зачем в отелях берут паспортные данные
Что делать, если просят копию паспорта?
Насколько я понимаю, любая организация, у которой есть копия моего паспорта или мои паспортные данные, становится обладателем моих персональных данных и обязана их хранить.
Могу ли я потребовать с организации письменное обязательство о неразглашении моих персональных данных?
Вы совершенно правы. В паспорте содержатся ваши персональные данные. Тот, кому вы их предоставляете, становится оператором персональных данных и должен соблюдать требования закона: использовать данные для конкретной цели, хранить в защищенном месте и не допускать утечки. Операторы сами должны запрашивать ваше согласие на обработку персональной информации.
Насторожитесь, когда копию паспорта делают без вашего согласия. Если паспортные данные окажутся у мошенников, вас могут ждать неприятные последствия.
Мы уже не раз писали про персональные данные. Но давайте еще раз вспомним главное.
По закону персональные данные — это любая информация, относящаяся к физическому лицу. Любой, кто получает и использует сведения о других людях, становится оператором персональных данных и должен соблюдать требования закона.
Нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.
Поэтому вы смело можете запросить у фирмы, которая получила копию вашего паспорта или паспортные данные, обязательство не разглашать эти данные. А лучше потребовать у компании соглашение на обработку данных. Оно обязательно должно быть.
По закону оператор должен получить письменное согласие на обработку персональных данных, если эти данные не нужны суду или гос. органам (ст. 6 Закона о персональных данных). В согласии должны быть прописаны данные, которые от вас требуются, и цель, для которой они нужны.
Если соглашения нет, возможно, вы имеете дело с мошенниками.
Чем грозит утечка паспортных данных
На ваше имя могут оформить кредит или микрозаем. Мошенникам достанутся деньги, а вам — звонки коллекторов и обязанность погасить долг. Конечно, такой кредит можно оспорить в суде, но вы потратите время и нервы.
Ваши данные могут использовать для незаконных финансовых операций. Чтобы снять ограничения в некоторых платежных системах, достаточно предъявить фото паспорта. В этом случае вы рискуете стать участником дел о незаконной торговле или финансировании терроризма.
Как обезопасить себя
Во-вторых, не давайте делать копии всех страниц паспорта. Первой страницы и страницы с пропиской обычно достаточно.
Наконец, по возможности напишите на копии паспорта, для какой фирмы она сделана. Либо замажьте или зачеркните какие-нибудь данные, например вашу подпись.
Если у вас есть вопрос о личных финансах, правах и законах, здоровье или образовании, пишите. На самые интересные вопросы ответят эксперты журнала.
Зачем в отелях берут паспортные данные
IV. Порядок и условия предоставления гостиничных услуг
18. Заселение потребителя осуществляется при условии предъявления потребителем документа, удостоверяющего его личность в соответствии с законодательством Российской Федерации, в том числе:
паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации на территории Российской Федерации;
паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, для лица, постоянно проживающего за пределами Российской Федерации;
временного удостоверения личности гражданина Российской Федерации;
паспорта иностранного гражданина либо иного документа, установленного федеральным законом или признанного в соответствии с международным договором Российской Федерации в качестве документа, удостоверяющего личность иностранного гражданина;
документа, выданного иностранным государством и признаваемого в соответствии с международным договором Российской Федерации в качестве документа, удостоверяющего личность лица без гражданства;
разрешения на временное проживание лица без гражданства;
вида на жительство лица без гражданства.
Заселение в гостиницу несовершеннолетних граждан, не достигших 14-летнего возраста, осуществляется на основании документов, удостоверяющих личность находящихся вместе с ними родителей (усыновителей, опекунов), сопровождающего лица (лиц), при условии предоставления таким сопровождающим лицом (лицами) согласия законных представителей (одного из них), а также свидетельств о рождении этих несовершеннолетних.
(в ред. Постановления Правительства РФ от 01.04.2021 N 519)
(см. текст в предыдущей редакции)
Заселение в гостиницу несовершеннолетних граждан, достигших 14-летнего возраста, в отсутствие нахождения рядом с ними законных представителей осуществляется на основании документов, удостоверяющих личность этих несовершеннолетних, при условии предоставления согласия законных представителей (одного из них).
(в ред. Постановления Правительства РФ от 01.04.2021 N 519)
(см. текст в предыдущей редакции)
19. Регистрация потребителей, являющихся гражданами Российской Федерации, по месту пребывания в гостинице осуществляется в соответствии с Правилами регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 17 июля 1995 г. N 713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации».
Постановка потребителей, являющихся иностранными гражданами и лицами без гражданства, на учет по месту пребывания в гостинице и снятие их с учета по месту пребывания осуществляются в соответствии с Правилами осуществления миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 15 января 2007 г. N 9 «О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации».
20. Исполнитель обеспечивает круглосуточное обслуживание потребителей, прибывающих в гостиницу и убывающих из гостиницы.
