Работа с персональными данными туристов и постояльцев (М.А. Потехина, "Туристические и гостиничные услуги: бухгалтерский учет и налогообложение", N 5, сентябрь-октябрь 2010 г.)

Работа с персональными данными туристов и постояльцев

Турфирмам и гостиницам приходится работать с персональными данными абонентов, и это ко многому их обязывает. К нормам Закона о персональных данных*(1) мы уже обращались на страницах журнала, но тема не потеряла актуальности до сих пор. У турфирм и контролирующих органов периодически возникают разногласия по поводу применения тех или иных норм законодательства о персональных данных. Некоторые из них мы рассмотрим в статье.

Что ожидает турфирмы в ближайшем будущем?

Первоначально все организации, принимающие участие в обработке персональных данных своих клиентов или работников, обязаны были привести свои информационные системы в соответствие с требованиями в сфере защиты информации до начала 2010 года. Но Федеральный закон от 27.12.2009 N 363-ФЗ продлил этот срок до января 2011 года. У турфирм, гостиниц и отелей осталось чуть больше трех месяцев, чтобы привести в порядок информационные системы персональных данных.

Напомним, речь идет о системах, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации или без использования таких средств. Правительством РФ уже разработан ряд подзаконных нормативных актов, имеющих отношение к информационным системам персональных данных. Среди них:

- Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Постановление от 17.11.2007 N 781);

- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Постановление от 15.09.2008 N 687);

- Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем (Постановление от 06.07.2008 N 512).

Государственный контроль и надзор за деятельностью юридических лиц, индивидуальных предпринимателей, занимающихся обработкой персональных данных, осуществляет Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций*(2)). За обеспечением безопасности персональных данных наблюдает ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) (ч. 3 ст. 19 Закона о персональных данных). Перечисленные уполномоченные органы уже составили планы проведения проверок организаций, занимающихся обработкой персональных данных, на предстоящий 2011 год. Поэтому турфирмам, гостиницам и отелям нужно быть готовыми к приходу проверяющих: ознакомиться с нормами указанных документов (и первоисточника - Закона о персональных данных) и выполнять их. К чему Закон о персональных данных обязывает турфирмы и гостиницы?

Кто должен уведомлять Роскомнадзор об обработке персональных данных?

Требование закона об уведомлении Роскомнадзора касается всех организаций, которые имеют дело с обработкой персональных данных. Но есть исключения, которыми, в принципе, могут воспользоваться участники рынка туриндустрии. Одно из исключений - обработка персональных данных, полученных в связи с заключением договора. Такие конфиденциальные сведения могут предоставляться другим лицам с согласия субъекта персональных данных и использоваться только для исполнения договора (заключения новых договоров с субъектом персональных данных).

В цепочке "турагент - туроператор - гостиница" передаваемые персональные данные клиентов, как правило, используются в целях выполнения принятых обязательств по договору о реализации туристического продукта или отдельных туристических услуг.

Поэтому практически у всех участников цепочки есть основание обрабатывать персональные данные без уведомления Роскомнадзора*(3). Однако на практике не все турфирмы уверены в том, что они смогут предотвратить использование персональных данных в иных целях, а их клиенты дадут согласие на передачу личных данных третьим лицам. Иногда возникают сложности с соблюдением условий указанного исключения и у гостиниц (отелей). Если они заключают договор на проживание непосредственно с постояльцем, то проблем нет, если же места выкуплены туроператором, турист не является стороной договорных отношений, а это обязывает гостиницу (отель) уведомлять Роскомнадзор в общем порядке.

