Персональные данные — как закон приживается на туррынке?
Первые впечатления турпрофи о работе закона, а также разъяснения Свердловского отделения Роскомнадзора о самых распространенных нарушениях....
Принятый в 2006 году федеральный закон «О персональных данных» стал одним из самых обсуждаемых событий в туриндустрии в 2011 году — в июле вступило в силу положение о том, что информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями этого закона не позднее 1 июля 2011 года. И несмотря на многочисленные разъяснения со стороны уполномоченных ведомств, это нововведение до сих пор остается, пожалуй, одним из самых неясных для большинства участников туррынка. TurProfi.ru вновь поднимает одну их самых актуальных тем нынешнего года.
Портал TurProfi.ru уже освещал тему нововведений в работе туристических компаний в свете вступившего в силу закона «О персональных данных». Специалисты Роскомнадзора, а также эксперты турбизнеса тогда отмечали, что для турагентств (которые в соответствии с законом являются непосредственными операторами персональных данных) закон вводит главным образом две инновации: во-первых, с туриста надо взять письменное согласие на обработку его персональных данных, во-вторых, об обработке нужно уведомить Роскомнадзор.
Впрочем, недавно проведенный на портале TurProfi.ru опрос свидетельствует: лишь немногие агентства к настоящему моменту озаботились тем, чтобы внести изменения в работу с персональными данными своих туристов. Самым популярным ответом на вопрос, что же сделали турагентства в связи с новым законом, оказался тезис «Ничего не сделали, а разве что-то изменилось?».
Последние данные о том, как уральский туррынок адаптируется к новым законодательным реалиям, TurProfi.ru получил от Управления Роскомнадзора по Свердловской области, а также непосредственно из уст руководителей уральских турфирм.
Регистрироваться поспешили немногие...
В соответствии с ч. 1 ст. 22 Федерального закона «О персональных данных» оператор до начала обработки персональных данных обязан уведомить об этом Роскомнадзор.
Напомним, летом мнения о том, есть ли необходимость регистрации в Роскомнадзоре, у экспертов разошлись. Так, имеет место точка зрения, что каждому юридическому лицу, осуществляющему обработку персональных данных, необходимо встать на учет в контролирующем органе (на этом, в частности, настаивает Роскомнадзор), некоторые юристы уверены, что закон позволяет туристской организации не вставать на учет в территориальном органе Роскомнадзора, ссылаясь на исключения во 2-й части ст. 22 ФЗ «О персональных данных».
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
— относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
— полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных
(все пункты 2-й части ст. 22 ФЗ «О персональных данных»).
Как оказалось, разошлись трактовки этой статьи и на практике. Немногие туристические организации поспешили в Роскомнадзор за регистрацией в Реестре операторов, осуществляющих обработку персональных данных.
В частности, как рассказала TurProfi.ru руководитель свердловского управления Роскомнадзора Марина Гвоздецкая, в настоящее время в Реестре операторов, осуществляющих обработку персональных данных, числится 16 (!) юридических лиц, предоставляющих туристические услуги по Свердловской области. К слову, только в Екатеринбурге насчитывается более 800 турагентств, и это без учета компаний, которые занимаются турагентской деятельностью в качестве второстепенной деятельности.
Такой скромный показатель Марина Гвоздецкая объяснила в разговоре с TurProfi.ru следующим образом: «При принятии решения о подаче уведомления об обработке персональных данных оператор зачастую неправильно оценивает способ обработки персональных данных, категории субъектов, чьи персональные данные он обрабатывает. Такими могут быть не только сотрудники и клиенты, но и их родственники, а также лица, являющиеся представителями клиентов, агенты компаний и т. д., — перечисляет собеседница TurProfi.ru. — И, как следствие, оператор ошибочно принимает решение об отсутствии у него оснований для подачи уведомления в Роскомнадзор».
Впрочем, как отметил один из экспертов TurProfi.ru, чья компания совмещает турагентскую и туроператоскую деятельность, он принципиально не стал регистрироваться в Роскомнадзоре. «В любом случае я данные не храню — как агент я передаю их туроператору, как туроператор — принимающей стороне. Поэтому регистрацию в соответствующих органах не считаю необходимой».
Однако процедура постановки на учет в Роскомнадзоре не так уж и сложна — достаточно заполнить анкету, скачанную с сайта ведомства, поэтому некоторые агентства в разговоре с TurProfi.ru озвучили тезис «почему бы и нет, хуже не будет» и сказали, что позаботятся о регистрации в ближайшее время.
