе «О персональных данных»: большинство уверено, что под действие закона попадают только туроператоры. При этом «оператором» в соответствии с законом является любая организация или даже физическое лицо, осуществляющее обработку персональных данных.
Самые распространенные вопросы: как правильно заполнить бланк уведомления для Роскомнадзора; обязательно ли входить в Реестр операторов ПД и какие условия нужно соблюсти, чтобы не отправлять уведомление на законном основании; что проверяют надзорные органы; что такое техническая защита информации, сколько стоят средства защиты и где их можно купить. Один из главных вопросов, волнующих участников туррынка, – будет ли разработан отраслевой стандарт по защите информационных систем персональных данных (специальные программы. – Прим. ред.) применительно к нашей отрасли.
– Почему внимание Роскомнадзора к туротрасли ощущается только последние пару лет?
– Закон вступил в силу 4 года назад. На Роскомнадзор возложена обязанность вести реестр операторов, осуществляющих обработку персональных данных. Скорее всего, у ведомства есть определенный план по количеству организаций, включенных в реестр, и они пытаются его выполнить, а туриндустрия – одна из отраслей экономики, в которой скапливается и обрабатывается огромное количество персональных данных граждан, даже больше, чем в банковской, страховой, медицинской сферах.
Помимо паспортных данных, выписки с банковских счетов, справок с места работы, это еще и данные о предыдущих местах работы, состоянии здоровья (для санаторно-курортных карт) и даже информация личного характера (с кем и куда ездил клиент) и т.д. А учитывая, что турфирм в стране гораздо больше, чем например, банков или страховых компаний, функционирование которых также связано с обработкой персональных данных, – улов для надзорных органов тут огромный.
– Но почему тогда этот процесс происходит бессистемно? Почему письма Роскомнадзора получают всего 12 агентства из региона, а остальные понятия не имеют о реестре операторов персональных данных?
– Я могу только догадываться, но, мне кажется, по принципу «пальцем в небо». Выбор Роскомнадзора не зависит от объема услуг, места на рынке, количества отработанных лет в туризме. Существует план проверок на год, который находится в открытом доступе и с ним может ознакомиться любая фирма. Кстати, нам в Петербурге, например, повезло меньше, чем остальным, так как в нашем управлении Роскомнадзора есть сотрудник с опытом работы в туризме, который знает, где искать информацию о турфирмах для рассылки писем.
Беседу вела Мария Калякина
