Состоялся круглый стол “Актуальные вопросы защиты персональных данных в гостиничной сфере”

Вопросы защиты персональных данных в гостиничной сфере в последнее время приобретают особую актуальность в связи с введением регламента ЕС о персональных данных (GDPR) и увеличивающимся потоком в Россию иностранных туристов.

Чтобы разобраться как российским отельерам соответствовать европейскому регламенту, а также российскому закону 152-ФЗ, 23 июля в Санкт-Петербурге компания Bnovo организовала круглый  стол  “Актуальные вопросы защиты персональных данных в гостиничной сфере.”

По вопросам GDPR перед участниками Круглого стола выступила Юрист Skolkovo Legal по направлению правовой защиты информации Ульяна Зверева.

Если говорить о том, на кого распространяется действие GDPR, то Ульяна Зверева отметила, что требования ЕС применяется к компаниям, которые обрабатывают персональные данные (ПД) лиц, находящихся в Европейском Союзе (ЕС).

То есть под действие GDPR, помимо европейских компаний, попадают также европейские представительства и филиалы российских компаний, и российские компании, работающие с европейцами и россиянами, пребывающими в Европе, в том числе, во время отпуска или командировки.

Если сеть отелей имеет свои подразделения в Европе, то GDPR имеет прямое действие в их отношении. Также, если российский отель бронирует номер по заказу европейца, а после его выезда обратно в Европу направляет ему рекламную рассылку, то такой отель также должен соблюдать регламент.

В зоне риска – интернет-бизнес, ориентированный на европейский рынок (например, если сайт переведен на европейский язык, есть возможность расчета в европейской валюте и т.д.).

Таким образом отель должен проанализировать, применяется к нему GDPR или нет. Если применяется, то принять решение – исключить ориентированность бизнеса на европейцев, тем самым исключив применение GDPR, или же привести бизнес в соответствие с новыми правилами.

Также Ульяна подчеркнула, что нельзя забывать, что в концепции законодательства ЕС о ПД отельер, как определяющее цели и средства обработки ПД, будет считаться контролером данных, а любые привлеченные им для обработки данных лица (сервисы бронирования, PMS системы) – только обработчиками.

Таким образом, именно отельер, как контролер, является «первым» ответственным лицом по GDPR, и значит, прежде всего, он должен позаботиться о соблюдении GDPR, в том числе, обработчиком.

Согласно GDPR, отношения между контролером и обработчиком должны быть оформлены специальным договором обработки (т.н. Data Processing Agreement), в котором должен содержаться ряд обязательных реквизитов.

Именно поэтому необходимо работать с проверенными партнерами. К примеру, заключая договор на обработку персональных данных с компанией Bnovo, отельеры могут быть спокойны в соблюдении требований GDPR, поскольку программа Bnovo им полностью соответствует.

Конечно же участников Круглого стола волновал вопрос: "Что будет считаться нарушением регламента и за что (и какие штрафы)  могут угрожать российским отельерам".

За нарушение фактически любых положений GDPR (в части обязанностей оператора ПД, соблюдения прав субъекта ПД, получения необходимых согласований надзорных органов, правил трансграничной передачи ПД и т.д.) на компанию может быть возложен штраф до 20 млн. евро или 4% общего годового оборота.

Альтернативно, надзорный орган может вынести предписание, приостановить или запретить (временно или постоянно) обработку ПД оператором. Также, местное законодательство государства ЕС может предусматривать иные специальные меры уголовной и административной ответственности. Субъект ПД может возместить через суд, причиненный ему оператором ПД моральный или материальный ущерб.

Однако! Иностранным надзорным органом на российского отельера теоретически может быть возложен штраф, но исполнить такое решение в России можно будет только при наличии соответствующих межгосударственных договоренностей, в рамках специальной процедуры. Скорее всего, европейские надзорные органы, прежде всего, займутся контролем деятельности операторов ПД, непосредственно учрежденных в ЕС, поскольку в отношении таких лиц они имеют больше административных возможностей реализовать санкции. Вместе с тем, для российского отеля, к которому применяется GDPR и который действует с нарушением GDPR, более реальной кажется такая санкция, как приостановление/запрет обработки ПД, поскольку она может повлечь за собой блокировку веб-сайта отеля.

