Защита персональных данных в гостинице: что нужно знать отельеру

Когда гость бронирует номер по телефону, от стойки или на сайте отеля, он оставляет свои персональные данные: фамилию, имя, год рождения, номер телефона, паспорта и т. д. По закону «О защите персональных данных» № 152-ФЗ от 27.07.2006 года эта информация относится к персональным данным и требует специального обращения.

Защита персональных данных в гостинице — обязанность отельера, за соблюдением которой строго следит Роскомнадзор. Если не соблюдать закон, можно получить крупные штрафы и понести огромные репутационные убытки. Сейчас явно прослеживается тенденция к увеличению таких штрафов — например, недавно выросли штрафы за обработку персональных данных (ПД) без согласия.

В статье рассказываем, как работать с ПД, не нарушая закон: какие документы подготовить и как избежать подводных камней. Разобраться в теме помогла гостиничный юрист Анастасия Королева.

Информация про работу с персональными данными актуальна на дату выхода статьи — 17 июля 2024 года.

Екатерина Сундарева

Главный редактор

Как защитить персональные данные в гостинице

Чтобы обеспечить безопасность персональных данных, нужно предпринять ряд шагов:

— Проанализировать бизнес-процессы в гостинице, чтобы учесть их в документах.

— Подготовить полный пакет документов: политику конфиденциальности, согласия, приказы о назначении ответственных, другие документы.

— Уведомить Роскомнадзор о том, что отель является оператором персональных данных.

— Обучить персонал. Объяснить сотрудникам, что такое ПД и как их обрабатывать, чтобы не нарушать закон. Например, сказать, что нельзя давать номер телефона одного гостя другому.

— Следить за выполнением требований закона и вовремя вносить изменения в документы при необходимости.

— Контролировать процесс обработки ПД. Руководитель направления должен отслеживать и исправлять нарушения. Например, если он видит, что на стойке регистрации открыто лежат сканы паспортов, то поговорить с сотрудниками и объяснить, что так делать нельзя.

А теперь — рассмотрим подробно все шаги по защите ПД.

1. Попросите гостя на сайте дать активное согласие на обработку персональных данных

Активное согласие — это совершение действия. В случае согласия на обработку персональных данных на сайте это значит, что гость ставит галочку «я согласен» сам — она не должна быть активна по умолчанию.

Политика обработки ПД всегда должна быть в свободном доступе на сайте отеля, чтобы гость в любой момент мог ее перечитать. Обычно документ помещают в подвал сайта — блок внизу страницы, который видно в каждом разделе.

Правила проживания в гостинице: новые требования закона

Анастасия Королева
Гостиничный юрист
Какие документы нужны для обработки персональных данных гостей при бронировании:

Политика обработки персональных данных на сайте отеля.
Согласие на обработку ПД в модуле бронирования. Важно, чтобы гость ознакомился с Политикой и самостоятельно поставил галочку, что он согласен на обработку данных. Если галочка уже стоит — это нарушение закона.

2. Возьмите у гостя при заезде подробное письменное согласие на обработку персональных данных в гостинице

При въезде в отель нужно снова взять письменное согласие на обработку ПД. Согласие, которое есть на сайте, чаще всего состоит из одной фразы: «Предоставляю согласие на обработку персональных данных». Этого недостаточно.

Кроме того, гости, которые бронировали не через сайт, совсем не давали согласия на обработку своих данных.

Образец согласия на обработку персональных данных в гостинице

Роскомнадзор не дает четко регламентированной формы такого согласия — только пункты, которые обязательно должны быть в документе. Согласие на обработку персональных данных в каждой гостинице будет выглядеть по-разному, в зависимости от бизнес-процессов и особенностей оказания услуг

Важно: собирайте только те данные, которые нужны для передачи данных гостей в МВД или для ваших внутренних задач. Избегайте избыточности — допустимо, например, собирать телефон гостя для оперативной связи с ним. Все остальное — например, данные о семейном положении или социальный статус — избыточная информация.

Анастасия Королева
Гостиничный юрист

Если вы планируете передавать персональные данные гостей третьим лицам (то есть распространять), на такие действия обязательно запрашивать отдельное согласие. Это потребуется, если вы планируете размещать в интернете отзыв гостя с Ф.И.О. или сведения о своих работниках.

Помните, что молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

3. Подготовьте документацию по обработке персональных данных в гостинице: образец стандартного пакета документов

Набор документов, который поможет отелю работать законно онлайн и офлайн, довольно обширный: список включает более 20 позиций. Ниже — часть обязательной документации:

— политика обработки ПД для сайта;
— положение об обработке ПД;
— согласия гостей на обработку ПД;
— приказы о назначении ответственных;
— должностные инструкции сотрудников, где прописаны их действия в отношении ПД гостей;
— другие документы, которые утверждают порядок работы с ПД в отеле.

Как отелю заключить договор оказания гостиничных услуг

4. Предоставьте субъектам ПД доступ к информации о том, как обрабатываются их данные

Обрабатывать персональные данные в соответствии с законом отель должен в отношении сотрудников, бывших работников и соискателей, контрагентов и гостей. Все обязательно должно быть зафиксировано в Политике обработки ПД.

