Защита персональных данных при оказании туристических услуг

Компании туристского бизнеса относятся к категории операторов, занимающихся обработкой персональных данных. Следует сказать, что каких-либо специальных требований к таким операторам законодательством Российской Федерации в области персональных данных, не установлено. Однако все же есть некоторые оговорки. Об этом мы поговорим в нашей статье.

Защита персональных данных при оказании туристических услуг

Компании туристского бизнеса относятся к категории операторов, занимающихся обработкой персональных данных. Следует сказать, что каких-либо специальных требований к таким операторам законодательством Российской Федерации в области персональных данных, не установлено. Однако все же есть некоторые оговорки. Об этом мы поговорим в нашей статье.

Прежде всего, дадим определение такому понятию как персональные данные. Согласно пункту 1 статьи 3 Федерального закона от 27.07.2006 г. N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Под оператором персональных данных, согласно пункту 2 статьи 3 Закона о персональных данных понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Организации, занимающиеся туристическим бизнесом, подпадают под категорию операторов, занимающихся обработкой персональных данных, которой, на основании пункта 3 статьи 3 Закона о персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
— сбор, запись, систематизацию;
— накопление, хранение;
— уточнение (обновление, изменение), извлечение;
— использование, передачу (распространение предоставление, доступ);
— обезличивание, блокирование, удаление, уничтожение персональных данных.

Обратите внимание!
Сразу же оговоримся, что каких-либо специальных положений, касающихся субъектов персональных данных и операторов в сфере туриндустрии, Закон о персональных данных не содержит. Дополнительных требований к работе с персональными данными в этой области в данном законе также нет. Есть лишь некоторые оговорки.

В силу положений Федерального закон от 24.11.1996 г. N 132-ФЗ «Об основах туристской деятельности в Российской Федерации» этот документ определяет принципы государственной политики, направленной на установление правовых основ единого туристского рынка в Российской Федерации, и регулирует отношения, возникающие при реализации права граждан Российской Федерации, иностранных граждан и лиц без гражданства на отдых, свободу передвижения и иных прав при совершении путешествий, а также определяет порядок рационального использования туристских ресурсов Российской Федерации.

Туристская деятельность — это туроператорская и турагентская деятельность, а также иная деятельность по организации путешествий.

Туристская индустрия — это совокупность гостиниц и иных средств размещения, средств транспорта, объектов санаторно-курортного лечения и отдыха, объектов общественного питания, объектов и средств развлечения, объектов познавательного, делового, лечебно-оздоровительного, физкультурно-спортивного и иного назначения, организаций, осуществляющих туроператорскую и турагентскую деятельность, операторов туристских информационных систем, а также организаций, предоставляющих услуги экскурсоводов (гидов), гидов-переводчиков и инструкторов-проводников.

Турист — лицо, посещающее страну (место) временного пребывания в лечебно-оздоровительных, рекреационных, познавательных, физкультурно-спортивных, профессионально-деловых, религиозных и иных целях без занятия деятельностью, связанной с получением дохода от источников в стране (месте) временного пребывания, на период от 24 часов до 6 месяцев подряд или осуществляющее не менее одной ночевки в стране (месте) временного пребывания.

Заказчик туристского продукта — турист или иное лицо, заказывающее туристский продукт от имени туриста, в том числе законный представитель несовершеннолетнего туриста.
Согласно Постановлению Правительства Российской Федерации от 18.07.2007 г. N 452 «Об утверждении Правил оказания услуг по реализации туристского продукта» исполнитель в соответствии с положениями Закона о персональных данных принимает необходимые меры по обеспечению безопасности информации о полученных исполнителем в процессе оказания услуг персональных данных потребителя, в том числе при их обработке и использовании.

 

Принципы обработки персональных данных закреплены в статье 5 Закона о персональных данных.
Так, согласно пункту 1 названной статьи обработка персональных данных должна осуществляться на законной и справедливой основе.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

В соответствии с пунктом 6 статьи 5 Закона о персональных данных при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Не допускается:
— обработка персональных данных, несовместимая с целями сбора персональных данных (пункт 2 статьи 5 Закона о персональных данных);
— объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (пункт 3 статьи 5 Закона о персональных данных).

В силу пункта 7 статьи 5 Закона о персональных данных хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

Согласие субъекта персональных данных

 

Обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных. В случае получения согласия от представителя субъекта персональных данных оператор проверяет его полномочия на дачу согласия от имени этого субъекта.

Обработка персональных данных допускается в случаях, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Таким образом, независимо от того что оператор использует данные в целях исполнения заключенного договора, он обязан получить согласие субъекта на передачу сведений третьим лицам.

Согласно пункту 4 статьи 9 Закона о персональных данных в случаях, предусмотренных названным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
— его фамилию, имя, отчество, адрес, данные документа, удостоверяющего личность (номер, сведения о дате выдачи и выдавшем его органе);
— фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
— наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных и адрес оператора;
— цель обработки персональных данных с указанием их полного перечня;
— перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
— срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
— подпись субъекта персональных данных.

