Как турфирме избежать миллионных штрафов за ошибки с персональными данными

Подробный разбор от юристов

Как турфирме избежать миллионных штрафов за ошибки с персональными данными

Через полгода штрафы за нарушения в области сбора и обработки персональных данных (ПД) вырастут в разы. Например, вы знали, что можно «попасть» на 20 млн рублей за аватарку пользователя на вашем интернет-ресурсе? Мы попросили специалистов компании «Юристы для турбизнеса «Байбородин и партнеры» разобрать конкретные ситуации, чтобы помочь турфирмам избежать рисков.

Напомним, речь идет о статье 13.11 КоАП РФ, которая была частично изменена и существенно дополнена (9 новых пунктов и дополнительные примечания). В числе поправок — административная ответственность индивидуального предпринимателя за большинство правонарушений, которую он будет нести как юридическое лицо. Изменения вступят в силу 30 мая 2025 года.

Ответственность и штрафы: что изменилось?

1. Ч. 1-2 ст. 13.11. КоАП РФ: выросли штрафы за обработку персональных данных, несовместимую с целями сбора: штраф для юридических лиц — от 150 тысяч до 300 тысяч рублей. За повторное нарушение штраф уже составит от 300 тысяч до 500 тысяч рублей.

Максим Ковалевский: «Это отнюдь не новый состав административного правонарушения — КоАП РФ располагал подобной санкцией и ранее. Однако если раньше никто особо не напрягался из-за относительно небольшого размера штрафа, то сейчас ситуация иная — он стал весьма значительным. Кроме того, отдельно выделен еще более серьезный штраф за повторное нарушение.

В этой связи компаниям может быть рекомендовано обратить особое внимание на соблюдение целей сбора персональных данных при их обработке».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает персональные данные и даже берет письменное согласие на их обработку.

Однако при обработке ПД турфирма, например, передает их третьим лицам, которые никак не задействованы для целей исполнения изначально заключенного договора с туристом.

Такое нарушение при проверке может повлечь штраф в размере от 150 тыс. до 300 тыс. рублей, за повторное нарушение — от 300 тыс. до 500 тыс. рублей.


2. Ч. 10 ст. 13.11. КоАП РФ: Предусмотрен отдельный пункт, связанный с неисполнением или несвоевременным исполнением обязанности по уведомлению Роскомнадзор о намерении осуществлять обработку персональных данных. Штраф составляет для юридических лиц от 100 до 300 тысяч рублей;

Александр Байбородин: «Многие компании до последнего не направляли уведомление в Роскомнадзор (РКН). Аргумент был такой: „Штраф небольшой, а уведомишь — так точно придут с проверкой“.

Определенная логика в этом была, действительно, в некоторых ведомствах, по слухам, была и есть практика: „Потерянные ключи ищи под фонарем. Почему? Там видно лучше“, — то есть проверяли компании, которые есть в реестрах, а те, которых нет, — не трогали.

Сейчас штраф вырос до ощутимой суммы. Очевидно, это подтолкнет направить уведомление всех, кто до сих пор сомневался».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает ФИО, телефоны, мейлы, берет копии паспортов.

Таким образом, компания является оператором персональных данных, однако не уведомляет Роскомнадзор.

Такое нарушение при проверке может повлечь штраф в размере от 100 до 300 тыс. рублей.


А ТЕПЕРЬ САМОЕ ИНТЕРЕСНОЕ

3. ч. 11 ст. 13.11. КоАП РФ: За неисполнение или несвоевременное исполнение обязанности по уведомлению РКН о случае установления факта случайной или неправомерной передачи (распространения/доступа) персональных данных, что влечет нарушение прав субъектов персональных данных, предусматривается штраф, размер которого для юридических лиц составляет от 1 млн до 3 млн рублей.

Вадим Погорелов: «Обязанность по уведомлению РКН об инцидентах с персональными данным не является новой. Сроки таких уведомлений были обозначены еще в 2022 году.

