Персональные данные в туризме: как обрабатывать законно

Кто считается оператором персональных данных

Оператор персональных данных — это лицо, которое собирает и использует данные физлиц (ст. 3 ФЗ от 27.07.2006 №152-ФЗ). В туристической сфере это может быть как компания, так и ИП. Они всегда выступают операторами ПДн, поскольку иначе не смогут выполнять свои обязанности по договорам и получать прибыль. Кроме того, в туризме для заключения и исполнения договора турист должен передавать свои данные (ст.10 ФЗ от 24.11.1996 №132-ФЗ). 

Например, вы являетесь оператором, если оформляете тур, покупаете билеты, бронируете отели, передаете данные туристов для страхования. Причина проста: для выполнения этих задач вам нужны ПДн. Без них ни одно действие нельзя выполнить, вы не сможете исполнить свои обязательства по договору. 

Рассмотрим несколько примеров, когда организация выступает оператором ПДн в туристической сфере в зависимости от способа их сбора:

1. При личном визите в офис — менеджер заполняет заявку клиента вручную. Клиент диктует свои данные вслух, показывает паспорт на стойке, менеджер делает копию паспорта, спрашивает телефон и email. 
2. На сайте — клиент оставляет заявку на подбор тура, заполняет анкету на конкретный тур, проводит онлайн-оплату. В формах указываются ФИО, номер телефона, e-mail, данные паспорта и дату рождения для всех туристов, которые поедут в составе группы. Иногда поле «паспорт» не выводится сразу — появляется только после выбора конкретного тура с датой и страной. Но юридически это не меняет сути, эти данные также считаются персональными.
3. При оформлении визы — туроператор собирает документы для подачи в визовый центр. Включая анкеты, фото, сведения о прошлых визах, иногда медсправки, если это требование конкретной страны. Медицинская информация — специальная категория данных, с ней нужно работать по особым правилам (ст.10 ФЗ №152-ФЗ).
4. При обращении в поддержку — турист пишет в чат, звонит в коллцентр, отправляет письмо на почту туроператора. На практике в таких обращениях тоже обрабатываются ПДн: номер телефона, ФИО, номер тура, номер бронирования. Это ПДн, и оператор обязан обеспечить их защиту. 

Какие персональные данные используются в туристической сфере

Персональные данные — это сведения, по которым можно идентифицировать человека. Но туроператор не может запрашивать все подряд — ему нужны только ПДн, необходимые для достижения целей обработки (ст.5 ФЗ №152-ФЗ). 

Какие персональные данные в туризме можно запрашивать:

• ФИО, дату рождения;
• паспортные данные для оформления договора, билетов, трансфера;
• контактные данные: телефон, e-mail;
• пол, гражданство, данные загранпаспорта;
• сведения для визовых стран, если они прямо требуются правилами въезда (например, сведения о предыдущих визах, маршруты, место проживания на период поездки). 

Важно! Туроператор не вправе запрашивать лишнюю информацию, которая не нужна ему для исполнения договора. Например, если турист покупает тур в Египет, туроператору понадобятся ФИО, дата рождения, данные паспорта (российского и заграничного), пол, телефон, email, адрес регистрации, информация для оплаты страховки и билетов. Эти данные необходимы. Но если сотрудник отдела продаж просит ссылку на социальную сеть, чтобы «проверить, что это реальный человек» — это уже нарушение, и никак не связано с исполнением договора.

Нужно ли согласие на обработку персональных данных

В большинстве случаев такое согласие не требуется, т.к. обработка ПДн связана с исполнением договора. Если вы запрашиваете только тот объем данных, которые вам нужны для выполнения обязательств, их можно обрабатывать без согласия (п.5 ч.1 ст.6 ФЗ №152-ФЗ).

Иногда согласие все же нужно. Если оператор обрабатывает большой объем ПДн для целей, не связанных с исполнением договора: например, запрашивает дату рождения для поздравлений. 

Могут понадобиться и другие виды согласий:

1. На передачу ПДн. Многие туроператоры передают данные сторонним организациям, на это нужно отдельное согласие субъекта, если передача не связана с исполнением договора с туристом. 
2. На распространение ПДн. Например, если хотите разместить фотографию клиента с отзывом на своем сайте, согласие на распространение обязательно. 

Трансграничная передача данных в туризме: особенности

Когда вы отправляете персональные данные за границу, вы не просто «делитесь информацией». Вы попадаете в отдельный режим регулирования. Это считается трансграничной передачей (ТППДн). Туризм — одна из сфер, где это происходит постоянно, потому что большинство бронирований и взаимодействий идут через заграничных партнеров.

