КАК РАБОТАТЬ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В ГОСТИНИЦЕ

Когда гость бронирует номер по телефону, у стойки или на сайте отеля, он оставляет свои персональные данные: фамилию, имя, год рождения, номер телефона, паспорта и т. д. По закону «О защите персональных данных» №152-ФЗ от 27.07.2006 года эта информация относится к персональным данным и требует специальной защиты.

В статье рассказываем, как работать с ПД — персональными данными, — не нарушая закон: какие документы подготовить, что учесть и где быть особенно внимательными, чтобы не получить штраф. Разобраться в теме помогла гостиничный юрист Анастасия Королева.

* Информация про работу с персональными данными актуальна на дату выхода статьи.

1. Попросите гостя на сайте дать активное согласие на обработку персональных данных

Активное согласие — это совершение действия. В случае согласия на обработку персональных данных на сайте это значит, что гость ставит галочку «я согласен» сам.

Политика обработки ПД всегда должна быть в свободном доступе на сайте отеля, чтобы гость в любой момент мог ее перечитать. Обычно документ помещают в подвал сайта — блок внизу страницы, который видно в каждом разделе.

2. Возьмите у гостя при заезде подробное письменное согласие на обработку ПД

Что должно включать в себя такое согласие:

• ФИО, адрес прописки и паспортные данные гостя.
• Данные оператора ПД, то есть отеля: наименование юрлица или ИП и юридический адрес.
• Какие ПД гостя вы планируете обрабатывать: пол, дата рождения и так далее.
• С какой целью вы обрабатываете ПД: например, «в целях оказания гостиничных услуг».
• Какие действия планируете совершать с ПД. Расскажите, что подразумеваете под словом «обработка»: сбор, хранение, передача, обезличивание и т. д.
• Как долго данные гостя будут у вас храниться. Как правило, этот срок должен соответствовать целям обработки персональных данных.
• Каким способом гость может отозвать согласие на обработку ПД.
• Подпись гостя.

Если вы планируете передавать персональные данные гостей третьим лицам, на такие действия обязательно запрашивать отдельное согласие.

3. Подготовьте документацию с учетом всех нюансов бизнес-процессов, чтобы работать по закону

Стандартный пакет документов, который поможет отелю работать законно онлайн и офлайн:

• политика обработки ПД для сайта;
• положение об обработке ПД;
• согласия гостей на обработку ПД;
• приказы о назначении ответственных;
• должностные инструкции сотрудников, где прописаны их действия в отношении ПД гостей;
• другие документы, которые утверждают порядок работы с ПД в отеле.

4. Предоставьте субъектам ПД доступ к информации о том, как обрабатываются их данные

Охраняться должны персональные данные как сотрудников отеля, так и гостей. И те, и другие должны иметь доступ к той части политики, которая касается их: гостям не обязательно знать, как отель обрабатывает ПД своих сотрудников.

Хранить такие данные нужно отдельно друг от друга: желательно в разных помещениях, разных шкафах или сейфах.

5. Закрепите документально место хранения и ответственных

Где какие документы хранятся, должно быть написано в приказе. Например, вы решили хранить бумажные ПД гостей в специальном сейфе в здании отеля. В приказе так и напишите: персональные данные гостей хранятся по адресу г. Рязань, ул. Иванова, 7, каб. 2, сейф №5, ответственный — Иванов И. И.

И так — по каждому виду ПД: папки с бумажными согласиями, жесткие диски ПЭВМ, жесткие диски серверов и т. д.

6. Убедитесь, что сотрудник понимает, что он должен делать в сфере защиты ПД

Важно не просто прописать обязанности в инструкции, ввести их в действие приказом и письменно ознакомить сотрудника, но и быть уверенным, что он действительно понимает алгоритм действий по защите ПД и зону своей ответственности.

7. Что нужно, чтобы соблюдать законодательство в сфере ПД

• Проанализировать бизнес-процессы в гостинице, чтобы учесть их в документах.
• Подготовить полный пакет документов: политику конфиденциальности, согласия, приказы о назначении ответственных, другие кадровые документы.
• Уведомить Роскомнадзор о том, что отель является оператором персональных данных.
• Обучить персонал.
• Следить за выполнением требований закона и вовремя вносить изменения при необходимости.

8. Укажите в политике, что гость может отозвать свои ПД в любой момент

Можно разработать специальную форму для отзыва персональных данных или просто указать, что должен написать гость в таком заявлении.

В обоих случаях распишите, по каким реквизитам нужно направить документ: например, электронная почта, мессенджер, почтовый адрес.

9. Защищайте данные гостей и сотрудников не только ради закона

Утечка ПД — это не только нарушение закона, но и репутационные риски. Гость не захочет приезжать в отель, зная, что доступ к его паспорту могут получить мошенники.

Чтобы действовать по закону, в документации важно учитывать все детали бизнес-процессов вашего отеля и нюансы работы с персональными данными.

В стандартных шаблонах из интернета — только базовые положения. Документы станут рабочими, только если будут изготовлены индивидуально для каждой гостиницы.

Ссылка на оригинальную версию статьи.