
Когда гость бронирует номер по телефону, у стойки или на сайте отеля, он оставляет свои персональные данные: фамилию, имя, год рождения, номер телефона, паспорта и т. д. По закону «О защите персональных данных» №152-ФЗ от 27.07.2006 года эта информация относится к персональным данным и требует специальной защиты.
В статье рассказываем, как работать с ПД — персональными данными, — не нарушая закон: какие документы подготовить, что учесть и где быть особенно внимательными, чтобы не получить штраф. Разобраться в теме помогла гостиничный юрист Анастасия Королева.
* Информация про работу с персональными данными актуальна на дату выхода статьи.
1. Попросите гостя на сайте дать активное согласие на обработку персональных данных

Активное согласие — это совершение действия. В случае согласия на обработку персональных данных на сайте это значит, что гость ставит галочку «я согласен» сам.
Политика обработки ПД всегда должна быть в свободном доступе на сайте отеля, чтобы гость в любой момент мог ее перечитать. Обычно документ помещают в подвал сайта — блок внизу страницы, который видно в каждом разделе.
2. Возьмите у гостя при заезде подробное письменное согласие на обработку ПД

Что должно включать в себя такое согласие:
- ФИО, адрес прописки и паспортные данные гостя.
- Данные оператора ПД, то есть отеля: наименование юрлица или ИП и юридический адрес.
- Какие ПД гостя вы планируете обрабатывать: пол, дата рождения и так далее.
- С какой целью вы обрабатываете ПД: например, «в целях оказания гостиничных услуг».
- Какие действия планируете совершать с ПД. Расскажите, что подразумеваете под словом «обработка»: сбор, хранение, передача, обезличивание и т. д.
- Как долго данные гостя будут у вас храниться. Как правило, этот срок должен соответствовать целям обработки персональных данных.
- Каким способом гость может отозвать согласие на обработку ПД.
- Подпись гостя.
Если вы планируете передавать персональные данные гостей третьим лицам, на такие действия обязательно запрашивать отдельное согласие.
3. Подготовьте документацию с учетом всех нюансов бизнес-процессов, чтобы работать по закону

Стандартный пакет документов, который поможет отелю работать законно онлайн и офлайн:
- политика обработки ПД для сайта;
- положение об обработке ПД;
- согласия гостей на обработку ПД;
- приказы о назначении ответственных;
- должностные инструкции сотрудников, где прописаны их действия в отношении ПД гостей;
- другие документы, которые утверждают порядок работы с ПД в отеле.
4. Предоставьте субъектам ПД доступ к информации о том, как обрабатываются их данные

Охраняться должны персональные данные как сотрудников отеля, так и гостей. И те, и другие должны иметь доступ к той части политики, которая касается их: гостям не обязательно знать, как отель обрабатывает ПД своих сотрудников.
Хранить такие данные нужно отдельно друг от друга: желательно в разных помещениях, разных шкафах или сейфах.
5. Закрепите документально место хранения и ответственных

Где какие документы хранятся, должно быть написано в приказе. Например, вы решили хранить бумажные ПД гостей в специальном сейфе в здании отеля. В приказе так и напишите: персональные данные гостей хранятся по адресу г. Рязань, ул. Иванова, 7, каб. 2, сейф №5, ответственный — Иванов И. И.
И так — по каждому виду ПД: папки с бумажными согласиями, жесткие диски ПЭВМ, жесткие диски серверов и т. д.
6. Убедитесь, что сотрудник понимает, что он должен делать в сфере защиты ПД

Важно не просто прописать обязанности в инструкции, ввести их в действие приказом и письменно ознакомить сотрудника, но и быть уверенным, что он действительно понимает алгоритм действий по защите ПД и зону своей ответственности.
7. Что нужно, чтобы соблюдать законодательство в сфере ПД

- Проанализировать бизнес-процессы в гостинице, чтобы учесть их в документах.
- Подготовить полный пакет документов: политику конфиденциальности, согласия, приказы о назначении ответственных, другие кадровые документы.
- Уведомить Роскомнадзор о том, что отель является оператором персональных данных.
- Обучить персонал.
- Следить за выполнением требований закона и вовремя вносить изменения при необходимости.
8. Укажите в политике, что гость может отозвать свои ПД в любой момент

Можно разработать специальную форму для отзыва персональных данных или просто указать, что должен написать гость в таком заявлении.
В обоих случаях распишите, по каким реквизитам нужно направить документ: например, электронная почта, мессенджер, почтовый адрес.
9. Защищайте данные гостей и сотрудников не только ради закона

Утечка ПД — это не только нарушение закона, но и репутационные риски. Гость не захочет приезжать в отель, зная, что доступ к его паспорту могут получить мошенники.
Чтобы действовать по закону, в документации важно учитывать все детали бизнес-процессов вашего отеля и нюансы работы с персональными данными.
В стандартных шаблонах из интернета — только базовые положения. Документы станут рабочими, только если будут изготовлены индивидуально для каждой гостиницы.
Ссылка на оригинальную версию статьи.