С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому  управляющие организации являются операторами по обработке персональных данных.

ГИС, сдавайся! (часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

• Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.
• Кого должна уведомить УО о том, что она является оператором персональных данных?
• Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили,  вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.

Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или  при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в  отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм  был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Персональные данные сотрудников на сайте

Можно ли размещать персональные данные сотрудников на сайте? Не секрет, что действующее законодательство стоит на защите прав работников, в том числе, охраняет конфиденциальность их личной информации. О возможности размещения персданных работников в сети расскажем в статье.

Под охраной

Люди, заключающие трудовые договоры с организациями и индивидуальными предпринимателями, раскрывают свои персональные сведения. Они требуются, в частности, при составлении трудового договора и исполнения работодателем обязанностей возложенных на него действующим законодательством.

Вообще, под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному работнику (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). В ходе деятельности организации она накапливается у работодателя, и по действующим нормам подлежит защите.

Для этих целей компании разрабатывают специальное Положение о работе с персональными данными и назначают ответственное лицо. После этих действий предпринимаются и все последующие шаги, направленные на защиту частной информации персонала.

• Подробнее об этом см.,
• «Образец Положения о работе с персональными данными работников 2019».
• «Назначение ответственного по работе с персональными данными приказ 2019».
• «Все о защите персональных данных».

Нужно согласие

Что касается публикации персональных данных работников на сайте организации, то, в общем случае, этого делать нельзя, не заручившись предварительно согласием работников.

Ведь размещение данных сайте в Интернет или на корпоративном сайте работодателя считается распространением персданных, которое разрешается только при наличии согласия сотрудника.

Причем согласие должно быть дано в письменной форме (ст. 88 ТК РФ).

  Запись в трудовой книжке о смене фамилии: образец 2021 года

Важно понимать, что без разрешения сотрудника нельзя публиковать даже фамилию, имя, отчество и дату рождения (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Чтобы соблюсти закон и разместить сведения на сайте, не обязательно брать отдельное письменное согласие у каждого работника.

Во-первых, правила работы с персданными, в части публикации на сайте компании, необходимо прописать в локальном акте о персональных данных.

Во-вторых, следует составить список работников, согласных на размещение персональных данных. Информацию о них без тени сомнения можно выложить на сайте (ст. 88 ТК РФ).

КонсультантПлюс Краснодар — Вправе ли работодатель размещать информацию о работниках на своем сайте?

12.02.2019

В современном мире, где важной составляющей стало информационное пространство, практически каждая организация имеет свой сайт в Интернете, страницы в социальных сетях, на которых нередко размещается в том числе информация о сотрудниках организации.

Какой правовой режим распространяется на информацию о сотруднике, размещаемую на сайте организации? В каком порядке осуществляется уведомление Роскомнадзора о намерении обрабатывать персональные данные? Какие правила установлены для получения согласия работника на обработку персональных данных? Когда должна быть прекращена обработка персональных данных?

Какие меры ответственности может повлечь нарушение законодательства об обработке персональных данных?

• Правовой режим информации о работнике на интернет-сайте

Любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу, является персональными данными в соответствии со ст. 3 Федерального закона N 152-ФЗ.

Следовательно, при размещении информации о работнике где-либо, в том числе на сайте организации, работодатель должен соблюдать законодательство о персональных данных.

1. По общим правилам, предусмотренным Федеральным законом N 152-ФЗ, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных либо без его согласия в случаях, прямо установленных законодательством.

Согласно нормам ТК РФ и Разъяснениям Роскомнадзора от 24.12.2012 обработка персональных данных работника не требует получения работодателем соответствующего согласия указанных лиц при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством РФ.

В связи с этим необходимо проанализировать цели обработки персональных данных, предусмотренные в ТК РФ. Так, исходя из ст.

86 ТК РФ обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Какие-либо цели, связанные с размещением на сайте информации о работнике, в данном перечне отсутствуют.

