ЧТО ДЕЛАТЬ ОТЕЛЮ ПРИ УТЕЧКАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Подпишитесь на наш канал в Telegram
Подпишитесь на наш канал в Telegram

Продолжаем разбирать вопросы, связанные с тем, как отельерам работать с персональными данными (ПД), чтобы избежать нарушений. Подробные ответы Наталья Расторгуева, эксперт Контур.Отеля, получила у Михаила Хохолкова, руководителя практики «Медиаправо» юридической фирмы INTELLECT, эксперта Центра компетенций по направлению «Персональные данные» Роскомнадзора по УрФО.

Первую статью о персональных данных читайте по ссылке.

Если произошла утечка персональных данных

Из-за роста компьютерных инцидентов государство постоянно ужесточает требования к обработке ПД. С 1 сентября 2022 года операторы должны сообщать в Роскомнадзор обо всех утечках персональных данных:

  • в течение 24 часов — о факте инцидента;
  • в течение 72 часов — о результатах внутреннего расследования утечки.

Формы первичного и повторного уведомления есть на сайте Роскомнадзора (приказ Роскомнадзора от 14.11.2022 № 187). Для заполнения и отправки нужен личный кабинет на Госуслугах.

Также оператор должен сообщать об утечках ПД в ГосСОПКА — государственную систему, содержащую информацию о нарушениях в сфере информационной безопасности (ч. 12 ст. 19 152-ФЗ). Ведет этот ресурс Национальный координационный центр по компьютерным инцидентам ФСБ России (НКЦКИ).

Обязанность взаимодействовать с ГосСОПКА есть у всех операторов, но исполняться она будет по-разному.

Гостиницы и отели чаще всего не относятся к субъектам критической информационной инфраструктуры (КИИ) (п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ). Им достаточно уведомить Роскомнадзор по приказу № 187, а тот сам передаст информацию о компьютерном инциденте в НКЦКИ.

Субъекты КИИ передают информацию напрямую в НКЦКИ в течение 24 часов (приказ ФСБ России от 13.02.2023 № 77).

Как уничтожать ПД

В 152-ФЗ есть три случая, когда нужно прекратить обработку персональных данных:

  • выяснилось, что она незаконна — например, нет согласия или оно истекло;
  • достигнуты цели обработки ПД — постоялец съехал, то есть договор на проживание исполнен;
  • сам субъект отозвал свое согласие или потребовал прекратить обработку.

Во всех этих ситуациях надо уничтожить персональные данные и подтвердить этот факт документально (приказ Роскомнадзора от 28.10.2022 № 179). Если гостиница обрабатывает ПД вручную, на бумажных носителях, то достаточно составить акт.

Уничтожение информации в компьютере дополнительно подтверждается выгрузкой из журнала регистрации событий в информационной системе.

Персональные данные должны быть уничтожены:

  • в течение 7 рабочих дней — при получении от субъекта ПД или его представителя сведений о том, что ПД были незаконно получены или не соответствуют целям обработки (ч. 3 ст. 20 152-ФЗ);
  • в течение 10 рабочих дней с даты выявления факта неправомерной обработки, если в этот срок нельзя ее узаконить — например, получить согласие субъекта ПД (ч. 3 ст. 21 152-ФЗ);
  • в течение 30 календарных дней или в срок, установленный договором, после достижения целей, для которых ПД использовались — например, после окончания проживания постояльца; либо после отзыва согласия на обработку гражданином (ч. 4–5 ст. 21 152-ФЗ).

Чтобы случайно не утратить нужные документы в стремлении выполнить 152-ФЗ, рекомендуем следующее:

  1. В локальном нормативном акте определить виды и сроки хранения документов с ПД; порядок их уничтожения. В нем же определить способы, какими ликвидируются ПД — измельчение через шредер, сожжение бумажных носителей, очистка жесткого диска и др.
  2. Приказом директора создавать комиссию для уничтожения персональных данных. Включать в нее ответственного за организацию их обработки.
  3. Комиссия должна своим решением устанавливать, какие документы с ПД надо уничтожить, а какие — передать в архив.
  4. Факт утилизации документов нужно фиксировать документально по приказу № 179.

