Как подготовиться к повышению штрафов за ошибки с персональными данными

Пошаговая инструкция для туристических компаний: часть вторая

Как подготовиться к повышению штрафов за ошибки с персональными данными

Как и обещали, мы продолжаем тему, которую начали в материале «Как турфирме избежать миллионных штрафов за ошибки с персональными данными». Специалисты компании «Юристы для турбизнеса «Байбородин и партнеры» рассказали, какие шаги нужно предпринять, чтобы снизить риск возникновения претензий к вам со стороны Роскомнадзора (РКН).

Прежде всего, важно определиться с терминологией и некоторыми понятиями.

Персональные данные (ПД) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных, далее по тексту — субъект ПД).

К персональным данным относятся: фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, изображения, номер телефона, адрес электронной почты, иные сведения, относящиеся к субъекту ПД.


Конфиденциальная персональная информация — информация, которая может обрабатываться при посещении сайта, автоматически передается сервисам сайта в процессе их использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения с использованием файлов cookie (метрических программ, таких как «Яндекс Метрика»).

К конфиденциальной персональной информации относятся: IP-адрес, данные файлов cookie, параметры и настройки, файлы журналов, технические характеристики оборудования и программного обеспечения, используемых пользователем; дата и время доступа к сервисам сайта, адреса запрашиваемых страниц; истории заказов, информация о подписках и сообщениях в службу поддержки, иная информация.


Оператор персональных данных — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку ПД, а также определяющее цели обработки персональных данных, состав ПД, подлежащих обработке, действия, совершаемые с персональными данными.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации (или без них) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

Какие шаги необходимо предпринять компании, чтобы не получить штраф

  1. Назначить приказом сотрудника, ответственного за организацию обработки персональных данных в компании (п. 1 ч. 1 ст. 18.1 Закона о персональных данных) — именно он будет ответственным за соблюдение в организации требований действующего законодательства в области защиты ПД. В его обязанности будет входить инструктаж работников, участие в создании локальных актов и организация проведения внутренних проверок в рамках контроля за соблюдением законодательства о персональных данных.
     
  2. Подать на сайте Роскомнадзора уведомление об обработке персональных данных (ст. 22 Закона о персональных данных) — с 30 мая 2025 года штраф за отсутствие уведомления РКН о начале обработки персональных данных кратно возрастает. Отметим, что даже если компания еще не начала взаимодействовать с клиентами, это не значит, что она не обрабатывает персональные данные, поскольку данные сотрудников тоже относятся к ПД.
     
  3. Разработать и утвердить пакет документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки ПД (п. 2 ч. 1 ст. 18.1 Закона о персональных данных) — это документы, на основании которых сотрудники компании, допущенные к обработке ПД, осуществляют непосредственную обработку данных. В таких документах утверждаются порядок, сроки и форма проведения мероприятий внутреннего контроля по соблюдению как требований закона, так и требований внутренних локальных актов, а также правила доступа к персональным данным, обрабатываемым в информационной системе ПД, обеспечение регистрации и учета всех действий, совершаемых с персональными данным и т.д.

    Иными словами, это документы, которые устанавливают все правила и инструкции в компании в отношении обработки ПД.
     
  4. Ознакомить работников, осуществляющих обработку персональных данных, с положениями законодательства о ПД и локальными документами, определяющими политику оператора в отношении обработки персональных данных — ознакомление осуществляется, как правило, путем заполнения соответствующих журналов ознакомления ответственным за обработку ПД и проставления работниками подписи об ознакомлении (разумеется, после проведения необходимых инструктажей).
     
  5. Взять с работников письменные обязательства о неразглашении персональных данных — касается тех сотрудников, которые допущены к обработке ПД, как на материальных носителях информации, так и через информационные системы компании.
     
  6. Привести сайт в соответствие с установленными требованиями закона в отношении обработки ПД — Разместить необходимые документы в соответствующих разделах сайта (такие как политика в отношении обработки персональных данных, уведомления об обработке файлов cookie, согласие на обработку персональных данных и т.д.).
     
  7. Применить организационные и технические меры по защите персональных данных при их обработке, в том числе в информационных системах компании — к таким мерам можно отнести проведение оценки вреда, который может быть причинен субъектам ПД в случае нарушения требований к обработке, а также утверждение мер по предотвращению и обнаружению нарушений в области защиты персональных данных, непосредственное проведение мер внутреннего контроля за соблюдением законодательства о ПД, применение средств защиты информации (в том числе средств защиты информации, позволяющих уничтожать персональные данные), проведение испытаний информационных систем на предмет наличия уязвимости, учет машинных средств носителей информации и доступа к ним и иные меры, в соответствии с действующим законодательством и требованиями, устанавливаемыми РКН и ФСТЭК.

Как можно заметить, процесс должной организации обработки персональных данных — не самый простой и способен вызвать достаточно много сложностей у бизнеса, особенно у компаний, не имеющих в штате специалистов по защите информации и юристов. Тем не менее, с учетом новых штрафов, действие которых начинается с 30-го мая следующего года, соблюдение всех необходимых действие можно назвать залогом выживания компании.

Отметим, что уже сейчас в нашей стране действуют крайне ощутимые штрафы за нарушения в области защиты персональных данных, в связи с чем мы настоятельно не рекомендуем откладывать в долгий ящик процесс приведения документации и технических средств компании к надлежащему уровню защищенности.

