С 1 июля турфирмы ждут проверки, а штрафы за нарушения закона «О персональных данных» вырастут в разы
У Роскомнадзора есть две новости. И обе не очень радостные для туристического бизнеса. С 1 июля 2017 года ведомство сможет самостоятельно, без участия прокуратуры, штрафовать юридические лица и частных предпринимателей за нарушения правил хранения и обработки персональных данных. С этой же даты, согласно февральским поправкам в ФЗ, значительно – до 75 тыс. рублей – увеличится размер штрафа. Ожидает ли турбизнес массовая выписка штрафов и что предпринять компаниям, чтобы не попасть под санкции Роскомнадзора?
Как сейчас?
Несмотря на то что ФЗ «О персональных данных» был принят еще в 2006 году, по данным ведомства, в Москве и Московской области требование закона выполнили лишь 1 % организаций туротрасли. Эксперты рынка полагают, что такая инертность вызвана отчасти и самим Роскомнадзором: проверяют редко и не всех, а размер штрафа вполне по зубам даже небольшой компании.
На данный момент протоколы о нарушениях закона «О персональных данных» может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет максимум 1 тыс. рублей для ИП и 10 тыс. рублей для юридического лица. Процедура оформления протокола и взыскания штрафа занимает много времени, сам размер санкции невелик и для многих компаний не является принципиальным.
Что изменится?
С 1 июля Роскомнадзор сможет самостоятельно штрафовать нарушителей и контролировать сбор.
Изменится и сама система штрафов. Во-первых, их размер увеличится в десятки раз. Во-вторых, поправки в статью 13.11 КоАП по поводу нарушений закона «О персональных данных» штрафы разделили по видам нарушений.
Например, если на сайте компании, собирающей персональные данные (допустим, через систему бронирования или другим способом), не размещена информация о политике конфиденциальности, штраф составит 30 тыс. рублей для юрлица и 10 тыс. – для ИП. За обработку персональных данных без подписанного согласия клиента штраф вырастет до 75 тыс. рублей.
Соответственно, если нарушений несколько, то и штрафы будут суммироваться.
Удар по малому бизнесу
Эксперты сообщают: если Роскомнадзор действительно устроит «охоту на лис», то пострадает, прежде всего, малый бизнес. Крупные туроператоры и сети турагентств уже давно привели свою деятельность в соответствие с предписанием закона «О персональных данных». Для небольших компаний выполнение требований закона является дополнительным финансовым бременем. При этом если раньше компания могла заплатить небольшой штраф и жить спокойно, то в новых условиях ей придется гораздо сложнее. Поддерживает эту мысль директор турагентской сети «Розовый слон» Алексан Мкртчян. «Небольшие турфирмы, как правило, не готовы тратить деньги на юридический консалтинг. А здесь, чтобы разобраться в требованиях закона, без этого не обойтись. Нужно либо брать в штат юриста, либо платить аутсорсинговым компаниям. Плюс траты на дополнительный софт, техподдержку и прочее. Это может вылиться в сотню тысяч рублей в месяц».
Со слов адвоката Димитрия Морозова, процедура приведения бизнеса в соответствие с предписанием ФЗ «О персональных данных» не менялась с 2006 года. Оператору данных нужно выполнить четыре основных пункта:
1. Компания должна быть поставлена на учет в Роскомнадзор и получить статус оператора персональных данных.
2. На серверах компании, где хранятся данные, должно быть установлено сертифицированное антивирусное программное обеспечение.
3. Компания должна собирать согласия на обработку персональных данных с клиентов в бумажном или электронном виде в зависимости от формата деятельности.
4. Вся внутренняя документация должна соответствовать стандартам ФЗ.
«Для меня по-прежнему остается загадкой, почему туристические компании до сих пор не позаботились о законном хранении и обработке персональных данных. Да, это требует дополнительных усилий, но выполнение предписания закона не обсуждается. Тем, кто в этом сомневается, теперь придется платить большие штрафы. Посмотрим, как это изменит ситуацию в подходе к хранению персональных данных в России», – резюмирует Морозов.
Для тех, кто до сих пор «в танке»
Персональные данные – это любая личная информация о человеке, по которым его можно идентифицировать. В ФЗ «О персональных данных» нет точного перечня таких данных, но, основываясь на основных понятиях закона, круг этих данных вполне можно воспроизвести. Компания де-факто является оператором персональных данных, если получает от клиентов:
● ФИО;
● дату и место рождения;
● адрес проживания;
● электронную почту;
● номер телефона;
● фотографию;
● данные о профессии;
● данные об образовании;
● данные об уровне доходов;
● данные о семейном положении.
Туристические компании, ежедневно собирающие подобную информацию о своих клиентах, стоят в числе первых, на ком сфокусируется Роскомнадзор. Накануне вступления в силу новых правил ведомство провело профилактический семинар для туристических компаний, в котором, на удивление представителей Роскомнадзора, приняло участие всего несколько человек. Что еще раз подтвердило нежелание или неготовность компаний заниматься вопросом законной обработки персональных данных. «Мы это расцениваем либо как попытку спрятаться, уйти от надзорного органа, либо как глубокое убеждение тех, кто не направил уведомления, что они не являются операторами персональных данных. Это, конечно, критическая ситуация», – комментирует заместитель руководителя Управления Роскомнадзора по Центральному федеральному округу Ольга Коротова.
Несмотря на почти повсеместное пренебрежение требованиями ФЗ, Роскомнадзор обещает не запускать массовые штрафные санкции. Однако плановые проверки теперь будут более принципиальными. Не сомневаются в этом и опрошенные HotLine.travel эксперты: после расширения полномочий и введения новых штрафных тарифов контроль усилится.