Закон о персональных данных: как соответствовать отелю?

Август 15, 2018
Юрист по туризму и недвижимости Эдуард Шалоносов разъяснил нашему порталу, в какой последовательности работать отельерам, чтобы не допустить ошибок и правильно выстроить систему сбора и обработки персональных данных гостей.

Европейский регламент о защите данных GDPR предполагает большие штрафы за несоответствие – до 20 млн евро. Заведениям гостиничной индустрии важно соблюдать требования и предписания и работать в соответствии с законом о персональных данных.

Юрист по туризму и недвижимости Эдуард Шалоносов разъяснил нашему порталу, в какой последовательности работать отельерам, чтобы не допустить ошибок и правильно выстроить систему сбора и обработки персональных данных гостей.

В первую очередь четко оформите два документа:

1. Согласие на обработку персональных данных
Лучше делать в карточке гостя. Пусть карточка будет обширная – распечатать с двух сторон. В ней указывается полная информация – данные номера, гостя, его паспортные данные и т.д.
2. Чек-бокс
Что такое чек-бокс? Когда вы заходите на любой сайт – российский, украинский, то видите, как вас просят поставить галочку, ознакомиться с конкретной информацией. Это и есть понятие чек-бокса по персональным данным.

Есть большая проблема бизнеса и отелей, в частности. Опишу суть этой проблемы. Они делают некий чек-бокс, гость ставит галочку о согласии с обработкой персональной данных, и на этом работа завершена.

Когда я обслуживаю компании – хостелы либо отели, то задаю простой вопрос: «Я согласился с обработкой моих данных, дальше куда эта информация уходит?» Часто в ответ – лишь недоуменный взгляд и отсутствие вразумительного ответа.

Необходимо четкое понимание: мы поставили галочку, по сути – это чисто техническая задача или действие. После этой галочки должно быть сформировано некое письмо, которое уходит потребителю на электронную почту при регистрации.

К примеру, меня зовут Джейм Сигал, я приехал из Норвегии, ставлю галочку перед тем, как въехать в отель сети «Марриотт». Создана видимость, что я ознакомился с персональными данными, но по факту ничего не ушло.

Иностранным гостям я рекомендую отправлять электронные письма на английском языке, гостям из России – на русском языке. И это вся информация должна присутствовать в обязательном порядке на электронной почте. Кроме этого, в «подвале» письма должно быть указано – «В случае, если вы захотите заблокировать, уничтожить персональные данные, то вам надо написать письмо на такой-то электронный адрес». Я всем рекомендую именно так поступать.

Почему? Кто-то говорит: делайте проще – давайте пользователям ссылку, где надо нажать галочку и отписаться. В чем минус этого пути? Человек разозлиться и действительно отпишется. Если ему надо сделать действительно много действий, то, конечно, он не станет этого делать.

Однажды отправленное письмо позволит иметь дополнительное касание к клиенту. Если клиент пожелает отписаться, то он просто-напросто пишет письмо с просьбой убрать из базы личные данные. Отель, в свою очередь, моментально прекращает пользоваться персональными данными своего гостя. Это обязательно.

Алгоритм:

1. Мы ставим на сайте чек-бокс.

2. Чек-бокс уходит на электронную почту потребителям.

Электронная почта не имеет права быть переполненной. Что я имею ввиду? Ящики Google, Mail, Яндекс и другие часто переполняются, и ящик сам себя начинает вычищать. Это опасно: отельера обычно просят предоставить доказательства отправленного письма на почту клиента. Он ищет нужное письмо, и понимает, что оно было удалено с ящика пять месяцев назад. Придется платить штраф.

Регламент обязывает не частить с рассылкой писем и отправлять только те письма, темы которых интересны гостю.

Как определить, что интересно гостю, а что – нет? Моя позиция проста: мы направляем письмо, обязательно доказываем, что мы направили его. Когда у нас на сайте либо на лендинге происходит регистрация в виде заявки, существуют минусы. Опишу ситуацию.

Допустим, я сделал в Марриотт заявку, и тут возникает проблема – как отельеру доказать, что он получил этот адрес. Здесь работают с чек-боксами. То есть – я выбрал отель, в котором хочу отдохнуть. Как только я направил со своего адреса какую-либо заявку, нажал чек-бокс, мне падает информация: письмо пришло с такого-то адреса отеля. Технически это выполнимо при наличии грамотных специалистов. Это обязательное правило.

Требуется не просто наличие чек-бокса. Этот блок должен быть устроен на сайте с позиции закона – в серверную попадает информация, которая обязательно отфильтровывается на наличие решения.

Если мы не доказываем, что у нас есть этот адрес и получен он незаконно – последствия предсказуемы – по российскому и европейскому регламенту они одинаковы.

Как фиксируются нарушения?

В России даже проще, чем в странах Европы. Мне звонят из Федеральной антимонопольной службы (ФАС) и задают очень простой вопрос: «Вы адвокат такой-то компании? Нам поступила жалоба, мы сейчас пришлем запрос, вы посмотрите его, и скажете нам, давали ли вы разрешение на обработку данных лицу?». Если вы ответите, что человек был на сайте и оставил запрос, то это будет трагично – отель попадет на деньги.