Таким образом, чтобы не повышать свои риски, туроператорам, турагентам, гостиницам и отелям следует уведомить Роскомнадзор об обработке персональных данных. До окончания формирования реестра операторов персональных данных осталось около трех месяцев, после чего те организации, которые не направили уведомления и не попали под исключение, могут быть привлечены к ответственности за нарушение Закона о персональных данных. Пока уполномоченный орган не спешит наказывать нарушителей - у них еще есть время подать уведомление и попасть в реестр операторов, осуществляющих обработку персональных данных. При этом Роскомнадзор может проверить любую организацию, вне зависимости от того, подавала она уведомление или нет. Не стоит обольщаться тем, что, подав уведомление, компания освобождается от контроля со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Хотя сам факт подачи уведомления позволяет организации освободиться от рисков, связанных с решением спорного для турфирм и гостиниц вопроса о возможности обрабатывать персональные данные своих клиентов (туристов и постояльцев) без уведомления Роскомнадзора.

Как заполнить уведомление без ошибок?

По отзывам специалистов Роскомнадзора, многие организации, спешащие подать уведомления об обработке персональных данных, присылают их практически в первоначальном виде. Форма и порядок составления этого уведомления утверждены Приказом Россвязькомнадзора от 17.07.2008 N 08. Оно должно быть представлено в письменном виде с подписью уполномоченного лица или в электронном виде с электронной цифровой подписью.

На портале персональных данных уполномоченного органа (http://www.pd.rsoc.ru/) организации могут воспользоваться сервисом, позволяющим прямо на сайте заполнить и отправить уведомление о намерении осуществлять обработку персональных данных. Как показывает практика, ошибки зачастую допускаются по невнимательности тех, кто заполняет форму. Иногда исполнитель затрудняется ответить на вопрос, какова цель обработки персональных данных. Здесь не нужно указывать, что они нужны для заключения договора с клиентом или для ведения личных дел сотрудников. Достаточно указать цель деятельности организации, которая обычно отражена в уставных документах и часто совпадает с целью обработки персональных данных. Также можно прописать фактические цели обработки данных.

Не меньше вопросов вызывает раздел "Правовое обоснование обработки персональных данных". Здесь нужно обозначить статьи Закона о персональных данных, закрепляющие основания и порядок обработки личных данных (ст. 5-9 этого закона). Можно указывать статьи иного нормативного акта, регулирующего деятельность организации и касающегося обработки персональных данных (в частности, ст. 85-90 ТК РФ). В отраслевых документах турфирм и гостиниц нет положений по обработке персональных данных, поэтому на Закон об основах туристской деятельности в РФ или на Правила предоставления гостиничных услуг в РФ в уведомлении можно не ссылаться. Достаточно вышеперечисленных нормативных актов и их положений.

В разделе "Категории субъектов, данные которых обрабатываются" указываются следующие категории физических лиц:

- туристы (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с турфирмой (оператором);

- постояльцы (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с гостиницей (оператором);

- работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором).

В поле "Перечень действий с персональными данными" перечисляются сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), распространение (в том числе передача), блокирование и уничтожение персональных данных. Также нужно описать используемые способы обработки личных данных (неавтоматизированная обработка, автоматизированная обработка с передачей информации по сети или без таковой, смешанная обработка конфиденциальных данных).

Последнее поле уведомления, для заполнения которого нужны специальные знания, - это описание мер, которые оператор обязуется принимать при обработке персональных данных для обеспечения их безопасности.

Во-первых, нужно указать класс информационной системы персональных данных оператора. Турфирмы обрабатывают не так много данных, чтобы их разглашение могло привести к значительным негативным последствиям для клиентов, поэтому они могут исходить из второго и третьего класса типовой информационной системы (см. п. 14 Порядка проведения классификации информационных систем персональных данных*(4)).

Во-вторых, в данном разделе перечисляются организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных. С 2010 года Федеральным законом от 27.12.2009 N 363-ФЗ отменена обязанность оператора использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним. Поэтому в уведомлении шифровальные (криптографические) средства защиты персональных данных можно не указывать.

Мы неслучайно обратили внимание на порядок оформления уведомления. Документ, в котором не все графы заполнены или недостаточно информации об обработке персональных данных, специалисты Роскомнадзора расценивают как формальную отписку, ведь за указанные сведения придется отвечать в ходе проверки. Поэтому советуем турфирмам и гостиницам, которые еще не уведомили Роскомнадзор, ответственно отнестись к данной процедуре и грамотно составить уведомление; тогда у чиновников будет меньше оснований для включения уведомителя в план проверки.