Примечание. При размещении информации на сайте необходимо руководствоваться общими правилами обработки персональных данных, установленными Федеральным законом N 152-ФЗ: размещение какой-либо информации работодателем о работнике на интернет-сайте возможно только с согласия работника.

Кроме того, требуется уведомить Роскомнадзор о намерении осуществлять обработку персональных данных в порядке, предусмотренном ст.

22 Федерального закона N 152-ФЗ, и принять меры, направленные на обеспечение безопасности персональных данных: назначить ответственного за организацию обработки персональных данных, издать документы, определяющие политику оператора в отношении обработки персональных данных, и др.

Обратите внимание!

Как соблюсти все требования 152-ФЗ и не получить штраф | Блог Mail.Ru Cloud Solutions

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

Можно получить сразу два штрафа:

1. За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
2. За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

• 100–500 рублей для физлиц
• 300–500 рублей для должностных лиц.
• 3 000—5 000 рублей для юрлиц.

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.

Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.

По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

1. Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
2. Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

Что будет, если не спрашивать разрешения

За это нарушение положен большой штраф:

• 3 000–5 000 рублей для физлиц.
• 10 000–20 000 рублей для должностных лиц и ИП.
• 15 000–75 000 рублей для юрлиц.

Роскомнадзора
"О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки"

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,

ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

РАЗЪЯСНЕНИЯ

• О ВОПРОСАХ
• ОТНЕСЕНИЯ ФОТО- И ВИДЕО- ИЗОБРАЖЕНИЯ, ДАКТИЛОСКОПИЧЕСКИХ
• ДАННЫХ И ИНОЙ ИНФОРМАЦИИ К БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ
• ДАННЫМ И ОСОБЕННОСТИ ИХ ОБРАБОТКИ

В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст.

11 Федерального закона «О персональных данных», предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Исходя из определения, установленного Федеральным законом «О персональных данных», к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.

В соответствии со ст. 152.

1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:

1) использование изображения осуществляется в государственных, общественных или иных публичных интересах.

(Согласно п. 25 постановления Пленума Верховного Суда Российской Федерации от 15 июня 2010 г. N 16 к общественным интересам следует относить не любой интерес, проявляемый аудиторией, а например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями. Соответственно, сообщение подробностей частной жизни лица, не занимающегося какой-либо публичной деятельностью, под данное исключение не подпадает.)

2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

3) гражданин позировал за плату.

Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников, не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.

Существуют положения нормативных правовых актов, прямо относящих фотографическое изображение к биометрическим персональным данным.

Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. N 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.

В то же время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте.

В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».

Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.

) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются.

Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

Также не является биометрическими персональными данными фотографическое изображение, содержащееся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.

Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории.

До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности.

Однако указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.

Необходимо отметить, что при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст.

74 Трудового кодекса Российской Федерации работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.

Вместе с тем, посетители указанных публичных мест должны заранее предупреждаться их администрацией о возможной фото-, видеосъемке соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.

Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).

Кроме того, необходимо отдельно отметить случаи открытого наблюдения, которое ведется в целях обеспечения прав пациентов, клиентов, потребителей при осуществлении тех или иных услуг населению (например, медицинских или по производству продуктов питания), путем установления видеокамер, направленных на рабочие места сотрудников с целью осуществления контроля качества предоставляемых услуг.

В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер.

1. Вместе с тем, если в результате опубликования фотографий или видеозаписи возникает реальная угроза жизни и здоровью гражданина, либо ему наносятся моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.
2. Наличие согласия на обработку персональных данных либо иных законных оснований (договор) также необходимо в случае использования изображения гражданина в рекламных целях.
3. Соблюдение указанных условий должно осуществляться средствами массовой информации на этапе предоставления заказчиком соответствующих материалов.
4. По существу отнесения к биометрическим персональным данным дактилоскопической информации, а также их обработки в биометрических системах идентификации, построенных на использовании в качестве идентификаторов информации об особенностях строения папиллярных узоров пальцев рук человека (дактилоскопической информации), необходимо учитывать следующее.
5. Обработка дактилоскопической информации в системе биометрической идентификации осуществляется путем преобразования изображения папиллярных узоров на промежуточной поверхности в цифровую форму и размещения полученных данных в базе данных в виде биометрического информационного шаблона.