Если ПД уничтожены по требованию гостя или Роскомнадзора, оператор обязан сообщить им о факте уничтожения (ч. 3 ст. 20 152-ФЗ).

Что еще нужно знать о ПД

Гостиницы и отели часто поручают обработку персональных данных другим организациям:

  • отдают ведение бухгалтерии и сдачу отчетности на аутсорсинг или через электронные сервисы;
  • нанимают агентов;
  • используют на сайте сервисные программы других разработчиков для бронирования или обработки платежей.

И даже не догадываются, что все это случаи «обработки персональных данных другим лицом по поручению оператора» (ч. 3 ст. 6 152-ФЗ). Делать такое разрешается только с согласия гостя, и получить его нужно до начала обработки ПД.

Например, в форме бронирования гость может ставить галочку в поле «Даю согласие на передачу персональных данных «название владельца сервиса бронирования» в целях оформления бронирования».

Санкции и штрафы

За нарушение требований к обработке ПД гостинице грозит административная ответственность по ст. 13.11 КоАП РФ. Если гостиница не разместила в свободном доступе информацию о политике обработки персональных данных, возможен штраф по ч. 3 ст. 13.11 КоАП РФ: должностным лицам — от 6 тыс. до 12 тыс. руб.; юридическим лицам — от 30 тыс. до 60 тыс. руб. К счастью, ИП штраф за это не грозит, так как у него нет обязанности издавать и размещать политику обработки ПД.

Если гостиница собирает и обрабатывает данные, которые не совместимы с целями оказания гостиничных услуг, например, сведения о вероисповедании, семейном положении и др., предусмотрен штраф по ч. 1 ст. 13.11 КоАП РФ: юридическим лицам — от 60 тыс. руб. до 100 тыс. руб., должностным лицам — от 20 тыс. до 25 тыс. руб.

Если гостиница не уничтожит по требованию гостя ПД в установленные сроки, то возможен штраф по ч. 5 ст. 13.11 КоАП РФ: должностным лицам — от 8 тыс. до 20 тыс. руб.; индивидуальным предпринимателям — от 20 тыс. до 40 тыс. руб.; юридическим лицам — от 50 тыс. до 90 тыс. руб.

Уголовная ответственность по ч. 2 ст. 137 УК РФ предусмотрена, если сотрудник гостиницы, ответственный за обработку ПД гостей, злоупотреблял своими служебными полномочиями, собирал и распространял сведения об их частной жизни.

Контур.Отель — облачный сервис для отелей, хостелов, гостиниц, гостевых домов, санаториев и апартаментов. С ним можно управлять номерным фондом, получать брони с сайта отеля и площадок бронирования, а также представлять сведения в МВД о гостях через интернет. Оцените возможности сервиса во время бесплатного периода — оставьте заявку на сайте.

Реклама, 16+, АО «ПФ «СКБ Контур», ОГРН 1026605606620, kontur.ru/hotel

Об авторе:

Наталья Расторгуева, эксперт сервиса Контур.Отель (входит в Контур, экосистему продуктов для бизнеса).

расторгуева.jpg

Эксперт в области миграционного и регистрационного учета со стажем работы в паспортно-визовой службе и ФМС более 22 лет, подполковник внутренней службы в отставке.

Поделиться публикацией
Смотрите также
КАК ОТЕЛЮ УВЕЛИЧИТЬ ДОХОД НА ВСЁМ ПУТИ ГОСТЯ — ОТ БРОНИРОВАНИЯ ДО ВЫСЕЛЕНИЯ. ИНСТРУКЦИЯ HORECA...
КАК ОТЕЛЮ РАБОТАТЬ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Какие функции должны быть в модуле бронирования
Подписаться на еженедельную рассылку Hotelier.Pro
Комментарии