Согласие на передачу личных данных третьим лицам включается в текст договора на оказание соответствующих услуг.

В силу статьи 17 Закона о персональных данных, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований данного закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Обратите внимание!
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.

 

Обязанности, возникающие при обработке персональных данных

 

Согласно пункту 1 статьи 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных пунктом 2 статьи 22 Закона о персональных данных.

Согласно пункту 2 статьи 22 Закона о персональных данных оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
• обрабатываемых в соответствии с трудовым законодательством.
Отметим, что данная норма не применяется к лицам, работающим по договорам подряда или возмездного оказания услуг;
• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Таким договором может быть договор на оказание услуг, договор гражданско-правового характера на выполнение работ (оказание услуг). В таком случае должны выполняться несколько дополнительных условий, а именно:
— личная информация не должна распространяться и предоставляться третьим лицам без согласия субъекта персональных данных;
— персональные данные должны использоваться организацией исключительно для исполнения договора и заключения договоров с субъектом персональных данных;
• сделанных субъектом персональных данных общедоступными.
К таким сведениям относятся сведения, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта персональных данных. Как правило, такие сведения содержатся в общедоступных источниках (например, в справочниках, в адресных книгах и так далее). Такие данные оператор может использовать без предварительных уведомлений, так как на них не распространяется требование конфиденциальности, запрещающее распространение информации без согласия субъекта персональных данных, или другое законное основание.
• включающих в себя только фамилии, имена и отчества субъектов персональных данных;
• необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Отметим, что в случае если оператор обрабатывает сведения по основаниям, которые не перечислены выше, то ему следует уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) об обработке данных своих абонентов. Процедура уведомления является бесплатной, на оператора не могут возлагаться расходы в связи с рассмотрением уведомления о соответствующей обработке уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

 

Трансграничная передача персональных данных

 

Согласно статье 3 Закона о персональных данных трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Есть ряд условий, соблюдение которых является обязательным для целей передачи персональных данных через границу Российской Федерации и при их обработке.
Статья 12 Закона о персональных данных закрепляет, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Законом о персональных данных и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
— наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
— предусмотренных международными договорами Российской Федерации;
— предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
— исполнения договора, стороной которого является субъект персональных данных;
— защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Таким образом, одним из критериев оценки государства в указанном в данной статье Закона о персональных данных аспекте может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония. Смотрите подробнее Письмо Минкомсвязи Российской Федерации от 13.05.2009 г. N ДС-П11-2502 «Об осуществлении трансграничной передачи персональных данных».

 

Особенности ручной обработки персональных данных

 

Согласно пункту 3 статьи 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами Российской Федерации.

В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15.09.2008 г. N 687 (далее — Положение N 687). Согласно пункту 1 данного Положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без применения средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Соответственно, если персональные данные клиентов обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (пункт 2 Положения N 687).

Таким образом, к обработке персональных данных абонентов должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.
Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

Согласно пункту 6 Положения N 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных, содержит пункт 7 Положения N 687.

В соответствии с подпунктом «а» названного пункта типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
— сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации;
— фамилию, имя, отчество и адрес оператора;
— фамилию, имя, отчество и адрес субъекта персональных данных;
— источник получения данных;
— сроки их обработки;
— перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
— общее описание используемых оператором способов обработки персональных данных.

Кроме того, типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения такого согласия (подпункт «б» пункта 7 Положения N 687).
При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (подпункт «в» пункта 7 Положения N 687). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (статья 19 Закона о персональных данных).

 

Ответственность за нарушение требований по защите персональных данных

 

Лица, виновные в нарушении требований Закона о персональных данных, несут предусмотренную законодательством Российской Федерации ответственность (например, гражданскую, уголовную, административную, дисциплинарную). На это указывает пункт 1 статьи 24 Закона о персональных данных.

На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:
— за неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (статья 5.39 Кодекса Российской Федерации об административных правонарушениях (далее — КоАП РФ));
— за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (статья 13.11 КоАП РФ);
— за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (статья 13.14 КоАП РФ).

Преступлениями, влекущими за собой уголовную ответственность, являются:
— незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (статья 137 Уголовного кодекса Российской Федерации (далее — УК РФ));
— неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (статья 140 УК РФ);
— неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации (статья 272 УК РФ).

И в заключение статьи, отметим, что субъект персональных данных имеет право на возмещение морального вреда вследствие нарушения его прав, правил обработки персональных данных, а также требований к их защите, установленных Законом о персональных данных. Данное положение закреплено в пункте 2 статьи 24 Закона о персональных данных. При этом возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Декларационная кампания - 2019



Заполним декларацию 3-НДФЛ


Уважаемые клиенты, рады представить Вашему вниманию услугу по заполнению декларации о доходах 3-НДФЛ, а так же имущественный, социальный и другие вычеты.

Подробнее...