С 1 июля 2011 года вступил в силу закон № 152-ФЗ от 27 июля 2006 года «О персональных данных». В сферу действия данного закона попадают все юридические и физические лица, которые обрабатывают персональные сведения других граждан. Закон требует, в частности, чтобы каждая организация, владеющая персональными данными, обеспечила их конфиденциальность. В случае нарушения положений закона компания может лишиться лицензии, аккредитаций и подвергнуться судебному преследованию со стороны граждан, чьи приватные записи были скомпрометированы. За неисполнение закона предусмотрена гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность.

 

Правом проводить контрольно-надзорные мероприятия на предмет соблюдения законодательства о персональных данных обладают три федеральных органа исполнительной власти – Федеральная служба по надзору в сфере связи, массовых коммуникаций и информационных технологий (Роскомнадзор), Федеральная служба безопасности Российской Федерации (ФСБ России) и Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Каждый из них может проводить проверки операторов персональных данных в пределах своих полномочий.

Роскомнадзор осуществляет контроль и надзор за выполнением требований Федерального закона «О персональных данных», в ведении ФСТЭК России находятся вопросы технической защиты информации, применение средств криптографической защиты информации в информационных системах персональных данных находится под надзором ФСБ России. Причем ФСБ России и ФСТЭК России при осуществлении контроля и надзора не имеют права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Типичными нарушениями, выявленными при проверке турфирм, являются следующие:

- отсутствие в организации распорядительных документов, регламентирующих порядок обработки персональных данных;

- обработка персональных данных осуществляется без соответствующего согласия субъекта персональных данных;

- предоставление организацией неполных или недостоверных сведений, содержащихся в уведомлении Роскомнадзора об обработке персональных данных;

- нарушение требований конфиденциальности, допущенное при обработке персональных данных;

- несоответствие содержания письменного согласия субъекта персональных данных перечню, установленному Федеральным законом «О персональных данных»;

- отсутствует соблюдение требований законодательства в области персональных данных при передаче персональных данных без соответствующего согласия субъекта персональных данных.

- отсутствие в агентских договорах условий обеспечения безопасности персональных данных при их обработке.

За нарушение требований законодательства в области защиты персональных данных предусмотрена административная и уголовная ответственность.

 

Под действие закона о №152-ФЗ в туризме подпадают все турфирмы и индивидуальные предприниматели. Все туристические компании, использующие в своей деятельности персональные данные туристов, должны осуществить мероприятия по их защите. Обеспечить сохранность персональных данных, находящихся в базе данных туристской организации позволят специальные электронные программы.

Среди законодательных актов, напрямую относящихся к регулированию обработки персональных данных в сфере туризма, кроме базового закона №152-ФЗ, можно назвать «Правила оказания услуг по реализации туристского продукта», утвержденные постановлением правительства Российской Федерации от 18 июля 2007 года № 452, в которых прописана обязанность туроператора и турагента принимать необходимые меры по обеспечению безопасности информации о полученных в процессе оказания услуг персональных данных потребителя, в том числе при их обработке и использовании.

Для защиты персональных данных необходимо соблюсти следующие требования.

1. Зарегистрироваться как оператор ПД в специальном реестре операторов персональных данных. Избежать регистрации можно только в том случае, если ПД обрабатываются в связи с заключением договора, стороной которого является субъект персональных данных, или если ПД являются общедоступными персональными данными.

2. Ввести в действие приказом по турфирме «Положение об обработке и защите персональных данных клиентов» – основной документ, определяющий какие персональные данные, с какими целями и в течение какого срока обрабатывает турфирма.

3. Создать административно-распорядительные документы, определяющие права и обязанности сотрудников по работе с ПД:

- приказ об утверждении списка лиц, обрабатывающих ПД;

- приказ о назначении лица, ответственного за организацию мер по защите ПД;

- приказ об утверждении мест хранения материальных носителей ПД;

- книгу учета обращений субъектов ПД об обработке их ПД.

 

Турагент заключает с туристом письменный договор на реализацию турпродукта. И в силу этого турагенту не требуется письменного согласия туриста на обработку его ПД, и ему не надо регистрироваться как оператору ПД. Однако в случае, если турпродукт приобретается туристом на несколько лиц или заказчиком от имени третьих лиц, турагенту необходимо получить от этих лиц, не подписавших договор, письменное согласие на обработку их ПД. При этом необходимо помнить, что турфирма обязана представлять доказательства наличия у нее письменного согласия субъекта ПД на обработку его ПД.

Таким образом, турагенту достаточно просто обеспечить соблюдение закона.

А вот у туроператоров возникают проблемы. Получая персональные данные туристов от своих турагентов, и осуществляя последующую обработку ПД туристов, туроператор не имеет от туристов ни письменного согласия на обработку их ПД, ни письменного договора с ними. И, следовательно, формально не имеет права распоряжаться этими «незаконно» попавшими к нему данными – даже сообщить их в авиакомпанию для оформления билета.

Однако с учетом разъяснений, которые были даны в письме заместителя руководителя Роскомнадзора № ПК/0535-ОГ от 10.03.2010 года, эту проблему можно решить следующим образом.

В данном письме туроператору рекомендуется обязать своих турагентов брать у туристов письменное согласие на то, что на срок действия договора туристы разрешают считать свои персональные данные общедоступными персональными данными. Такой документ снимает с ПД туриста режим конфиденциальности и фактически выводит деятельность турагента из-под действия Закона №152-ФЗ (например, не надо обеспечивать режим защиты и конфиденциальности ПД, находящихся как на бумажных, так и электронных носителях). На мой взгляд, данная рекомендация Роскомнадзора по меньшей мере сомнительна. Фактически ведомство само рекомендует, как обойти закон. Но письмо, в отличие от закона, не имеет силы нормативного документа. В какой-нибудь Америке продвинутые субъекты персональных данных сделали бы целое состояние на судебных исках, вздумай оператор персональных данных воспользоваться такой рекомендацией.

