Пн мар 22, 2010 11:59
Уважаемые коллеги!
Некоторое время назад мы официально обратились в Роскомнадзор с письмом и получили ответ, который на наш взгляд, представляет непосредственный интерес, как для ТО, так и ТА.
Текст нашего письма:
Просим Вас рекомендовать действия туроператора по соблюдению требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее по тексту – ФЗ) при учете следующей специфики деятельности:
1. Турагенты (наша дистрибьютерная сеть, порядка 3 тысяч организаций, с которыми мы имеем договора о реализации нашего туристского продукта) заключают договора с туристами на предоставление им туристских услуг. На основании этих договор с туристами турагенты направляют нам заявки на бронирование туристских услуг. Эти заявки содержат персональные данные туристов (далее по тексту ПД): фамилия и имя туриста, как они указаны в загранпаспорте, год, месяц, день рождения, пол, номер заграничного паспорта и срок его действия.
2. После получения данных заявок мы ведем обработку ПД туристов методом смешанный (в том числе автоматизированной) обработки, передаваем их с использованием сети общего пользования Интернет третьим лицам (авиакомпании, страховые компании, иностранные туроператоры, отели и т.п.), в том числе с использованием трансграничной передачи данных на территории иностранных государств. Тем самым в рамках ФЗ мы третье лицо, которому в исполнение договора между турагентом и туристом передаются ПД туриста. В тоже время, как нам представляется, по смыслу ФЗ, мы сами становимся оператором ПД. Однако мы не взаимодействуем с субъектом ПД - туристом, не заключаем с ним договор, и не можем располагать непосредственно полученным от туриста иным согласием на обработку его ПД.
Вопросы:
- Надо ли нам при такой схеме деятельности получать разрешение туриста на обработку его ПД?
- Дают ли нам письменные гарантии турагента, что он имеет договор с туристом, где выражено согласие туриста на обработку его ПД, законное основание вести обработку ПД туриста без дополнительного получения нами на то его согласия?
То есть имеется в виду, например, следующая схема: субъект ПД – турист заключает договор с турагентом, в договоре указывается согласие туриста на передачу его ПД для обработки конкретному туроператору. Турагент имеет договор с данным туроператором, по которому гарантирует, что передает ПД туриста туроператору только при наличии у турагента письменного договора с субъектом ПД или иного его письменного согласия на передачу ПД для последующей обработки.
ОТВЕТ за подписью заместителя начальника Роскомнадзора К.В.Протопопова.
«Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций по результатам рассмотрения Вашего обращения сообщает следующее.
В схеме, предложенной в обращении, из всех участников процессе туриндустрии согласие в письменной форме на обработку, в том числе, трансграничную передачу, персональных данных туриста необходимо турагенту или лицу, заключившему с туристом договор на оказание туристических услуг.
Кроме того, в соответствии с ч. 4 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», все участники туриндустрии обязаны осуществлять взаимодействие на основании гражданско-правовых договоров, существенными условиями которых являются обязанность обеспечения сторонами конфиденциальности и безопасности персональных данных при их обработке.
Дополнительно сообщаем, что в случае, если персональные данные получены не от субъекта персональных данных, то лица, осуществляющие их обработку, обязаны предоставить субъекту персональных данных информацию, предусмотренную ч. 3 ст. 18 Федерального закона «О персональных данных».