Обработка персональных данных в туристической отрасли в 2024 году

Закон №152-ФЗ «О персональных данных» распространяет своё действие на все туристические фирмы и индивидуальных предпринимателей, занимающихся сбором, обработкой и передачей персональных данных своей клиентуры. Это касается как туроператоров, так и турагентов. Ошибочно считать, что в целях исполнения требований законодательства будет исчерпывающим получение согласия на обработку сведений от туристов.

Подобные заблуждения могут повлечь за собой не только крупные санкции для самой организации, но и штрафы для её должностных лиц, включая гендира и работников, осуществляющих работу с ПД.

Что относится к персональной информации о туристе?

Под персональными данными туриста принять считать сведения, которые напрямую или опосредованно идентифицирует человека и требуются для оказания услуг в туристической области. Наиболее распространённые сведения включают: полное имя, данные паспорта (гражданского и заграничного документа), пол, дату рождения, фотокарточку, информация о работе человека и иные сведения, связанные с оказанием туристических услуг.

Как уведомить РКН об обработке данных?

За операторами закреплена обязанность – извещать Роскомнадзор о следующих значимых фактах в процессе обработки ПД туристов:

1. О старте процессов по обработке.
2. Об изменении информации, содержащейся в предыдущих извещениях.
3. О завершении процедур обработки.
4. О планах проводить трансграничную передачу данных.
5. О несанкционированной или ошибочной передаче сведений.

Извещения представляется возможным отправлять как в бумажном, так и в онлайн формате. Чтобы сделать это электронно, нужно иметь усиленную квалифицированную электронную подписи или учётную записи в ЕСИА (через Госуслуги). Формы извещений размещены на сайте Роскомнадзора, где их можно заполнить и подать. Также можно распечатать заполненную форму и вручную передать её в соответствующий орган.

Получить бесплатную консультацию по регистрации в Роскомнадзоре или подготовке документов для работы с персональными данными

Консультация

Трансграничная передача сведений субъектов ПД

Компании из сферы туризма, которые направляют сведения граждан России заграницу, обязаны соблюдать требования по трансграничной передаче этих данных. Например, при букинге номера в гостинице Египта или Турецкой Республики может потребоваться предоставить паспортные данные, пол, гражданство, контакты и иные сведения для регистрации гостя.

Подобная передача возможна при условии, если государство получателя гарантирует «адекватную» степень защищенности прав туристов.

Адекватная защищенность: что под ней понимается?

С 1 марта 2023 года начал действовать приказ РКН от 5 августа 2022 года №128, устанавливающий список государств, гарантирующих достаточный уровень защищенности персональных сведений. Некоторые из этих стран подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке данных, иные государства имеют собственные механизмы охраны сведений.

В перечень подобных государств включены следующие пользующиеся популярностью страны: Кипр, Турция, Таиланд, КНР, Грузия, Индия, Армения, Азербайджан, Белорусская Республика. Однако страны вроде ОАЭ, Египта, Мальдив, Шри-Ланки, Кубы и Вьетнама в этом перечне отсутствуют. В таком случае турфирма должна принять дополнительные меры для охраны данных.

Процедуры при бронировании в государствах с «неадекватной» защитой данных

Если страна не входит в перечень с «адекватной» охраной сведений, оператор должен выполнить несколько действий:

1. Оценить меры защищенности информации, которые использует иностранный контрагент. Необходимо запросить у гостиницы сведения о мерах по охране ПД, правовом регулировании обработки сведений в государстве, а также информацию о контрагенте.
2. Отправить извещение в РКН о планах осуществить передачу сведений в другую страну. Уведомление можно отправить как в бумажном, так и в электронном виде, указав всю необходимую информацию, предусмотренную п.3 ст.12 закона №152-ФЗ.
3. Ожидать обратной связи от регулятора. Если на протяжении 10 рабочих дней запрет или ограничения на передачу данных не поступят, передавать сведения можно. В обратной ситуации процесс передачи приостанавливается до устранения нарушений.

Если оператор передал данные без получения разрешения, а затем получил запрет, он должен реализовать комплекс мер по уничтожению этих данных иностранной стороной.

Процедуры при бронировании в странах с «адекватной» охраной данных

При взаимодействии с контрагентами из государств с «адекватной» защитой оператору не нужно ждать обратной связи от РКН. Начинать передавать сведения можно сразу после направления извещения. В остальном процедура остаётся такой же: оператор оценивает степень защищенности данных контрагентом, уведомляет Роскомнадзор и, в случае необходимости, обеспечивает уничтожение сведений в случае запрета.

Количество извещений о трансграничной передаче данных

Количество и частотность направления извещений в РКН не ограничены (согласно письму Роскомнадзора от 09.11.2022 № 08ВМ-98928). Оператор имеет право выбора: подать одно уведомление для всех целей и государств передачи данных, либо отправлять уведомления для каждой цели и государства.

Если возникают изменения в процессе трансграничной передачи сведений, необходимо еще раз подать извещение с обновлённой информацией.