Защита персональных данных в гостинице

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Далеко не все владельцы и руководители отелей и гостиниц в полной мере знакомы со всеми требованиями, которые возлагает на них законодательство о защите персональных данных. Нарушая требования закона и Роскомнадзора, они оказываются в ситуации, несущей потенциальные риски для бизнеса. Знание всех нюансов обработки и использования персональных данных, обучение этим правилам персонала поможет избежать любых видов ответственности и правильно отрегулировать отношения с клиентами.

Какие персональные данные клиента нужны отелю

Условия обработки и использования персональных данных клиентов организаций в России регулируются Федеральным законом «О персональных данных». Ответственность за их нарушение устанавливается КоАП РФ, и с 2017 года она серьезно ужесточилась. Стандартно, заполняя анкету при заселении, гражданин оставляет данные паспорта и текущего местожительства. Они необходимы для того, чтобы проконтролировать сохранность имущества гостиницы, их запрос регламентируется правилами оказания гостиничных услуг в целях общественной безопасности. Иногда отель по собственной инициативе просит предоставить и другую информацию, например, номер мобильного телефона, на который впоследствии отправляет рекламные рассылки.

Все эти сведения являются персональными данными. Точного их перечня в законе нет, под этим термином подразумеваются любые сведения, имеющие отношение к конкретному лицу и позволяющие его достоверно идентифицировать. Факт сбора персональных данных делает отель их оператором, и его руководитель или индивидуальный предприниматель, оказывающий эти услуги, обязан подать уведомление в Роскомнадзор о том, что он занимается деятельностью по их обработке. Как правило, за несвоевременное уведомление, если оно состоялось, операторов не наказывают, в том числе и в административном порядке. Кроме уведомления, требуется позаботиться о разработке пакета внутренней документации по защите информационных баз, в которых хранятся данные клиентов.

Деятельность по защите персональных данных

Персонал отеля больше занят выполнением своих служебных обязанностей, чем соблюдением законодательства об обеспечении защиты персональных данных. Избежать рисков привлечения к административной ответственности поможет составление инструкции для руководства и персонала, описывающей основные действия, которые они обязаны совершать, взаимодействуя с клиентами и получая у них персональные данные для обработки. Нельзя забывать о том, что административные штрафы налагаются на руководителя даже в том случае, если нарушение допущено сотрудником.

Обязательное получение согласия на обработку персональных данных

Формат документа должен быть предварительно разработан с опорой на рекомендации Роскомнадзора. Если сведения собираются на сайте гостиницы, необходимо вместе с формой их предоставления разместить фразу «Даю согласие на обработку персональных данных» с окошком, в котором клиент может отметить свое согласие. Рядом должна находиться ссылка, ведущая на страницу, на которой выложена внутренняя политика о порядке обработки персональных данных.

При заполнении бумажных анкет непосредственно в отеле клиенту нужно предложить заполнить бумажную форму согласия, которая может быть отсканирована и учтена в его анкете. При подписании документа клиент должен точно понимать, для чего собираются его данные, какими способами они будут обрабатываться, кому они будут передаваться и с какими целями. Нарушение этого требования может привести к административной ответственности. Максимальный штраф составит 75 тысяч рублей, которые должна будет заплатить гостиница.

Ознакомление клиента с политикой гостиницы по обработке персональных данных

Прежде всего, этот документ нужно разработать и утвердить. Он не очень сложен, стандарты легко найти в Сети. Главное при его подготовке – подробно описать права и обязанности клиента, связанные с предоставлением и обработкой персональных данных. Если документ выложен на сайте и физическое лицо предоставляет сведения онлайн, задача гостиницы считается выполненной.

В ситуации, когда клиент заполняет формы в гостинице, распечатанный экземпляр политики должен предоставляться ему по запросу. Желательно также предлагать ему прочитать его, так как именно там он найдет ответы на свои вопросы.

Данные должны использоваться только в соответствии с целями их обработки

Каждая гостиница – оператор персональных данных – должна уведомить клиента о цели сбора сведений и используемых способах их обработки. Эта информация должна содержаться в политике обработки персональных данных, она заявляется Роскомнадзору при направлении ему уведомлений. Но могут возникнуть ситуации, когда неинформированные сотрудники нарушают установленный порядок и используют доверенные им сведения не по назначению.

В гостиничном бизнесе могут возникнуть три типичных случая использования данных неустановленным способом:

  • запрос излишней информации, например, данных паспорта, при бронировании номера;
  • направление СМС-уведомлений на телефон или электронную почту клиента без получения его предварительного согласия;
  • передача персональных данных клиентов третьим лицам.

Такая активность персонала приведет и к штрафам, налагаемым в административном порядке, и к негативной реакции ФАС на незаконную рекламу, и к претензиям и судебным искам со стороны недовольных клиентов.

Права клиента на получение информации о порядке использования его персональных данных должны быть соблюдены

В политике гостиницы должны быть оговорены права клиента получать информацию о судьбе своих персональных данных и на другие действия с ними, и персонал должен знать об их наличии. К ним относятся права клиента:

  • знать, какие именно данные о нем хранятся в отеле;
  • узнать, как и при помощи каких технических средств они защищаются;
  • потребовать изменить или удалить избыточную или некорректную информацию;
  • отозвать согласие на обработку.

По заявлению клиентов персональные данные должны быть заблокированы или уничтожены, несмотря на то, что эти действия могут не соответствовать бизнес-процессам и принятым в гостинице стандартам обработки информации. Так, требование об исключении телефонного номера клиента из баз, используемых для СМС-рассылок, должно быть выполнено незамедлительно. Нарушение этого требования не только приведет к привлечению к административной ответственности и наложению штрафа в сумме 45 тысяч рублей, но и может стать основанием для возбуждения ФАС РФ дела о недобросовестной рекламе.

Отказ удовлетворить требование клиента приведет также к жалобе в Роскомнадзор, штрафам и судебным искам. Поэтому от сотрудников отеля требуется оперативность в реакции на запросы клиентов. Решением может стать внесение обязанностей по сопровождению обработки персональных данных и по общению с клиентами по этим вопросам в должностные инструкции.

Какие технические требования необходимо соблюдать администрации отеля

Технические требования к хранению информации также должны соблюдаться максимально точно. Если информационная система, в которой находятся персональные данные, подключена к сети Интернет, должны быть установлены антивирусные средства защиты. При передаче сведений по телекоммуникационным каналам третьим лицам они должны шифроваться. Сами компьютеры должны быть физически защищены, допуск к ним должен быть ограничен, поручен только лицам, уполномоченным на это отдельным приказом руководства. Если есть возможность, нужно установить DLP-систему, которая полностью блокирует возможность передать сведения третьим лицам, которые могут интересоваться и базой данных состоятельных клиентов, и их телефонными номерами. Система защиты персональных данных должна быть комплексной и учитывать все возможные риски.

Руководство гостиницы должно помнить, что клиент может оказаться более информированным в вопросе защиты персональных данных, чем сотрудники отеля. И это знание при выявлении ошибки персонала может быть использовано и для причинения ущерба деловой репутации гостиницы, и для подачи исков о возмещении морального вреда. Единственным решением станет обучение персонала всем аспектам работы с персональными данными.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними