Для чего турагенту нужны сведения о персональных данных потребителя
Для чего турагенту нужны сведения о персональных данных потребителя
(1).jpg "Для чего турагенту нужны сведения о персональных данных потребителя. Смотреть фото Для чего турагенту нужны сведения о персональных данных потребителя. Смотреть картинку Для чего турагенту нужны сведения о персональных данных потребителя. Картинка про Для чего турагенту нужны сведения о персональных данных потребителя. Фото Для чего турагенту нужны сведения о персональных данных потребителя")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Организация (ООО) оказывает туристические услуги (как турагентство) и организует культурно-массовые мероприятия (организация праздников).
Организация, выступая в качестве турагента, обрабатывает персональные данные своих клиентов в целях исполнения заключенных с ними договоров и передает эти данные туроператору. Клиенты дают свое письменное согласие на обработку персональных данных.
Какие обязательные документы, приказы, положения должны быть в организации при вступлении с 01.07.2017 изменений, внесенных в Федеральный закон от 27.07.2006 N 152-ФЗ? Должна ли организация подать уведомление в Роскомнадзор?
© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.
Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.
Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.
ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, info@garant.ru.
8-800-200-88-88
(бесплатный междугородный звонок)
Редакция: +7 (495) 647-62-38 (доб. 3145), editor@garant.ru
Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), adv@garant.ru. Реклама на портале. Медиакит
Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter
Работа с персональными данными туристов и постояльцев
«Туристические и гостиничные услуги: бухгалтерский учет и налогообложение», 2010, N 5
Турфирмам и гостиницам приходится работать с персональными данными абонентов, и это ко многому их обязывает. К нормам Закона о персональных данных мы уже обращались на страницах журнала, но тема не потеряла актуальности до сих пор. У турфирм и контролирующих органов периодически возникают разногласия по поводу применения тех или иных норм законодательства о персональных данных. Некоторые из них мы рассмотрим в статье.
Федеральный закон от 27.07.2006 N 152-ФЗ.
Что ожидает турфирмы в ближайшем будущем?
Первоначально все организации, принимающие участие в обработке персональных данных своих клиентов или работников, обязаны были привести свои информационные системы в соответствие с требованиями в сфере защиты информации до начала 2010 г. Но Федеральный закон от 27.12.2009 N 363-ФЗ продлил этот срок до января 2011 г. У турфирм, гостиниц и отелей осталось чуть больше трех месяцев, чтобы привести в порядок информационные системы персональных данных.
Напомним, речь идет о системах, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации или без использования таких средств. Правительством РФ уже разработан ряд подзаконных нормативных актов, имеющих отношение к информационным системам персональных данных. Среди них:
Утверждено Постановлением Правительства РФ от 16.03.2009 N 228.
Кто должен уведомлять Роскомнадзор об обработке персональных данных?
Этот факт не освобождает фирмы от необходимости соблюдать требования Закона к порядку обработки и хранения персональных данных.
Как заполнить уведомление без ошибок?
По отзывам специалистов Роскомнадзора, многие организации, спешащие подать уведомления об обработке персональных данных, присылают их практически в первоначальном виде. Форма и порядок составления этого уведомления утверждены Приказом Россвязькомнадзора от 17.07.2008 N 08. Оно должно быть представлено в письменном виде с подписью уполномоченного лица или в электронном виде с электронной цифровой подписью.
На портале персональных данных уполномоченного органа (http://www.pd.rsoc.ru/) организации могут воспользоваться сервисом, позволяющим прямо на сайте заполнить и отправить уведомление о намерении осуществлять обработку персональных данных. Как показывает практика, ошибки зачастую допускаются по невнимательности тех, кто заполняет форму. Иногда исполнитель затрудняется ответить на вопрос: какова цель обработки персональных данных? Здесь не нужно указывать, что они нужны для заключения договора с клиентом или для ведения личных дел сотрудников. Достаточно указать цель деятельности организации, которая обычно отражена в уставных документах и часто совпадает с целью обработки персональных данных. Также можно прописать фактические цели обработки данных.
В разделе «Категории субъектов, данные которых обрабатываются» указываются следующие категории физических лиц:
В поле «Перечень действий с персональными данными» перечисляются сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), распространение (в том числе передача), блокирование и уничтожение персональных данных. Также нужно описать используемые способы обработки личных данных (неавтоматизированная обработка, автоматизированная обработка с передачей информации по сети или без таковой, смешанная обработка конфиденциальных данных).
