Редакция журнала «Алгоритм безопасности» обратилась к Александру Владимировичу Солодянникову - эксперту в области защиты персональных данных - с рядом вопросов, касающихся соблюдения владельцами и управляющими гостиниц законодательства в части правил обработки персональных данных. Список вопросов был сформирован на основе обсуждений на мероприятиях отраслевого сообщества и обращений читателей журнала. Надеемся, что данное интервью поможет найти правильные ответы на практические вопросы и ознакомиться с необходимой нормативной базой.
Александр Владимирович Солодянников - кандидат технических наук, доцент кафедры «Вычислительных систем и программирования» Санкт-Петербургского государственного экономического университета. Имеет большой опыт практических решений как генеральный директор ООО «Ассоциация специалистов по безопасности».
1. На кого распространяется закон о персональных данных с точки зрения гостиничного бизнеса? В каких случаях гостиницы являются объектами по сбору ПДн? Есть ли исключения?
Требования по обеспечению защиты персональных данных распространяются на юридических и физических лиц, осуществляющих их обработку в процессе деятельности (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»). Определение «обработки» четко прописано законом. «Обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Гостиницы, по роду своей деятельности, осуществляют такую обработку по отношению к данным своих клиентов. Сведения о клиентах могут учитываться в статистике посещаемости, при запросах от государственных структур, передаваться по каналам связи при взаимодействии с третьими организациями/лицами.
Гостиница является «оператором обработки персональных данных» в соответствии с п. 2, 3 ст. 3152-ФЗ. Исходя из этого, в гостиничном бизнесе нет исключений.
В соответствии с законом, «Оператор» - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организую-
щий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2. Какие дополнительные нормативные правовые акты/постановления действуют помимо ФЗ 152?
В дополнение к основному закону в разное время было выпущено много документов, которые разъясняют и дополняют его требования. Все они есть в открытом доступе.
Вот список наиболее значимых для применения: n Постановление Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Определяет типы актуальных угроз и необходимые уровни защищенности ПДн, которые должен обеспечить оператор при обработке). n Постановление Правительства № 687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (Определяет требования к обработке ПДн в «бумажном» виде). n Постановление Правительства № 211 от 21 марта 2012 г. «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятых, в соответствии с ним, нормативными актами, операторами, являющимися государственными органами» (в ред. Постановлений Правительства РФ № 607 от 20.07.2013, № 911 от 06.09.2014). n Приказ ФСТЭК России № 17 от 11.02.2013 г. (ред. от 15.02.2017 г.) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрировано в Минюсте России 31.05.2013 за № 28608). n Приказ ФСТЭК России № 21 от 18.02.2013 г. (ред. от 23.03.2017 г.) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 г. за № 28375). Приказ определяет методы и средства обеспечения соответствующего уровня защищенности.
3. В каких случаях гостиница должна самостоятельно регистрировать (уведомлять) в уполномоченном органе свою деятельность по обработке персональных данных? Каков алгоритм действий и список документов, требуемый при проверке?
Поскольку мы уже определили, что гостиницы являются «оператором», то алгоритм действий общий для всех. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Конечно, есть и исключения, приведенные в законе, описывающие какой вид обработки данных не требует уведомления. Но эти пункты не относятся к работе гостиниц с данными клиентов.
Порядок направления уведомления определен приказом Россвязьохранкультуры № 3 от 11.01.08 г. «Об утверждении формы уведомления об обработке (о намерении осуществлять обработку) персональных данных». Для подачи уведомления об обработке (о намерении осуществлять обработку) персональных данных необходимо заполнить электронную форму (на сайте Роскомнадзора).
Уведомление должно содержать:
■ Наименование организации, адрес;
■ Цель обработки ПДн;
■ Категории ПДн;
■ Категории субъектов, ПДн которых обрабатываются;
■ Правовое основание для обработки ПДн;
■ Перечень действий оператора с ПДн, описание способов обработки;
■ Дата начала обработки ПДн;
■ Срок или условие прекращения обработки.
После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных, «оператору» необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.