Принимая во внимание, что целью обработки указанных сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности человека — субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона «О персональных данных», а также Федеральным законом от 25.07.1998 N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».

Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст.

11 Федерального закона «О персональных данных», для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона «О персональных данных».

Защита персональных данных в гостинице | Защита персональных данных в гостиничном бизнесе

Далеко не все владельцы и руководители отелей и гостиниц в полной мере знакомы со всеми требованиями, которые возлагает на них законодательство о защите персональных данных.

Нарушая требования закона и Роскомнадзора, они оказываются в ситуации, несущей потенциальные риски для бизнеса.

Знание всех нюансов обработки и использования персональных данных, обучение этим правилам персонала поможет избежать любых видов ответственности и правильно отрегулировать отношения с клиентами.

Какие персональные данные клиента нужны отелю

Условия обработки и использования персональных данных клиентов организаций в России регулируются Федеральным законом «О персональных данных». Ответственность за их нарушение устанавливается КоАП РФ, и с 2017 года она серьезно ужесточилась. Стандартно, заполняя анкету при заселении, гражданин оставляет данные паспорта и текущего местожительства.

Они необходимы для того, чтобы проконтролировать сохранность имущества гостиницы, их запрос регламентируется правилами оказания гостиничных услуг в целях общественной безопасности. Иногда отель по собственной инициативе просит предоставить и другую информацию, например, номер мобильного телефона, на который впоследствии отправляет рекламные рассылки.

Все эти сведения являются персональными данными. Точного их перечня в законе нет, под этим термином подразумеваются любые сведения, имеющие отношение к конкретному лицу и позволяющие его достоверно идентифицировать.

Факт сбора персональных данных делает отель их оператором, и его руководитель или индивидуальный предприниматель, оказывающий эти услуги, обязан подать уведомление в Роскомнадзор о том, что он занимается деятельностью по их обработке. Как правило, за несвоевременное уведомление, если оно состоялось, операторов не наказывают, в том числе и в административном порядке.

Кроме уведомления, требуется позаботиться о разработке пакета внутренней документации по защите информационных баз, в которых хранятся данные клиентов.

Деятельность по защите персональных данных

Персонал отеля больше занят выполнением своих служебных обязанностей, чем соблюдением законодательства об обеспечении защиты персональных данных.

Избежать рисков привлечения к административной ответственности поможет составление инструкции для руководства и персонала, описывающей основные действия, которые они обязаны совершать, взаимодействуя с клиентами и получая у них персональные данные для обработки.

Нельзя забывать о том, что административные штрафы налагаются на руководителя даже в том случае, если нарушение допущено сотрудником.

Обязательное получение согласия на обработку персональных данных

Формат документа должен быть предварительно разработан с опорой на рекомендации Роскомнадзора.

Если сведения собираются на сайте гостиницы, необходимо вместе с формой их предоставления разместить фразу «Даю согласие на обработку персональных данных» с окошком, в котором клиент может отметить свое согласие.

Рядом должна находиться ссылка, ведущая на страницу, на которой выложена внутренняя политика о порядке обработки персональных данных.

При заполнении бумажных анкет непосредственно в отеле клиенту нужно предложить заполнить бумажную форму согласия, которая может быть отсканирована и учтена в его анкете.

При подписании документа клиент должен точно понимать, для чего собираются его данные, какими способами они будут обрабатываться, кому они будут передаваться и с какими целями. Нарушение этого требования может привести к административной ответственности.

Максимальный штраф составит 75 тысяч рублей, которые должна будет заплатить гостиница.