Во-первых, нужно указать класс информационной системы персональных данных оператора. Турфирмы обрабатывают не так много данных, чтобы их разглашение могло привести к значительным негативным последствиям для клиентов, поэтому они могут исходить из второго и третьего классов типовой информационной системы (см. п. 14 Порядка проведения классификации информационных систем персональных данных ).
Во-вторых, в данном разделе перечисляются организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных. С 2010 г. Федеральным законом от 27.12.2009 N 363-ФЗ отменена обязанность оператора использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним. Поэтому в уведомлении шифровальные (криптографические) средства защиты персональных данных можно не указывать.
Мы неслучайно обратили внимание на порядок оформления уведомления. Документ, в котором не все графы заполнены или недостаточно информации об обработке персональных данных, специалисты Роскомнадзора расценивают как формальную отписку, ведь за указанные сведения придется отвечать в ходе проверки. Поэтому советуем турфирмам и гостиницам, которые еще не уведомили Роскомнадзор, ответственно отнестись к данной процедуре и грамотно составить уведомление; тогда у чиновников будет меньше оснований для включения уведомителя в план проверки.
Несколько случаев из практики
Турагент заключает с туристом договор на реализацию туристического продукта. При заключении договора и исполнении его условий турфирма запрашивает у клиента личные данные. Для того чтобы их обработать (принять, систематизировать, ввести в базу), согласия туриста не требуется, но без него не обойтись при передаче персональных данных туроператору, реализующему туристский продукт. Личные данные могут понадобиться не только для заселения туриста в гостиницу или отель, но и для бронирования определенных туристических услуг, не входящих в туристский продукт.
Согласие на передачу таких данных третьим лицам (туроператору, гостинице) можно включить в текст договора, заключаемого с туристом, и договора между турагентом и туроператором, указав на обязательное использование личных данных туриста исключительно для выполнения условий договора о реализации туристского продукта. Это позволит избежать возможных претензий со стороны субъекта персональных данных при условии, что, получив согласие от туриста, турагент и туроператор не будут использовать данные клиента для целей, отличных от исполнения договора с туристом.
К сведению. Правительством РФ утвержден Перечень персональных данных, записываемых на электронные носители информации, содержащихся в основных документах, удостоверяющих личность гражданина РФ, по которым граждане выезжают из РФ и въезжают на ее территорию. В него входят номер документа, фамилия и имя его владельца, гражданство, дата рождения, пол, цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа) (Постановление от 04.03.2010 N 125). Обработка таких персональных данных может осуществляться без согласия их субъекта (п. 2 ст. 11 Закона о персональных данных).
Практика показала: для упорядочивания работы с персональными данными турфирме целесообразно разработать внутренний нормативный акт, который устанавливал бы порядок работы с персональными данными сотрудников и клиентов. Правила разрабатываются самостоятельно исходя из специфики деятельности турфирмы. Не помешает, если работники будут ознакомлены (под роспись) с документом, в котором прописаны права и обязанности конкретных исполнителей при обработке данных.
Рассмотрим другой случай. В турфирму принимается работник, и новый работодатель запрашивает характеристику у прежнего. Насколько правомерно такое требование? Работодатель и его представители при обработке персональных данных работника обязаны получать их у него самого. Если эти данные возможно получить только у третьей стороны, работника нужно уведомить об этом заранее и от него должно быть получено письменное согласие (п. 3 ст. 86 ТК РФ). Таким образом, бывший работодатель не вправе предоставлять характеристику на работника без его письменного разрешения.
Еще одна интересная ситуация. Турфирма перечисляет деньги за туристов в безналичном порядке. Банк, в котором открыт расчетный счет фирмы, может запрашивать сведения о туристах (Ф.И.О., адрес, паспортные данные) в случае, если их фамилии указываются в платежном поручении в поле «Назначение платежа». Насколько правомерна такая позиция работников кредитных организаций? Обратимся к банковским нормативным документам.
Утверждено ЦБ РФ 03.10.2002 N 2-П.
«О введении в действие Стандартов и Рекомендаций в области стандартизации Банка России по вопросам информационной безопасности банковской организации».
На практике у работников турфирм нет времени спорить с банковскими работниками и тем более судиться с ними, поэтому менеджеры все же предоставляют запрашиваемую информацию, заручившись согласием субъекта персональных данных.
Истребование информации судебными приставами
Федеральный закон от 02.10.2007 N 229-ФЗ «Об исполнительном производстве».
