Как турфирме избежать миллионных штрафов за ошибки с персональными данными

Подробный разбор от юристов

18 декабря 2024 15:00 Автор: Редакция Profi.Travel

Через полгода штрафы за нарушения в области сбора и обработки персональных данных (ПД) вырастут в разы. Например, вы знали, что можно «попасть» на 20 млн рублей за аватарку пользователя на вашем интернет-ресурсе? Мы попросили специалистов компании «Юристы для турбизнеса «Байбородин и партнеры» разобрать конкретные ситуации, чтобы помочь турфирмам избежать рисков.

Напомним, речь идет о статье 13.11 КоАП РФ, которая была частично изменена и существенно дополнена (9 новых пунктов и дополнительные примечания). В числе поправок — административная ответственность индивидуального предпринимателя за большинство правонарушений, которую он будет нести как юридическое лицо. Изменения вступят в силу 30 мая 2025 года.

Ответственность и штрафы: что изменилось?

1. Ч. 1-2 ст. 13.11. КоАП РФ: выросли штрафы за обработку персональных данных, несовместимую с целями сбора: штраф для юридических лиц — от 150 тысяч до 300 тысяч рублей. За повторное нарушение штраф уже составит от 300 тысяч до 500 тысяч рублей.

Максим Ковалевский: «Это отнюдь не новый состав административного правонарушения — КоАП РФ располагал подобной санкцией и ранее. Однако если раньше никто особо не напрягался из-за относительно небольшого размера штрафа, то сейчас ситуация иная — он стал весьма значительным. Кроме того, отдельно выделен еще более серьезный штраф за повторное нарушение.

В этой связи компаниям может быть рекомендовано обратить особое внимание на соблюдение целей сбора персональных данных при их обработке».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает персональные данные и даже берет письменное согласие на их обработку.

Однако при обработке ПД турфирма, например, передает их третьим лицам, которые никак не задействованы для целей исполнения изначально заключенного договора с туристом.

Такое нарушение при проверке может повлечь штраф в размере от 150 тыс. до 300 тыс. рублей, за повторное нарушение — от 300 тыс. до 500 тыс. рублей.

2. Ч. 10 ст. 13.11. КоАП РФ: Предусмотрен отдельный пункт, связанный с неисполнением или несвоевременным исполнением обязанности по уведомлению Роскомнадзор о намерении осуществлять обработку персональных данных. Штраф составляет для юридических лиц от 100 до 300 тысяч рублей;

Александр Байбородин: «Многие компании до последнего не направляли уведомление в Роскомнадзор (РКН). Аргумент был такой: „Штраф небольшой, а уведомишь — так точно придут с проверкой“.

Определенная логика в этом была, действительно, в некоторых ведомствах, по слухам, была и есть практика: „Потерянные ключи ищи под фонарем. Почему? Там видно лучше“, — то есть проверяли компании, которые есть в реестрах, а те, которых нет, — не трогали.

Сейчас штраф вырос до ощутимой суммы. Очевидно, это подтолкнет направить уведомление всех, кто до сих пор сомневался».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает ФИО, телефоны, мейлы, берет копии паспортов.

Таким образом, компания является оператором персональных данных, однако не уведомляет Роскомнадзор.

Такое нарушение при проверке может повлечь штраф в размере от 100 до 300 тыс. рублей.

А ТЕПЕРЬ САМОЕ ИНТЕРЕСНОЕ

3. ч. 11 ст. 13.11. КоАП РФ: За неисполнение или несвоевременное исполнение обязанности по уведомлению РКН о случае установления факта случайной или неправомерной передачи (распространения/доступа) персональных данных, что влечет нарушение прав субъектов персональных данных, предусматривается штраф, размер которого для юридических лиц составляет от 1 млн до 3 млн рублей.

Вадим Погорелов: «Обязанность по уведомлению РКН об инцидентах с персональными данным не является новой. Сроки таких уведомлений были обозначены еще в 2022 году.

И вполне логично, что установление штрафа как меры воздействия на бизнес с целью принуждения к исполнению такой обязанности было вопросом времени.

С учетом достаточно сжатых сроков для уведомления и проведения внутреннего расследования руководству компаний и назначенным ответственным за обработку персональных данных, очевидно, придется постоянно быть начеку, поскольку именно от своевременного реагирования компании на инциденты будет зависеть риск получения штрафа в столь крупном размере».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает ПД, обрабатывает их должным образом, при этом они хранятся в ее базе данных.