В гостинице с номерным фондом не более 50 номеров исполнитель вправе самостоятельно устанавливать время обслуживания потребителей, прибывающих в гостиницу и убывающих из гостиницы.
21. Заезд в гостиницу и выезд из гостиницы потребителя осуществляются с учетом времени заезда и времени выезда (расчетного часа), которые устанавливаются исполнителем с учетом местных особенностей и специфики деятельности.
Разница между временем выезда потребителя из номера и заезда потребителя в номер не может составлять более 3 часов.
22. Исполнитель вправе установить предельный срок проживания в гостинице, одинаковый для всех потребителей.
23. Цена номера (места в номере), перечень услуг, которые входят в цену номера (места в номере), а также порядок и способы оплаты номера (места в номере) устанавливаются исполнителем.
Исполнителем может быть установлена посуточная и (или) почасовая оплата проживания.
В случае если в соответствии с законодательством Российской Федерации вводится государственное регулирование стоимости гостиничных услуг (гостиничного обслуживания) в период проведения мероприятий (церемоний), стоимость гостиничных услуг не может превышать максимально установленной стоимости для такой категории гостиницы.
24. Исполнитель не вправе без согласия потребителя оказывать иные платные услуги, не входящие в цену номера (места в номере).
25. Исполнитель по просьбе потребителя обязан без дополнительной оплаты обеспечить следующие виды услуг:
а) вызов скорой помощи;
б) пользование медицинской аптечкой;
в) доставка в номер корреспонденции, адресованной потребителю, по ее получении;
г) побудка к определенному времени;
д) предоставление кипятка;
е) иные услуги по усмотрению исполнителя.
26. Потребитель (заказчик) обязан оплатить гостиничные услуги и иные платные услуги в сроки и в порядке, которые указаны в договоре.
При осуществлении расчетов с потребителем исполнитель выдает потребителю кассовый чек или документ, оформленный на бланке строгой отчетности.
27. Если исполнителем в соответствии с пунктом 23 настоящих Правил установлена посуточная оплата проживания, то плата за проживание в гостинице рассчитывается за сутки, определяемые в соответствии со временем заезда и временем выезда (расчетным часом), установленными в соответствии с пунктом 21 настоящих Правил.
При заселении потребителя до установленного времени заезда (ранний заезд) и последующим проживанием в гостинице плата за номер (место в номере) за период от времени заселения до времени заезда взимается в размере, не превышающем плату за половину суток, за исключением случая, предусмотренного абзацем третьим настоящего пункта.
Если период от времени заселения до времени заезда составляет более 12 часов, плата за проживание взимается с потребителя в порядке, установленном исполнителем.
В случае задержки выезда потребителя после времени выезда (расчетного часа) (поздний выезд) плата за проживание взимается с потребителя в порядке, установленном исполнителем.
28. Потребитель обязан соблюдать правила, указанные в пункте 6 настоящих Правил.
29. Порядок учета, хранения и утилизации (уничтожения) забытых вещей в гостинице определяется исполнителем.
«Дорогие гости»: как сотрудники сферы гостеприимства наживаются на персональных данных клиентов
Сколько бы эксперты сферы ИБ ни рассказывали страшилок, связанных с кражей персональных данных или халатным с ними обращением, подавляющее большинство граждан не задумывается даже об элементарных правилах информационной безопасности. Мы без тени сомнения предоставляем личные данные турагентству (зачем интересоваться тем, как и где будут храниться копии паспорта, анкеты и справки о доходах? Кому будут пересылаться эти документы?), спокойно относимся к копированию собственного паспорта при заселении в гостиницу и даже требование фитнес-центра о скан-копии документа, удостоверяющего личность, не настораживает нас.
Я сам провожу в перелетах и гостиницах пятую часть рабочего времени и даже боюсь представить, сколько копий моего паспорта гуляет по всему миру.
Немного статистики
Чтобы оценить масштаб проблемы: только в Москве 795 гостиниц (включая мини-отели и хостелы) с номерным фондом на 50 500 мест. По статистике, в среднем гостиницы загружены на 60-70%. Даже если брать по минимуму, то ежедневно в организациях сферы гостеприимства «оседает» около 20 200 скан-копий паспортов, которые никто не охраняет. И это только в столице РФ.
Или данные Ростуризма: в 2015 году по РФ путешествовало 50 млн россиян. Даже если поделить эту цифру пополам, количество незащищенных персональных данных остается слишком велико, чтобы не обращать на проблему внимания.
Кроме гостиниц, паспорта сканируют в фитнес- и бизнес-центрах, на проходных режимных объектов и даже в развлекательных учреждениях (вот пример с Ледовой ареной).