И вполне логично, что установление штрафа как меры воздействия на бизнес с целью принуждения к исполнению такой обязанности было вопросом времени.

С учетом достаточно сжатых сроков для уведомления и проведения внутреннего расследования руководству компаний и назначенным ответственным за обработку персональных данных, очевидно, придется постоянно быть начеку, поскольку именно от своевременного реагирования компании на инциденты будет зависеть риск получения штрафа в столь крупном размере».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает ПД, обрабатывает их должным образом, при этом они хранятся в ее базе данных.

Возникает ситуация, при которой к базе получают доступ злоумышленники, копируют ее и потом используют полученные сведения в незаконных целях. Однако при возникновения подобного инцидента турфирма не уведомляет РКН и пытается скрыть сам факт произошедшего.

Такое нарушение при проверке может повлечь штраф в размере от 1 до 3 млн рублей.


4. Ч. 12-14 ст. 13.11. КоАП РФ: За действия (бездействие) оператора, повлекшие неправомерную передачу (распространение/доступ) информации, содержащей персональные данные, устанавливаются следующие штрафы (в зависимости от объема утечки):

  • а) при компрометации персональных данных от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов — для юридических лиц от 3 млн до 5 млн рублей;
  • б) при компрометации персональных данных от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов — для юридических лиц от 5 млн до 10 млн рублей;
  • в) при компрометации персональных данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов — для юридических лиц от 10 млн до 15 млн рублей.

Вадим Погорелов: «С учетом последних тенденций, связанных с периодическими утечками персональных данных граждан РФ, вполне закономерным выглядит инициатива по установлению достаточно сурового наказания лиц, в результате действия или бездействия которых такие утечки происходят.

А размер штрафов неизбежно приведет к тому, что бизнесу придется озаботиться защитой персональных данных не „на бумаге“, а фактически, что непременно повысит расходы компаний по ведению бизнеса и снижению потенциальных рисков.

Создается впечатление, что именно в этом и кроется основная цель вносимых поправок».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает персональные данные, обрабатывает их должным образом, при этом ПД хранятся в базе данных.

Менеджер увольняется из турагентства и забирает с собой базу клиентов. В относительно безобидном сценарии в дальнейшем он делает рассылку по клиентам. В этом случае у туристов может возникнуть справедливое возмущение: «Откуда у вас мои персональные данные?». Но есть вариант и похлеще: бывший менеджер турфирмы использует персональные данные в мошеннических схемах получения средств с чужих банковских счетов.

Ответственности в данном случае будет подлежать не только он, но и сама турфирма, которая не приняла надлежащие меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Такое нарушение при проверке может повлечь штраф в размере от 3 млн. до 15 млн. рублей (в зависимости от объемов утечки).


5. Ч. 16 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которого было допущено неправомерное распространение (передача/доступ) персональных данных специальной категории, оператор рискует получить штраф, размер которого для юридических лиц составляет от 10 млн до 15 млн рублей.

Вадим Погорелов: «С учетом дополнения нормы частями, указанным выше, совсем не лишним будет напомнить, что именно относится к специальной категории персональных данных. Ст. 10 ФЗ № 152 указывает таковыми: персональные данные, содержание сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состояния здоровья, интимной жизни.

Пример нарушения:

Турфирма заключает договоры с туристами. При этом по тем или иным причинам (в силу, скажем, специфики туруслуг) собирает персональные данные, относящиеся к специальной категории.

Как вариант, может возникнуть ситуация, при которой полученные данные, относящиеся к специальной категории, были без наличия отдельного согласия на то субъекта ПД переданы третьим лицам (хотя бы даже и во исполнение указанного договора).

Такое нарушение при проверке может повлечь штраф в размере от 10 до 15 млн рублей.


6. Ч. 17 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которых было допущено неправомерное распространение (передача/доступ) биометрических персональных данных, оператор рискует получить штраф, размер которого для юридических лиц составляет от 15 млн до 20 млн рублей.

Максим Ковалевский: «А вот это уже новый состав административного правонарушения. Причем хочется отдельно отметить, что санкция в виде штрафа, откровенно говоря, колоссальна! И ни в коем случае не следует ее игнорировать или как-то несерьезно относится к ней. Согласитесь, что лучше уж озаботится наличием соответствующего подтверждающего документа субъекта персональных данных, нежели потом „кусать локти“.

Напомним, что согласно ч. 1 ст. 11 Федерального закона N 152-ФЗ от 27.07. 2006 „О персональных данных“ оператору необходимо получить отдельное согласие от субъекта персональных данных на обработку его биометрических ПД».

Пример нарушения:

Турфирма имеет собственный интернет-сайт, где пользователь может загрузить изображение своего лица (в виде той же аватарки) для, например, публикации какого-либо поста/отзыва.

При этом турфирма не озаботилась получением отдельного согласия у субъекта ПД на распространение его биометрических персональных данных (коим как раз и может являться то самое фотоизображение лица пользователя).

Такое нарушение при проверке может повлечь штраф в размере от 15 до 20 млн рублей.


Отдельного внимания заслуживают ч. 15 и 18 ст. 13.11, согласно которым, в случае совершения административного правонарушения лицом, которое уже было подвергнуто административному наказанию за правонарушения, указанные выше, к юридическому лицу может быть применен штраф в размере от 1 до 3% от выручки за предыдущий года, но не менее 25 млн рублей и не более 500 млн рублей.

Резюмируя, можно прийти к однозначному выводу о том, что политика государства в отношении защиты персональных данных граждан существенно ужесточается.

На фоне широко распространившейся в 2024 году практики РКН по направлению запросов бизнесу на предмет подтверждения должного подхода к защите персональных данных, можно смело утверждать, что одних из ключевых залогов выживания бизнеса будет являться осознанный и ответственный подход к защите персональных данных.

Таким образом, туристическим компаниям настоятельно рекомендуется уже сейчас озаботиться вопросом подготовки всех необходимых внутренних локальных актов, приведению сайта в надлежащий вид и принятию технических и фактических мер по обеспечению защиты обрабатываемых персональных данных.

О том, какие шаги необходимо предпринять турфирме, чтобы избежать перечисленных рисков, читайте в нашем следующем материале.

Написать комментарий

Пожалуйста, нажмите на синий квадрат

4 комментария

Семён
25 апреля, 17:52
короче, понятно, что туризм это одно из самых опасных видов человеческой деятельности. Вероятность влететь" и потом окончить жизнь из-за гипердолгов (за изображение аватарки) намного выше, чем попасть под обстрел на фронте... Во, дожили
14 апреля, 11:50
Подскажите пожалуйста а где найти ваш следующий материал?
И.
21 декабря, 14:13
Сколько раз, обращалась в МФЦ по тем или иным вопросам, где надо оставить свой телефон (казалось бы странно, ведь на гос услугах он есть в моём ЛК!). И вот я даю им в руки свой паспорт, диктую телефон и подписываю согласие на обработку персональных данных. И как только выхожу оттуда, СРАЗУ на улице начинают звонить с разными предложениями товаров и услуг (окна, двери,зубы и хрен знает чего еще!) Не во время приёма в МФЦ и не завтра, а именно как только вышла за дверь! И это уже несколько раз по одному сценарию!
Начала возвращаться, ругаться - им пофиг! Делают квадратные глаза и говорят что Вы выдумываете. А когда звонки и при ни х продолжаются - не знаем кто и почему Вам звонят!
Сначала бы порядок в госучереждениях навели, а потом уже к Турагентствам цеплялись!!!
Ксения
01 февраля, 16:15
➕➕➕
Х
19 декабря, 10:06
Но зато на сайте ФССП видно все задолженности по исполнительным производствам.

