Обработка персональных данных в туристической отрасли в 2024 году
Закон №152-ФЗ «О персональных данных» распространяет своё действие на все туристические фирмы и индивидуальных предпринимателей, занимающихся сбором, обработкой и передачей персональных данных своей клиентуры. Это касается как туроператоров, так и турагентов. Ошибочно считать, что в целях исполнения требований законодательства будет исчерпывающим получение согласия на обработку сведений от туристов.
Подобные заблуждения могут повлечь за собой не только крупные санкции для самой организации, но и штрафы для её должностных лиц, включая гендира и работников, осуществляющих работу с ПД.
Что относится к персональной информации о туристе?
Под персональными данными туриста принять считать сведения, которые напрямую или опосредованно идентифицирует человека и требуются для оказания услуг в туристической области. Наиболее распространённые сведения включают: полное имя, данные паспорта (гражданского и заграничного документа), пол, дату рождения, фотокарточку, информация о работе человека и иные сведения, связанные с оказанием туристических услуг.
Как уведомить РКН об обработке данных?
За операторами закреплена обязанность – извещать Роскомнадзор о следующих значимых фактах в процессе обработки ПД туристов:
- О старте процессов по обработке.
- Об изменении информации, содержащейся в предыдущих извещениях.
- О завершении процедур обработки.
- О планах проводить трансграничную передачу данных.
- О несанкционированной или ошибочной передаче сведений.
Извещения представляется возможным отправлять как в бумажном, так и в онлайн формате. Чтобы сделать это электронно, нужно иметь усиленную квалифицированную электронную подписи или учётную записи в ЕСИА (через Госуслуги). Формы извещений размещены на сайте Роскомнадзора, где их можно заполнить и подать. Также можно распечатать заполненную форму и вручную передать её в соответствующий орган.
Трансграничная передача сведений субъектов ПД
Компании из сферы туризма, которые направляют сведения граждан России заграницу, обязаны соблюдать требования по трансграничной передаче этих данных. Например, при букинге номера в гостинице Египта или Турецкой Республики может потребоваться предоставить паспортные данные, пол, гражданство, контакты и иные сведения для регистрации гостя.
Подобная передача возможна при условии, если государство получателя гарантирует «адекватную» степень защищенности прав туристов.
Адекватная защищенность: что под ней понимается?
С 1 марта 2023 года начал действовать приказ РКН от 5 августа 2022 года №128, устанавливающий список государств, гарантирующих достаточный уровень защищенности персональных сведений. Некоторые из этих стран подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке данных, иные государства имеют собственные механизмы охраны сведений.
В перечень подобных государств включены следующие пользующиеся популярностью страны: Кипр, Турция, Таиланд, КНР, Грузия, Индия, Армения, Азербайджан, Белорусская Республика. Однако страны вроде ОАЭ, Египта, Мальдив, Шри-Ланки, Кубы и Вьетнама в этом перечне отсутствуют. В таком случае турфирма должна принять дополнительные меры для охраны данных.
Процедуры при бронировании в государствах с «неадекватной» защитой данных
Если страна не входит в перечень с «адекватной» охраной сведений, оператор должен выполнить несколько действий:
- Оценить меры защищенности информации, которые использует иностранный контрагент. Необходимо запросить у гостиницы сведения о мерах по охране ПД, правовом регулировании обработки сведений в государстве, а также информацию о контрагенте.
- Отправить извещение в РКН о планах осуществить передачу сведений в другую страну. Уведомление можно отправить как в бумажном, так и в электронном виде, указав всю необходимую информацию, предусмотренную п.3 ст.12 закона №152-ФЗ.
- Ожидать обратной связи от регулятора. Если на протяжении 10 рабочих дней запрет или ограничения на передачу данных не поступят, передавать сведения можно. В обратной ситуации процесс передачи приостанавливается до устранения нарушений.
Если оператор передал данные без получения разрешения, а затем получил запрет, он должен реализовать комплекс мер по уничтожению этих данных иностранной стороной.
Процедуры при бронировании в странах с «адекватной» охраной данных
При взаимодействии с контрагентами из государств с «адекватной» защитой оператору не нужно ждать обратной связи от РКН. Начинать передавать сведения можно сразу после направления извещения. В остальном процедура остаётся такой же: оператор оценивает степень защищенности данных контрагентом, уведомляет Роскомнадзор и, в случае необходимости, обеспечивает уничтожение сведений в случае запрета.
Количество извещений о трансграничной передаче данных
Количество и частотность направления извещений в РКН не ограничены (согласно письму Роскомнадзора от 09.11.2022 № 08ВМ-98928). Оператор имеет право выбора: подать одно уведомление для всех целей и государств передачи данных, либо отправлять уведомления для каждой цели и государства.
Если возникают изменения в процессе трансграничной передачи сведений, необходимо еще раз подать извещение с обновлённой информацией.
Наш менеджер вас проконсультирует