Обязаны ли турагентства соблюдать ФЗ-152?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, турагентства обязаны соблюдать ФЗ-152, так как в своей деятельности они обрабатывают большой объём персональных данных клиентов. Для оформления туров, авиабилетов, виз и страховых полисов агентствам нужны ФИО, паспортные данные, даты рождения, сведения о здоровье и другие данные туристов. Всё это подпадает под действие закона о защите персональных данных.

Какие данные обрабатывают турагентства:

- ФИО, дата рождения, пол;
- паспортные данные, гражданство, визовая история;
- контактные сведения (телефон, e-mail, адрес);
- данные о платежах и банковских реквизитах;
- сведения о семейном положении и составе семьи (для совместных поездок);
- медицинские данные (например, информация о страховании, вакцинации, ограничениях по здоровью).

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к физическому лицу.
• Ст. 6 ФЗ-152 — согласие субъекта необходимо, если обработка данных не основана на законе или договоре.
• Ст. 9 ФЗ-152 — согласие должно быть конкретным, информированным и сознательным.
• Ст. 10 ФЗ-152 — сведения о здоровье относятся к специальным категориям ПДн, их обработка возможна только с письменного согласия.
• ФЗ № 132 «Об основах туристской деятельности в Российской Федерации» — обязывает турагентства заключать договоры с клиентами и оформлять документы, содержащие их ПДн.
• Ст. 13.11 КоАП РФ — нарушение правил обработки ПДн влечёт административную ответственность.

Практика и позиция Роскомнадзора

Роскомнадзор отмечает, что турагентства относятся к организациям с высоким риском утечки данных, так как они обрабатывают паспортные сведения и часто передают их третьим лицам (авиакомпаниям, отелям, страховым компаниям).

В проверках выявлялись нарушения:

• агентства передавали копии паспортов партнёрам без согласия клиентов;
• отсутствовали письменные согласия на обработку данных для визовых центров;
• использовались клиентские базы для рассылки рекламы без отдельного согласия.

В ряде случаев регулятор предписывал турагентствам разработать внутренние регламенты и уведомить Роскомнадзор о начале обработки ПДн.

Важный момент для турагентств

Обработка данных клиентов для заключения договора тура возможна без отдельного согласия. Но как только данные используются для иных целей (рассылки, реклама, передача партнёрам за пределами договора) — согласие обязательно.

Рекомендации и выводы

Да, турагентства обязаны соблюдать ФЗ-152. Чтобы работать законно, необходимо:

1. Подать уведомление в Роскомнадзор.
2. Подготовить формы согласий клиентов (включая отдельные согласия на передачу данных партнёрам и на обработку медицинских сведений).
3. Разработать политику и локальные акты по ПДн.
4. Обеспечить безопасность хранения паспортных данных и копий документов.
5. Включить порядок работы с данными в комплект документов по ФЗ-152.

Компания ICTech поможет турагентствам разработать пакет документов по ФЗ-152, оформить корректные формы согласий и выстроить систему обработки данных клиентов. Это позволит пройти проверки Роскомнадзора и повысить доверие клиентов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге