Шпаргалка для отельеров.

6 ошибок в работе с персональными данными клиентов и как их избежать.

1 июля 2017 года в России вступил в силу закон, который ужесточил правила обработки персональных данных и существенно увеличил штрафы за их нарушение. Больше всего это обеспокоило предпринимателей в сфере гостеприимства, ведь их работа напрямую связана с получением личной информации от клиентов.

Мы решили выяснить, какие ошибки чаще всего допускает администрация отелей при обработке персональных данных, какую ответственность влечет за собой незнание законов и как избежать неприятных ситуаций.

Но для начала разберемся, что считать персональными данными.

Закон не дает четкого определения этого понятия. Если же исходить из формулировки, что это любая информация, которая определяет физическое лицо, то к персональным данным можно отнести:

• анкетные данные (фамилия, имя, отчество, число, месяц, год рождения и др.),
• гражданство,
• пол,
• паспортные данные,
• адрес регистрации,
• адрес места жительства,
• данные документа, подтверждающего право на пребывание в стране,
• номер контактного телефона,
• адрес электронной почты,
• данные о месте работы (если речь идет о командировке),
• данные кредитных и дебетовых карт.
• анкетные данные (фамилия, имя, отчество, число, месяц, год рождения и др.),
• гражданство,
• пол,
• паспортные данные,
• адрес регистрации,
• адрес места жительства,
• данные документа, подтверждающего право на пребывание в стране,
• номер контактного телефона,
• адрес электронной почты,
• данные о месте работы (если речь идет о командировке),
• данные кредитных и дебетовых карт.

Физическое или юридическое лицо, ИП, муниципальный или государственный орган, который занимается сбором и обработкой персональных данных, именуется оператором.

В случае с отелем мы обычно имеем дело с ИП или юрлицом. Для этих категорий предусмотрена разная степень ответственности и разные штрафы за нарушение закона. Больше всего досталось юрлицам — у них и штрафы выше, и требований к оформлению документов больше.

В идеале, перед началом деятельности оператор должен подать уведомление в Роскомнадзор и предупредить о работе с персональными данными. Но если не успели сделать это вовремя, лучше поздно, чем никогда.

Какие же ошибки чаще всего допускает администрация отелей? Обычно неприятности случаются, когда сотрудники:

1. Не получают письменное согласие на обработку данных:

Например: Некоторые отели и гостиницы до сих пор не снабдили формы сбора личной информации на сайте фразой «Даю согласие на обработку своих персональных данных» и окошком для галочки.

Наказание: По части 2 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, штраф на граждан в размере от 3 до 5 тысяч рублей, на должностных лиц — от 10 до 20 тысяч рублей, а на юрлиц — от 15 до 75 тысяч рублей.

Исходя из судебной практики, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц — руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, они примут во внимание сам факт наличия или отсутствия такого согласия в письменной форме.

Как избежать: Предоставляйте гостю для заполнения регистрационную карту, а также снабжайте все формы сбора данных на сайте специальным полем, в котором гость может подтвердить свое согласие на обработку личной информации.

2. Не знакомят с политикой обработки персональных данных:

Например: Файл с положением о сборе и обработке персональных данных сложно найти на сайте отеля либо оно вообще отсутствует.

Наказание: По части 3 статьи 13.11 КоАП РФ, индивидуальные предприниматели заплатят штраф в размере от 5 до 10 тысяч рублей, а организации — в размере от 15 до 30 тысяч рублей.

Как избежать: Информация о политике обработки персональных данных должна находиться в свободном доступе, чтобы каждый имел возможность с ней ознакомиться. Кроме того, при получении личной информации от клиента, дополнительно предлагайте ему прочесть положение о сборе и обработке персональных данных.

3. Собирают и используют данные не по назначению:

Имеются в виду случаи, когда компания просит информацию, которая не имеет никакого отношения к ее деятельности.

Например: Отель запрашивает паспортные данные и адрес прописки гостя для бронирования номера. Еще сомнительнее просить указать расовую или национальную принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья или сведения о личной жизни.

Наказание: По части 1 статьи 13.11 КоАП РФ штраф для индивидуальных предпринимателей — от 5 до 10 тысяч рублей, а для организаций — от 30 до 50 тысяч рублей.

Как избежать: Следуйте золотому правилу: запрашивайте минимальное количество персональных данных, чтобы не раздражать гостя и не нарушать закон.

4. Игнорируют вопросы клиентов о том, каким образом используются их персональные данные:

Например: Клиент звонит и просит уточнить, какая информация о нем хранится в отеле, ему обещают перезвонить, но в итоге никакого ответа не приходит.

Наказание: По части 4 ст. 13.11 КоАП РФ штраф для ИП — от 10 до 15 тысяч рублей, а для юрлиц — от 20 до 40 тысяч рублей.

Как избежать: Если клиент хочет выяснить, как используются его персональные данные, у вас нет других вариантов, кроме как дать ему подробную информацию.

5. Не блокируют и не уничтожают персональные данные по требованию клиентов:

Например: Клиент просит исключить его номер из списка по рассылке рекламных акций, но СМС продолжают приходить.

Наказание: По части 5 статьи 13.11 КоАП РФ для ИП штраф составит от 10 до 20 тысяч рублей, для организаций — от 25 до 45 тысяч рублей.

Как избежать: Реакция на подобные просьбы говорит не только о послушании закону, но и об уровне сервиса. Уточняйте, блокируйте или уничтожайте персональные данные по первому требованию клиента, и тогда вам не будут страшны ни штрафы, ни разбирательства.

6. Не хранят носители с персональными данными должным образом:

Наказание: По части 5 статьи 13.11 КоАП РФ для ИП штраф составит от 10 до 20 тысяч рублей, для организаций — от 25 до 45 тысяч рублей.

Как избежать: Реакция на подобные просьбы говорит не только о послушании закону, но и об уровне сервиса. Уточняйте, блокируйте или уничтожайте персональные данные по первому требованию клиента, и тогда вам не будут страшны ни штрафы, ни разбирательства.