Турфирмам рассказали об основных ошибках при обработке персональных данных

Юрист рассказала о ключевых ошибках, которые совершают турфирмы, когда предполагают, что закон о персональных данных их не касается. Или полагают, что проставленной галочки в чек-боксе о согласии на обработку — достаточно. А также дала рекомендации: как избежать нарушений и штрафов, размер которых может увеличиться уже весной 2025 года. «Главное, что нужно понимать: все туристические компании, вне зависимости от их статуса и организационно-правовой формы, будь то юрлицо, индивидуальный предприниматель и даже самозанятые, которые могут быть экскурсоводами, гидами и так далее — все являются операторами персональных данных. То, что закон касается только компаний, являющихся туроператорами, — глубокое заблуждение», — сказала руководитель правового направления комитета РСТ по турагентской деятельности, партнер юридического агентства «Персона Грата» Екатерина Голубева в эфире телеграм-канала «Юридические новости — Туризм». Она пояснила, что персональные данные — это любая информация, которая относится к клиенту. И даже если договор не заключен, продажа не состоялась, адрес электронной почты или контакт в мессенджере, где шла переписка, считается персональными данными, которые турфирма сохранила и обработала. Даже если вы никуда дальше не передаете персональные данные, они хранятся только на вашем компьютере, это ничего не меняет: для надзорных органов вы — оператор персональных данных. «А это значит, что необходимо уведомить Роскомнадзор об обработке персональных данных», — напомнила юрист. По словам Екатерины Голубевой, еще одна распространенная ошибка — полагать, что если клиент не запретил обрабатывать ПД, и если они необходимы для оказания услуг по договору, то никакого согласия от него не требуется. Это не так. «На сегодняшний момент любая обработка персональных данных возможна только с прямого согласия субъекта», — подчеркнула юрист. Она пояснила, что это согласие может быть включено в текст договора или же оформлено в виде приложения. Но даже до его заключения, если сбор информации ведется на сайте, в чек-боксе должно быть прописано согласие туриста на обработку персональных данных. Причем заранее поставленная напротив него галочка — тоже нарушение. Еще одна распространенная ошибка: пользователю предлагается поставить галочку о согласии на обработку ПД, но самого текста, поясняющего, на что он дает свое разрешение, нет. «Сейчас этого недостаточно, — заметила Екатерина Голубева. — Должен подтягиваться хотя бы минимальный текст, поясняющий, каким способом и в каких целях будут обрабатываться данные. За несоответствие этим требованиям можно получить штраф». При этом юрист отметила, что лучше согласие на обработку персональных данных оформлять отдельным документом с указанием конкретной цели обработки в каждом конкретном случае. Сейчас штрафы достигают 10 тыс. рублей для физических лиц и 700 тыс. рублей — для юридических, например, за обработку персональных данных без получения согласия или до 6 млн рублей при нарушении требования сбора данных в системах, которые находятся на территории РФ. Екатерина поделилась практикой работы по проверкам надзорных органов. Несмотря на то, что действует определенный мораторий на привлечение к ответственности, в 2024 году ее клиенты сообщали о проверках Роскомнадзора, сотрудники которого инспектировали сайты турфирм. Обычно ведомство дает 10 дней на то, чтобы исправить выявленные нарушения. Но лучше их не совершать изначально. Минимум, что должно быть у вас на сайте — это документ о политике по защите и обработке персональных данных. «Интересно, что 99% туристических компаний кажется, что политика — это абсолютно формальный документ, они все одинаковые, можно скачать его с любого другого сайта, и он подойдет. Это не так. У нас проходила проверка одной компании в дальневосточном регионе, и надзорный орган никак не принимал у них это положение. Проблема была в том, что компания просто взяла кальку с документа федерального туроператора, который занимается выездным туризмом. При этом сама специализировалась на внутреннем, и указанная по ссылке информация была некорректной для ее деятельности», — привела пример юрист. Кроме того, Роскомнадзор может запросить внутренние организационно-распорядительные документы, касающиеся обработки персональных данных, предупредила Екатерина Голубева. В первую очередь это положение об обработке персональных данных, где должно быть указано, как турфирма собирается обрабатывать ПД, для каких целей, какие группы данных и в каких направлениях деятельности. К таким документам также относятся политика информационной безопасности, план мероприятий по обеспечению защиты персональных данных, который определяется на год, приказы о назначении ответственных за обработку персональных данных, инструкции для них и т.д. Только важное. Только для профи.​ Читайте в Телеграме