Мы делаем следующим образом: у нас есть регламент, который направляется на электронную почту клиенту. Клиент получает его, что подтверждается перепиской. В оферте указано следующее – чек-бокс работает по конкретному принципу. Мы получили электронный адрес, телефон. ФАС и все остальные довольны.

Как происходит фиксирование работы отеля и его сайта с персональными данными?

Юридическое лицо встает на учет в Роскомнадзоре. Подается уведомление при желании попасть в реестр. При подаче нужны договор аренды сайта либо договор использования сайта для доказывания связи конкретного юридического лица с сайтом отеля.

Наши клиенты ждали абсолютно разные сроки попадания в реестр – 2, 3, 4 месяца. К примеру, в июле 2017 года Роскомнадзор долго ставил всех на учет – причина не известна, в августе – за 2-3 недели, в сентябре – за 3-5 дней. В этом году сроки тоже разные. Мы думаем, что это не проблема Роскомнадзора, а проблема нехватки сотрудников. После одобрения приходит ответ – «Вы стоите в реестре под таким-то номером». Вопрос закрыт. Это обязательно при работе с персональными данными. Подача заявки бесплатна – запрос подается в электронном виде через сайт Госуслуги или Почтой России.

Самое главное – соблюсти все юридические формальности, предугадать, чем займется отель. По отелям я делаю так: беру туристические ОКВЕДы, размышляю – если мой клиент начнет билеты продавать, и на сайте разместит соответствующий блок, сообщающий о продаже билетов.

Ситуация следующая – он забыл внести уведомление или изменение деятельности в Роскомнадзор. Штраф будет не сразу, только если поймают и после расследования. Возможно, в первый раз дадут предупреждение.

У меня была такая ситуация с клиентом в Сахалине – ему не дали штраф, а просто пригрозили. Но мы потратили немало времени на переписку и объяснение ситуации. В неделю мы четко один-два раза переписывались.

На сайт отеля ставится номер реестра – это не обязательно, но желательно – это моя личная рекомендация.

Что будет с отелем, который не встал на учет в Роскомнадзоре, но собирает персональные данные гостей?

Большой штраф. Все очень просто. Если сайт отеля просто собирает персональные данные и ничего с ними не делает – одно дело. Но если собирает эти данные и отправляет письма, уведомления – то тут все строже и хуже для отеля.

Приведу пример. Вам приходят посреди ночи уведомления от отеля, беспокоят вас. Вы звоните в отель, и спрашиваете – «Я давал вам разрешение на обработку?» Они дают утвердительный ответ, вы просите доказательств, которых нет. С этого момента минимальный штраф для отеля – 200 000 рублей.

Если случай нарушения первый для отеля, то можно отделаться предупреждением. Были случаи штрафования на 50 000 рублей, хотя нижний порог – 200 000 рублей. Я интересовался, почему штраф не соответствует. Ответ был следующий – «Мы нашли другую причину нарушения». Однако, клиенту необходимо все исправлять, исполнять предписания. Максимальный порог штрафа – 500 000 рублей для российских отелей.

Любая отправка рассылок и писем, отсутствие доказательств – штраф обеспечен.

По ФАСу и Роскомнадзору и соответствующим вопросам я рассматриваю заявки в количестве 3-5 в месяц. Бывают крупные и малые отели, которые действительно нарушили политику. На вопрос, «почему не соответствуете закону», ответы доходят до абсурда. К примеру, отельер называет причину – «так сказал программист».

Любой потребитель в любой момент может задастся вопросом – почему ему приходят непонятные рассылки, на которые он не давал своего согласия. Этот потребитель отправляет заявление в ФАС, и дальше начинается разборка. ФАС сразу требует доказательства. У них не проходит объяснение по типу «запросили, не помним, потеряли». Этого точно говорить не стоит, иначе сразу обеспечен штраф.

После штрафа деятельность сайта по сбору данных не запрещается. Его потом еще раз проверят, попросят доказать исполнение ранее озвученных предписаний. Первый раз, возможно, отпустят, и дадут предупреждение, второй – оштрафуют со всей строгостью. У меня была ситуация с клиентом в прошлом году – клиента оштрафовали на 50 000 рублей.

Сейчас ужесточили требования, и штрафы стали больше по сравнению с прошлым годом...

Ужесточились – это верное слово. В действительности закон существовал, требования и ранее были жесткими. Можно сколько угодно говорить, что появился новый Регламент, но ранее ФАС тоже штрафовал по такой же причине, но брал меньшие суммы. Но и штрафы были гораздо чаще, и никто не предупреждал, а сразу велел нести денежную повинность.

Небольшие штрафы увеличились мгновенно благодаря количеству проверок. К примеру, где штраф был 30 000 рублей, отель платил 100 000. ФАС могла поступить хитро: зацепиться за конкретный документ и просить предоставить сведения о том, что было получено. На мои запросы, что это нечестно, был простой ответ – жалоб нет.

Ответ от ФАС был очень простой – не нарушайте закон.

Новый регламент введен в мае, нарушители уже есть?

Нет. В моей практике такого не было. Но проверки ведутся.

Оцените материал:
rating: 
No votes yet