Соблюдение законодательства о персональных данных контролирует Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно - Роскомнадзор). Все процедуры проверок определяет Административный регламент проведения проверок Роскомнадзором (утверждённый приказом № 630 от 01.12.2009 г.).
Основанием для включения оператора в план проверок (п. 22 «регламента») является начало осуществления данной деятельности, но в срок не ранее 3-х лет от регистрации юридического лица или последней проверки. В этом же регламенте отражаются все рекомендации по составу проверяющих, срокам уведомления, срокам проведения проверки. На сбор документов предоставляется 10 дней, столько же - на предоставление пояснений. Учитывая этот факт, рекомендуется предварительно ознакомиться с перечнем документов, приведенном в «регламенте» и подготовить их заранее.
4. С какого момента данные субъекта попадают под закон о персональных данных? То есть, имя - это еще не персональные данные, например, а ФИО + дата рождения + паспортные данные - уже да. Комбинация каких данных делает их персональными? В каких нормативных документах есть однозначный ответ?
Данные субъекта попадают под закон о защите с момента начала их обработки как в информационных системах обработки персональных данных (ИСПДн), так и без ИСПДн (в бумажном виде). Гостиницы с момента сбора и накопления информации о клиентах (заполнение анкеты на ресепшене при заселении) начинают их обрабатывать.
«Персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3, 152 ФЗ). Т.е. данные, позволяющие, так или иначе, идентифицировать личность, являются персональными. Комбинация может быть любая.
5. Письменное согласие на обработку персональных данных. В каких случаях не требуется получение согласия на обработку персональных данных?
Письменное согласие субъекта на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
В соответствии с ФЗ № 227 от 27.07.10 г., с 1.01.11 к письменной подписи приравнивается согласие в виде ЭЦП или аналога собственной подписи. Порядок получения согласия субъектов персональных данных в целях предоставления услуг определяется Правительством РФ.
В законе предусмотрены случаи, когда не требуется получение согласия субъекта на обработку персональных данных. Возможно гостиницам, предоставляющим гостям не только услуги проживания, и турфирмам стоит обратить внимания на эти пункты.
6. Каковы последствия для Оператора в случае выявления нарушений?
Последствия определяются ст. 13.11 КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа: на граждан в размере от 300 до 500 руб., на должностных лиц - от 500 до 1 000 руб., на юридических лиц - от 5 до 10000 руб.
Штраф не велик, но этот штраф можно наложить за каждое допущенное нарушение, а правил работы с персональными данными много, потому, как правило, в рамках одной проверки штрафы суммируются и получается порядка 50000 или 100000 руб.
За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20000 руб. (статья 19.5 КоАП РФ). Если же просто не ответить на запрос этого органа, касательно персональных данных, то штраф может составить до 5000 руб. (статья 19.7 КоАП РФ).
Однако, права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ). Вопрос же о наложении штрафов решается в судебном порядке (п. 1 ст. 23.1 КоАП РФ).
7. Руководство компании должно провести с лицами, непосредственно обрабатывающими персональные данные, инструктаж о категориях обрабатываемых данных и всех особенностях, связанных с этими категориями.
Как определить категорию данных? Каким образом сформировать программу инструктажа, есть ли готовые инструкции?
Под категорию ПДн должны попадать данные, позволяющие идентифицировать личность, несанкционированное использование которых может нанести ущерб субъекту. Как правило, это: кадровая информация (ФИО, дата рождения, адрес, семейная информация), финансовая информация (зарплаты, премии, начисления, пособия), медицинская информация (диагнозы, заболевания, инвалидности, анализы). Обычно это не относится к деятельности гостиниц.
Программа инструктажа должна в себя включать:
■ Перечень ПДн, которые имеются в организации и становятся доступными работнику в силу должностных обязанностей;
■ Порядок обработки ПДн сотрудником на данной должности;
■ Ответственность сотрудника при невыполнении обязанностей, а также при некачественном выполнении;
■ Порядок передачи ПДн третьим сторонам.
Инструктаж необходимо проводить при приеме на работу, при изменении перечня ПДн, при изменении формы обработки ПДн (с ИСПДн или без средств автоматизации). Ответственность за несанкционированное использование ПДн лежит как на сотруднике, так и на операторе, как юридическом лице.
8. Какие требования к способам получения, хранения и передачи персональных данных нужно учитывать при разных способах бронирования и регистрации гостя?
Ответственность за соблюдение защиты ПДн лежит на сотруднике, ведущем базу (соответственно, он должен быть проинструктирован, АРМ аттестован для обоработки). На АРМ распространяются требования к автоматизированной системе для обработки ПДн.
При заполнении анкеты при online-бронировании на сайте необходимо четко понимать и учитывать следующее: доступ ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена, в том числе к сети Интернет, допускается только с использованием специально предназначенных для этого средств защиты информации.
При принятии «Оператором» решения об использовании сети Интернет необходимо учитывать следующие положения:
■ сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение);
■ провайдеры (посредники) сети «Интернет» могут обеспечить только те услуги, которые реализуются непосредственно ими;
■ существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;
■ существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;
■ гарантии по обеспечению безопасности ПДн при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.
При заполнении анкеты при online-бронировании на стороннем сайте типа www.booking.com необходимо учитывать те же требования. При этом необходимо понимать, что при передаче ПДн через открытые каналы связи вероятность несанкционированного доступа к данным НСД резко возрастает. Необходимо получить письменное разрешение клиента на передачу его сведений через Интернет, где в явном виде указать факт снятия ответственности за защиту ПДн с «Оператора» (при выполнении конкретного действия - бронировании).
9. Если возникает процесс передачи персональных данных третьей стороне, для коммерческих предложений партнеров (ресторанов, такси, туроператоров и т. п.), то на кого возлагается ответственность за сохранность данных? Или сам факт передачи является однозначно нарушением?
При передаче ПДн третьим лицам ответственность возлагается на третьих лиц. Это должно быть зафиксировано в договорных материалах между «Оператором» и третьими лицами. В соглашении клиента (на обработку своих ПДн) явно указано кому, зачем, на сколько и с какой целью могут передаваться ПДн. Нарушением будет передача без согласования с клиентом (путем получения письменного согласия) и отсутствие в договорных материалах между «Оператором» и третьми лицами требований по защите ПДн.
В случае передачи персональных данных физического лица, являющегося сотрудником работодателя/клиента, третьим лицам должны, кроме прочего, соблюдаться требования ст. 88 ТК РФ.
10. Каков алгоритм взаимодействия с гос. органами по передаче им персональных данных субъектов? Какие документы могут освободить оператора от ответственности за разглашение ПДн, если они произошли по вине этих органов?
При передаче ПДн государственным органам должны учитываться следующие факторы:
1) передача должна осуществляться только по официальному запросу;
2) в запросе должно быть обоснование необходимости предоставления ПДн;
3) «Оператор» должен:
■ не сообщать персональные данные клиента третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в других случаях, предусмотренных Трудовым Кодексом или иными Федеральными Законами;
■ предупредить лиц, получающих персональные данные клиента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные клиента, обязаны соблюдать режим секретности (конфиденциальности);
■ разрешать доступ к персональным данным клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные клиента, которые необходимы для выполнения конкретных функций;
■ передавать персональные данные клиента представителям гос. органов в порядке, установленном Трудовым Кодексом и иными Федеральными Законами, и ограничивать эту информацию только теми персональными данными клиента, которые необходимы для выполнения указанными представителями их функций;
■ обеспечить защиту ПДн при самой передаче. Документами, которые могут освободить оператора от ответственности за разглашение ПДн, если они произошли по вине этих органов, могут быть:
■ официальная переписка;
■ акт передачи данных;
■ протокол (или договор) передачи файла (выписка из журнала, если передача происходила через средства автоматизации).
Все документы должны иметь соответствующие признаки идентификации клиента, сторон, самого документа, быть заверенными печатью организации.
Информация и фото с https://algoritm.org/arch/arch.php?id=88&a=2145