Hotel Avalon в Дубае: когда 3 равно 4

Новый трехзвездочный отель в районе JVC удивит ценой, сервисом и набором услуг

The First Group Hospitality, одна из самых быстрорастущих гостиничных групп Дубая, открыла свой первый 3-звездочный отель — Hotel Avalon. Он расположен в перспективном районе Jumeirah Village Circle (JVC) и уже сейчас задает новые стандарты городского отдыха, предлагая сервис и инфраструктуру, которые обычно доступны только в 4-звездочных гостиницах. Просторные номера, бассейн, спа-центр, фитнес-зал и уникальные условия для турагентов — все это делает Hotel Avalon идеальной отправной точкой для знакомства с Дубаем. Весомое преимущество — питание в любом из 20 ресторанов сети.

 

Новый район — новые возможности

Jumeirah Village Circle (JVC) — один из перспективных районов Дубая, который стремительно набирает популярность среди туристов и инвесторов. Здесь сочетаются спокойствие, современная инфраструктура и удобная транспортная доступность: до международного аэропорта Дубая и аэропорта Аль-Мактум — менее 30 минут на автомобиле. Hotel Avalon расположен в самом сердце JVC, а значит туристам будет легко добраться до ключевых достопримечательностей города, популярных торговых и бизнес-центров.

Для максимального комфорта отель организует бесплатные шаттлы до Circle Mall, Mall of the Emirates, Dubai Mall и станции метро Mall of the Emirates. Это особенно удобно для путешественников, которые хотят исследовать город без лишних затрат на такси. Маршруты шаттлов могут меняться в зависимости от загрузки отеля, что позволяет гибко подстраиваться под потребности гостей.

Инфраструктура, которая удивляет

Hotel Avalon 3* — это 349 стильных и просторных номеров двух категорий: Avalon Room (28 кв. м, с одной большой или двумя раздельными кроватями) и Deluxe Room (с большой кроватью и возможностью размещения дополнительного места). Все комнаты оснащены бесплатным Wi-Fi, 49-дюймовым смарт-телевизором, мини-баром, сейфом, набором для приготовления чая и кофе.

Особое внимание — гастрономии: ресторан с международной кухней и просторной террасой Urban Eatery ждет гостей в течение всего дня. А кофейня Risen — признанный лидер среди кофеен Дубая, два года подряд получала титул «Лучший кофе в ОАЭ» на шоу Крис Фейд. Здесь подают еще и «здоровые» завтраки и обеды.

В отеле работает современный фитнес-зал и спа-центр Rayya Wellness and Spa. Отдельные мужские и женские зоны обеспечивают максимальный комфорт и приватность.

Эксклюзивные преимущества для гостей и агентов

Одна из уникальных особенностей Hotel Avalon — услуга Dine Around от TFG Hospitality. Гости, выбравшие полупансион (HB) или полный пансион (FB), могут питаться не только в ресторанах отеля, но и в более чем 20 заведениях сети TFG Hospitality. Для этого при заселении выдается специальный QR-код, который открывает доступ к разнообразным кулинарным впечатлениям по всему Дубаю.

Еще один плюс отелю прибавляет доступ к пляжному клубу Soluna Beach Club на Palm Jumeirah. За 100 дирхамов туристы получают трансфер от отеля и обратно, полотенце, лежак и зонт на пляже. Это отличная возможность совместить городской отдых с морским релаксом, не переплачивая за проживание в прибрежных районах.

Для турагентов действует специальная система лояльности при бронировании через туроператоров. Это не только выгодно, но и удобно: партнеры сети могут быть уверены в высоком уровне сервиса для своих клиентов и рассчитывать на дополнительные бонусы.

Hotel Avalon 3* — современный городской отель, который сочетает в себе доступную стоимость, высокий уровень сервиса и оптимальный набор услуг. Он идеально подходит для деловых поездок, семейного отдыха, романтических путешествий и даже медового месяца. Проживание в новом районе JVC открывает перед гостями массу возможностей для шопинга, развлечений и знакомства с культурой Дубая.

 

Контакты:
The First Group Hospitality
22nd Floor Tameem House
Barsha Heights
PO Box 24573
Dubai, UAE
cholpon.bolotova@tfghospitality.com

Статьи по теме