«А зачем защищать персональные данные туристов, они же общедоступные? От кого их защищать?"
Любой менеджер турфирмы носит свою клиентскую базу с собой, поэтому никак не проконтролируешь, где она может „всплыть“ в случае увольнения такого работника». Именно так чаще всего отвечали сотрудникам нашего журнала на одной из специализированных выставок для представителей туризма, когда мы пытались выяснить, насколько туристическое сообщество проинформировано о необходимости выполнять требования законодательства о персональных данных в части работы с данными клиентов и сотрудников.
Слова же «трансграничная передача» вообще приводили многих в ужас, и в результате оказывалось, что турфирма, предлагающая туры в Грецию, Хорватию, Болгарию, занимающаяся размещением в отелях, организацией экскурсионных поездок вообще не осуществляет трансграничную передачу данных. И, что самое интересное, говорили об этом не рядовые менеджеры, а, например, координатор направления, руководитель проекта, то есть сотрудники компании далеко не низшего звена. И это с учетом того, что в конце прошлого года и начале этого тема организации работы с персональными данными была у всех на слуху: большое количество информационных и аналитических материалов публиковалось в специализированной прессе, на сайтах Российского союза туриндустрии и Ассоциации туроператоров России.
Как признаются сами «туристы», закон «О персональных данных» они принимают с унылой неизбежностью. В различных СМИ неоднократно появлялись материалы о том, что «турфирмы „кошмарят“ операторством», «у чиновников появился еще один рычаг управления предпринимателями» и тому подобное. Причем представители туристического бизнеса в открытую говорят о том, что нет смысла тратить огромные деньги на приведение своих систем в соответствие с законодательством, когда можно «договариваться с чиновниками на месте». Это утверждение, кстати, вызвало негодование Роскомнадзора: на информационном сайте, где было опубликовано такое мнение представителей туризма, появился вскоре ответ от Уполномоченного органа. «Должностные лица Роскомнадзора исполняют свои полномочия строго в соответствии с законом и не намерены <…> договариваться с ними (операторами персональных данных, — Прим. Ред.) на месте», — так звучал ответ регулятора.
В туристической отрасли на предмет законодательства о персональных данных существует целый ряд заблуждений.
Например, говоря об обязанности исполнения закона «О персональных данных», туроператоры возлагают всю ответственность на турагентства, которые непосредственно взаимодействуют с клиентами. Однако это мнение ошибочно. Хотя бы потому, что туроператоры передают персональные данные непосредственным поставщикам услуг и взаимодействует с туристом через агента.
Или, как считают многие представители туристических компаний, для того, чтобы соответствовать законодательству, достаточно лишь добавить в договор с клиентом пункт о том, что он не возражает против передачи его данных третьим лицам. Однако согласие субъекта персональных данных, и это постоянные читатели журнала знают давно, не является универсальной мерой, применение которой достаточно для реальной защиты данных. Наличие согласия не освобождает от остального комплекса мер, который необходимо провести.
Туристический бизнес, как известно, на 80% состоит из малого бизнеса. И небольшие компании, оказывающие туристические услуги, не всегда располагают достаточным количеством ресурсов для соблюдения всех норм закона. Это подтверждает и статистика: в Реестре операторов персональных данных общее число туристических компаний составляет чуть более 1 процента.
По данным Федеральной службы государственной статистики (Росстата), с целью туризм за первые 9 месяцев 2009 года за границу выехало 6 574 678 россиян. Это значит, что большая часть из этих людей обратились в турагентства, оставили там свои персональные данные и сейчас даже не подозревают о том, что стало с этой информацией. Причем мало того, что клиенты, обратившиеся однажды в турфирму, становятся, сами того не зная, подписчиками рассылки новостей и предложений от компании. От этого спама можно отписаться. А что будет с остальными данными, среди которых, помимо паспортных данных, контактных телефонов еще и информация о посещенных странах, сопровождающих в поездках, предпочтениях в отеле и т. д.?
Кроме этого, в век развития информационных технологий никого не удивишь такими возможностями, как online-бронирование туров, гостиниц, билетов. Весь этот массив информации, передаваемый через один из самых ненадежных каналов — Интернет, тоже нужно каким-то образом защитить. Но смогут ли это сделать туристические компании? Кому можно доверить загранпаспорт нового образца, содержащий биометрические персональные данные?
Представители туризма, как и многих других сфер, видят решение проблемы исполнения законодательства в разработке отраслевых методических документов, которые определяли бы особенности сферы туризма. Причем документы должны включать не только вопросы, касающиеся информационных систем, но и организации работы с персональными данными. Для этого в туризме предстоит провести целый комплекс работ: анализ документооборота, используемого программного обеспечения автоматизированных систем, создать модель угроз. При всем при этом должен учитываться фактор того, что туристическая сфера по направлению деятельности многопланова. Ведь путешествия могут быть самого разного характера, помимо стандартных — пляжных, экскурсионных, автобусных, существуют и такие поездки, в ходе которых собираются специальные персональные данные — религиозные (сведения о вероисповедании), лечебные туры (состояние здоровья человека) и так далее. То есть необходимо учитывать все уровни опасности для данных клиентов. Как бы то ни было, пока, кроме этих рассуждений, от туристической отрасли ничего не исходит. И в этом случае вопрос о том, сможет ли та или иная компания действительно защитить персональные данные клиентов стоит особенно остро.
Лариса Петрова