Несколько случаев из практики

Турагент заключает с туристом договор на реализацию туристического продукта. При заключении договора и исполнении его условий турфирма запрашивает у клиента личные данные. Для того чтобы их обработать (принять, систематизировать, ввести в базу), согласие туриста не требуется, но без него не обойтись при передаче персональных данных туроператору, реализующему туристический продукт. Личные данные могут понадобиться не только для заселения туриста в гостиницу или отель, но и для бронирования определенных туристических услуг, не входящих в туристический продукт.

Согласие на передачу таких данных третьим лицам (туроператору, гостинице) можно включить в текст договора, заключаемого с туристом, и договора между турагентом и туроператором, указав на обязательное использование личных данных туриста исключительно для выполнения условий договора о реализации туристического продукта. Это позволит избежать возможных претензий со стороны субъекта персональных данных при условии, что, получив согласие от туриста, турагент и туроператор не будут использовать данные клиента для целей, отличных от исполнения договора с туристом.

К сведению. Правительством РФ утвержден перечень персональных данных, записываемых на электронные носители информации, содержащихся в основных документах, удостоверяющих личность гражданина РФ, по которым граждане выезжают из РФ и въезжают на ее территорию. В него входит номер документа, фамилия и имя его владельца, гражданство, дата рождения, пол, цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа) (Постановление от 04.03.2010 N 125). Обработка таких персональных данных может осуществляться без согласия их субъекта (п. 2 ст. 11 Закона о персональных данных).

Практика показала: для упорядочивания работы с персональными данными турфирме целесообразно разработать внутренний нормативный акт, который устанавливал бы порядок работы с персональными данными сотрудников и клиентов. Правила разрабатываются самостоятельно исходя из специфики деятельности турфирмы. Не помешает, если работники будут ознакомлены (под роспись) с документом, в котором прописаны права и обязанности конкретных исполнителей при обработке данных.

Рассмотрим другой случай. В турфирму принимается работник, и новый работодатель запрашивает характеристику у прежнего. Насколько правомерно такое требование Работодатель и его представители при обработке персональных данных работника обязаны получать их у него самого. Если эти данные возможно получить только у третьей стороны, работника нужно уведомить об этом заранее и от него должно быть получено письменное согласие (п. 3 ст. 86 ТК РФ). Таким образом, бывший работодатель не вправе предоставлять характеристику на работника без его письменного разрешения.

Еще одна интересная ситуация. Турфирма перечисляет деньги за туристов в безналичном порядке. Банк, в котором открыт расчетный счет фирмы, может запрашивать сведения о туристах (ФИО, адрес, паспортные данные) в случае, если их фамилии указываются в платежном поручении в поле "Назначение платежа". Насколько правомерна такая позиция работников кредитных организаций? Обратимся к банковским нормативным документам.

Заполнение полей платежного поручения описывает Положение о безналичных расчетах в РФ*(5). Согласно приложению 4 в поле платежного поручения "Назначение платежа" указываются назначение платежа, наименование товаров, выполненных работ, оказанных услуг, номера и даты товарных документов, а также другая необходимая информация. Как видим, список того, что может быть указано в поле назначения платежа, открыт, что дает некую свободу как организации, составившей платежку, так и банку, ее проверяющему. При этом для банковских работников важен в первую очередь плательщик и получатель платежа, клиент турфирмы, за которого уплачивается аванс туроператору (непосредственно отелю или гостинице), к ним не относится. Раз так, то необходимость получения информации о туристе можно поставить под вопрос. Приведем еще один аргумент в пользу данной позиции.