Возникает ситуация, при которой к базе получают доступ злоумышленники, копируют ее и потом используют полученные сведения в незаконных целях. Однако при возникновения подобного инцидента турфирма не уведомляет РКН и пытается скрыть сам факт произошедшего.

Такое нарушение при проверке может повлечь штраф в размере от 1 до 3 млн рублей.

4. Ч. 12-14 ст. 13.11. КоАП РФ: За действия (бездействие) оператора, повлекшие неправомерную передачу (распространение/доступ) информации, содержащей персональные данные, устанавливаются следующие штрафы (в зависимости от объема утечки):

а) при компрометации персональных данных от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов — для юридических лиц от 3 млн до 5 млн рублей;
б) при компрометации персональных данных от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов — для юридических лиц от 5 млн до 10 млн рублей;
в) при компрометации персональных данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов — для юридических лиц от 10 млн до 15 млн рублей.

Вадим Погорелов: «С учетом последних тенденций, связанных с периодическими утечками персональных данных граждан РФ, вполне закономерным выглядит инициатива по установлению достаточно сурового наказания лиц, в результате действия или бездействия которых такие утечки происходят.

А размер штрафов неизбежно приведет к тому, что бизнесу придется озаботиться защитой персональных данных не „на бумаге“, а фактически, что непременно повысит расходы компаний по ведению бизнеса и снижению потенциальных рисков.

Создается впечатление, что именно в этом и кроется основная цель вносимых поправок».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает персональные данные, обрабатывает их должным образом, при этом ПД хранятся в базе данных.

Менеджер увольняется из турагентства и забирает с собой базу клиентов. В относительно безобидном сценарии в дальнейшем он делает рассылку по клиентам. В этом случае у туристов может возникнуть справедливое возмущение: «Откуда у вас мои персональные данные?». Но есть вариант и похлеще: бывший менеджер турфирмы использует персональные данные в мошеннических схемах получения средств с чужих банковских счетов.

Ответственности в данном случае будет подлежать не только он, но и сама турфирма, которая не приняла надлежащие меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Такое нарушение при проверке может повлечь штраф в размере от 3 млн. до 15 млн. рублей (в зависимости от объемов утечки).

5. Ч. 16 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которого было допущено неправомерное распространение (передача/доступ) персональных данных специальной категории, оператор рискует получить штраф, размер которого для юридических лиц составляет от 10 млн до 15 млн рублей.

Вадим Погорелов: «С учетом дополнения нормы частями, указанным выше, совсем не лишним будет напомнить, что именно относится к специальной категории персональных данных. Ст. 10 ФЗ № 152 указывает таковыми: персональные данные, содержание сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состояния здоровья, интимной жизни.

Пример нарушения:

Турфирма заключает договоры с туристами. При этом по тем или иным причинам (в силу, скажем, специфики туруслуг) собирает персональные данные, относящиеся к специальной категории.

Как вариант, может возникнуть ситуация, при которой полученные данные, относящиеся к специальной категории, были без наличия отдельного согласия на то субъекта ПД переданы третьим лицам (хотя бы даже и во исполнение указанного договора).

Такое нарушение при проверке может повлечь штраф в размере от 10 до 15 млн рублей.

6. Ч. 17 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которых было допущено неправомерное распространение (передача/доступ) биометрических персональных данных, оператор рискует получить штраф, размер которого для юридических лиц составляет от 15 млн до 20 млн рублей.

Максим Ковалевский: «А вот это уже новый состав административного правонарушения. Причем хочется отдельно отметить, что санкция в виде штрафа, откровенно говоря, колоссальна! И ни в коем случае не следует ее игнорировать или как-то несерьезно относится к ней. Согласитесь, что лучше уж озаботится наличием соответствующего подтверждающего документа субъекта персональных данных, нежели потом „кусать локти“.

Напомним, что согласно ч. 1 ст. 11 Федерального закона N 152-ФЗ от 27.07. 2006 „О персональных данных“ оператору необходимо получить отдельное согласие от субъекта персональных данных на обработку его биометрических ПД».

Пример нарушения:

Турфирма имеет собственный интернет-сайт, где пользователь может загрузить изображение своего лица (в виде той же аватарки) для, например, публикации какого-либо поста/отзыва.

При этом турфирма не озаботилась получением отдельного согласия у субъекта ПД на распространение его биометрических персональных данных (коим как раз и может являться то самое фотоизображение лица пользователя).

Такое нарушение при проверке может повлечь штраф в размере от 15 до 20 млн рублей.

