27 июля 2006 года был принят Федеральный закон №152-ФЗ "О персональных данных", вступивший в силу 26 января 2007 года. Однако 27 декабря 2009 года в него были внесены изменения, которыми операторам персональных данных был дан ровно год (до 1 января 2011 года) на то, чтобы привести свои системы обработки персональных данных, запущенные до 1 января 2010 года, в соответствие с законом. Под действие этого закона попадает огромное количество предприятий, которые в процессе своей деятельности обрабатывают данные о своих клиентах. Естественно, и туристические компании тоже, поскольку без паспортных данных клиентов забронировать гостиницу или оказать другие туруслуги, в том числе и за рубежом, невозможно.
О том, как привести в порядок работу с персональными данными в туристических компаниях корреспондент РИА Новости Алексей Хованов побеседовал с Германом Азерским, заместителем руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по Санкт-Петербургу и Ленинградской области.
- В сфере туризма и гостеприимства работает огромное количество всевозможных компаний: от туристических агентств численностью 3-4 человека до крупных туроператоров и сетевых гостиниц. Кого же коснутся "новые" поправки?
- Под действие закона попадают все юридические лица, независимо от их численности, вида собственности и организационно-правовой формы, которые работают с персональными данными людей. Имеется в виду: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование и уничтожение персональных данных. В эту категорию попадают и физические лица, деятельность которых связана с вышеупомянутыми операциями.
- Исполнение законодательства о персональных данных требует знаний большого числа нормативно-правовых актов, требований и т.д. Как строится работа контролирующих органов с отдельной, конкретной компанией?
- В статье 22 закона прописано, что "оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных". Таким уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в Минкомсвязи России. Это означает, что туристическая компания или физическое лицо, занимающееся организацией и предоставлением туристических услуг, направляет в письменной или электронной форме (при наличии электронной цифровой подписи) уведомление, в котором указываются данные об операторе, с какой целью получаются и как обрабатываются персональные данные клиентов, как обеспечивается безопасность персональных данных при их обработке и т.д.
В свою очередь уполномоченный орган в течение 30 дней обязан внести оператора в реестр, тем самым фиксируя исполнение требования закона со стороны оператора. Роскомнадзор имеет право осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
Если руководителю предприятия сложно или нет желания вникать в детали исполнения закона, можно воспользоваться услугами юристов соответствующего профиля.
Роскомнадзор - структура системы надзорных федеральных органов, контролирующих выполнение федерального законодательства. Разработка методических рекомендаций в какой-либо сфере в задачи Роскомнадзора не входит. Тем не менее на сайте службы размещены основные нормативные документы, применяемые в области регулирования вопросов обработки персональных данных и регламентирующие работу надзорных органов, в том числе регламент проведения проверок, которыми сотрудники управления руководствуются при осуществлении контрольных мероприятий.
- Что входит в понятие "персональные данные" и в какой степени туркомпания несет ответственность за передачу данных о клиентах при бронировании для них услуг за рубежом?
- Персональными данными согласно действующему закону признается информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и/или другая информация, на основании которой можно идентифицировать конкретного человека.
Туристические компании, передавая персональные данные своим партнерам, находящимся в других странах, должны, безусловно, руководствоваться законом. В соответствии со статьей 12 закона "Трансграничная передача персональных данных" оператор до начала передачи персональных данных своему иностранному партнеру обязан убедиться, что партнер предпринимает все необходимые меры по защите прав своих клиентов. В определенных случаях с целью защиты прав и законных интересов наших граждан и обеспечения безопасности государства трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена. Правда, из этих правил есть исключения. Так, если туристическая фирма не уверена в том, что её зарубежный партнер обеспечит адекватную защиту данных (есть страны, традиционно посещаемые российскими туристами, где законом вообще не предусмотрена защита персональных данных), выходом из этой ситуации может быть письменное согласие клиента на передачу информации о нем.
- Будут ли предъявляться дополнительные требования к компьютерному оборудованию?
- До 1 января 2011 года специальных требований к оргтехнике не предъявляется.
- В связи с необходимостью заполнения заявок и формуляров существует ли требование письменного согласия клиента на введение о нем данных в компьютер?
- Закон так трактует этот вопрос: "Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи". То есть однозначно не определяет необходимость получения какого-либо согласия от клиента, но ставит цель перед юридическими лицами исключить утечку информации о физических лицах, которые являются их клиентами.
- Как будет осуществляться контроль за исполнением закона?
- Контроль за исполнением закона осуществляется в виде плановых и внеплановых проверок надзорных органов - Роскомнадзора, ФСТЭК, ФСБ, а также реагированием на жалобы и обращения граждан и организаций. Целью настоящего федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Хотел бы заметить, что закон "О персональных данных" - первый принятый в России закон, непосредственно направленный на защиту прав и свобод каждого гражданина.