На Круглом столе также коснулись вопросов соблюдения отельерами российского законодательства. В частности, 152-ФЗ.

Юрист компании Bnovo Татьяна Сереброва обратила внимание представителей гостиничного бизнеса, что и субъекты, чьи персональные данные обрабатываются на территории Российской Федерации, также наделены рядом прав.

Например, субъект персональных данных вправе требовать предоставления следующей информации:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
7) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

За несоблюдение правил обработки персональных данных законом предусмотрена ответственность. В суд может обратиться любой субъект, который считает свои права нарушенными и потребовать материальную компенсацию морального вреда. Государство (в лице Роскомнадзора и органов прокуратуры) может потребовать наложить штрафы за правонарушения, предусмотренные Кодексом об административных правонарушениях.

Например, за обработку персональных данных без согласия субъекта на юридическое лицо может быть наложен штраф до 75 000 рублей. Причем, исходя из текста статьи кодекса, штраф может быть наложен за обработку персональных данных каждого субъекта, от которого не получено согласие.

В случае, если отель не предоставит гражданину запрошенную им информацию о его персональных данных, на юридических лиц может быть наложен штраф до 40 тысяч рублей.

Если бумаги, содержащие персональные данные будут храниться в открытом доступе, и это мог кто-то увидеть и зафиксировать, то юридическое лицо может быть оштрафовано на 50 тысяч рублей, а индивидуальный предприниматель на 20 тысяч рублей.

Поэтому для соблюдения закона юристы рекомендуют использовать несколько обязательных моментов, которые должны применяться в работе отеля, как оператора по обработке персональных данных.

1. В организации должен быть издан приказ о назначении лица, ответственного за организацию обработки персональных данных. Это не обязательно должен быть выделенный специалист. Принять на себя эту обязанность может и руководитель.

2. Отель должен разработать и обязательно опубликовать на своем сайте Политику организации (как оператора персональных данных) в отношении обработки персональных данных.

3. Необходимо определить круг лиц, которые могут иметь доступ к персональным данным как гостей, так и сотрудников отеля. К подбору кадров, которые занимаются обработкой персональных данных, нужно подойти внимательно: работник должен быть ответственным, аккуратным, понимающим возложенное на него поручение. Работник, который получает доступ к персональным данным, должен быть четко проинструктирован и под роспись ознакомлен с российским законодательством о защите персональных данных.

4. Персональные данные, которые находятся на материальных носителях (в первую очередь это анкеты и копии паспортов гостей и сотрудников) ни в коем случае не должны быть в открытом доступе. Они не должны быть разложены на стойках или столах. Все документы должны находиться в помещении, недоступном для открытого посещения. Если нет отдельного помещения, это может быть закрывающийся шкаф (лучше металлический) или сейф, ключ от которого не должен постоянно висеть в замке!

5. Закон о персональных данных, разрешая привлекать к обработке третьих лиц, обязывает заключать с ними определенную форму договора – договор поручения. Это может быть как отдельный документ, так и раздел в договоре между отелем и сторонней организацией. Но обязательно нужно, чтобы в договоре была фраза о том, что данный договор — это поручение отеля (как оператора персональных данных) другому лицу, предусмотренное частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Кроме этого договор между отелем и сторонней организацией должен содержать следующие условия: какие конкретно действия  поручаются осуществлять с персональными данными, цели обработки, должна быть установлена обязанность такого третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность при их обработке, а также требование о том, что такое третье лицо должно предпринимать средства к защите обрабатываемых персональных данных.

Обращаем Ваше внимание на то, что в первую очередь за обработку персональных данных отвечает оператор, то есть отель. Следовательно, необходимо очень тщательно и внимательно подойти к подбору контрагентов, к вопросу о форме и содержании договора, который с ними заключается. Работать на доверии в ситуации с обработкой персональных данных ни в коем случае нельзя!

Как видите между требованиями GDPR и 152-ФЗ много общего.

Все собравшиеся на Круглом столе сошлись на том, что критерием успешности отельного бизнеса считается создание максимально комфортных условий для гостя. Выполнение закона о персональных данных является частью этих комфортных условий. Поэтому организация необходимых мер для выполнения требований о сохранности персональных данных в рамках Ваших предприятий – всего лишь одна из составляющих Вашего бизнеса. А не карающий меч государственного аппарата.