Алгоритм Безапосности: издание для профессионалов
Санкт-Петербург:
тел./факс: (812) 331-12-60 office@algoritm.org
Москва:
тел./факс: (499) 641-05-26moscow@algoritm.org

Главная
Новости
О журнале
Архив
Свежий номер
Реклама
Подписка
Контакты
Сотрудничество
 

Если вы хотите стать распространителем нашего журнала

 
 
 
 
 

"Алгоритм Безопасности" № 3, 2017 год.

Содержание

Защита персональных данных в гостиничном бизнесе
П.А. Мельников


ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В ГОСТИНИЧНОМ БИЗНЕСЕ

Мельников Павел Александрович

генеральный директор консалтинговой компании Pointlane

Многие предприниматели опасаются федерального закона № 152 «О персональных данных». Особенно остро на введение новых норм обработки персональных данных отреагировали представители туристического бизнеса, ведь новые положения обязали их изменить способ работы и хранения документации. Учитывая это, всем операторам дали время на перестройку.

Действительно, этот законопроект был принят еще в 2006 году, правительство, как могло, смягчало переход к новым нормам - в окончательную силу он вступил только в 2011 году. Однако до сих пор многие предприниматели опасаются, а что страшнее - не понимают всех требований и специфики этого законодательного акта. В этой статье я разберу основные требования законодательства, регламентирующего работу с персональными данными, которые должны быть реализованы в гостиничном бизнесе.

ПОЧЕМУ НУЖЕН ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ?

Лето - пора отдыха и отпусков. Путешествуя по разным городам и странам, люди вынуждены останавливаться в отелях. Одной из стандартных процедур при заселении в гостиницу является предоставление клиентом ксерокопии паспорта. А теперь взглянем на статистику. В одной Москве, по данным сервиса trivago.ru, более 4500 гостиниц. То есть в одной Москве ежедневный туристический поток составляет десятки тысяч человек.

В большинстве отелей для заселения клиент обязан предоставить скан-копию своего паспорта. Также в распоряжении сотрудников отеля оказываются и контактные данные клиента.

На черном рынке есть огромное количество лиц, заинтересованных в приобретении копий паспортов. Злоумышленники используют их для мошеннических схем с кредитами, подтверждения личности на различных сайтах (вплоть до сайта Госуслуг) и для шантажа скомпрометированного человека.

Соответственно, есть и определенные ресурсы, занимающиеся продажей этих скан-копий. В итоге недобросовестные сотрудники или недостаточная система защиты одного отеля могут скомпрометировать тысячи клиентов.

Вот несколько примеров из реальной жизни. К нашим партнерам обратилось руководство одной из гостиниц, которое желало проверить безопасность защитной системы организации. Настройка политик была вначале произведена для отслеживания мошеннических действий, а в DLP-системе организации -отслеживания движения скан-копий паспортов. В итоге специалистам удалось установить сотрудницу отеля, которая продавала эти копии на специализированных площадках.

В то же время в другой гостинице бесплатный Wi-Fi, предоставляемый клиентам, не был отделен от рабочей сети заведения. А все рабочие документы, в том числе и содержащие персональные данные клиентов, были общедоступными. Таким образом, из-за невнимательности системного администратора получить доступ ко всей информации об отеле и его гостях мог любой желающий.

Если бы оба этих случая получили широкую огласку, авторитет и репутация заведений были бы поставлены под угрозу, а упущенная прибыль составила бы десятки тысяч. Однако своевременное обращение к специалистам позволило компаниям сохранить репутацию.

КАК ПОДСТРОИТЬ СВОЙ БИЗНЕС ПОД ВСЕ ТРЕБОВАНИЯ ЗАКОНА?

Деятельность организаций, занимающихся сбором и обработкой персональных данных, контролируют ФСБ, Роскомнадзор и Федеральная служба по техническому и экспортному контролю (ФСТЭК). Однако непосредственно с оператором (государственный или муниципальный орган, юридическое или физическое лицо, организующее или осуществляющее обработку персональных данных с определенными целями) общается Роскомнадзор. Его же оператор и обязан предупреждать о том, что занимается автоматизированной обработкой персональных данных.

В последнем определении удельный вес имеет понятие «автоматизированный». Документы и данные, предоставляемые организации клиентами, могут храниться как в электронном виде, так и на материальных носителях. Для каждого типа документооборота у контролирующего органа есть свои требования.

Согласно постановлению правительства РФ № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», к этому типу обработки относится работа с персональными данными, если такие действия с ними, как использование, уточнение, распространение, уничтожение в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

В этом случае для оператора вводятся следующие требования:

■ Персональные данные должны быть обособлены от иной информации, в частности - на отдельных материальных носителях.

■ В то же время на одном материальном носителе не могут храниться персональные данные, цели обработки которых заведомо отличаются. То есть, если персональные данные клиента нужны вам для разных целей - их нужно хранить на двух (или более, в зависимости от количества целей) материальных носителях, отдельно друг от друга.