Не секрет, что банковские работники часто ссылаются на нормативные документы банковской сферы. Существует не так много отраслевых документов по выполнению кредитными организациями требований Закона о персональных данных, их перечень приведен в совместном Письме ЦБ РФ и АРБ от 28.06.2010 N 0123/3148*(6). Ни в одном из четырех документов по приведению деятельности организаций банковской системы в соответствие с требованиями законодательства в области персональных данных нет требования запрашивать персональные данные третьих лиц, поименованных в платежке. Правда, такая обязанность может быть установлена во внутриведомственной инструкции банка, но и она не должна противоречить законодательству о персональных данных, в котором нет нормы, обязывающей банковских работников требовать от турфирмы персональные данные туристов, не являющихся непосредственными плательщиками (получателями платежа).

На практике у работников турфирм нет времени спорить с банковскими работниками и тем более судиться с ними, поэтому менеджеры все же предоставляют запрашиваемую информацию, заручившись согласием субъекта персональных данных.

Истребование информации судебными приставами

В процессе исполнения требований исполнительных документов судебный пристав-исполнитель вправе запрашивать необходимые сведения у физических лиц, организаций и органов, находящихся на территории РФ (пп. 2 п. 1 ст. 64 Закона N 229-ФЗ*(7)). Его право получать при совершении исполнительных действий необходимую информацию, объяснения и справки предусмотрено п. 2 ст. 12, ст. 14 Закона N 118-ФЗ*(8), причем законные требования пристава обязательны для всех органов, организаций, должностных лиц и граждан РФ (п. 1 ст. 6 Закона N 229-ФЗ). В поле зрения пристава могут попасть турфирмы, которые обладают определенными сведениями о туристах, оказавшихся должниками. Имеет ли право турфирма предоставлять им персональные данные о своих клиентах?

Ранее этот вопрос не был четко урегулирован. Задачей судебных приставов-исполнителей является исполнение судебных и иных актов, предусмотренных законодательством об исполнительном производстве. Законодатель не предусмотрел права отдела судебных приставов на получение конфиденциальной информации, в то же время оговорив это право для других государственных органов (например, оперативно-розыскных служб). Исходя из такого положения вещей, турфирма не обязана была сообщать судебным приставам конфиденциальные сведения о своих клиентах.

Изменения в пользу судебных приставов внесены Законом N 213-ФЗ*(9). Главным дополнением можно назвать предоставление судебному приставу-исполнителю права при совершении исполнительных действий требовать необходимую информацию, в том числе персональные данные, объяснения и справки (абз. 2 п. 2 ст. 12 Закона N 118-ФЗ). Информация в объеме, необходимом для исполнения судебным приставом служебных обязанностей, предоставляется по его требованию в виде справок, документов и их копий безвозмездно и в установленный приставом срок.

Аналогичная поправка внесена в п. 1 ч. 2 Закона N 229-ФЗ. Обновленная редакция такова: в процессе исполнения требований исполнительных документов судебный пристав вправе запрашивать необходимые сведения, в том числе персональные данные, у физических лиц, организаций и органов, получать от них объяснения, информацию, справки.

Напомним, что персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и иная информация (Закон о персональных данных). Открытость списка (в той части, которая может относиться к персональным данным) дает судебным приставам свободу в истребовании интересующей информации о должнике. Практически любые конфиденциальные сведения о туристе вполне могут подпасть под категорию персональных данных, что дает приставам право их запрашивать. Согласно п. 1 ст. 12 Закона N 118-ФЗ они получают и обрабатывают персональные данные при условии, что эти сведения необходимы для своевременного, полного и правильного исполнения исполнительных документов в необходимом объеме. Кроме того, пристав имеет право заниматься обработкой полученных данных с учетом требований, установленных Законом о персональных данных. Все это ставит судебного пристава в определенные рамки, разрешая только истребование информации, необходимой для исполнения судебного решения. Хотя этот вопрос остается на усмотрение пристава и объективность его оценки можно поставить под сомнение, у турфирмы нет другого выхода, кроме как предоставить ему персональные данные указанных клиентов.

