Защита персональных данных в гостиницах и санаториях — сложный и многоплановый процесс. Эти организации обязаны не просто зарегистрироваться в Роскомнадзоре в качестве операторов, но и соблюдать множество требований и ограничений, обозначенных в Законе № 152-ФЗ. Не имеет значения, кто является владельцем, какова форма собственности, сколько человек одновременно может принять гостиница.
Необходимо напомнить, что помимо этого все учреждения, работающие с персональными данными, в своей деятельности обязаны учитывать положения следующих нормативных актов:
- ПП № 1119 от 01.11.2012 г., № 687 от 15.09.2008 г., № 211 от 21.02.2012 г., 607 от 20.07.2013, № 911 от 06.09.2014. В этих документах приводится описание актуальных угроз и соответственно тех уровней защиты, которые помогут их минимизировать. Также постановления правительства регламентируют обработку персональных данных «на бумаге» и с использованием автоматизированных средств;
- Приказы ФСТЭК России № 17 от 11.02.2013 г. (ред. от 15.02.2017 г.), № 21 от 18.02.2013 г. Данные документы определяют, какие меры организационного и технического характера обязаны предпринимать операторы, чтобы ПДн были под надежной защитой.
Какие требования законодательства нужно соблюдать при обработке персональных данных в гостинице?
Гражданин, прибыв с гостиницу, на ресепшн заполняет анкету и предоставляет свои персональные данные:
- фамилию, имя, отчество (при наличии);
- адреса: постоянной регистрации и фактического проживания;
- гражданство.
Дополнительно гостиница может запросить номер контактного телефона (для рассылки необходимой информации) и дату рождения (например, чтобы поздравить).
Формально в Законе № 152-ФЗ не указано, какие данные может собирать тот или иной оператор. Предполагается, что ПДн — это любая информация, позволяющая однозначно идентифицировать гражданина.
Но, если сотрудники при заселении постояльца ограничатся только заполнением анкеты, они нарушат положения Закона № 152-ФЗ. Они обязаны:
- Получить у гостя согласие на обработку персональных данных
- При разработке документа необходимо руководствоваться требованиями и рекомендациями Роскомнадзора.
Возможны следующие варианты получения согласия:
- непосредственно на сайте отеля. В этом случае нельзя забывать о фразе «Даю свое добровольное согласие на обработку персональных данных» и окошке, в котором его предстоит подтвердить. И обязательно здесь же размещают ссылку на текст Политики в сфере обработки данных;
- в бумажном варианте. В этом случае Политику следует предоставлять по запросу. Лучшее ее разместить в пределах визуальной досягаемости, чтобы постоялец мог ее прочитать.
Вне зависимости от того, каким способом клиент выражает свое согласие, он имеет право знать, какие данные и для чего собирает гостиница, как их будут обрабатывать, где хранить и кому пересылать
Политика защиты персональных данных в гостинице
Предоставить на ознакомление политику в вопросах обработки и защиты персональных данных в гостинице
Этот документ обязательно должен быть в любой компании, связанной с обработкой персональных данных. Утверждает его руководитель юрлица или непосредственно индивидуальный предприниматель.
Можно скачать готовый документ в интернете, посмотреть политики на сайтах других гостиниц или обратиться к юристу для подготовки собственного варианта. В любом случае важно обозначить:
- права и обязанности сторон при обработке персональных данных;
- кому и с какой целью гостиница планирует пересылать или передавать ПДн.
Также клиент должен знать, где можно ознакомиться с Политикой. Сотрудники на стойке регистрации не должны отделываться фразами, что «документ стандартный, ничего нового в нем нет». Лучше лишний раз предложить постояльцу его прочитать, чтобы потом не получать претензии и не отвечать на запросы из Роскомнадзора.
Использовать персональные данные исключительно в соответствии с заявленными целями
Получение данных от клиента и внесение их в информационную базу не означает, что в дальнейшем сотрудники гостиницы могут распоряжаться ими на свое усмотрение.