Таким образом, принятие решения, стоит ли вставать на учет в Роскомнадзоре, по всей видимости, остается непосредственно за агентством, которое уже взвешивает все «за» и «против». Но в любом случае стоит учесть требование закона о том, что необходимо зафиксировать в договоре согласие туриста на обработку его персональных данных...
Как добиться заветного согласия туриста?
| М. Воробьев, помощник руководителя Роскомнадзора | «При наличии соответствующих оснований — таких как передача персональных данных сторонней организации, в том числе находящейся на территории иностранного государства, — согласие туриста на обработку его персональных данных оператором берется еще на этапе заключения соответствующего договора». |
Тем временем включить пункт об обработке персональных данных в договор или дополнительное соглашение с туристом, действительно, поспешили многие турагентства. Впрочем, у многих это стало единственной инновацией в связи с изменениями в законе «О персональных данных». Для сотрудников большинства агентств существенных изменений в ежедневной работе с туристом и вовсе не произошло.
«Думаю, сотрудники агентств, которые работают в автоматизированных системах учета или бронирования, просто получили дополненный руководством или системой бронирования договор с еще одной черточкой для подписи клиента, что уменьшает вероятность самодеятельности — в итоге на печать выводится единый и самый актуальный для всей компании договор, — констатирует Екатерина Матухина, директор компании Travel Logic, занимающейся внедрением автоматизации в сфере туризма (Челябинск). — То есть о произошедших изменениях агентам особо задумываться не пришлось».
Агентствам, которые до сих пор не внесли в договор этот пункт, юристы настоятельно советуют сделать это как можно скорее. «В формулировке этого пункта договора или дополнительного соглашения стоит обязательно отметить, что турист проинформирован турфирмой о том, что его персональные данные запрошены исключительно в связи с необходимостью забронировать тур, инициатором чего стал непосредственно сам турист, — рекомендует Евгений Албул, юрист, практикующий в сфере туризма. — И затем нужно обозначить, что в рамках действующего договора турист предоставляет данные в объеме, достаточном для работы по конкретному туру: паспортные данные, номер сотового телефона и др.».
Тем временем резонно предположить, что многие туристические компании, включая в договор необходимый пункт о согласии туристов на обработку данных, попросту пришли к выводу не дожидаться «пока грянет гром...» и решили максимально обезопасить себя от возможных претензий со стороны туриста или государственного ведомства. «Кто знает, каким образом может обернуться для турфирм отсутствие этого пункта, — рассуждает Екатерина Матухина (Travel Logic). — Хотя о каких-либо показательных прецедентах на рынке пока что не слышно, лучше перестраховаться. В случае той или иной неприятной ситуации — допустим, аннуляции тура с большим штрафом — турист может сказать в суде в свою пользу, что в агентстве еще и скопировали его загранпаспорт без его согласия...»
Рекомендаций много, суть — одна
Действительно, каких-либо прецедентов в судебной практике за последние полгода, по словам юристов, так и не появилось. И все же после вступления закона в силу кажущийся штиль на рынке обманчив, считают эксперты.
Так, в Роскомнадзоре рекомендуют ознакомиться с методическими материалами по основным вопросам организации обработки персональных данных на сайте Управления (раздел «Персональные данные» — «Методические рекомендации»).
Кроме того, в Управлении Роскомнадзора совместно с управлением Федеральной службы по техническому контролю по УрФО принимают участие в заседаниях, которые проводят министерства и ведомства Свердловской области, а также различные образовательные учреждения. «На занятиях до слушателей доводятся материалы, связанные с требованием законодательства в области персональных данных, методические рекомендации по организации обработки персональных данных, способам защиты, форма необходимых документов, рассматриваются практические ситуации и даются рекомендации по их правильному решению», — рассказали TurProfi.ru в Управлении Роскомнадзора по Свердловской области.
С собственными рекомендациями выступил Российский Союз Туриндустрии, обозначив меры, которые необходимо принять для того, чтобы «Информационные системы персональных данных, созданные до 1 января 2011 года, были приведены в соответствие с требованиями настоящего Федерального закона». Всего в инструкции от РСТ обозначено 7 шагов, которые, по словам представителей Союза, помогут туристическим компаниям начать работу по созданию системы защиты персональных данных.