Федеральный закон от 21.07.1997 N 118-ФЗ «О судебных приставах».
Ранее этот вопрос не был четко урегулирован. Задачей судебных приставов-исполнителей является исполнение судебных и иных актов, предусмотренных законодательством об исполнительном производстве. Законодатель не предусмотрел права отдела судебных приставов на получение конфиденциальной информации, в то же время оговорив это право для других государственных органов (например, оперативно-разыскных служб). Исходя из такого положения вещей, турфирма не обязана была сообщать судебным приставам конфиденциальные сведения о своих клиентах.
Федеральный закон от 27.07.2010 N 213-ФЗ «О внесении изменений в Федеральный закон «О судебных приставах» и статью 64 Федерального закона «Об исполнительном производстве» по вопросам предоставления судебным приставам персональных данных».
Аналогичная поправка внесена в пп. 2 п. 1 ст. 64 Закона N 229-ФЗ. Обновленная редакция такова: в процессе исполнения требований исполнительных документов судебный пристав вправе запрашивать необходимые сведения, в том числе персональные данные, у физических лиц, организаций и органов, получать от них объяснения, информацию, справки.
К сведению. Отдельные управления Федеральной службы судебных приставов заключили договоренность с туристическими фирмами, в рамках которой приставы получат доступ к спискам граждан, выезжающих в отдельные близлежащие страны по безвизовому режиму. Таким образом, о заграничных поездках должников по исполнительным производствам судебные приставы будут знать заранее, что дает им дополнительные преимущества, чего не скажешь о туристах-клиентах, чьи персональные данные будут сообщать турфирмы.
И еще, турфирма может не беспокоиться о сохранности информации о туристах, закон обязывает приставов относиться к конфиденциальным сведениям как к вещественным доказательствам, то есть обеспечивать их сохранность и исключать возможность ознакомления с ними посторонних лиц. Приставы не имеют права разглашать ставшие известными им в связи с исполнением должностных обязанностей сведения, затрагивающие частную жизнь, честь и достоинство граждан. Поэтому если персональные данные станут доступны иным лицам, то вина за это будет лежать на тех, кто не обеспечил их сохранность.
Какие меры ответственности могут быть применены?
Персональные данные относятся к информации, доступ к которой ограничен, а ее передача с нарушением требований Закона неправомерна. За нарушение порядка работы с персональными данными организация и работники могут быть привлечены к различной ответственности (административной, дисциплинарной и даже уголовной).
Не забудем и о нормах трудового законодательства. Разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника, может служить основанием для применения дисциплинарного взыскания в виде увольнения по инициативе работодателя, если виновные действия совершены работником по месту работы и в связи с исполнением им трудовых обязанностей (пп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК РФ).
Наконец, в Уголовном кодексе есть ст. 137 «Нарушение неприкосновенности частной жизни». Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений публично наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности на срок до трех лет. Те же деяния, совершенные лицом с использованием своего служебного положения, увеличивают штрафы и ужесточают наказание за нарушение неприкосновенности частной жизни.
Приведенные в статье рекомендации помогут турфирмам, гостиницам и отелям соблюдать требования Закона о защите персональных данных и тем самым избежать ответственности, предусмотренной для нарушителей, за которых Роскомнадзор возьмется в следующем году, когда будет что проверять и за что штрафовать. Пока проверки коснулись банков, страховых организаций и операторов связи, поэтому у турфирм еще есть время наверстать упущенное и решить, как нужно работать в рамках закона.
Защита персональных данных в туриндустрии
«Туристические и гостиничные услуги: бухгалтерский учет и налогообложение», 2009, N 2
Федеральный закон от 27.07.2006 N 152-ФЗ.
Кто подпадает под действие Закона?
Передача персональных данных оператором через границу РФ физическому или юридическому лицу иностранного государства возможна при условии, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов этих данных (ст. 12 Закона). В противном случае личные данные можно передавать только в оговоренных Законом ситуациях, в том числе с письменного согласия субъекта персональных данных или в целях исполнения заключенного с ним договора (например, на реализацию туристского продукта). Соблюдение указанных условий является необходимым не только при передаче данных через границу РФ иностранному партнеру, но и при их обработке. Вряд ли туристы заинтересованы в том, чтобы их личные сведения использовались посторонними лицами.
Нужно ли согласие клиента на обработку персональных данных?
Главным условием обработки персональных данных является согласие лица, сведения о котором попадают к организации. Но, как и в любом правиле, в этой норме есть ряд исключений, делающих ее более гибкой и применимой на практике.