Виды нарушений при работе с персональными данными гостей
Чаще всего встречаются следующие виды нарушений в данной сфере:
- запрос избыточной информации: о составе семьи, возрасте, месте работы, паспортных данных и т. д.;
- СМС-информирование или рассылка сообщений на e-mail постояльца о проводимых акциях, скидках на бронирование. Чтобы не нарушать законодательство, необходимо предварительно получить согласие клиента в письменном виде;
- передача ПДн своим партнерам или любым третьим лицам, например, службам такси, доставки и т. д. Здесь также требуется согласие постояльца. И словесного заверения недостаточно. В случае конфликта Роскомнадзор и суд примут к сведению только согласие в письменном виде.
Как соблюдать права клиентов в сфере обработки персональных данных?
Постоялец имеет право знать, где хранятся его данные, какие средства используются для их обработки. Он может в любой момент:
- отозвать свое согласие на обработку даже при условии, что он только заселился;
- потребовать скорректировать устаревшие данные или заблокировать их;
- потребовать, чтобы его номер телефона удалили из базы гостиницы и т. д.
И сотрудники принимающей стороны подобные требования обязаны исполнять неукоснительно и незамедлительно. То, что от этого могут пострадать бизнес-процессы гостиницы, не имеет значения.
Подходы к защите персональных данных в гостинице
Защита персональных данных в гостинице: требования к техническим средствам обработки информации
Правильно собрать персональные данные недостаточно. Необходимо еще соблюсти требования к средствам хранения, пересылки, обработки.
Например, необходимо:
- установить антивирусные программы на все ПК, используемые для обработки персональных данных. Особенно это актуально для рабочих станций и серверов, имеющих выход в интернет;
- шифровать данные перед пересылкой кому-либо, в том числе между подразделениями одной компании;
- ограничить доступ к ПК, предназначенным для обработки данных. Руководству гостиницы следует заранее сформировать перечень лиц, работающих с ПДн. Никто из остальных сотрудников не должен иметь доступа к информационным системам;
- установить на все ПК DPL-системы, предотвращающие утечку данных даже при хакерских атаках;
- хранить данные только на серверах, расположенных в России.
Полный перечень требований именно к программному и техническому обеспечению, организационной структуре оператора приведен в Приказах ФСТЭК России № 17 от 11.02.2013 г. (ред. от 15.02.2017 г.), № 21 от 18.02.2013 г. Еще один важный документ — Приказ ФСБ РФ от 10.07.2014 № 378.
Руководству гостиницы важно понимать, что любой инцидент, связанный с утечкой персональных данных, их неправомерным использованием, чреват не только штрафами, но и потерей репутации.
Особенности обмена персональными данными с внешними системами бронирования
Для привлечения дополнительных клиентов (туристов, командировочных и т. д.) гостиницы, хостелы, санатории сотрудничают с внешними системами бронирования номеров и иных услуг.
И здесь, чтобы не нарушать закон «О персональных данных» необходимо учитывать следующие моменты:
- если информационный обмен производится по незащищенным каналам данных (через интернет), необходимо использовать средства защиты данных, обозначенные в приказах ФСТЭК и ФСБ;
- перед непосредственно пересылкой необходимо информировать клиента о возможности несанкционированного доступа к данным и получить у него разрешение (в письменном виде) на эту процедуру;
- гостиница может передавать данные постояльцев третьим лицам (ресторанам, системам бронирования, службам такси и т. д.) при условии, что клиент дал на это письменное согласие, а между оператором и внешним исполнителем заключен договор с обязательным пунктом о защите ПДн. Если гостиница пересылает третьим лицам данные своих работников, дополнительно нужно соблюдать требования ст. 88 ТК РФ.