Вместе с этим, по мнению Евгения Албула, чтобы максимально обезопасить свою турфирму от возможных замечаний государственных ведомств, достаточно предпринять гораздо меньше действий. «Рекомендации Российского Союза Туриндустрии на самом деле пошаговая адаптация статей 18.1. и 19 закона «О персональных данных» (Организация контроля и меры по обеспечению безопасности персональных данных при их обработке — прим. ред.), и если действительно серьезно озадачиваться защитой персональных данных, то это значит, серьезно потратиться — это достаточно дорогостоящая процедура, целесообразность которой для небольших турфирм довольно спорна», — считает юрист. Он отмечает три шага, которые реально и необходимо на сегодняшней день предпринять каждому агентству.
Прописать в договоре пункт, в котором говорится о согласии туриста предоставить свои данные для обработки. Договор рекомендуется построить таким образом, что турист сам приходит за услугой, т. е. выступает инициатором, и предоставляет вместе с этим определенные персональные данные для выполнения договора (ст. 22 ФЗ «О персональных данных»).
Разработать собственное Положение о защите персональных данных, руководствуясь нормами закона. А именно: создать локальный нормативный акт, в котором говорится о способах обработки и хранения ПД туристов. Это положение может показаться формальностью, как, допустим, Книга жалоб, но систематизация всех мер в одно положение станет хорошим подспорьем в случае проверки уполномоченным ведомством.
Назначить ответственное лицо и в приказе расписать меры, принимаемые организацией по защите персональных данных. Это может быть внутренний приказ, который утверждает соблюдение сотрудниками турфирмы норм законодательства, связанных с защитой персональных данных (с них берется подпись), кроме того, назначается ответственный сотрудник, который контролирует работу с клиентской базой.
Когда придет Роскомнадзор?
Тем временем одним из главных страхов у уральских турпрофи стали возможные проверки Роскомнадзора. Однако, как сообщили TurProfi.ru в свердловском отделении ведомства, со времени вступления в силу поправок в Федеральный закон «О персональных данных», т. е. со второго полугодия 2011 года, ни одной плановой и внеплановой проверки в отношении туристических фирм еще не проводилось. Вместе с этим, отметили в отделении Роскомнадзора по Свердловской области, еще в течение 2008 года сотрудники ведомства проверили деятельность ряда туроператоров, выявив порядка 9 нарушений законодательства, в числе которых также присутствует представление в уполномоченный орган уведомления об обработке персональных данных, которые содержат неполные сведения. Посмотреть все нарушения, которые обозначил Роскомнадзор.
В ведомстве также подчеркнули, что проверки проводятся в соответствии с планом, утвержденным раз в год (он размечается в конце предыдущего года на сайте Управления Роскомнадзора по Свердловской области), и согласованым с областной прокуратурой.
Внеплановые проверки проводятся на следующих основаниях:
— истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных;
— поступления в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из СМИ о фактах возникновения угрозы причинения вреда жизни, здоровью граждан, а также причинение вреда жизни, здоровью граждан.
«О внеплановой проверке юридическое или физическое лицо (ИП) оповещается за день до ее начала, — добавила руководитель Свердловского отделения Роскомнадзора Марина Гвоздецкая. — И отсутствие регистрации в реестре операторов, ведущих обработку персональных данных, не является препятствием для соответствующей проверки».
Стоит отметить, что буквально в начале декабря Роскомнадзор опубликовал список плановых проверок, которые коснутся туристических фирм, на период 2012 года. В списке из 39 туристических компаний из разных регионов страны Урал представлен только одной турфирмой из Тюмени — «Тюмень-М», где, к слову, на момент звонка TurProfi.ru на прошлой неделе не знали о предстоящей проверке.
В Интернете тем временем начинают появляться отзывы туристических компаний, которые уже прошли проверку Роскомнадзора. Опыт коллег отчасти обнадеживает. «Наших инспекторов интересовало, как хранятся данные и документы. Проверяли, запаролены ли компьютеры, лицензионное ли программное обеспечение, наличие подписи сотрудников под тем, что они обязуются не разглашать персональные данные клиентов», — приводит слова сотрудницы одного из агентств портал Tourdom.ru. По словам турпрофи, в ходе проверки выяснился один достаточно спорный момент: ни в одном договоре с ТО не было пункта, который в полной мере отражал бы обязанности ТО охранять персональные данные туриста в соответствии с ФЗ 152. «Но московский офис Роскомнадзора разъяснил региональным проверяющим, что четких инструкций по применению данного закона в турдеятельности пока нет, и рекомендовал заключить с ТО допсоглашение «О защите персональных данных туриста», что мы быстренько и сделали, благо юристы у туроператоров, с которыми работаем, пошли навстречу», — цитирует Tourdom.ru слова турагента.