Ознакомление клиента с политикой гостиницы по обработке персональных данных

Прежде всего, этот документ нужно разработать и утвердить. Он не очень сложен, стандарты легко найти в Сети. Главное при его подготовке – подробно описать права и обязанности клиента, связанные с предоставлением и обработкой персональных данных. Если документ выложен на сайте и физическое лицо предоставляет сведения онлайн, задача гостиницы считается выполненной.

В ситуации, когда клиент заполняет формы в гостинице, распечатанный экземпляр политики должен предоставляться ему по запросу. Желательно также предлагать ему прочитать его, так как именно там он найдет ответы на свои вопросы.

Данные должны использоваться только в соответствии с целями их обработки

Каждая гостиница – оператор персональных данных – должна уведомить клиента о цели сбора сведений и используемых способах их обработки.

Эта информация должна содержаться в политике обработки персональных данных, она заявляется Роскомнадзору при направлении ему уведомлений.

Но могут возникнуть ситуации, когда неинформированные сотрудники нарушают установленный порядок и используют доверенные им сведения не по назначению.

В гостиничном бизнесе могут возникнуть три типичных случая использования данных неустановленным способом:

• запрос излишней информации, например, данных паспорта, при бронировании номера;
• направление СМС-уведомлений на телефон или электронную почту клиента без получения его предварительного согласия;
• передача персональных данных клиентов третьим лицам.

Такая активность персонала приведет и к штрафам, налагаемым в административном порядке, и к негативной реакции ФАС на незаконную рекламу, и к претензиям и судебным искам со стороны недовольных клиентов.

Права клиента на получение информации о порядке использования его персональных данных должны быть соблюдены

В политике гостиницы должны быть оговорены права клиента получать информацию о судьбе своих персональных данных и на другие действия с ними, и персонал должен знать об их наличии. К ним относятся права клиента:

• знать, какие именно данные о нем хранятся в отеле;
• узнать, как и при помощи каких технических средств они защищаются;
• потребовать изменить или удалить избыточную или некорректную информацию;
• отозвать согласие на обработку.

По заявлению клиентов персональные данные должны быть заблокированы или уничтожены, несмотря на то, что эти действия могут не соответствовать бизнес-процессам и принятым в гостинице стандартам обработки информации.

Так, требование об исключении телефонного номера клиента из баз, используемых для СМС-рассылок, должно быть выполнено незамедлительно.

Нарушение этого требования не только приведет к привлечению к административной ответственности и наложению штрафа в сумме 45 тысяч рублей, но и может стать основанием для возбуждения ФАС РФ дела о недобросовестной рекламе.

Отказ удовлетворить требование клиента приведет также к жалобе в Роскомнадзор, штрафам и судебным искам. Поэтому от сотрудников отеля требуется оперативность в реакции на запросы клиентов. Решением может стать внесение обязанностей по сопровождению обработки персональных данных и по общению с клиентами по этим вопросам в должностные инструкции.

Какие технические требования необходимо соблюдать администрации отеля

Технические требования к хранению информации также должны соблюдаться максимально точно. Если информационная система, в которой находятся персональные данные, подключена к сети Интернет, должны быть установлены антивирусные средства защиты.

При передаче сведений по телекоммуникационным каналам третьим лицам они должны шифроваться. Сами компьютеры должны быть физически защищены, допуск к ним должен быть ограничен, поручен только лицам, уполномоченным на это отдельным приказом руководства.

Если есть возможность, нужно установить DLP-систему, которая полностью блокирует возможность передать сведения третьим лицам, которые могут интересоваться и базой данных состоятельных клиентов, и их телефонными номерами.

Система защиты персональных данных должна быть комплексной и учитывать все возможные риски.

Руководство гостиницы должно помнить, что клиент может оказаться более информированным в вопросе защиты персональных данных, чем сотрудники отеля.

И это знание при выявлении ошибки персонала может быть использовано и для причинения ущерба деловой репутации гостиницы, и для подачи исков о возмещении морального вреда.

Единственным решением станет обучение персонала всем аспектам работы с персональными данными.