Отдельно стоит рассмотреть вопрос с трансграничной передачей персональных данных. Изменения в данной части актуальны с сентября 2022 года. Наиболее важные моменты:
- о каждом случае трансграничной пересылки ПДн нужно информировать Роскомнадзор. В уведомлении обязательно указывают цель передачи информации, кто является субъектом ПДн, к какой категории он относится и т. д. Не менее важно обозначить полное наименование компании-оператора, но и ФИО лица, персонально отвечающего за обработку и пересылку данных;
- если страна-получатель ПДн входит в особый реестр Роскомнадзора, информацию можно пересылать сразу после отправки уведомления. Если же принимающее государство не ратифицировало Конвенцию Совета Европы о защите физлиц при обработке ПД в автоматизированном режиме, между отправкой уведомления и собственно пересылкой должно пройти не менее 10 дней. И сделать это можно будет только в том случае, если от Роскомнадзора не поступит прямой запрет. Основание — ст. 12 Федерального закона № 152-ФЗ.
Важно отметить, что информация о странах, гарантирующих защиту персданных, не является статичной. Ее необходимо уточнять перед каждой трансграничной передачей на основании Приказа Роскомнадзора от 15.03.2013 года № 274.
Особенности защиты персональных данных о состоянии здоровья в санаториях
В силу специфики своей деятельности медучреждения становятся операторами ПДн. И соответственно, они обязаны работать с учетом положений Закона № 152-ФЗ. Любая больница, поликлиника, санаторий, профилакторий обязаны:
- разработать политику в сфере защиты персданных и разместить ее в свободном доступе;
- брать у пациентов согласие на обработку ПДн. Если предстоит обработка биометрических данных, согласие нужно получить в письменном виде. Основание — ст. 11 Закона № 152-ФЗ;
- информировать Роскомнадзор обо всех случаях трансграничной пересылки данных с обоснованием их необходимости.
Если пациент не дал свое согласие, никакие действия, связанные с обработкой данных в силу их специфики, не допускаются. Отступления от этого правила допускаются в ситуациях, когда речь идет о спасении жизни и здоровья, а получение согласия невозможно по объективным причинам. Основание — ст. 10 Закона № 152-ФЗ.
Обработка без согласия возможна и в случае, если речь идет о профилактике заболеваний, постановке диагноза, оказании иных услуг медицинского характера. Но в данном случае лицо, занимающееся обработкой ПДн, должно подписать соглашение о неразглашении врачебной тайны. Ее содержание регламентируется Законом № 323-ФЗ.
Отдельно стоит рассмотреть вопрос с передачей информации о пациенте, состоянии его здоровья третьим лицам. В соответствии со ст. 7 Закона № 152-ФЗ это можно делать только, заручившись согласием субъекта ПДн. Но возможны и исключения, приведенные в п. 3 ст. 13 Закона, например:
- пациенту требуется срочное лечение, но он в силу своего состояния не может дать согласие на медицинское вмешательство;
- есть угроза распространения эпидемии, в том числе инфекционного заболевания;
- поступил запрос от правоохранительных органов, прокуратуры, следственного комитета, суда и т. д.;
- есть основания предполагать, что на пациента совершено покушение, его жизни и здоровью причинен умышленный вред. Информацию об этом обязательно передают в правоохранительные структуры.
Непосредственно пациент и его законные представители (в случае с лицами, не достигшими 15 лет) имеют право знакомиться с документацией медицинского характера. Основание — п. 5 ст. 22 Федерального закона № 323-ФЗ. Непосредственно порядок предоставления информации прописан в Приказе Минздравсоцразвития РФ от 02.05.2012 № 441н.
Короткие выводы
1. Гостиницы, хостелы, базы отдыха, санатории, медицинские учреждения любого типа являются операторами персональных данных и обязаны работать в соответствии с требованиями Закона № 152-ФЗ.
2. Перед обработкой персональных данных необходимо получить согласие клиента на подобные действия. Исключение делается для медучреждений, когда пациент, например, находится в коме, состоянии тяжкого алкогольного или наркотического опьянения.
3. В гостинице или санатории в обязательном порядке необходимо разработать политику в сфере защите персональных данных. Любой желающий должен иметь возможность ознакомиться с ней в удобном для себя формате.
4. При выборе технических средств и программного обеспечения для обработки ПДн нужно учитывать требования ФСТЭК и ФСБ.
5. До начала трансграничной передачи данных нужно составить и отправить соответствующее уведомление в Роскомнадзор.