■ Лица, непосредственно осуществляющие обработку персональных данных (это могут быть сотрудники оператора или же сотрудники компании, осуществляющей обработку по договору с оператором), должны быть проинформированы о самом факте обработки ими персональных данных. Также руководство компании должно провести с ними инструктаж о категориях обрабатываемых данных и всех особенностях, связанных с этими категориями.

■ Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории этих данных и оператор, и контролирующие органы могли определить места их хранения, а также установить круг лиц, имеющих доступ к персональным данным или занимавшихся их обработкой.

■ Уничтожение или обезличивание части персональных данных, если это позволяет носитель, должно производиться способом, исключающим их дальнейшую обработку. Однако при этом должна остаться возможность обработки других данных, зафиксированных на материальном носителе.

■ При хранении материальных носителей, содержащих персональные данные, оператор обязан создать и соблюдать условия, которые обеспечат сохранность персональных данных, а также предотвратят несанкционированный доступ к ним. Меры, необходимые для создания таких условий, порядок их принятия, а также круг ответственных за их введение лиц оператор должен установить сам.

Есть и требования к составлению типовых форм документов, заполнение которых подразумевает включение в них персональных данных:

■ Типовая форма и связанные с ней документы должны содержать сведения о целях обработки персональных данных, а также дополнительные сведения: наименование и адрес оператора, ФИО и адрес субъекта (лица, чьи персональные данные обрабатывает оператор), источник данных, а также сроки их обработки, перечень действий, которые будут совершаться при обработке данных и общее описание используемых оператором для этого способов.

■ Такая форма должна содержать определенное поле, в котором субъект персональных данных сможет поставить отметку о своем согласии в обработке его персональных данных.

■ Форма должна давать возможность субъекту ознакомиться с теми персональными данными, которые он предоставляет для обработки оператору. В то же время, она должна исключать возможность доступа субъекта к персональным данным третьих лиц.

■ В форме не допустимо объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо различны. Отдельно в документе вынесли правила заполнения журналов и схожих документов, необходимых для однократного доступа субъекта на территорию оператора (эти правила относятся и к схожим по цели документам и реестрам):

■ Необходимость существования такого документа должна быть прописана в отдельном акте, изданном оператором. Акт должен содержать сведения о цели обработки персональных данных, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом.

■ Персональные данные субъекта заносятся в такой журнал не более одного раза в каждом случае его проникновения на территорию оператора.

■ Копирование персональных данных из таких журналов или реестров не допускается.

В некоторых случаях, подробно перечисленных в федеральном законе «О персональных данных», оператору может потребоваться письменное разрешение субъекта на обработку его персональных данных. Этот документ заполняется самим субъектом. И должен содержать следующие данные:

■ Фамилию, имя, отчество и адрес субъекта персональных данных, номер документа, удостоверяющего личность (паспорт), сведения о дате выдачи этого документа и органе, выдавшем его.

■ Наименование и адрес оператора, получающего разрешение на обработку операционных данных.

■ Цель обработки персональных данных.

■ Перечень персональных данных, на обработку которых субъект дает согласие.

■ Перечень действий, которые будет производить оператор при обработке персональных данных.

■ Срок, в течение которого согласие действует, а также порядок его отзыва.

■ Собственную подпись субъектов персональных данных.

Несмотря на то, что само согласие содержит большую часть персональных данных субъекта, дополнительного согласия от него оператору не требуется.

ВЗАИМОДЕЙСТВИЕ ОПЕРАТОРА С НАДЗОРНЫМИ ОРГАНАМИ

Оператор персональных данных, к которым, как мы уже поняли, относится и гостиница, обязан предупреждать об обработке персональных данных надзорные органы. Однако закон предусматривает и некоторые исключения. Например, согласно пункту № 2 (а точнее, его второму подпункту) 22-й статьи федерального закона «О персональных данных», оператор может не уведомлять надзорный орган, если данные были получены «в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных...»

Если гостиница никому не передает персональные данные клиента и их обработка не порождает для него юридических последствий, то она может не уведомлять о своей деятельности Роскомнадзор. Но от всех вышеперечисленных обязательств это ее не освобождает.

Однако если гостиница работает совместно с туроператором, этот подпункт теряет свою силу. Тогда оператор персональных данных, в роли которого и выступает гостиница, обязан уведомить о своей деятельности уполномоченный орган. Более того, Роскомнадзор в праве проверить соответствие деятельности оператора нормам регламентирующих его деятельность законов. О таких проверках контролирующий орган обязан предупредить оператора заранее.

скачать
скачать

 

Rambler's Top100 Интернет портал. Каталог фирм. бжд. Охрана. Обеспечение безопасности. Безопасность предприятия. Оборудование. Видеонаблюдение.