Персональные данные в туризме почти всегда уходят за рубеж, если вы бронируете отели, авиабилеты, трансферы через иностранные сервисы или напрямую через принимающую сторону. Даже использование облачных CRM с серверами в другой стране — это уже трансграничная передача. Вы должны заранее понимать, куда и зачем уходят данные, и уметь это клиенту объяснить.

Важно! Обязательно подайте в Роскомнадзор уведомление о намерениях осуществлять трансграничную передачу ПДн. Это можно сделать на сайте ведомства. В нем указываются сведения об организации, данные ответственного лица, цель и правовое основание ТППДн, конкретные данные, категории субъектов, а также перечень иностранных государств, в которые передаются ПДн. 

Что важно учитывать:

1. Для обработки данных в рамках договора отдельное согласие клиента не требуется. Если же вы решите обрабатывать ПДн за пределами договора, — например, использовать данные для персональных поздравлений, — понадобится согласие.
2. Если данные передаются в страну, обеспечивающую адекватную защиту (Приказ Роскомнадзора от 05.08.2022 №128), можно отправить уведомление о трансграничной передаче и отправлять ПДн получателю в другую страну сразу, а не ждать 10 рабочих дней.
3. Если данные отправляются в страну, не обеспечивающую адекватную защиту, необходимо подождать 10 рабочих дней. Если в течение этого срока не будет запрета или ограничения на ТППДн от Роскомнадзора, данные отправлять можно.  

Пример: 

Вы бронируете отель в Турции. Для этого передаете ФИО, дату рождения и паспортные данные клиента в отель. Передача идет в иностранную организацию, у которой серверы за пределами России. Турция входит в перечень стран, обеспечивающих адекватную защиту, и передавать ПДн можно сразу. 

Обязанности туроператора при обработке ПДн

Ваша компания не может обрабатывать ПДн на уровне «как получится». Если вы собираете и используете персональные данные в туризме,нужно соблюдать требования ФЗ от 27.07.2006 №152-ФЗ:

1. Определить цели обработки и прописать их во внутренних документах.
2. Собирать только то, что нужно для продажи и исполнения тура.
3. Хранить и обрабатывать данные безопасно, чтобы к ним не получили доступ посторонние.
4. Обеспечить удаление данных, когда цель достигнута и срок хранения истек.
5. Заключать договоры с теми, кому вы передаете данные (в том числе за границу), и контролировать исполнение, если иностранного государства нет в перечне обеспечивающих адекватную защиту. 

Важно! Ответственность за обработку ПДн возлагается одинаково на турагента и туроператора. Турагент отвечает за сбор и первичную обработку данных и решает, какие именно сведения нужны, для чего их собирать, как и где хранить до передачи туроператору. Последний, в свою очередь, становится оператором ПДн, когда получает их от турагента и использует для предоставления турпродукта. Между турагентом и туроператором должен быть договор, в котором четко указывается, какие ПДн передаются, для каких целей, и какие обязанности возлагаются на каждую из сторон при их защите. 

Как туроператору законно обрабатывать персональные данные

Шаг 1: определите способ обработки — от этого зависят меры защиты

Существует несколько способов обработки ПДн:

Автоматизированная обработка. Это когда вы используете CRM, браузерные формы, облачные сервисы, почту, мессенджеры, электронные таблицы. Машины хранят, передают и сортируют данные без вашего ручного ввода на каждом шаге.
Требуются технические меры: настроенные права доступа, пароли, шифрование, контроль логов, ограничение выгрузок, безопасные каналы связи. Если вы ведете бизнес в туризме, скорее всего, основной объем персональных данных у вас как раз обрабатывается автоматически.

Неавтоматизированная обработка. Это когда данные на бумаге, в бумажных договорах, заявках, распечатанных паспортах. Их проверяет и использует человек «вручную».
Требуются физические меры: закрытые шкафы, ключи, сейфы, ограничение доступа к помещениям, учет бумажных носителей, уничтожение через шредер — просто выбросить документы в урну нельзя. 

Смешанная обработка. Это стандартная реальность туроператора: часть данных в CRM, часть договоров на бумаге, часть менеджер берет у клиента в офисе.
Нужны и технические, и физические меры защиты одновременно.

Шаг 2: назначьте ответственного и подготовьте документы

В первую очередь нужно назначить ответственного за организацию обработки ПДн. Это может быть как штатный сотрудник — например, юрист или HR, — так и сторонняя организация. 

Что касается документов, то здесь много нюансов. Чем шире у вас каналы сбора (сайт, офис, коллцентр, мессенджеры, виджеты), тем сложнее ваша система обработки. Именно поэтому нельзя скачать «универсальный» шаблон политики и других документов, и думать, что вы закрыли вопрос. Правильная обработка начинается с точного определения того, где и как она проводится — это отражается во внутренних документах.