К сведению. Отдельные управления Федеральной службы судебных приставов заключили договоренность с туристическими фирмами, в рамках которой приставы получат доступ к спискам граждан, выезжающих в отдельные близлежащие страны по безвизовому режиму. Таким образом, о заграничных поездках должников по исполнительным производствам судебные приставы будут знать заранее, что дает им дополнительные преимущества, чего не скажешь о туристах-клиентах, чьи персональные данные будут сообщать турфирмы.

И еще, турфирма может не беспокоиться о сохранности информации о туристах, закон обязывает приставов относиться к конфиденциальным сведениям как к вещественным доказательствам, то есть обеспечивать их сохранность и исключать возможность ознакомления с ними посторонних лиц. Приставы не имеют права разглашать ставшие известными им в связи с исполнением должностных обязанностей сведения, затрагивающие частную жизнь, честь и достоинство граждан. Поэтому если персональные данные станут доступны иным лицам, то вина за это будет лежать на тех, кто не обеспечил их сохранность.

Какие меры ответственности могут быть применены?

Персональные данные относятся к информации, доступ к которой ограничен, а ее передача с нарушением требований закона неправомерна. За нарушение порядка работы с персональными данными организация и работники могут быть привлечены к различной ответственности (административной, дисциплинарной и даже уголовной).

Начнем с административного наказания. Нормами ст. 13.11 КоАП РФ предусмотрена ответственность лиц за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде предупреждения или наложения административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц - от 500 до 1 000 руб.; на юридических лиц - от 5 000 до 10 000 руб.

Не забудем и о нормах трудового законодательства. Разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника, может служить основанием для применения дисциплинарного взыскания в виде увольнения по инициативе работодателя, если виновные действия совершены работником по месту работы и в связи с исполнением им трудовых обязанностей (пп. "в" п. 6 ч. 1 ст. 81, ст. 192 ТК РФ).

Наконец, в Уголовном кодексе есть ст. 137 "Нарушение неприкосновенности частной жизни". Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений публично наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности на срок до трех лет. Те же деяния, совершенные лицом с использованием своего служебного положения, увеличивают штрафы и ужесточают наказание за нарушение неприкосновенности частной жизни.

* * *

Приведенные в статье рекомендации помогут турфирмам, гостиницам и отелям соблюдать требования Закона о защите персональных данных и тем самым избежать ответственности, предусмотренной для нарушителей, за которых Роскомнадзор возьмется в следующем году, когда будет что проверять и за что штрафовать. Пока проверки коснулись банков, страховых организаций и операторов связи, поэтому у турфирм еще есть время наверстать упущенное и решить, как нужно работать в рамках закона.

М.А. Потехина,

эксперт журнала

"Туристические и гостиничные услуги:

бухгалтерский учет и налогообложение"

"Туристические и гостиничные услуги: бухгалтерский учет и налогообложение", N 5, сентябрь-октябрь 2010 г.

-------------------------------------------------------------------------

*(1) Федеральный закон от 27.07.2006 N 152-ФЗ.

*(2) Утверждено Постановлением Правительства РФ от 16.03.2009 N 228.

*(3) Этот факт не освобождает фирмы от необходимости соблюдать требования закона к порядку обработки и хранения персональных данных.

*(4) Приказ ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008.

*(5) Утверждено ЦБ РФ 03.10.2002 N 2-П.

*(6) О введении в действие Стандартов и Рекомендаций в области стандартизации Банка России по вопросам информационной безопасности банковской организации.

*(7) Федеральный закон от 02.10.2007 N 229-ФЗ "Об исполнительном производстве".

*(8) Федеральный закон от 21.07.1997 N 118-ФЗ "О судебных приставах".

*(9) Федеральный закон от 27.07.2010 N 213-ФЗ "О внесении изменений в Федеральный закон "О судебных приставах" и статью 64 Федерального закона "Об исполнительном производстве" по вопросам предоставления судебным приставам персональных данных".