— Зачем вы присылаете мне весь этот бред? — Возмущалась Ольга.
Уже несколько лет она получала смс-рассылку от одного отеля, в котором периодически останавливалась во время командировок в Питер, и все это время ей ничего не мешало просто удалять сообщения, а иногда даже пересылать их знакомым.
Но сегодня все было не так: мигрень, ЧП на работе, дочка закатила истерику, а тут еще этот отель со своим спамом. Нет, хоть одну проблему из этого списка надо вычеркнуть.
— Я никакого согласия не давала, я знаю законы, я буду жаловаться на вас в Роскомнадзор! — Искрила Ольга.
Ирина, администратор отеля на другом конце провода, явно с таким еще не сталкивалась, поэтому ей потребовалось пару секунд, чтобы выдавить из себя:
— Скажите, как я могу к Вам обращаться?
— На «Вы» и шепотом! — Не унималась клиентка. — Ольга Герасимова меня зовут.
— Очень приятно, Ольга. — Дрожащим голосом продолжала Ирина. — Не может такого быть, чтобы мы посылали Вам сообщения без Вашего разрешения.
— Очень даже может, знаю я вас! — Почти кричала Ольга. — Готовьтесь, суд уже не за горами.
— Подождите, пожалуйста. Давайте мы все же попробуем найти Вашу анкету для начала. Я уверена, что проблему можно решить. — Ирина пыталась говорить убедительно. — Может быть, Вы помните, в каком году останавливались у нас впервые? Это упростит нам задачу.
— Так я вам еще и задачи должна упрощать? — Ольга была близка к бешенству. — Ищите мою анкету сами, если она вообще существует! — И бросила трубку.
Ирина была в ужасе, но нужно было взять себя в руки. Спустя 4 часа, 2 скандала и 1573 файла, анкету Ольги Герасимовой все же нашли, галочка напротив фразы «Я согласна получать смс-уведомления об акциях и спецпредложениях» и подпись там стояли.
Громкую клиентку удалось успокоить скан-копией анкеты и обещанием удалить ее номер из рассылки. Но осадочек остался…
1 июля 2017 года в России вступил в силу закон, который ужесточил правила обработки персональных данных и существенно увеличил штрафы за их нарушение. Больше всего это обеспокоило предпринимателей в сфере гостеприимства, ведь их работа напрямую связана с получением личной информации от клиентов.
Мы решили выяснить, какие ошибки чаще всего допускает администрация отелей при обработке персональных данных, какую ответственность влечет за собой незнание законов и как избежать неприятных ситуаций.
Но для начала разберемся,
Что считать персональными данными
Закон не дает четкого определения этого понятия. Если же исходить из формулировки, что это любая информация, которая определяет физическое лицо, то к персональным данным можно отнести:
анкетные данные (фамилия, имя, отчество, число, месяц, год рождения и др.),
гражданство,
пол,
паспортные данные,
адрес регистрации,
адрес места жительства,
данные документа, подтверждающего право на пребывание в стране,
номер контактного телефона,
адрес электронной почты,
данные о месте работы (если речь идет о командировке),
данные кредитных и дебетовых карт.
Физическое или юридическое лицо, ИП, муниципальный или государственный орган, который занимается сбором и обработкой персональных данных, именуется оператором.
В случае с отелем мы обычно имеем дело с ИП или юрлицом. Для этих категорий предусмотрена разная степень ответственности и разные штрафы за нарушение закона. Больше всего досталось юрлицам — у них и штрафы выше, и требований к оформлению документов больше.
В идеале, перед началом деятельности оператор должен подать уведомление в Роскомнадзор и предупредить о работе с персональными данными. Но если не успели сделать это вовремя, лучше поздно, чем никогда.
Какие же ошибки чаще всего допускает администрация отелей? Обычно неприятности случаются, когда сотрудники:
1
Не получают письменное согласие на обработку данных
Например: Некоторые отели и гостиницы до сих пор не снабдили формы сбора личной информации на сайте фразой «Даю согласие на обработку своих персональных данных» и окошком для галочки.