Отдельного внимания заслуживают ч. 15 и 18 ст. 13.11, согласно которым, в случае совершения административного правонарушения лицом, которое уже было подвергнуто административному наказанию за правонарушения, указанные выше, к юридическому лицу может быть применен штраф в размере от 1 до 3% от выручки за предыдущий года, но не менее 25 млн рублей и не более 500 млн рублей.

Резюмируя, можно прийти к однозначному выводу о том, что политика государства в отношении защиты персональных данных граждан существенно ужесточается.

На фоне широко распространившейся в 2024 году практики РКН по направлению запросов бизнесу на предмет подтверждения должного подхода к защите персональных данных, можно смело утверждать, что одних из ключевых залогов выживания бизнеса будет являться осознанный и ответственный подход к защите персональных данных.

Таким образом, туристическим компаниям настоятельно рекомендуется уже сейчас озаботиться вопросом подготовки всех необходимых внутренних локальных актов, приведению сайта в надлежащий вид и принятию технических и фактических мер по обеспечению защиты обрабатываемых персональных данных.

О том, какие шаги необходимо предпринять турфирме, чтобы избежать перечисленных рисков, читайте в нашем следующем материале.

79716

Источник:

Profi.Travel

Поделитесь:

#туроператоры #законодательство в туризме #турагентства #юридическая практика #ТурВики

Фото: Glenn Carstens-Peters, unsplash

Написать комментарий

Для того чтобы оставить комментарий нужно авторизоваться на портале

4 комментария

Семён

25 апреля, 17:52

короче, понятно, что туризм это одно из самых опасных видов человеческой деятельности. Вероятность влететь" и потом окончить жизнь из-за гипердолгов (за изображение аватарки) намного выше, чем попасть под обстрел на фронте... Во, дожили

Ответить

Сычева Лилия

14 апреля, 11:50

Подскажите пожалуйста а где найти ваш следующий материал?

Ответить

И.

21 декабря, 14:13

Сколько раз, обращалась в МФЦ по тем или иным вопросам, где надо оставить свой телефон (казалось бы странно, ведь на гос услугах он есть в моём ЛК!). И вот я даю им в руки свой паспорт, диктую телефон и подписываю согласие на обработку персональных данных. И как только выхожу оттуда, СРАЗУ на улице начинают звонить с разными предложениями товаров и услуг (окна, двери,зубы и хрен знает чего еще!) Не во время приёма в МФЦ и не завтра, а именно как только вышла за дверь! И это уже несколько раз по одному сценарию!
Начала возвращаться, ругаться - им пофиг! Делают квадратные глаза и говорят что Вы выдумываете. А когда звонки и при ни х продолжаются - не знаем кто и почему Вам звонят!
Сначала бы порядок в госучереждениях навели, а потом уже к Турагентствам цеплялись!!!

Ответить

Ксения

01 февраля, 16:15

➕➕➕

Ответить

19 декабря, 10:06

Но зато на сайте ФССП видно все задолженности по исполнительным производствам.

Ответить

Туристы больше месяца не могут добиться возврата денег от отеля на Черном море

В сети сообщают о смене собственника и возможном закрытии гостиницы

29 мая 2026 14:26 Автор: Редакция Profi.Travel

В редакцию Profi.Travel обратилась туристка Надежда, которая еще в прошлом году забронировала три номера в отеле «Ола Резорт» в Ольгинке в Туапсинском районе и внесла предоплату 30,7 тыс. руб. Отдых планировался в конце июня. В апреле планы изменилась и туристка отменила бронь. Сначала ей обещали полный возврат средств, а потом отель перестал выходить на связь. Оказалось, что в похожей ситуации оказались и другие туристы: связи с отелем нет, деньги не возвращают. Предполагают, что гостиница могла закрыться. Подробности об этой ситуации и советы юристов — в материале Profi.Travel.

«28 апреля 2026 года я обратилась в отель, чтобы отменить бронь, поскольку планы на отдых у нашей семьи изменились. Согласно условиям, можно отменить бронирование без удержания денежных средств, если сделать это заранее, — рассказала туристка. — На почту ответа не получила, телефон отеля недоступен. В мессенджере сообщили, что на данный момент в отеле происходят «изменения в операционной деятельности» и необходимо направить заявление на возврат денежных средств на почту. Я это сделала в тот же день. 29 апреля 2026 года на мой вопрос о сроках возврата денежных средств ответили «в течение 10-15 рабочих дней». После этого ответы на мои сообщения я больше не получала, деньги не вернули».

