Начнем с определения ключевых терминов и понятий. Все они изложены в Федеральном законе "О персональных данных" от 27.07.2006 N 152-ФЗ. Постараемся кратко разобрать каждый из них.

Что такое персональные данные?

Это любая информация, которая позволяет идентифицировать конкретного человека. Проще говоря, это все, что может рассказать о нем: фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, изображения, номер телефона, адрес электронной почты, иные сведения, относящиеся к субъекту персональных данных.

Что такое конфиденциальная персональная информация?

Это данные, которые собираются автоматически, когда человек заходит на ваш сайт. Сюда входят IP-адрес, файлы cookie, информация об используемом устройстве и браузере, а также история посещений.

Кто такой оператор персональных данных?

Это юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Иначе говоря: если ваша деятельность связана с обработкой личной информации людей — например, вы турагент, и у вас есть хотя бы один клиент, — вы уже являетесь оператором персональных данных.

Что такое обработка персональных данных?

Это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Теперь, когда мы разобрались с теорией, переходим к практике. Что нужно сделать в первую очередь?

1. Назначьте ответственного за защиту персональных данных.

Издайте приказ о назначении сотрудника, который будет следить за соблюдением законодательства в этой области. Этот человек будет проводить инструктажи, разрабатывать внутренние документы и контролировать, как обрабатываются персональные данные в вашей компании.

2. Уведомьте Роскомнадзор об обработке персональных данных.

Заполните специальную форму на сайте Роскомнадзора по ссылке: https://pd.rkn.gov.ru/operators-registry/notification/form/ и отправьте уведомление. Следует учитывать, что обработка персональных данных не ограничивается только сведениями о клиентах — к ним также относятся данные работников компании. Таким образом, требования законодательства распространяются даже на организации, не ведущие активную работу с клиентами.

3. Разработайте и утвердите пакет документов, определяющих политику оператора в отношении обработки персональных данных, и локальных актов по вопросам обработки персональных данных (п.2 ч. 1 ст. 18.1 Закона о персональных данных).

Это документы, на основании которых сотрудники компании, допущенные к обработке персональных данных, осуществляют непосредственную обработку данных. В рамках таких документов утверждаются порядок, сроки и форма проведения мероприятий внутреннего контроля по соблюдению требований закона и требований внутренних локальных актов, а также правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных.

4. Ознакомьте работников, осуществляющих обработку персональных данных, с положениями законодательства и локальными документами, определяющими политику оператора в отношении обработки персональных данных.

Как правило, ознакомление осуществляется путем заполнения соответствующих журналов и проставления работниками подписи об ознакомлении (разумеется, после проведения необходимых инструктажей).

5. Сохраняйте конфиденциальность.

Возьмите с каждого сотрудника, работающего с персональными данными, письменное обязательство о неразглашении. Касается тех работников, которые допущены к обработке персональных данных, как на материальных носителях информации, так и через информационные системы компании.

6. Приведите сайт в порядок.

Сделайте так, чтобы ваш сайт соответствовал требованиям закона о персональных данных. Разместите политику конфиденциальности, уведомления о cookie-файлах, формы согласия на обработку данных – все должно быть прозрачно и понятно для пользователей.

7. Защитите данные.

Примите необходимые меры для защиты персональных данных, как организационные, так и технические. Оцените возможные риски, разработайте меры по предотвращению нарушений, используйте средства защиты информации, проводите тесты на уязвимости – сделайте все, чтобы данные были в безопасности.

Отметим, что с 30 мая 2025 года операторам персональных данных грозят крупные штрафы по КоАП РФ за действия (бездействие), из-за которых произошла незаконная передача этих сведений. 

В случае незаконной передачи информации о людях в количестве от 1 тыс. до 10 тыс. человек будет грозить штраф:

• должностным лицам государственного или муниципального органа либо некоммерческой организации – от 200 тыс. до 400 тыс. руб.;
• ИП и компаниям – от 3 млн до 5 млн руб.

Неправомерное распространение персональных данных спецкатегорий обернется штрафом:

• для упомянутых должностных лиц – от 1 млн до 1,3 млн руб.;
• для ИП и компаний – от 10 млн до 15 млн руб.

За несообщение Роскомнадзору об утечке, которой нарушены права субъектов персональных данных, назначат такие штрафы:

• должностным лицам государственного или муниципального органа либо некоммерческой организации – от 400 тыс. до 800 тыс. руб.;
• ИП и компаниям – от 1 млн до 3 млн руб.

За неуведомление о намерении обрабатывать личную информацию грозит штраф:

• упомянутым должностным лицам – от 30 тыс. до 50 тыс. руб.;
• ИП и компаниям – от 100 тыс. до 300 тыс. руб.

Мы предлагаем клиентам заранее привести в порядок всю работу по персональным данным в турфирме. Наши услуги:

– Консультация юриста с анализом вашей ситуации
– Готовый комплект документов
– Аудит и рекомендации по сайту

Если хотите разобраться, что именно нужно вашей компании, запишитесь на консультацию.

Ранее мы подробно рассказывали, какие требования предъявляются к защите персональных данных в туристических компаниях

СПИСОК ВСЕХ УСЛУГ КОМПАНИИ ДОСТУПЕН ПО ССЫЛКЕ: https://ukab.ru/uslugi

Задать любой вопрос или оформить заказ можно по электронной почте info@ukab.ru

Оставьте заявку на услугу и мы обязательно свяжемся с Вами!