Жизнь идет своим чередом
Отношение к закону на туррынке остается достаточно разноплановым — одни турпрофи считают, что этот закон — «начало конца, то есть массовых штрафов с турфирм, и так называемое перекрытие воздуха», кто-то находит ряд положительных моментов, а кто-то вообще не видит смысла в этой инновации.
«С момента вступления закона в силу, по сути, в нашей ежедневной деятельности ничего не изменилось. Разве что к концу года стали чаще поступать звонки от предприятий, которые предлагают различное обучение на эту тему за деньги», — рассказала TurProfi.ru Елена Шубина, директор сети агентств «География». Как отметила наша собеседница, именно поэтому мысль о том, что вступление этого закона в силу скорее очередной способ сбора денег, действительно приходит в голову достаточно часто. «Мы не видим целесообразности участия в этих обучающих программах. Существует риск, что если пройти курс не там — то тебе дадут не те корочки и знания. И к тому же везде все описано (на сайте Роскомнадзора в частности) и вряд ли какая-либо организация даст нам информацию, которой мы не обладаем», — отметила Елена Шубина. К слову, она не исключает необходимость защиты персональных данных в принципе, главное, чтобы этот пункт не остался на уровне договора.
По мнению же Натальи Обожиной, директора Клуба Путешествий «Крылья», закон «О персональных данных» был просто необходим для туризма — без личных данных человека, (Ф. И. О., номера паспорта) невозможно забронировать ни авиабилет, ни отель. «Теперь личные данные каждого из нас защищены на законодательном уровне, что так важно в век информационных технологий, — отметила Наталья Обожина в разговоре с TurProfi.ru. — Как известно, на рынке (причем не только туристическом) было немало ситуаций, когда кто-то пренебрегал защитой данных, информация кем-то распространялась. Отныне, куда бы ни пришел человек, он уверен, что его личная информация охраняется законом».
Определенные позитивные моменты видит в законе и Сергей Бузько, директор турфирмы «Мир»: «Представим ситуацию, когда менеджер намерен уйти из турфирмы, а вместе с этим и прибрать к рукам данные из клиентской базы компании... Если закон действительно работает и актуален, то этот шаг со стороны нечестного агента будет не только неэтичным, но и противозаконным».
Однако именно работа закона сейчас и вызывает больше всего вопросов у юристов и, конечно, турпрофи. «Если бы закон работал, то, не сомневаюсь, уже были бы судебные иски, — размышляет Игорь Ясырев, директор туристической сети «Каприз». — Впрочем, весь бизнес живет по закону выгодно-не выгодно. Однозначно не выгодна потеря персональных данных операторам связи, поэтому они принимают все возможные меры для их защиты. Что касается турфирм, то можно предположить, что многие агенты просто относятся к этому вопросу более равнодушно и не ввязываются в те или иные разбирательства».
«Закон, безусловно, требует адаптации к туристической сфере. Бывает, в туризме используются такие данные, особенно для оформления виз, применение которых кем-либо в обычной жизни просто неприемлемо, — копии карт, выписки со счета и т. д., — рассуждает Екатерина Матухина, директор компании Travel Logic, отметив, что информация о перечне документов на сайтах консульств, визовых центров, операторов сильно разнится. — В этой связи трудно определить перечень необходимых и достаточных документов. Клиент очень часто может попенять на то, что у него берут лишние данные. Возможно, что требуются дополнительные консультации с представителями консульств и операторов о перечне документов. Опять же клиенты зачастую будут рады хранению своих данных турагентством, чтобы каждый раз не высылать, не сообщать, не копировать — а хранить, по идее, и нельзя. Нюансов много».
Туристы не против обработки своих данных
Осталось только отметить, что, по отзывам собеседников TurProfi.ru, к настоящему моменту каких-либо вопросов со стороны туристов по поводу необходимости дополнительного согласия на обработку персональных данных не поступало, клиенты относятся к инновации с пониманием. «Вместе с этим, приходя в турфирму, клиент должен понимать, что дальше эти данные будут заведены в систему бронирования авиакомпании, переданы принимающей стороне... Турфирма берет эти данные, чтобы передать их дальше, — замечает Наталья Обожина (Клуб Путешествий «Крылья»). — Но, как показывает опыт, иллюзий на этот счет у граждан нет, а ответственность за сохранность данных «здесь и сейчас», то есть в офисе компании, и передачу их другой стороне лишь с определенными целями, прописанными в договоре, мы уже берем на себя в полной мере».
А как изменилась жизнь в вашем агентстве за последние полгода? Что вы предприняли для защиты персональных данных? Поделиться своими мыслями вы можете в комментариях к данному материалу.
