Почему важно защитить персональные данные?
Каждая туристическая фирма работает с данными клиентов: паспортными данными, контактами, платежной информацией. Неправильная обработка или утечка может привести к штрафам, утрате доверия и блокировке бизнеса.
Напомним, статья 13.11 КоАП РФ предусматривает штрафы до 15-20 млн рублей за нарушения в обработке персональных данных, включая неправомерную передачу или утечку данных. Например, за передачу данных третьим лицам, не связанным с целями договора, штраф составляет от 150 тыс. до 500 тыс. рублей.
А за несвоевременное уведомление Роскомнадзора о происшествии с данными — от 1 млн до 3 млн рублей. Мы поможем вам избежать этих рисков, обеспечив полное соблюдение закона.
Защита данных — это не только обязанность, но и гарантия безопасности вашего бизнеса.
ЧЕМ ОПАСНЫ ОШИБКИ В РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Высокие штрафы
Потеря доверия клиентов
Блокировка деятельности
Роскомнадзор может инициировать временную блокировку операций компании до устранения нарушений.
В соответствии с требованиями, установленными ст.5 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г., при обработке персональных данных Оператором должна быть основана на следующих принципах:
Принцип 1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
Пример: Оператор (Туроператор и/или турагент) не получили от туриста или иного заказчика туристского продукта, имеющего полномочия передать Оператору персональные данные туристов, письменное согласие на обработку персональных данных субъектов персональных данных – туристов (фамилию, имя, отчество, адрес регистрации, номер и иные реквизиты документа, удостоверяющего личность туристов), и приступил к бронированию туристских услуг и сообщил указанные сведения исполнителям услуг.
За совершение вышеуказанных действий Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.2 ст.13.11 КоАП РФ – административный штраф на должностных лиц (и ИП)- от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятидесяти тысяч до семидесяти пяти тысяч рублей.
Принцип 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Пример: Турист предоставил контактный номер телефона и/или электронной почты для экстренной связи или для получения документов, необходимых для получения туристских услуг, а туроператор или турагент используют данные контакты для рассылки рекламных предложений.
За совершение вышеуказанных действий Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.1 ст.13.11 КоАП РФ – административный штраф на должностных лиц (и ИП)- от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.
Принцип 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Пример: База данных «Зарплата и управление персоналом» предназначенная для автоматизации кадрового учета и расчета заработной платы Оператора, не подлежит совмещению с базами данных, в которые Оператор (турагент или туроператор) заносит сведения о туристах.
Принцип 4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Пример: При формировании базы данных туристов, приобретающих туристский продукт, Оператора персональных данных (турагента или туроператора) не должны интересовать сведения об ИНН и СНИЛС туристов.
При формировании базы данных «Зарплата и управление персоналом» предназначенной для автоматизации кадрового учета и расчета заработной платы Оператора, Оператора персональных данных) не должны интересовать сведения о наличии у Работника прав на управление транспортным средством (если это не связанно с выполнением трудовых функций, предусмотренных Трудовым договором).
Принцип 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Пример: Оператор персональных данных (турагент или туроператор) запросил у туристов сканы паспортов, свидетельства ИНН. Сканы указанных документов не требуются для выполнения обязательств в рамках исполнения обязательств по предоставлению туристских услуг, входящих в состав туристского продукта.
За совершение вышеуказанных действий Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.1 ст.13.11 КоАП РФ – административный штраф на должностных лиц (и ИП)- от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.
Принцип 6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Принцип 7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Пример: Оператор персональных данных (турагент или туроператор) не удалил персональные данные, предоставленные туристом, из «Базы данных» или не уничтожил или обезличил персональные данные по истечении срока, указанного в согласии на обработку персональных данных, или по требованию туриста – субъекта персональных данных.
За совершение вышеуказанных действий Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.5 ст.13.11 КоАП РФ – предупреждение или наложение административного штрафа на должностных лиц (и ИП) - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.
Указанное требование можно разделить на три основные группы.
Группа 1. Оператор персональных данных (турагент или туроператор) должен обрабатывать персональные данные в силу закона.
Пример: Оператор персональных данных (Работодатель) собирает данные соискателей, разместивших свои резюме, содержащее его персональные данные соискателей, в общем доступе на соответствующих ресурсах в интернете
В соответствии с ч.2 ст.18.1. Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
В случае неисполнения вышеуказанного требования, Оператор может быть привлечён к административной ответственности, предусмотренной ч.3 ст.13.11. КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.
РЕКОМЕНДАЦИЯ
Разместить на одной странице сайта Оператора ссылки на следующие документы:
документ, определяющий политику в отношении обработки персональных данных («Политика защиты и обработки персональных данных»);
документ, содержащий сведения о реализуемых требованиях к защите персональных данных («Положение о порядке хранения и защиты персональных данных пользователей»);
«Согласие на обработку персональных данных».
В соответствии с ч.1 ст.20 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), Оператор обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
В случае невыполнения вышеуказанного требования, Оператор может быть привлечён к административной ответственности, предусмотренной ч.4 ст.13.11. КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей
В соответствии с ч.1 ст.14 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), субъект персональных данных вправе требовать от Оператора:
уточнения его персональных данных,
блокирования или уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Сроки выполнения указанных требований субъекта персональных данных установлены ст.21. Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции).
В случае выявления неправомерной обработки персональных данных Оператор обязан осуществить блокирование персональных данных с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных осуществить блокирование персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных уточнить персональные данные либо обеспечить их уточнение) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором.
В случае если Оператор не выполнит в указанный срок вышеуказанные требования, Оператор (турагент или туроператор) может быть привлечён к административной ответственности, предусмотренной ч.5 ст.13.11 КоАП РФ – предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.
РЕКОМЕНДАЦИЯ
Рекомендуем указать на сайте Оператора адрес электронной почты, по которому субъект персональных данных может обратиться, чтобы его данные уточнили или удалили.
Если специального адреса нет, то лицо отправит запрос на общую почту, которую указали на сайте в соответствующем разделе. В этом случае нужно контролировать, чтобы такое письмо не потерялось в общей почте.