Федеральный закон от 24.11.1996 N 132-ФЗ.
Утверждены Постановлением Правительства РФ от 18.07.2007 N 452.
Между тем с точки зрения отраслевых актов наличие сведений о туристе, а также об ином заказчике туристского продукта и его полномочиях (если турист не является заказчиком) в объеме, необходимом для реализации турпродукта, является одним из существенных условий договора, заключаемого между турфирмой и потребителем. Турфирма собирает персональные сведения о туристе в целях исполнения условий заключенного договора. Это имеет отношение к следующему случаю, когда на обработку персональных данных не требуется согласия субъекта.
Обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект таких данных, на основании пп. 2 п. 2 ст. 6 Закона допускается без согласия стороны договора. Формулировка достаточно обтекаемая, она позволяет турфирмам (как турагентам, так и туроператорам) при заключении договора на реализацию турпродукта собирать, обобщать и передавать персональные данные клиентов. Также приведенной нормой Закона может воспользоваться гостиница, которая в целях исполнения договора на предоставление услуг по временному размещению и проживанию требует с постояльца персональные данные. Туроператору, который на основании договора поручает обработку персональных данных другому лицу (турагенту), следует знать, что существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности и безопасности данных при их обработке (п. 4 ст. 6 Закона).
Турфирмы и гостиницы работают с персональными данными не только клиентов, но и своих работников. В частности, работодатель использует персональные данные сотрудников при начислении зарплаты, удержании НДФЛ, расчете взносов в ПФР, передает их с помощью средств автоматизации. Сотрудники представляют эти данные кадровой службе компании, которая оформляет их на работу. В таком случае организация также работает с персональными данными в рамках заключенного с работником договора (трудового или гражданско-правового). Договор является отчасти гарантом защиты прав и интересов участников договорных отношений, поэтому представить ситуацию, когда фирма работает с персональными данными вне рамок заключенного с туристом или работником договора, достаточно сложно. Даже если предположить, что турфирма по тем или иным причинам работала с клиентом без надлежаще оформленного договора, претензии в части обработки данных без согласия их субъекта могут быть предъявлены лишь со стороны клиента или сотрудника, права которого могут быть нарушены. Контролирующие органы на этот момент мало обращают внимания, поскольку согласие на обработку данных может быть получено не только в письменной, но и в устной форме, и доказать, что фирма использовала данные клиента (сотрудника) без его согласия, достаточно проблематично. В то же время ревизоры обращают внимание на соблюдение другой нормы Закона, требующей от операторов, обрабатывающих данные, представлять специальное уведомление.
Обязательно ли уведомление об обработке данных?
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку таких данных (п. 1 ст. 22 Закона). Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона, является Россвязькомнадзор. Им разработаны форма такого уведомления и Рекомендации по ее заполнению (Приложения 1 и 2 к Приказу от 17.07.2008 N 08).
Как и в отношении получения согласия на обработку персональных данных, есть ряд исключений, когда не нужно уведомлять контролирующие органы.
Во-первых, организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку личных сведений работников, которых связывают с оператором трудовые отношения. Заметим, в этом контексте не идет речь о гражданско-правовых отношениях, поэтому применительно к лицам, работающим по договорам подряда или возмездного оказания услуг, воспользоваться данной нормой не удастся. В таком случае следует прибегнуть к другой норме, которая позволяет обрабатывать персональные данные без предварительного уведомления управления Россвязькомнадзора.
Во-вторых, без уведомления организация может обрабатывать данные, полученные в связи с заключением договора, стороной которого является субъект персональных данных. Но при этом требуется выполнить ряд дополнительных условий. Персональные данные не должны распространяться и представляться третьим лицам без согласия субъекта персональных данных. Последнее условие состоит в том, что персональные данные используются организацией исключительно для исполнения договора и заключения договоров с субъектом персональных данных. Выполнение перечисленных условий дает право турфирме (гостинице) не уведомлять управление Россвязькомнадзора о том, что она занимается обработкой персональных данных. Если не выполнено хотя бы одно из условий, то организации нужно позаботиться об уведомлении уполномоченного органа, чтобы не нарушить закон.
Под распространением персональных данных понимаются действия, направленные на передачу данных определенному кругу лиц или на ознакомление с ними неограниченного круга лиц, в том числе в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к данным иным возможным способом.
