Обработка персональных данных туриста.
Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников и клиентов. Не исключение в данном случае и организации, оказывающие услуги в сфере туризма и путешествий.
В соответствии со статьей 10 Федерального закона от 24.11.1996 № 132-ФЗ "Об основах туристской деятельности в Российской Федерации" турист, в целях заключения и надлежащего исполнения договора с турагентом, передает последнему сведения о себе в объеме, необходимом для реализации турпродукта. Таким образом, турагент является оператором, осуществляющим обработку персональных данных туриста.
Что такое персональные данные туриста?
Согласно пункту 1 статьи 3 Федерального закона о персональных данных персональные данные − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных),
К персональным данным туриста относятся сведения о нем, необходимые для реализации туристского продукта. Перечень необходимых сведений о туристе турагент определяет самостоятельно. Чаще всего к ним относятся: фамилия, имя, отчество туриста, данные общегражданского паспорта, данные загранпаспорта, пол, дата рождения, гражданство, номер телефона и другие персональные данные.
Согласие туриста на обработку персональных данных.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных должна соответствовать определенным целям. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Цель определяется в договоре между туристом и турагентом, например для оказания услуг туристу по подбору и предоставлению ему туристского продукта.
Оператор должен четко определить состав персональных данных, подлежащих обработке и способ обработки. Выделяют несколько способов обработки:
- автоматизированная обработка − обработка персональных данных с помощью средств вычислительной техники, информационно-вычислительных комплексов и сети, средств и систем передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программных средств (операционные системы, системы управления базами данных и т.п.), применяемых в информационных системах;
- неавтоматизированная обработка – обработка персональных данных, использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляется при непосредственном участии человека;
- смешенная обработка (наличие автоматизированной и неавтоматизированной обработки одновременно).
Важно различать туриста и заказчика туристского продукта, не всегда - это одно лицо, и чаще всего бывает, что заказчик (он же турист) заказывает тур на несколько человек. Согласие на обработку персональных данных несовершеннолетнего туриста дает его законный представитель.
Обработка персональных данных осуществляется с согласия субъекта персональных данных (туриста) на обработку его персональных данных. Согласие не требуется, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Права и обязанности оператора персональных данных. Какие нормативные документы должны быть приняты в организации?
Оператор (турагент) при обработке персональных данных обязан принимать необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) и принятыми в соответствии с ним нормативными правовыми актами, в том числе необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от неправомерных действий в отношении персональных данных.
Согласно статье 7 Федерального закона Операторы и иные лица, получившие доступ к персональным данным. Обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Вопрос конфиденциальности персональных данных туриста должен ставиться не только в отношениях между туристом и турагентом, но и между турагентом и туроператором. Агентский договор должен обязательно содержать условие о конфиденциальности передаваемых туроператору персональных данных туриста.
Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных устанавливаются приказом ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и приказом ФСБ России от 10.07.2014 № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
Права и обязанности субъекта персональных данных.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.