Лишь 1% турфирм Москвы и Подмосковья выполнил все требования закона «О персональных данных» - подавляющее большинство туроператоров и турагентств не сообщило ведомству о том, что занимается обработкой персональных данных туристов, из-за чего не вошло в реестр операторов ПД.
Об этом заявила руководитель Управления Роскомнадзора по Центральному федеральному округу Ольга Коротова. При этом она подчеркнула, что ситуация критическая – компании массово скрывают данные от надзорного органа.
На этом фоне редакция «ТУРПРОМ» опросила экспертов-юристов с целью выяснить, что грозит турфирмам за невыполнение этих и других требований Роскомнадзора. Как оказалось, проблема действительно существует, причем в довольно острой форме.
«В соответствии с позицией Роскомнадзора, любой туроператор и турагент является оператором по обработке персональных данных, и как следствие, обязан направить соответствующее уведомление в территориальный орган Роскомнадзора. При этом нужно учесть, что любой туроператор и турагент осуществляет обработку персональных данных не только туристов, но и своих сотрудников. Так что подача уведомления в территориальный орган Роскомнадзора является обязательной процедурой для турфирмы перед началом осуществления хозяйственной деятельности», - пояснил корреспонденту «ТУРПРОМ» ведущий юрист юридической компании Александра Байбородина Владимир Казак (на своем сайте компания разместила подробную инструкцию для турфирм по этой тематике).
Чем грозит турфирмам нарушение требований законодательства РФ, регламентирующего обработку персональных данных? Ответ, по словам эксперта, очень простой - привлечением к административной ответственности по основаниям, предусмотренным ст.13.11. КоАП РФ, в которую Федеральным законом №13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2017 г. были внесены изменения, вступающие в силу с 01 июля 2017 года.
«Законодатель расширил перечень оснований для привлечения к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов», - говорит г-н Казак.
По его словам, с 1 июля вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения в сфере персональных данных предусмотрены разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Итак:
Нарушение 1: Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных - самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ).
Например, ТО или ТА собирает персональные данные туристов и передает эти данные сторонним компаниям – непосредственным исполнителям услуг (авиакомпаниям, страховым компаниям, объектам размещения) в рамках исполнения обязательств по «Договору о реализации туристского продукта» (передаются ФИО, контактные телефоны, е-mail). При этом потом компания начинает рассылать на телефон или e-mail различный спам и рекламные предложения.
«С 1 июля 2017 года за указанные действия турагент или туроператор может быть привлечёт к административной ответственности, предусматривающей административное наказание в виде предупреждения или наложения административного штрафа на граждан в размере от 1`000 до 3`000 рублей; на должностных лиц - от 5`000 до 10`000 рублей; на юридических лиц – от 30`000 до 50`000 рублей», - отмечает эксперт.
Нарушение 2: Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его личных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ. По словам Владимира Казака, обязательная письменная форма согласия туриста предусмотрена в случае, когда ТО или ТА осуществляют трансграничную передачу в страны, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.
«При этом необходимо отметить, что данное согласие должно быть подписано каждым туристом, а не только лицом, подписавшим «Договор о реализации туристского продукта», с соблюдением требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных», - говорит ведущий юрист ЮК Александра Байбородина.
По его словам, с 1 июля 2017 года за трансграничную передачу обработка персональных данных без согласия в письменной форме, либо если письменное согласие не содержит сведений, предусмотренных ч.4 ст.9 ФЗ №152 «О персональных данных» будет является самостоятельным административным нарушением. За это физическим лицам грозит штраф в размере от 3`000 до 5`000 рублей; на должностных лиц - от 10`000 до 20`000 рублей; на юридических лиц - от 15`000 до 75`000 рублей.
Нарушение 3: Невыполнение турагентом или туроператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику компании в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.
«Турагент или туроператор, получающие сведения о туристах через свои сайты, обязаны опубликовать на своих сайтах «Политику в отношении обработки персональных данных» и обеспечить доступ к данному документу неограниченному кругу лиц», - поясняет Владимир Казак.
По его словам, ответственность по этой статье с 1 июля может выглядеть как предупреждение или административные штрафы: на граждан в размере от 700 до 1`500 рублей; на должностных лиц - от 3`000 до 6`000 рублей; на индивидуальных предпринимателей - от 5`000 до 10`000 рублей; на юридических лиц - от 15`000 тысяч до 35`000 рублей.
Нарушение 4: Невыполнение ТО или ТА обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.
«Любой турист имеет право направить в адрес турагента или туроператора письменный запрос, содержащий требования о предоставлении сведений о том, каким образом компания обрабатываются персональные туриста. При этом турагент или туроператор должны предоставить ему ответ», - говорит эксперт.
С 1 июля невыполнение требований туриста также будет является самостоятельным административным нарушением, которое влечет предупреждение или наложение административных штрафов: на граждан в размере от 1`000 до 2`000 рублей; на должностных лиц - от 4`000 до 6`000 рублей; на индивидуальных предпринимателей - от 10`000 до 15`000 рублей; на юридических лиц - от 20`000 до 40`000 рублей.
Нарушение 5: Невыполнение ТО или ТА в сроки, установленные законодательством РФ, требования туриста об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
По словам юриста, невыполнение вышеуказанных требований туриста влечёт за собой привлечение компании к административной ответственности: предупреждение или наложение административного штрафа на граждан в размере от 1`000 до 2`000 рублей; на должностных лиц - от 4`000 до 10`000 рублей; на индивидуальных предпринимателей - от 10`000 до 20`000 рублей; на юридических лиц - от 25`000 до 45`000 рублей.
Нарушение 6: Сохранность персональных данных. С 1 июля 2017 года законодатели выделили новый вид правонарушения - невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий: сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных.
Тут в качестве примера можно рассмотреть ситуацию, когда турагент или туроператор выбросили договоры с туристами, содержащие их персональные данные, что повлекло за собой доступ к этим данным третьих лиц.
«Если это произошло, то турагент или туроператор могут быть привлечены к административной ответственности, что влечёт за собой наложение административного штрафа на граждан в размере от 700 до 2`000 рублей; на должностных лиц - от 4`000 до 10`000 рублей; на индивидуальных предпринимателей - от 10`000 до 20`000 рублей; на юридических лиц - от 25`000 до 50`000 рублей», - пояснил юрист.