Наказание: По части 2 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, штраф на граждан в размере от 3 до 5 тысяч рублей, на должностных лиц — от 10 до 20 тысяч рублей, а на юрлиц — от 15 до 75 тысяч рублей.
Исходя из судебной практики, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц — руководителей ИП, так как во втором случае штраф выше.
Последствия неполучения письменного согласия контролерам будут неважны, они примут во внимание сам факт наличия или отсутствия такого согласия в письменной форме.
Как избежать: Предоставляйте гостю для заполнения регистрационную карту, а также снабжайте все формы сбора данных на сайте специальным полем, в котором гость может подтвердить свое согласие на обработку личной информации.
2
Не знакомят с политикой обработки персональных данных
Например: Файл с положением о сборе и обработке персональных данных сложно найти на сайте отеля либо оно вообще отсутствует.
Наказание: По части 3 статьи 13.11 КоАП РФ, индивидуальные предприниматели заплатят штраф в размере от 5 до 10 тысяч рублей, а организации — в размере от 15 до 30 тысяч рублей.
Как избежать: Информация о политике обработки персональных данных должна находиться в свободном доступе, чтобы каждый имел возможность с ней ознакомиться. Кроме того, при получении личной информации от клиента, дополнительно предлагайте ему прочесть положение о сборе и обработке персональных данных.
3
Собирают и используют данные не по назначению
Имеются в виду случаи, когда компания просит информацию, которая не имеет никакого отношения к ее деятельности.
Например: Отель запрашивает паспортные данные и адрес прописки гостя для бронирования номера. Еще сомнительнее просить указать расовую или национальную принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья или сведения о личной жизни.
Наказание: По части 1 статьи 13.11 КоАП РФ штраф для индивидуальных предпринимателей — от 5 до 10 тысяч рублей, а для организаций — от 30 до 50 тысяч рублей.
Как избежать: Следуйте золотому правилу: запрашивайте минимальное количество персональных данных, чтобы не раздражать гостя и не нарушать закон.
4
Игнорируют вопросы клиентов о том, каким образом используются их персональные данные
Например: Клиент звонит и просит уточнить, какая информация о нем хранится в отеле, ему обещают перезвонить, но в итоге никакого ответа не приходит.
Наказание: По части 4 ст. 13.11 КоАП РФ штраф для ИП — от 10 до 15 тысяч рублей, а для юрлиц — от 20 до 40 тысяч рублей.
Как избежать: Если клиент хочет выяснить, как используются его персональные данные, у вас нет других вариантов, кроме как дать ему подробную информацию.
5
Не блокируют и не уничтожают персональные данные по требованию клиентов
Например: Клиент просит исключить его номер из списка по рассылке рекламных акций, но СМС продолжают приходить.
Наказание: По части 5 статьи 13.11 КоАП РФ для ИП штраф составит от 10 до 20 тысяч рублей, для организаций — от 25 до 45 тысяч рублей.
Как избежать: Реакция на подобные просьбы говорит не только о послушании закону, но и об уровне сервиса. Уточняйте, блокируйте или уничтожайте персональные данные по первому требованию клиента, и тогда вам не будут страшны ни штрафы, ни разбирательства.
6
Не хранят носители с персональными данными должным образом
Наказание: По части 5 статьи 13.11 КоАП РФ для ИП штраф составит от 10 до 20 тысяч рублей, для организаций — от 25 до 45 тысяч рублей.
Как избежать: Реакция на подобные просьбы говорит не только о послушании закону, но и об уровне сервиса. Уточняйте, блокируйте или уничтожайте персональные данные по первому требованию клиента, и тогда вам не будут страшны ни штрафы, ни разбирательства.
Ксения Ерёмина
Копирайтер. Подбираю интересный и полезный контент для читателей Клуба Директоров.