В рамках прошедшего в Санкт-Петербурге расширенного заседания Комиссии по въездному туризму (КВТ) Российского союза туриндустрии, его участники обсудили вопрос организации процедуры обработки персональных данных предприятиями туриндустрии. Начальник отдела по защите прав субъектов персональных данных в сфере информационных технологий Роскомнадзора Екатерина Степанова напомнила, основные требования Федерального закона 152-ФЗ от 27.07.2006 г. «О персональных данных» – разработка документации по предприятию, начиная от приказа о выделении ответственного сотрудника за обработку персональных данных всех категорий граждан (по сотрудникам и клиентам), локальные акты, ознакомление сотрудников с требованиями законодательства о персональных данных, все это необходимо было сделать еще в 2007 году (в момент вступления указанного закона в силу). Проверки соблюдения законодательства в области персональных данных проводятся Роскомнадзором уже не первый год. Все планы проверок вывешиваются на сайте Прокуратуры Санкт-Петербурга, но могут быть и внеплановые проверки по обращениям граждан. Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Роскомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных. Предприятиям туриндустрии, которые обрабатывают персональные данные туристов и направляют их третьим лицам необходимо уведомить Роскомнадзор. Это законодательное требование, которое не влечет никаких расходов. Зарегистрироваться можно непосредственно на сайте Роскомнадзора http://www.rsoc.ru/personal-data/protection-of-the-innocent/ . Заполненные уведомления должны быть направлены в письменной форме и подписаны уполномоченным лицом или направлены в электронной форме и подписаны электронной цифровой подписью в соответствии с законодательством Российской Федерации в территориальные управления Роскомнадзор, на подведомственной территории которых оператор осуществляет (будет осуществлять) обработку персональных данных. В ходе проверки Роскомнадзор сопоставляет информацию, указанную в уведомлении с фактической деятельностью организации. В частности, проверяются сроки, условия хранения, порядок уничтожения документов, содержащих персональные данные; соответствие целей обработки целям, заявленным при сборе персональных данных. Большое внимание уделяется наличию согласия субъектов на обработку их персональных данных, то есть проверяются локальные акты, регламентирующие порядок и условия обработки персональных данных в организации, а также приказы или иные документы, устанавливающие круг лиц, ответственных за обработку персональных данных, включая должностные регламенты лиц, имеющих доступ к ним. Если организация осуществляет рассылку информации рекламного характера, то проверяется наличие согласия субъектов персональных данных на получение такой информации. Если же обработка персональных данных поручена сторонней организации, то договор с ней проверяется на наличие пункта, гарантирующего конфиденциальность и безопасность персональных данных. Обращаем Ваше внимание, что проверяются как организации, зарегистрированные в реестре операторов, так и те, кто еще не подал уведомление. Напоминаем, что информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями 152 Федерального закона не позднее 1 июля 2011 года. РСТ намерено оказывать предприятиям туриндустрии методическую и правовую поддержку в виде комплексного информационного продукта по защите данных. В него войдут рекомендации, инструкции, комментарии к нормативным актам. Здесь будут изложены рекомендации по защите в конкретных случаях для агентств и операторов, рекомендации по трансграничной передаче данных и многое другое. Продукт разрабатывается на основе практического опыта.