Вопросы защиты персональных данных в гостиничной сфере в последнее время приобретают особую актуальность в связи с введением регламента ЕС о персональных данных (GDPR) и увеличивающимся потоком в Россию иностранных туристов.
Чтобы разобраться как российским отельерам соответствовать европейскому регламенту, а также российскому закону 152-ФЗ, 23 июля в Санкт-Петербурге компания Bnovo организовала круглый стол «Актуальные вопросы защиты персональных данных в гостиничной сфере».
По вопросам GDPR перед участниками Круглого стола выступила юрист Skolkovo Legal по направлению правовой защиты информации Ульяна Зверева.
Если говорить о том, на кого распространяется действие GDPR, то Ульяна Зверева отметила, что требования ЕС применяется к компаниям, которые обрабатывают персональные данные (ПД) лиц, находящихся в Европейском Союзе (ЕС).
То есть под действие GDPR, помимо европейских компаний, попадают также европейские представительства и филиалы российских компаний, и российские компании, работающие с европейцами и россиянами, пребывающими в Европе, в том числе, во время отпуска или командировки.
Если сеть отелей имеет свои подразделения в Европе, то GDPR имеет прямое действие в их отношении. Также, если российский отель бронирует номер по заказу европейца, а после его выезда обратно в Европу направляет ему рекламную рассылку, то такой отель также должен соблюдать регламент.
В зоне риска – интернет-бизнес, ориентированный на европейский рынок (например, если сайт переведен на европейский язык, есть возможность расчета в европейской валюте и т.д.).
Таким образом отель должен проанализировать, применяется к нему GDPR или нет. Если применяется, то принять решение – исключить ориентированность бизнеса на европейцев, тем самым исключив применение GDPR, или же привести бизнес в соответствие с новыми правилами.
Также Ульяна подчеркнула, что нельзя забывать, что в концепции законодательства ЕС о ПД отельер, как определяющее цели и средства обработки ПД, будет считаться контролером данных, а любые привлеченные им для обработки данных лица (сервисы бронирования, PMS системы) – только обработчиками.
Таким образом, именно отельер, как контролер, является «первым» ответственным лицом по GDPR, и значит, прежде всего, он должен позаботиться о соблюдении GDPR, в том числе, обработчиком.
Согласно GDPR, отношения между контролером и обработчиком должны быть оформлены специальным договором обработки (т.н. Data Processing Agreement), в котором должен содержаться ряд обязательных реквизитов.
Именно поэтому необходимо работать с проверенными партнерами. К примеру, заключая договор на обработку персональных данных с компанией Bnovo, отельеры могут быть спокойны в соблюдении требований GDPR, поскольку программа Bnovo им полностью соответствует.