В следующем году мы продолжим раскрывать нюансы темы обработки и хранения персональных данных, следите за публикациями.

Только важное. Только для профи.​

 

Читайте в Телеграме

 

Написать комментарий

Пожалуйста, нажмите на синий квадрат

На каких условиях аннулируют туры в Израиль и Иран

МИД рекомендовал россиянам воздержаться от поездок в эти страны, но есть нюанс

На каких условиях аннулируют туры в Израиль и Иран

После обострения военного конфликта Ирана и Израиля в ночь на 13 июня обе страны закрыли свое воздушное пространство, аэропорты на прием и вылет гражданских судов не работают. По предварительным данным, ситуация не изменится как минимум в течение двух недель. Находящимся в Израиле и Иране туристам туроператоры планируют продлевать размещение в отелях, а как будет решаться вопрос с теми, кто захотел отказаться от поездки уже после того, как авиакомпании возобновят рейсы?

Что с туристами, которые находятся в Израиле и Иране?

На данный момент в обеих странах вряд ли много туристов из России, считают туроператоры, опрошенные Profi.Travel. Скорее всего, речь идет о нескольких сотнях (если считать и организованных, и самостоятельных). На этой неделе состоялся первый рейс Red Wings на израильский курорт Эйлат, она привезла туда около сотни пассажиров. Перевозчик уже приостановил полеты в Израиль, пока — до 16 июня. Еще 3-4 сотни туристов могут находиться в экскурсионных поездках по стране.

Что касается Ирана, то там, по оценкам туроператоров, всего около сотни туристов из России — сейчас там не сезон, слишком жарко для экскурсий.

Как сообщили нашему изданию компании, чьи туристы находятся сейчас в Израиле и Иране, в отсутствии рейсов их размещение будет продлеваться за счет туроператоров. Вопрос с отелем будет решаться индивидуально — компании или смогут продлить туристам номера в их отеле, или переселят в другой.

МИД рекомендует не посещать Иран и Израиль

13 июня МИД выпустило рекомендацию воздерживаться от поездок в Израиль и Иран — до стабилизации ситуации. Тем, кто уже находится в этих странах, министерство советует при возможности срочно покинуть небезопасные районы. А россиянам, которые оказались непосредственно в зоне конфликта, — проявлять максимальную осторожность, соблюдать меры личной безопасности: не приближаться к военным объектам, избегать мест массового скопления людей (торговые центры, транспорт и др.).

А 15 июня, спустя два дня после обострения венного конфликта между Ираном и Израилем, свое заявление опубликовало и Минэкономразвития. В нем туроператорам и турагентам рекомендуется приостановить продажи туров в обе страны. А также говорится об угрозе безопасности российских туристов, что напрямую влияет на условия аннуляций туров. При этом регулятор уточняет: туристы вправе в судебном порядке требовать расторжения договора, а туроператоры — обязаны вернуть 100% средств за аннулированные туры в том случае, если поездка еще не началась. Удерживать ФПР компании могут только если турист уже находится в путешествии.

Как пояснили Profi.Travel в компаниях, в любом случае у туристов будет возможность перенести даты поездки или же перебронироваться на любое другое доступное направление.

Только важное. Только для профи.​

 

Читайте в Телеграме

 

Написать комментарий

Пожалуйста, нажмите на синий квадрат

Туроператоры эвакуируют российских туристов из Ирана

Россияне вылетят домой через соседние страны

Туроператоры эвакуируют российских туристов из Ирана

В понедельник, 16 июня, российские туроператоры эвакуируют своих туристов из Ирана в связи с тем, что рейсы из этой страны сейчас не выполняются. Россиян вывозят на трансферах в соседние страны — Турцию и Армению. Оттуда они смогут вылететь в Россию. Об этом Profi.Travel сообщили в туроператорских компаниях.

Туристы ITM group должны были вылететь из Тегерана завтра. Чтобы вернуть их домой вовремя, туроператор организовал трансфер до Турции. «Группа выехала из Исфахана сегодня утром на vip-автобусе. Только что они проехали Кум по пути в Тебриз. Туристы проведут ночь в отеле в Тебризе и завтра утром направятся к турецкой границе. Наши иранские партнеры выберут пункт выезда по мере приближения. Ждем вечером подробности и обновление информации», — рассказала Юлия Соколова, руководитель департамента продаж и разработки продукта ITM group.

Туроператор «Интурист» организовал для своих туристов трансфер до Армении. «У них как раз сегодня закончился тур, вылетать из Ирана должны были сегодня «Аэрофлотом». Мы рассматривали разные варианты их эвакуации, в том числе через Азербайджан, но предпочли Армению», — уточнила руководитель пресс-службы компании Дарья Домостроева.

Добавим, что российские туристы застряли не только в Израиле и Иране, но и, например, в Иордании. Такие клиенты есть и у «Интуриста». Как пояснили в туроператоре, пока они продолжают свой отдых. «Мы ждем информации о возобновлении полетов Royal Jordanian Airlines. По предварительным данным, перевозчик планирует сделать это в ближайшее время», — рассказала Дарья Домостроева.

Только важное. Только для профи.​

 

Читайте в Телеграме

 

Написать комментарий

Пожалуйста, нажмите на синий квадрат

Статьи по теме