Что нужно оформить:

• Политику обработки ПДн;
• Положение об обработке и защите ПДн;
• Приказы, акты, журналы, инструкции, договоры. 

Важно! Общее количество документов может достигать 60-70 наименований в зависимости от того, какие категории ПДн вы обрабатываете и в каком объеме. Если у вас нет штатного специалиста, обратитесь за услугами по разработке политики персональных данных и других документов в туризме к юристам. 

Шаг 3: проверьте сайт

Сайт — одно из самых уязвимых мест при обработке ПДн, поэтому туроператор должен тщательно проверить несколько пунктов:

1. Политика обработки персональных данных. Должна быть доступна для всех пользователей. Нельзя прятать документ в футере мелким шрифтом.
2. Согласие на обработку данных. Оформляется отдельно от остальных документов. Текст согласия должен быть в каждой форме: заявка на тур, бронирование, обратная связь. «Галочка» о даче согласия не должна быть проставлена заранее. Желательно использовать чекбокс, который пользователь отмечает самостоятельно.
3. Подключенные сервисы и виджеты. Счетчики, пиксели, чаты — все передают данные третьим лица. Важно понимать, куда уходят данные и отражать это в документах, при необходимости отправить уведомление о ТППДн в Роскомнадзор. 
4. Уведомления о сборе cookies. Они должны появляться посещении сайта для каждого нового пользователя. 

Шаг 4: подайте уведомление в Роскомнадзор

Регистрация в реестре операторов обязательна для всех турагентов и туроператоров, поскольку они обычно не попадают в перечень исключений, указанных в ст.22 ФЗ №152-ФЗ. Для этого необходимо подать в Роскомнадзор уведомление об обработке ПДн еще до начала их сбора. 

Что указывается в уведомлении:

1. Сведения об операторе: наименование, адрес, телефон, ИНН, ОГРН, филиалы, и т.д.
2. Цели обработки персональных данных в туризме. Если у вас юрлицо, в качестве цели обязательно выберите «ведение кадрового и бухгалтерского учета», «обеспечение соблюдения трудового законодательства». Также указывается «подготовка, заключение и исполнение гражданско-правового договора», «продвижение товаров, работ и услуг на рынке» (если это так), «предоставление информации о регистрационном учете по месту пребывания в территориальный орган МВД РФ» (для гостиниц), «обеспечение соблюдения законодательства РФ в сфере здравоохранения» или «организация и оказание санаторно-курортного лечения», — это касается и организаций, и ИП. 
3. Категории обрабатываемых ПДн. Выберите ФИО, паспортные и иные данные, необходимые для исполнения договора. Не указывайте избыточную информацию.
4. Категории субъектов ПДн. Здесь тоже все зависит от процессов в вашей компании: это могут быть работники, уволенные сотрудники, соискатели, клиенты, посетители сайта, законные представители и т.д.
5. Правовое основание для обработки. Поставьте галочку напротив «обработка ПДн необходима для исполнения договора, стороной или выгодоприобретателем выступает субъект, а также для заключения договора по инициативе субъекта ПДн». 
6. Перечень действий. Укажите, что именно будете делать с данными: собирать, записывать, систематизировать, хранить, распространять, передавать и т.д.
7. Способы обработки: автоматизированная, смешанная, неавтоматизированная. Выберите соответствующий вариант и укажите, будут ли ПДн передаваться по внутренней сети организации или через интернет.
8. Описание мер, предусмотренных ст.ст.18 и 19 ФЗ №152. Опишите, какие организационно-технические меры применяются при обработке ПДн в вашей компании.
9. Сведения о местоположении баз с данными граждан РФ. Выберите страну и впишите адрес ЦОДа, а также укажите, является ли данный ЦОД вашим собственным или нет. 
10. Сведения об обеспечении безопасности ПДн. Укажите, какие меры защиты, предусмотренные Постановлением Правительства РФ от 01.11.2012 №1119, применяются в вашей компании. 

Ответственность туроператора за нарушения ФЗ №152-ФЗ

Туроператоры привлекаются к ответственности за нарушения ФЗ №152-ФЗ на общих основаниях, как и остальные организации. Все нарушения правил работы с персональными данными в туризме, за которые возможны штрафы, перечислены в ст.13.11 КоАП РФ. За что штрафуют чаще всего:

1. Неопубликование политики обработки ПДн на сайте — штраф до 60 000 рублей.
2. Первичный сбор ПДн с помощью иностранных сервисов — штраф до 6 млн рублей.
3. Неуведомление РКН об обработке данных — штраф до 300 000 рублей.
4. Утечка персональных данных — штраф до 20 млн рублей, при повторном нарушении — 1-3% годового оборота компании, но не более 500 млн рублей.