Поэтому, на мой взгляд, можно рекомендовать менее «противозаконный» способ. Обязать турагента брать с туриста расписку что он (и все едущие с ним, разумеется) согласен с обработкой его персональных данных турагентом в рамках исполнения обязательств по договору о реализации туристского продукта, а именно – передачей его данных сторонам, прямо связанным с оказанием услуг по договору (во избежание недоразумений хорошо бы эти стороны также перечислить поименно). Турагент в свою очередь обязуется не использовать ПД туриста в иных целях, не связанных с исполнением договора, а также гарантирует, что участвующие «третьи лица» также не будут этого делать.  Копию такой расписки турагент должен передать туроператору.

А теперь попробуйте «заставить» турагента оформить такую расписку, если даже сведения о финансовой гарантии туроператора в договор с туристом включают далеко не все, а уж отчеты агента предоставляют туроператору менее 50% турагентов.

 

Все туристические организации, отправляющие клиентов за границу, так или иначе осуществляют передачу персональных данных за рубеж, то есть осуществляют так называемую трансграничную передачу персональных данных. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Таким образом, это информация на бронирование в гостиницу, передача списков туристов, которых надо встретить, данные в организации, проводящие экскурсии и т. д. Согласно закону, персональные данные должны передаваться на территорию государства, в котором «обеспечивается адекватная защита прав субъектов персональных данных».

Следует отметить, что в целях принятия организационных мер по обеспечению защиты передаваемых персональных данных своих клиентов любой оператор персональных данных может вносить изменения в договоры со своими партнерами, обязательства по которым включают передачу персональных данных. Такие изменения могут содержать принимаемые дополнительные обязательства по конфиденциальности передаваемой информации, а также описания применяемых технических и организационных мер, направленных на реализацию принимаемых обязательств.

Каковы требования, предъявляемые к стране, принимающей информацию?

Первое требование - это целенаправленная передача информации. Оно означает, что экспорт информации возможен только тогда, когда установлено, что страна, принимающая информацию, действительно будет использовать эти сведения только для определенных целей.

Второй принцип - качество информации и ее относимость. Относимость информации означает, что сведения должны обрабатываться и передаваться за границу только в том объеме, который необходим для осуществления конкретной заявленной цели.

Третий принцип - прозрачность, ясность. Например, сведения о перемещении туристов из России в другую страну и из другой страны в Россию должны быть абсолютно ясны по своей структуре как для той стороны, которая передает информацию, так и для принимающей информацию стороны.

Четвертый принцип - надежность и безопасность данных. Должны быть предусмотрены технико-организационные мероприятия, обеспечивающие сохранность информации. Это касается в первую очередь компьютерной передачи информации.

Пятый принцип связан с доступом к полученной информации. Стандарты защиты информации по европейскому праву подразумевают, что в стране, принимающей информацию, к этой информации допускается только тот, кому она была предназначена.

Последний принцип - это ограничение дальнейшей передачи информации, то есть из страны-получателя в некие третьи страны. Адресаты переданной в страну-получатель информации должны гарантировать, что она не будет передана в третьи страны, либо должен быть заключен соответствующий договор и тщательно изучено состояние законодательства по защите персональных данных и информации в этой стране.

На практике это означает, что, имея договор с организацией-туроператором, зарегистрированной, например, на Кипре, российский туроператор должен отслеживать порядок передачи информации о туристе в отель на Багамских островах, который бронирует для туриста кипрский туроператор. И иметь гарантии соблюдения законодательства о защите ПД при такой передаче.

 

Согласно ст. 24 закона на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. При этом способ реагирования на выявленное правонарушение определяет соответствующий контролирующий орган самостоятельно в пределах имеющихся у него полномочий. За нарушение установленного порядка сбора, хранения и использования персональных данных граждан установлена административная ответственность в ст. 13.11 КоАП РФ. Штраф для должностных лиц составляет от 500 до 1000 рублей, для юридических лиц - от 5000 до 10 000 рублей.

Защита конфиденциальных данных предусмотрена ст. 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило ее, то на него будет наложен административный штраф в размере от 4000 до 5000 рублей.

Возможно применение и иных статей КоАП РФ к нарушителям закона о ПД.

Статья 5.39 КоАП РФ. Отказ в предоставлении гражданину информации. Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных. Штраф: для должностных лиц - от 500 до 1000 рублей.

Статья 13.12 КоАП РФ. Нарушение правил защиты информации. Штраф: для должностных лиц - от 1000 до 2000 рублей; для юридических лиц - от 10000 до 20000 рублей.

Статья 13.14 КоАП РФ. Разглашение информации с ограниченным доступом. Штраф: для граждан - от 500 до 1000 рублей; а для должностных лиц - от 4000 до 5000 рублей.

 

К уголовной ответственности нарушителей закона о ПД могут привлечь по двум статьям.

Статья 137 УК РФ Нарушение неприкосновенности частной жизни. Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Штраф до 200000 рублей, либо обязательные работы от 120 до 180 часов, либо исправительные работы до 1 года, либо арест до 4 месяцев.

Статья 272 УК РФ Неправомерный доступ к компьютерной информации. В этом случае грозит штраф до 200000 рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительные работы на срок от шести месяцев до одного года, либо лишение свободы на срок до двух лет.