Важно хранить такие данные отдельно друг от друга: желательно в разных помещениях, разных шкафах или сейфах.

Профессиональный этикет в отеле: 7 советов

5. Закрепите документально место хранения и ответственных

Обязательно подготовьте место для хранения ПД, например, архивную комнату.

Где какие документы хранятся, должно быть написано в приказе. Например, вы решили хранить бумажные ПД гостей в специальном сейфе в здании отеля. В приказе так и напишите: персональные данные гостей хранятся по адресу г. Рязань, ул. Иванова, 7, каб. 2, сейф № 5, ответственный — Иванов И. И.

И так — по каждому виду ПД: папки с бумажными согласиями, жесткие диски компьютеров и ноутбуков, жесткие диски серверов и т. д.

Ответственным за обработку ПД в отеле должно быть одно лицо, например, руководитель СПИР или главный бухгалтер и т. п. Информация об этом лице передается в Роскомнадзор. Важно: если работник уволился, данные нужно поменять.

Новый персонал на ресепшене: 5 ошибок обучения

6. Убедитесь, что сотрудник понимает, что он должен делать в сфере защиты ПД

Важно не просто прописать обязанности в инструкции, ввести их в действие приказом и письменно ознакомить сотрудника, но и быть уверенным, что он действительно понимает алгоритм действий по защите ПД и зону своей ответственности.

Мотивация персонала гостиницы

Анастасия Королева
Гостиничный юрист

С сотрудников, которые имеют доступ к ПД гостей, обязательно брать обязательство о неразглашении. Его можно оформить в виде приказа и указать, что за разглашение ПД он понесет ответственность.

Если этого пункта не было в должностной инструкции, важно его добавить. Как вариант — дополнить соглашением, что одна из обязанностей работника — обрабатывать ПД.

7. Вовремя уничтожайте персональные данные

Не забывайте вовремя уничтожать ПД. Данные уничтожаются по истечении срока хранения ПД. Также в некоторых случаях закон предусматривает удаление ПД по запросу субъекта. Можно разработать специальную форму для отзыва персональных данных или просто указать, что гость должен написать в таком заявлении.

В обоих случаях распишите, каким способом нужно отправить документ: например, электронная почта, мессенджер, почтовый адрес. Каждое заявление фиксируйте в журнале обращения гостей.

Анастасия Королева
Гостиничный юрист

Напомню, что хранить данные можно только за тот период, который указан в согласии на обработку ПД и столько, сколько нужно для исполнения договора. Как правило, это три года, но всегда есть нюансы.

Теперь о процессе по уничтожению. Если раньше можно было составить акт об уничтожении в произвольной форме, то сейчас составлять его нужно по требованиям Роскомнадзора, как и проводить сам процесс уничтожения.

Порядок и текст акта — в приказе Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

8. Обязательно сообщайте в Роскомнадзор об утечках, если они все же случаются

По закону об утечке ПД нужно сообщить в Роскомнадзор в течение 24 часов, а в течение 72 часов — провести расследование внутри отеля. Выяснить, почему так произошло, определить виновных и рассказать, какие выводы вы сделали. Все это оформляется в объемный документ — акт расследования.

9. Защищайте данные гостей и сотрудников не только ради закона

Разработайте комплекс мер по защите данных гостей: как правового, так и технического характера. В это стоит вложиться: утечка ПД, кроме штрафов, влечет за собой крупные репутационные риски. Гость не захочет приезжать в отель, зная, что доступ к его паспорту могут получить мошенники.

Чтобы действовать по закону, в документации важно учитывать все детали бизнес-процессов вашего отеля и нюансы работы с персональными данными.

В стандартных шаблонах из интернета — только базовые положения. Документы станут рабочими, только если будут изготовлены индивидуально для каждой гостиницы.

Как общаться с гостем в отеле, чтобы он захотел к вам вернуться

Еще раз — основные действия по обработке ПД, которые помогут избежать штрафов

Подготовьте пакет документов.
Направьте уведомление в Роскомнадзор о начале обработки ПД.
Подготовьте место для хранения.
Обучите персонал, убедитесь, что сотрудники знают матчасть и могут применить на практике.
Назначьте ответственного и подпишите с сотрудниками необходимые документы.
Внедрите в работу и контролируйте процесс.
Уничтожайте данные по истечению срока хранения и в некоторых случаях — по запросу.
Сообщайте в Роскомнадзор, если произошла утечка.

Редактор: Евгения Щелчкова.

Анастасия Королева

Гостиничный юрист

Передавайте данные гостей безопасно с системой управления TL: WebPMS. Благодаря интеграции со сканером документов данные гостей автоматически будут передаваться в шахматку при заселении. Больше возможностей — по кнопке.

Подробнее о TL: WebPMS

Упоминая в этой публикации Meta, Facebook и Instagram, сообщаем, что они признаны экстремистскими организациями
и их деятельность запрещена на территории РФ.