Наталья Расторгуева, эксперт Контур.Отеля, пообщалась с Михаилом Хохолковым, руководителем практики «Медиаправо» юридической фирмы INTELLECT, экспертом Центра компетенций по направлению «Персональные данные» Роскомнадзора по УрФО. По итогам разговора получилась подробная памятка для отельеров, как работать с персональными данными (ПД), чтобы избежать нарушений.
Любая гостиница или отель — это операторы персональных данных (ОПД). Они обязаны соблюдать требования Федерального закона от 27.07.2006 № 152-ФЗ, иначе рискуют получить многотысячные штрафы. С 1 сентября 2022 года и с 1 марта 2023 года в 152-ФЗ появились серьезные изменения, которые касаются всех ОПД.
С чего начать обработку ПД
Сначала нужно составить перечень всех персональных данных, которые отель получает от посетителей, работников и партнеров. Это могут быть:
- фамилия, имя, отчество;
- паспортные данные, ИНН, СНИЛС;
- адрес регистрации и проживания;
- телефон;
- email;
- биометрические данные, например, отпечаток пальца как ключ для входа в номер.
По закону объем ПД должен ограничиваться целями обработки (ч. 2 ст. 5 152-ФЗ). То есть нельзя собирать о человеке личную информацию, не связанную с конкретным процессом. Например, запрашивать адрес страницы в соцсетях при заселении в гостиницу.
Следующим шагом будет привязка всех ПД к конкретным бизнес-процессам и целям обработки. Например, процессы: бронирование, проживание, передача в МВД сведений о проживающих, оказание дополнительных услуг, рассылка рекламных материалов. Результаты нужно отразить в Политике обработки персональных данных, где по каждой цели необходимо указать:
- перечень ПД и их категории — общие, специальные, биометрические;
- категории субъектов персональных данных — гости, партнеры, работники;
- способы обработки ПД — автоматизированный, неавтоматизированный, смешанный;
- сроки обработки — до достижения целей или конкретные сроки (3–5 лет);
- порядок уничтожения ПД.
Какие документы нужно разработать
Политика персональных данных в том или ином виде должна быть у каждого оператора. Юридические лица обязаны оформить ее в виде локального акта (п. 2 ч. 1 ст. 18.1 152-ФЗ). ИП тоже будет полезно регламентировать процессы, связанные с обязанностями по обработке персональных данных.
Какие документы могут понадобиться, кроме Политики:
- положение о персональных данных;
- приказ о назначении ответственных за организацию обработки ПД — для юрлиц;
- акт оценки вреда субъекту ПД (приказ Роскомнадзора от 27.10.2022 № 178);
- согласия гостей на обработку ПД;
- должностные инструкции сотрудников, где прописаны их действия в отношении ПД гостей и другие акты, приказы, листы ознакомления.
Не пользуйтесь чужими документами или типовыми формами из интернета. У каждого оператора ПД есть своя специфика и свои процессы обработки. Кроме того, есть риск продублировать чужие ошибки. При разработке документов не стесняйтесь консультироваться в местном отделении Роскомнадзора.
Как уведомить РКН
С 1 сентября 2022 года почти все операторы персональных данных должны быть зарегистрированы в государственном Реестре. Исключений из этого правила всего три по ч. 2 ст. 22 152-ФЗ, и гостиницы под них не попадают.
Для включения в Реестр нужно подать уведомление в Роскомнадзор по форме на сайте ведомства. Удобнее всего это делать через Госуслуги, поэтому любой гостинице пригодится личный кабинет в ЕСИА. Если у вас его нет, зарегистрируйте. Он вам пригодится для всех случаев взаимодействия с Роскомнадзором. Уведомление об обработке персональных данных лучше направить после того, как будут разработаны и утверждены все локальные нормативные акты по работе с ПД.
Если вы есть в Реестре, проверьте, нужно ли вам актуализировать информацию в нем. С 26 декабря 2022 года изменилась форма уведомления (приказ Роскомнадзора от 28.10.2022 № 180). Если в Реестре содержатся неполные или устаревшие данные о вас, подайте уведомление об изменении по форме на сайте Роскомнадзора.
С 1 марта 2023 года сообщать об изменении сведений в Реестре нужно до 15-го числа следующего месяца (ч. 7 ст. 22 152-ФЗ). До этого оператор должен был уведомлять Роскомнадзор в течение 10 рабочих дней.
Как разработать форму согласия на обработку ПД
Обрабатывать персональные данные можно только в двух случаях:
- есть согласие субъекта ПД или его законного представителя (п.1 ч. 1 ст. 6 152-ФЗ);
- или обработка требуется по закону (п.п. 2–11 ч. 1 ст. 6 152-ФЗ) — в этом случае не нужно получать согласие субъекта ПД. Например, при передаче данных в МВД и исполнении договора на проживание.
Согласие должно быть оформлено в письменном виде в предусмотренных 152-ФЗ случаях, особенно при обработке специальных или биометрических ПД и при распространении ПД. В остальных случаях согласие можно принять в любой форме, позволяющей оператору подтвердить его получение. Например, если гость бронирует номер в интернете, он может поставить галочку в поле «Даю согласие на обработку персональных данных» на сайте.
На сайте Роскомнадзора доступен сервис для разработки согласия на обработку ПД, разрешенных для распространения.
Что важно знать:
- Согласие не может быть бессрочным или на 50–75 лет. Срок обработки ПД ограничивается достижением целей их использования или законом.
- Невозможно на практике получить одно согласие на все цели, поэтому лучше разработать несколько форм для разных бизнес-процессов: бронирования, передачи платежной информации, рассылки маркетинговых предложений.
- Лучше оформить согласие на отдельном бланке, а не включать его в карту гостя.
- Всегда нужно следить за сроком действия согласия. Если он истек, нужно получить новое или уничтожить ПД.
- Согласие на обработку ПД для детей до 14 лет может дать только их законный представитель. Это родитель, усыновитель, опекун, попечитель. Подростки в возрасте 14–18 лет заполняют этот документ сами, но с разрешения законных представителей. Если отель бронируется для делегации с детьми, например, для детской спортивной команды, то лучше получить согласия на обработку ПД от всех родителей заранее.
Согласие на обработку ПД получают до начала обработки. Удобно размещать его форму там, где начинается сбор персональных данных. Например, при входе в личный кабинет на сайте или на стойке администратора отеля при заселении.
Универсальное правило: «Если сомневаетесь, нужно ли согласие на обработку, всегда получайте согласие».
В ближайшее время выйдет продолжение статьи о персональных данных.
Контур.Отель — облачный сервис для отелей, хостелов, гостиниц, гостевых домов, санаториев и апартаментов. С ним можно управлять номерным фондом, получать брони с сайта отеля и площадок бронирования, а также представлять сведения в МВД о гостях через интернет. Оцените возможности сервиса во время бесплатного периода — оставьте заявку на сайте.
Реклама, 16+, АО «ПФ «СКБ Контур», ОГРН 1026605606620, kontur.ru/hotel
Об авторе:
Наталья Расторгуева, эксперт сервиса Контур.Отель (входит в Контур, экосистему продуктов для бизнеса).
Эксперт в области миграционного и регистрационного учета со стажем работы в паспортно-визовой службе и ФМС более 22 лет, подполковник внутренней службы в отставке.