В соответствии с ч. 3 ст. 25 Закона РФ от 27.07.2006 N 152-ФЗ «О персональных данных» информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2011 года. Организациям необходимо оперативно привести свою деятельность в соответствие с законодательством. Законодательством о защите персональных данных установлен ряд требований к организации, осуществляющей обработку соответствующей информации, направленных на обеспечение конфиденциальности персональных данных, защиты информации от разглашения и утечки. Отметим, что состав данных требований значительно шире, чем простое согласие на обработку персональных данных в договоре и направление в определенных случаях уведомления в Роскомнадзор об обработке персональных данных. Выполнение правил закона о защите ПДн на практике достаточно сложно и требует знаний нормативно-правовых актов, требований контролирующих органов, разъяснений специалистов. В любой организации должен быть разработан и утвержден пакет организационно– распорядительных документов, состав которых зависит от класса системы ПДн организации – более 20 документов. В данный пакет входит в т.ч. положение об обработке персональных данных, приказы о допуске к информации, должностные инструкции, акты классификации информационной системы персональных данных, акты списания и уничтожения электронных носителей информации и др. Напомним, что существует 4 категории персональных данных. Каждая категория имеет ряд требований. Наибольшее количество требований установлено к 1 категории, наименьшее – к 4. Большинство туристских фирм, отелей относятся к 3 категории персональных данных. Между тем, в случае обработки информации о состоянии здоровья (медицинский туризм) организация подпадает под 1 категорию ПДн. Особую специфику имеет работа по приему заявок на сайте. Гость или турист должен дать согласие на обработку персональных данных перед направлением заявки. Любая организация обязана провести комплекс мероприятий по определению модели угроз и классификации обрабатываемых персональных данных с последующим оформлением декларации. Организация должна обеспечить защиту информации, обрабатываемой в электронном виде, путем внедрения и использования антивирусных программ, в определенных случаях межсетевых экранов, специального аттестованного программного обеспечения. Какая информация относится к персональным данным? По законодательству защите подлежит информация о каждом работнике и потребителе услуг организации. Речь идет об информации, позволяющей идентифицировать, определить конкретного человека – паспортные данные, адреса проживания, ФИО, место работы, родственники, дети, иная подобная информация. То, что указывается в заявке гостя на сайте отеля, заявке турфирмы на бронирование услуг, информация о работниках организации. К информационным системам ПДн, требующим защиты, относятся, в т.ч., CRM–системы, программы 1С, Мастер-Тур, Опера, Эдельвейс и подобные. Должна защищаться информация, как в печатном виде, так и информация в Интернет, на сайте, в памяти компьютера. Необходимо в определенных случаях уведомлять Роскомнадзор, получать согласие на работу с персональными данными, особенно при передаче информации за рубеж. Нарушение закона влечет за собой ответственность организации в виде штрафа в размере до 10 000 руб. с вынесением предписания об устранении нарушений. Кроме того, законодательством предусмотрена возможность приостановления деятельности организации в связи с не обеспечением защиты информации.В связи с вышеизложенным, ООО «ТрэвелЭкспо» проводит специализированную конференцию «О Защите персональных данных в организациях индустрии гостеприимства и туризма». К участию в конференции приглашены специалисты Управления Роскомнадзора и ФСТЕК – органы государственной власти, устанавливающие требования к защите персональных данных. Мероприятие состоится 17 ноября 2010 г. в гостинице «Ибис Санкт-Петербург Центр» в конференц-зале «Казанский», подробная информация размещена на сайте www.travelexpo.ru Оргкомитетом конференции также создана экспертная группа по разработке типового комплекса мероприятий, документов, технических и программных средств, которые могут применяться организацией
