Служба информационной безопасности - Защита персональных данных - Нижний Тагил

Защита персональных данных в гостиницах и турбизнесе

Турфирмам и гостиницам приходится работать с персональными данными абонентов, и это ко многому их обязывает. К нормам Закона о персональных данных мы уже обращались на страницах журнала, но тема не потеряла актуальности до сих пор. У турфирм и контролирующих органов периодически возникают разногласия по поводу применения тех или иных норм законодательства о персональных данных. Некоторые из них мы рассмотрим в статье.

Что ожидает турфирмы в ближайшем будущем?

Первоначально все организации, принимающие участие в обработке персональных данных своих клиентов или работников, обязаны были привести свои информационные системы в соответствие с требованиями в сфере защиты информации до начала 2010 г. Но Федеральный закон от 27.12.2009 N 363-ФЗ продлил этот срок до января 2011 г. У турфирм, гостиниц и отелей осталось чуть больше трех месяцев, чтобы привести в порядок информационные системы персональных данных.

Напомним, речь идет о системах, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации или без использования таких средств. Правительством РФ уже разработан ряд подзаконных нормативных актов, имеющих отношение к информационным системам персональных данных. Среди них:

— Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Постановление от 17.11.2007 N 781);
— Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Постановление от 15.09.2008 N 687);
— Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем (Постановление от 06.07.2008 N 512).

Государственный контроль и надзор за деятельностью юридических лиц, индивидуальных предпринимателей, занимающихся обработкой персональных данных, осуществляет Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций ). За обеспечением безопасности персональных данных наблюдают ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) (ч. 3 ст. 19 Закона о персональных данных). Перечисленные уполномоченные органы уже составили планы проведения проверок организаций, занимающихся обработкой персональных данных, на предстоящий 2011 г. Поэтому турфирмам, гостиницам и отелям нужно быть готовыми к приходу проверяющих: ознакомиться с нормами указанных документов (и первоисточника — Закона о персональных данных) и выполнять их. К чему Закон о персональных данных обязывает турфирмы и гостиницы?
———————————
Утверждено Постановлением Правительства РФ от 16.03.2009 N 228.

Кто должен уведомлять Роскомнадзор об обработке персональных данных?

Требование Закона об уведомлении Роскомнадзора касается всех организаций, которые имеют дело с обработкой персональных данных. Но есть исключения, которыми в принципе могут воспользоваться участники рынка туриндустрии. Одно из исключений — обработка персональных данных, полученных в связи с заключением договора. Такие конфиденциальные сведения могут предоставляться другим лицам с согласия субъекта персональных данных и использоваться только для исполнения договора (заключения новых договоров с субъектом персональных данных).

В цепочке «турагент — туроператор — гостиница» передаваемые персональные данные клиентов, как правило, используются в целях выполнения принятых обязательств по договору о реализации туристского продукта или отдельных туристических услуг. Поэтому практически у всех участников цепочки есть основание обрабатывать персональные данные без уведомления Роскомнадзора . Однако на практике не все турфирмы уверены в том, что они смогут предотвратить использование персональных данных в иных целях, а их клиенты дадут согласие на передачу личных данных третьим лицам. Иногда возникают сложности с соблюдением условий указанного исключения и у гостиниц (отелей). Если они заключают договор на проживание непосредственно с постояльцем, то проблем нет, если же места выкуплены туроператором, турист не является стороной договорных отношений, а это обязывает гостиницу (отель) уведомлять Роскомнадзор в общем порядке.
———————————
Этот факт не освобождает фирмы от необходимости соблюдать требования Закона к порядку обработки и хранения персональных данных.

Таким образом, чтобы не повышать свои риски, туроператорам, турагентам, гостиницам и отелям следует уведомить Роскомнадзор об обработке персональных данных. До окончания формирования реестра операторов персональных данных осталось около трех месяцев, после чего те организации, которые не направили уведомления и не попали под исключение, могут быть привлечены к ответственности за нарушение Закона о персональных данных. Пока уполномоченный орган не спешит наказывать нарушителей — у них еще есть время подать уведомление и попасть в реестр операторов, осуществляющих обработку персональных данных. При этом Роскомнадзор может проверить любую организацию, вне зависимости от того, подавала она уведомление или нет. Не стоит обольщаться тем, что, подав уведомление, компания освобождается от контроля со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Хотя сам факт подачи уведомления позволяет организации освободиться от рисков, связанных с решением спорного для турфирм и гостиниц вопроса о возможности обрабатывать персональные данные своих клиентов (туристов и постояльцев) без уведомления Роскомнадзора.

Sorry, the comment form is closed at this time.

Защита персональных данных, IT — аутсорсинг