Хранение данных делится на два направления:
- бумажные документы (договоры с туристами, копии паспортов, заявления на визы, анкеты, страховые полисы) — должны храниться в шкафах или сейфах с ограниченным доступом. Доступ предоставляется только сотрудникам, чьи должностные обязанности предполагают работу с этими документами.
- электронные базы (CRM-системы, сайты онлайн-бронирования, корпоративная почта, приложения) — обязаны быть локализованы на территории РФ, защищены паролями, антивирусами, средствами резервного копирования и, при необходимости, криптографической защиты.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан обеспечить безопасность персональных данных при их хранении.
- Постановление Правительства РФ № 1119 — устанавливает требования к защите ИСПДн.
- ФЗ-132 «Об основах туристской деятельности в РФ» — закрепляет обязанность турагентов и туроператоров заключать договоры с туристами и хранить документы, подтверждающие оказание услуг.
- ФЗ-402 «О бухгалтерском учёте» — определяет сроки хранения первичных документов.
Практика проверок и рекомендации Роскомнадзора
В сфере туризма надзорные органы часто фиксируют следующие нарушения: хранение копий паспортов и виз клиентов в открытом доступе на компьютерах без защиты, пересылка персональных данных через мессенджеры без шифрования, размещение клиентских баз на зарубежных облачных сервисах. Роскомнадзор требует переносить базы на территорию РФ и оформлять внутренние регламенты по работе с документами.
Что важно учитывать туристическим компаниям
- Данные клиентов, включая копии паспортов и виз, должны храниться только в защищённых архивах или в сертифицированных ИТ-системах.
- Нельзя использовать личные устройства сотрудников для хранения или передачи ПДн.
- CRM и системы бронирования должны быть локализованы в России.
- Доступ к ПДн нужно разграничивать: сотрудники получают только те данные, которые необходимы для их работы.
- Все случаи передачи данных третьим лицам (страховым компаниям, авиаперевозчикам, визовым центрам) должны фиксироваться и оформляться договорами поручения.
Рекомендации и выводы
Для туристических компаний безопасное хранение ПДн — это не только требование закона, но и вопрос доверия клиентов. Чтобы избежать претензий Роскомнадзора, нужно:
- Организовать защищённое хранение бумажных архивов.
- Использовать только российские серверы и проверенные CRM-системы.
- Ввести регламенты по обработке и хранению ПДн.
- Назначить ответственного за ПДн.
- Обеспечить обучение сотрудников правилам защиты данных.
Компания ICTech готовит полный пакет документов по ФЗ-152 для туристических агентств и операторов, помогает внедрить регламенты хранения и обеспечить соответствие требованиям закона.