Напомним, согласно новой редакции Правил оказания гостиничных услуг, сумма возвращается полностью, если клиент уведомляет об отмене брони «до дня заезда».

Оказалось, что Надежда — не единственная пострадавшая. В отзывах на «Яндекс Картах» туристы с 27 апреля пишут, что предоплату отель не возвращает, связаться с ним невозможно. «Не можем дозвониться, звоним каждый день, телефоны недоступны, написали на почту ответа нет. На сайте бронирования закрыто. Я так понимаю, отдыха этим летом не будет, поэтому хотелось бы вернуть предоплату», — написала одна из туристок.

Еще одна даже рассказала, что произошло: «Отдыхали в отеле с 20 по 24 апреля, 23-го узнали, что сменился владелец бизнеса, и вся команда отеля и ресторана распускается. К счастью, мы все равно смогли спокойно переночевать последнюю ночь в отеле. Но очень жалко, что закрылось такое приятное место с такими прекрасными людьми!»

Ранее у гостиницы были преимущественно положительные отзывы, а рейтинг на «Яндекс Картах» даже сейчас — 4,9. Отель «Ола Резорт» находится и в Едином реестре объектов классификации в сфере туристской индустрии, имеет категорию 4*.

Гостиница была представлена на сайтах агрегаторов и у туроператоров. Попытка забронировать номер через «Яндекс Путешествия», «Островок» не удалась: «нет номеров». В пресс-службе туроператора «Алеан» сообщили, что сейчас этот отель у них не представлен. «Бывает, что через поисковик можно найти старые карточки отелей на сайте, которые когда-то были в портфеле. Но забронировать этот объект сайт не дает», — пояснили в компании.

Еще один эксперт предположил, что, возможно, в отеле сейчас сложности с финансами. Как раз в 20-х числах апреля в Туапсе из-за атак БПЛА было зафиксировано нефтяное пятно в море, начался пожар на НПЗ, пошли «нефтяные дожди», туристы стали аннулировать брони. «В прошлом году похожая ситуация была в Анапе. Туристы пошли за возвратами, а отели попросили подождать, так как денег у них не было», — напомнил эксперт.

Редакция Profi.Travel направила запрос в гостиницу, но ответа пока нет. Дозвониться до «Ола Резорт» также не удалось.

Надежда, чтобы вернуть деньги, обратилась в Сбербанк для оформления чарджбэка. «Запрос пока в работе, ответ должны дать до 10 июня. Очень надеюсь, что удастся вернуть деньги этим путем, — сказала она. — Если будет отказ от банка, то планирую обратиться в Роспотребнадзор, МВД и подготовить досудебную претензию».

Руководитель компании «Юристы для турбизнеса «Байбородин и партнеры» Александр Байбородин прокомментировали ситуацию и дал советы туристам. «Чарджбэк вполне рабочий инструмент. И в кейсах, где оплата была произведена картой на сайте или в терминале, банки нередко делают возвраты, — уточнил эксперт. — Важный нюанс: чарджбэк не сработает, если оплата была сделана переводом на карту физического лица. Такие возвраты банки без судебных решений обычно не делают».

Если чарджбэк не сработает, пояснил Александр Байбородин, турист может направить претензию и потребовать возврата денежных средств, что уже было сделано.

«В случае не поступления денежных средств турист вправе потребовать возврат через суд. Можно обратиться как по месту нахождения ответчика, так и по своему месту жительства. В суде можно требовать не только основную сумму но и неустойку, штраф и компенсацию морального вреда», — добавил юрист.

По его словам, проект искового заявления можно прислать ответчику заранее (до отправки в суд), иногда это действует. То, что отель, например, сменил собственника, закрылся значения не имеет, так как услуги не были оказаны.

Только важное. Только для профи.

Читайте в Телеграме

Все новости в Max

Все новости в ВК

1290

Источник:

Profi.Travel

Поделитесь:

#внутренний туризм #Краснодарский край

Фото: dar klad, unsplash

Написать комментарий

Для того чтобы оставить комментарий нужно авторизоваться на портале

Компания Aroya Cruises отменила часть круизов

Кто должен возвращать туристам средства за сам круиз и авиабилеты

29 мая 2026 15:29 Автор: Редакция Profi.Travel

Компания Aroya Cruises отметила честь летних круизов и один осенний, чтобы принять участие в международном спортивном соревновании. Примерно месяц с середины августа лайнер Aroya будет стоять в Италии. Четыре круиза, которые пользовались популярностью у россиян, не состоятся. Об этом Profi.Travel сообщил турагент из сообщества Loyalty.

Спортсмены вместо туристов

«По запросу правительства Италии круизная компания Aroya примет участие в организации XX Средиземноморских игр, которые пройдут с 21 августа по 3 сентября 2026 года в городе Таранто, Италия. В период проведения соревнований лайнер Aroya будет находиться в Таранто и предоставит размещение участникам и спортсменам», — такое сообщение получили турагенты.

В нем поясняется, что круиз с отправлением 8 августа будет сокращён, а маршрут и порты захода изменены. Круизы с отправлением 15, 22 и 29 августа, а также 5 сентября отменяются.

«В настоящее время компания работает над вариантами переноса бронирований и условиями возврата. Официальная информация будет опубликована на следующей неделе», — говорится в сообщении.

Информацию подтвердил и основатель CruClub Михаил Алексеев. «Для нас, как всегда, в приоритете интересы наших клиентов и агентов. Сейчас вместе с круизной компанией работаем над вариантами переноса и возможными компенсациями», — сказал он Profi.Travel.

«Отмененные круизы были с выходом из Стамбула, они востребованы на российском рынке. Легко долететь, виза не нужна. Непонятно решение круизной компании и отношение к клиентам, которые уже купили круиз, авиабилеты и забронировали отели под него», — возмутился турагент.

По его словам, обычно в таких ситуация предлагают перенос круиза на другие даты или полный возврат. «Но у туристов отпуск запланирован, куплены невозвратные авиабилеты», — пояснил турагент.

Кто вернет деньги за билеты?

Пока неизвестно, что именно предложат туристам, будут ли возвращать деньги за авиабилеты или как-то иначе компенсировать потери. По мнению юристов, если турист решит подать в суд на туроператора или турагента и потребовать возврата и этих средств, решение суда предугадать сложно. Многое зависит от того, когда был приобретен круиз.

Как пояснили юристы, до 1 марта 2026 года круиз признавался турпродуктом. Но с 1 марта действуют другие нормы: турпродуктом в выездном туризме считается комплекс услуг, в который входит перевозка из РФ или в РФ. Соответственно, теперь только круиз не является турпродуктом.

«Подозреваю, что большинство круизов было приобретено до 1 марта, соответственно применимые нормы те, которые действовали до вступления в силу нового закона, — сказала юрист «Альянса туристических агентств» Мария Чапиковская. — Круизная компания — это партнер туроператора, соответственно, именно туроператор не предоставляет услуги. Поэтому турист имеет право на полный возврат средств, а также на компенсацию убытков с туроператора как исполнителя (финансовые потери при отказе от авиабилетов и т.д.)».

Руководитель компании «Юристы для турбизнеса «Байбородин и партнеры» Александр Байбородин отметил, что на практике может быть несколько вариантов развития событий.

«Если круиз был продан не по договору о реализации турпродукта, а именно как отдельная услуга (как, например, продажа билета на экскурсию или размещения в отеле) и в договоре указано, что агент не несет ответственности за действия поставщиков, то у туристов меньше шансов вернуть деньги через суд, — сказал юрист. — Есть отдельное постановление Пленума Верховного Суда, где указано, что «агент за принципала не в ответе».

Вероятность успеха туриста в суде при таком раскладе эксперт оценил в 25–30%. «Просто потому, что турист — потребитель, и потому, что судья явно будет ему сочувствовать. Ну и «по старинке» может признать круиз турпродуктом, даже если юристы будут возражать», — отметил Александр Байбородин.

«Если круиз был продан по обычному договору о реализации турпродукта, то рисков у агента и оператора больше. Риск агента в том, что оператор может вдруг «вспомнить», что это не турпродукт и что агент заключил неправильный договор. Риск самого оператора в том, что наверняка выписывалось обычное подтверждение бронирования со словами «тур», «турпродукт», и при таком раскладе говорить «это не турпродукт» уже чуть тяжелее, — отметил Александр Байбородин. — В этом случае вероятность успеха туриста в суде я бы оценил уже в 50%, если не в 60%».

Мария Чапиковская отметила, что, в любом случае, если туристу не оказали услуги и у него возникли убытки, он вправе требовать возврат и компенсацию убытков с исполнителя. Вероятнее всего, в договорах именно туроператор назван исполнителем. Соответственно, требования предъявляются туроператору.

Только важное. Только для профи.

Читайте в Телеграме

Все новости в Max

Все новости в ВК

7822

Источник:

Profi.Travel

Поделитесь:

#круизы #выездной туризм

Фото: Josiah Weiss, unsplash.com