Могут ли турфирмы выполнить все поименованные условия, чтобы избежать претензий ревизоров? Да, для этого нужно получить согласие туристов на передачу их данных третьим лицам в целях исполнения договора, например для оформления визы, проездных документов, а также для того, чтобы клиент смог воспользоваться гостиничными и иными услугами, предлагаемыми в составе турпродукта. Ведь исполнители услуг должны идентифицировать клиента, а проще всего это сделать именно по персональным данным. Согласие на передачу таких данных третьим лицам можно включить в текст заключаемого договора (в дополнительное соглашение) как одно из условий достигнутых сторонами договоренностей. Тогда сложно будет предъявить претензии по нарушению закона, если, конечно, получив согласие от туриста, турфирма будет использовать его данные только для исполнения договора, а не в иных целях (например, в рекламировании своих услуг). Заметим, согласие туриста нужно получить только на передачу персональных данных третьим лицам, все иные действия, связанные с обработкой таких данных, могут производиться фирмой без согласия туриста, главное, чтобы они не выходили за рамки заключенного с ним договора.
Из таких же принципов следует исходить организациям гостиничного хозяйства. В отличие от туроператоров и турагентов, им нет необходимости заниматься передачей персональных данных постояльцев третьим лицам. Поэтому гостиницам и отелям следует уделить внимание другому моменту: чтобы личные сведения о постояльцах не получили распространения и использовались только в целях исполнения договора по предоставлению услуг по проживанию или временному размещению. Организации гостиничного хозяйства могут оказывать без заключения договора ряд дополнительных услуг (прокат спортивного и туристического инвентаря, бронирование, продажу билетов на зрелищные мероприятия и др.), тогда им стоит иметь в виду еще одно основание, когда можно получать данные о потребителях услуг, не заботясь об уведомлении уполномоченного органа. Речь идет о сведениях, включающих в себя только фамилии, имена и отчества субъектов персональных данных. Такие сведения используются достаточно часто и повсеместно, поэтому нет необходимости в их защите.
Проблема может возникнуть в самих общедоступных источниках, которые могут выйти за рамки закона и опубликовать данные без согласия человека. Организация может об этом не знать и без опасений накапливать, обрабатывать и передавать сведения. Нарушителем в таком случае является общедоступный источник.
Упомянем еще одно исключение из правил, когда организация, занимающаяся обработкой персональных данных, не обязана об этом уведомлять Россвязькомнадзор: обработка данных в целях однократного пропуска их субъекта на территорию, на которой находится организация, или в иных аналогичных целях. Эту норму могут взять на вооружение организации гостиничного хозяйства, принимающие не только туристов и постояльцев, но и других физических лиц, которым нужно выписать однократный пропуск на территорию.
Заметим: если турфирма или гостиница обрабатывает персональные данные по иным основаниям, нежели те, что мы перечислили, ей нужно подать уведомление, на основании которого ее регистрируют в реестре операторов, после чего фирма может работать на законных основаниях (см. п. 4 ст. 22 Закона). Именно отсутствие регистрации в реестре дает повод чиновникам предъявлять претензии к организациям.
Нюансы «ручной» обработки персональных данных
Постановление Правительства РФ от 15.09.2008 N 687.
В данном документе есть ряд требований, предъявляемых к таким типовым формам документов, характер информации в которых предполагает включение в них персональных данных. Начать следует с того, что форма запроса и иные связанные с ним документы должны содержать информацию о цели обработки персональных данных. Основная часть типовой формы включает данные организации, занимающейся «ручной» обработкой, и используемые персональные данные клиентов, срок их обработки, перечень совершаемых с ними действий и общее описание используемых способов работы с индивидуальными сведениями. Если необходимо получение письменного согласия на обработку персональных данных (в том числе на передачу третьим лицам), то в типовом бланке следует оставить место, где клиент может поставить отметку о своем согласии на обработку персональных данных.
Следует учесть еще одно ограничение: каждый из субъектов персональных данных, содержащихся в типовой форме, должен иметь возможность ознакомиться только со своими персональными данными. Проще всего это сделать посредством занесения сведений о клиентах в отдельные типовые формы, для учета основных сведений в которых фирма может составить реестр или журнал, доступный лишь для сотрудников. Лучше установить строго определенный перечень лиц, которые обрабатывают тот или иной информационный блок либо получают к нему доступ. Утечка информации может происходить на всех этапах работы с персональными данными, начиная от их получения и заканчивая хранением. Поэтому организации, работающей с персональными данными, следует принять все необходимые меры, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ.