Как турфирме избежать миллионных штрафов за ошибки с персональными данными

Подробный разбор от юристов

Как турфирме избежать миллионных штрафов за ошибки с персональными данными

Через полгода штрафы за нарушения в области сбора и обработки персональных данных (ПД) вырастут в разы. Например, вы знали, что можно «попасть» на 20 млн рублей за аватарку пользователя на вашем интернет-ресурсе? Мы попросили специалистов компании «Юристы для турбизнеса «Байбородин и партнеры» разобрать конкретные ситуации, чтобы помочь турфирмам избежать рисков.

Напомним, речь идет о статье 13.11 КоАП РФ, которая была частично изменена и существенно дополнена (9 новых пунктов и дополнительные примечания). В числе поправок — административная ответственность индивидуального предпринимателя за большинство правонарушений, которую он будет нести как юридическое лицо. Изменения вступят в силу 30 мая 2025 года.

Ответственность и штрафы: что изменилось?

1. Ч. 1-2 ст. 13.11. КоАП РФ: выросли штрафы за обработку персональных данных, несовместимую с целями сбора: штраф для юридических лиц — от 150 тысяч до 300 тысяч рублей. За повторное нарушение штраф уже составит от 300 тысяч до 500 тысяч рублей.

Максим Ковалевский: «Это отнюдь не новый состав административного правонарушения — КоАП РФ располагал подобной санкцией и ранее. Однако если раньше никто особо не напрягался из-за относительно небольшого размера штрафа, то сейчас ситуация иная — он стал весьма значительным. Кроме того, отдельно выделен еще более серьезный штраф за повторное нарушение.

В этой связи компаниям может быть рекомендовано обратить особое внимание на соблюдение целей сбора персональных данных при их обработке».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает персональные данные и даже берет письменное согласие на их обработку.

Однако при обработке ПД турфирма, например, передает их третьим лицам, которые никак не задействованы для целей исполнения изначально заключенного договора с туристом.

Такое нарушение при проверке может повлечь штраф в размере от 150 тыс. до 300 тыс. рублей, за повторное нарушение — от 300 тыс. до 500 тыс. рублей.


2. Ч. 10 ст. 13.11. КоАП РФ: Предусмотрен отдельный пункт, связанный с неисполнением или несвоевременным исполнением обязанности по уведомлению Роскомнадзор о намерении осуществлять обработку персональных данных. Штраф составляет для юридических лиц от 100 до 300 тысяч рублей;

Александр Байбородин: «Многие компании до последнего не направляли уведомление в Роскомнадзор (РКН). Аргумент был такой: „Штраф небольшой, а уведомишь — так точно придут с проверкой“.

Определенная логика в этом была, действительно, в некоторых ведомствах, по слухам, была и есть практика: „Потерянные ключи ищи под фонарем. Почему? Там видно лучше“, — то есть проверяли компании, которые есть в реестрах, а те, которых нет, — не трогали.

Сейчас штраф вырос до ощутимой суммы. Очевидно, это подтолкнет направить уведомление всех, кто до сих пор сомневался».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает ФИО, телефоны, мейлы, берет копии паспортов.

Таким образом, компания является оператором персональных данных, однако не уведомляет Роскомнадзор.

Такое нарушение при проверке может повлечь штраф в размере от 100 до 300 тыс. рублей.


А ТЕПЕРЬ САМОЕ ИНТЕРЕСНОЕ

3. ч. 11 ст. 13.11. КоАП РФ: За неисполнение или несвоевременное исполнение обязанности по уведомлению РКН о случае установления факта случайной или неправомерной передачи (распространения/доступа) персональных данных, что влечет нарушение прав субъектов персональных данных, предусматривается штраф, размер которого для юридических лиц составляет от 1 млн до 3 млн рублей.

Вадим Погорелов: «Обязанность по уведомлению РКН об инцидентах с персональными данным не является новой. Сроки таких уведомлений были обозначены еще в 2022 году.

И вполне логично, что установление штрафа как меры воздействия на бизнес с целью принуждения к исполнению такой обязанности было вопросом времени.

С учетом достаточно сжатых сроков для уведомления и проведения внутреннего расследования руководству компаний и назначенным ответственным за обработку персональных данных, очевидно, придется постоянно быть начеку, поскольку именно от своевременного реагирования компании на инциденты будет зависеть риск получения штрафа в столь крупном размере».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает ПД, обрабатывает их должным образом, при этом они хранятся в ее базе данных.

Возникает ситуация, при которой к базе получают доступ злоумышленники, копируют ее и потом используют полученные сведения в незаконных целях. Однако при возникновения подобного инцидента турфирма не уведомляет РКН и пытается скрыть сам факт произошедшего.

Такое нарушение при проверке может повлечь штраф в размере от 1 до 3 млн рублей.


4. Ч. 12-14 ст. 13.11. КоАП РФ: За действия (бездействие) оператора, повлекшие неправомерную передачу (распространение/доступ) информации, содержащей персональные данные, устанавливаются следующие штрафы (в зависимости от объема утечки):

  • а) при компрометации персональных данных от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов — для юридических лиц от 3 млн до 5 млн рублей;
  • б) при компрометации персональных данных от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов — для юридических лиц от 5 млн до 10 млн рублей;
  • в) при компрометации персональных данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов — для юридических лиц от 10 млн до 15 млн рублей.

Вадим Погорелов: «С учетом последних тенденций, связанных с периодическими утечками персональных данных граждан РФ, вполне закономерным выглядит инициатива по установлению достаточно сурового наказания лиц, в результате действия или бездействия которых такие утечки происходят.

А размер штрафов неизбежно приведет к тому, что бизнесу придется озаботиться защитой персональных данных не „на бумаге“, а фактически, что непременно повысит расходы компаний по ведению бизнеса и снижению потенциальных рисков.

Создается впечатление, что именно в этом и кроется основная цель вносимых поправок».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает персональные данные, обрабатывает их должным образом, при этом ПД хранятся в базе данных.

Менеджер увольняется из турагентства и забирает с собой базу клиентов. В относительно безобидном сценарии в дальнейшем он делает рассылку по клиентам. В этом случае у туристов может возникнуть справедливое возмущение: «Откуда у вас мои персональные данные?». Но есть вариант и похлеще: бывший менеджер турфирмы использует персональные данные в мошеннических схемах получения средств с чужих банковских счетов.

Ответственности в данном случае будет подлежать не только он, но и сама турфирма, которая не приняла надлежащие меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Такое нарушение при проверке может повлечь штраф в размере от 3 млн. до 15 млн. рублей (в зависимости от объемов утечки).


5. Ч. 16 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которого было допущено неправомерное распространение (передача/доступ) персональных данных специальной категории, оператор рискует получить штраф, размер которого для юридических лиц составляет от 10 млн до 15 млн рублей.

Вадим Погорелов: «С учетом дополнения нормы частями, указанным выше, совсем не лишним будет напомнить, что именно относится к специальной категории персональных данных. Ст. 10 ФЗ № 152 указывает таковыми: персональные данные, содержание сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состояния здоровья, интимной жизни.

Пример нарушения:

Турфирма заключает договоры с туристами. При этом по тем или иным причинам (в силу, скажем, специфики туруслуг) собирает персональные данные, относящиеся к специальной категории.

Как вариант, может возникнуть ситуация, при которой полученные данные, относящиеся к специальной категории, были без наличия отдельного согласия на то субъекта ПД переданы третьим лицам (хотя бы даже и во исполнение указанного договора).

Такое нарушение при проверке может повлечь штраф в размере от 10 до 15 млн рублей.


6. Ч. 17 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которых было допущено неправомерное распространение (передача/доступ) биометрических персональных данных, оператор рискует получить штраф, размер которого для юридических лиц составляет от 15 млн до 20 млн рублей.

Максим Ковалевский: «А вот это уже новый состав административного правонарушения. Причем хочется отдельно отметить, что санкция в виде штрафа, откровенно говоря, колоссальна! И ни в коем случае не следует ее игнорировать или как-то несерьезно относится к ней. Согласитесь, что лучше уж озаботится наличием соответствующего подтверждающего документа субъекта персональных данных, нежели потом „кусать локти“.

Напомним, что согласно ч. 1 ст. 11 Федерального закона N 152-ФЗ от 27.07. 2006 „О персональных данных“ оператору необходимо получить отдельное согласие от субъекта персональных данных на обработку его биометрических ПД».

Пример нарушения:

Турфирма имеет собственный интернет-сайт, где пользователь может загрузить изображение своего лица (в виде той же аватарки) для, например, публикации какого-либо поста/отзыва.

При этом турфирма не озаботилась получением отдельного согласия у субъекта ПД на распространение его биометрических персональных данных (коим как раз и может являться то самое фотоизображение лица пользователя).

Такое нарушение при проверке может повлечь штраф в размере от 15 до 20 млн рублей.


Отдельного внимания заслуживают ч. 15 и 18 ст. 13.11, согласно которым, в случае совершения административного правонарушения лицом, которое уже было подвергнуто административному наказанию за правонарушения, указанные выше, к юридическому лицу может быть применен штраф в размере от 1 до 3% от выручки за предыдущий года, но не менее 25 млн рублей и не более 500 млн рублей.

Резюмируя, можно прийти к однозначному выводу о том, что политика государства в отношении защиты персональных данных граждан существенно ужесточается.

На фоне широко распространившейся в 2024 году практики РКН по направлению запросов бизнесу на предмет подтверждения должного подхода к защите персональных данных, можно смело утверждать, что одних из ключевых залогов выживания бизнеса будет являться осознанный и ответственный подход к защите персональных данных.

Таким образом, туристическим компаниям настоятельно рекомендуется уже сейчас озаботиться вопросом подготовки всех необходимых внутренних локальных актов, приведению сайта в надлежащий вид и принятию технических и фактических мер по обеспечению защиты обрабатываемых персональных данных.

О том, какие шаги необходимо предпринять турфирме, чтобы избежать перечисленных рисков, читайте в нашем следующем материале.

Написать комментарий

Пожалуйста, нажмите на розовый квадрат

4 комментария

Семён
25 апреля, 17:52
короче, понятно, что туризм это одно из самых опасных видов человеческой деятельности. Вероятность влететь" и потом окончить жизнь из-за гипердолгов (за изображение аватарки) намного выше, чем попасть под обстрел на фронте... Во, дожили
14 апреля, 11:50
Подскажите пожалуйста а где найти ваш следующий материал?
И.
21 декабря, 14:13
Сколько раз, обращалась в МФЦ по тем или иным вопросам, где надо оставить свой телефон (казалось бы странно, ведь на гос услугах он есть в моём ЛК!). И вот я даю им в руки свой паспорт, диктую телефон и подписываю согласие на обработку персональных данных. И как только выхожу оттуда, СРАЗУ на улице начинают звонить с разными предложениями товаров и услуг (окна, двери,зубы и хрен знает чего еще!) Не во время приёма в МФЦ и не завтра, а именно как только вышла за дверь! И это уже несколько раз по одному сценарию!
Начала возвращаться, ругаться - им пофиг! Делают квадратные глаза и говорят что Вы выдумываете. А когда звонки и при ни х продолжаются - не знаем кто и почему Вам звонят!
Сначала бы порядок в госучереждениях навели, а потом уже к Турагентствам цеплялись!!!
Ксения
01 февраля, 16:15
➕➕➕
Х
19 декабря, 10:06
Но зато на сайте ФССП видно все задолженности по исполнительным производствам.

Туроператоры эвакуируют российских туристов из Ирана

Россияне вылетят домой через соседние страны

Туроператоры эвакуируют российских туристов из Ирана

В понедельник, 16 июня, российские туроператоры эвакуируют своих туристов из Ирана в связи с тем, что рейсы из этой страны сейчас не выполняются. Россиян вывозят на трансферах в соседние страны — Турцию и Армению. Оттуда они смогут вылететь в Россию. Об этом Profi.Travel сообщили в туроператорских компаниях.

Туристы ITM group должны были вылететь из Тегерана завтра. Чтобы вернуть их домой вовремя, туроператор организовал трансфер до Турции. «Группа выехала из Исфахана сегодня утром на vip-автобусе. Только что они проехали Кум по пути в Тебриз. Туристы проведут ночь в отеле в Тебризе и завтра утром направятся к турецкой границе. Наши иранские партнеры выберут пункт выезда по мере приближения. Ждем вечером подробности и обновление информации», — рассказала Юлия Соколова, руководитель департамента продаж и разработки продукта ITM group.

Туроператор «Интурист» организовал для своих туристов трансфер до Армении. «У них как раз сегодня закончился тур, вылетать из Ирана должны были сегодня «Аэрофлотом». Мы рассматривали разные варианты их эвакуации, в том числе через Азербайджан, но предпочли Армению», — уточнила руководитель пресс-службы компании Дарья Домостроева.

Добавим, что российские туристы застряли не только в Израиле и Иране, но и, например, в Иордании. Такие клиенты есть и у «Интуриста». Как пояснили в туроператоре, пока они продолжают свой отдых. «Мы ждем информации о возобновлении полетов Royal Jordanian Airlines. По предварительным данным, перевозчик планирует сделать это в ближайшее время», — рассказала Дарья Домостроева.

Только важное. Только для профи.​

 

Читайте в Телеграме

 

Написать комментарий

Пожалуйста, нажмите на розовый квадрат

Air Arabia отменила рейсы в Россию до 20 июня, но продолжит вывоз из ОАЭ

В день будут выполняться два перелета в Москву с дозаправкой в Ташкенте и один прямой в Екатеринбург

Air Arabia отменила рейсы в Россию до 20 июня, но продолжит вывоз из ОАЭ

Авиакомпания Air Arabia остановила рейсы из Абу-Даби, Шарджи и Рас-эль-Хаймы в Россию и обратно до 20 июня. Об этом говорится в сообщении на сайте перевозчика.

Однако, по информации туроператоров, специальные вывозные рейсы в Россию продолжатся, как и планировалось: самолеты будут забирать пассажиров из Шарджи в Москву дважды в день и следовать через Узбекистан, с дозаправкой в Ташкенте. Это связано с тем, что преодолеть 9-часовой маршрут без дополнительного залива топлива Airbus A320 не в состоянии. Кроме того, Air Arabia запланировала по одному ежедневному прямому рейсу из Шарджи в Екатеринбург.

Вероятнее всего, вывоз будет проблемным, считают на туристическом рынке. Два рейса в день способны перевезти в столицу РФ около 300 пассажиров. При этом накануне Генконсульство России в Дубае сообщало, что в ОАЭ из-за закрытия воздушного пространства над рядом стран на Ближнем Востоке застряло около 3 тыс. российских граждан, пассажиров Air Arabia из них — порядка 1 тыс. человек. По словам турагентов, на сегодняшние рейсы сажали в первую очередь тех, кто не смог вылететь из Эмиратов рейсами, назначенными на 13 и 14 июня. Остальным туристам требуется продление размещения в отеле, туроператоры обеспечивают его своим клиентам. Что касается самостоятельных путешественников, то им приходится разбираться со своей неплановой задержкой в ОАЭ самим.

Стоит добавить, что вывозными рейсами, согласно заявлению Air Arabia, не смогут воспользоваться те, кто планировал лететь в Россию через Шарджу или Абу-Даби — их просто не пустят на борт в стране вылета. Таким образом, этим путешественникам придется искать билеты других авиакомпаний.

Кроме того, авиакомпания продлила отмену рейсов в Иран до 30 июня. Полеты в Иорданию возобновятся 20 июня. Пассажиры, следующие транзитом через Шарджу или Абу-Даби в указанные страны, не будут допущены на посадку в пункте отправления.

Только важное. Только для профи.​

 

Читайте в Телеграме

 

Написать комментарий

Пожалуйста, нажмите на розовый квадрат

Статьи по теме