Среди всех клиентов SearchInform доля компаний из сферы гостеприимства составляет лишь 0,5%, т. е. более чем из 1600 клиентов лишь восемь – гостиницы, дома отдыха, пансионаты. И это не наше упущение как бизнеса. Для сравнения: у других вендоров доля клиентов из сферы гостеприимства также невелика: от 1 до 3%.
Угроза на практике
Наши клиенты поделились реальными историями мошенничества и халатности со сканами паспортов в гостиницах.
Перед одним из клиентов SearchInform стояла задача по выявлению мошеннических схем с заселением в гостиницу. Вместе с политиками, позволяющими выявить мошенников, в DLP-системе (Data Leak Prevention, система предотвращения утечек информации. — Forbes), были настроены политики по отслеживанию движения сканов паспортов. Ответственный за информационную безопасность сотрудник был немало удивлен, когда система обнаружила систематическую отправку сканов на внешнюю почту. Выяснилось, что сотрудница ресепшен продавала их на специализированных сайтах. С сотрудницей расстались, но разбирательство по этому инциденту еще продолжается.
Наиболее распространенный вид мошенничества со скан-копиями паспортов – это передача их заинтересованным лицам. Сканы используются для мошенничества с кредитами, подтверждения личности на различных сайтах, для целенаправленного шантажа конкретного человека. У одного из наших клиентов сложилась такая ситуация: сканы паспортов хранились в общей сетевой папке, один из менеджеров по продажам воспользовался случаем и скинул данные на флешку. Слив информации на внешний носитель зафиксировала DLP-система, и сотрудник признался, что договорился передать скан-копии сообщнику за вознаграждение. Мошенник скупал копии паспортов для подтверждения личности на сайтах онлайн-казино, а также на ресурсах по розничной купле-продаже.
И еще одна типичная история. Наш аналитический центр обнаружил пару лет назад, что в гостинице сканы паспортов постояльцев находились в открытом доступе (не будем раскрывать название отеля — он оперативно исправил ситуацию). При подключении к бесплатному вайфаю в сети появлялись несколько компьютеров, в том числе и ПК ресепшена. Аналитик SearchInform свободно скачал скан-копии постояльцев и обратился с этими данными к руководству гостиницы. Оказалось, что в организации нет даже постоянного системного администратора, который бы смог оперативно устранить проблему.
Подобный случай был зафиксирован и в тбилисской гостинице «Вере Палас».
Как защитить свои данные?
Я работаю в сфере информационной безопасности и прекрасно понимаю, чем грозят многочисленные копии моего паспорта в руках злоумышленника: от проблем с кредитами и фирмами-однодневками, до целенаправленных атак социальных инженеров.
Проблема сохранности персональных данных, увы, даже не приближается к решению. Гостиницы лишь «на бумаге» выполняют ФЗ-152, в то время как защитных решений у большинства организаций нет.
Глобально исправить ситуацию с сохранностью персональных данных могут инициативы регуляторов: если от учреждений сферы гостеприимства на государственном уровне будут требовать защиты персональных данных, будут проводиться проверки и налагаться существенные штрафные санкции, то большая часть проблем будет решена.
Качественная DLP-система на компьютерах, хранящих и обрабатывающих персональные данные, позволит как заблокировать отправку критически важной информации, так и оповестить о попытке слива руководство или сотрудника отдела информационной безопасности.
Защита персональных данных в гостинице
Защита персональных данных
с помощью DLP-системы
Д алеко не все владельцы и руководители отелей и гостиниц в полной мере знакомы со всеми требованиями, которые возлагает на них законодательство о защите персональных данных. Нарушая требования закона и Роскомнадзора, они оказываются в ситуации, несущей потенциальные риски для бизнеса. Знание всех нюансов обработки и использования персональных данных, обучение этим правилам персонала поможет избежать любых видов ответственности и правильно отрегулировать отношения с клиентами.
Какие персональные данные клиента нужны отелю
Условия обработки и использования персональных данных клиентов организаций в России регулируются Федеральным законом «О персональных данных». Ответственность за их нарушение устанавливается КоАП РФ, и с 2017 года она серьезно ужесточилась. Стандартно, заполняя анкету при заселении, гражданин оставляет данные паспорта и текущего местожительства. Они необходимы для того, чтобы проконтролировать сохранность имущества гостиницы, их запрос регламентируется правилами оказания гостиничных услуг в целях общественной безопасности. Иногда отель по собственной инициативе просит предоставить и другую информацию, например, номер мобильного телефона, на который впоследствии отправляет рекламные рассылки.
Все эти сведения являются персональными данными. Точного их перечня в законе нет, под этим термином подразумеваются любые сведения, имеющие отношение к конкретному лицу и позволяющие его достоверно идентифицировать. Факт сбора персональных данных делает отель их оператором, и его руководитель или индивидуальный предприниматель, оказывающий эти услуги, обязан подать уведомление в Роскомнадзор о том, что он занимается деятельностью по их обработке. Как правило, за несвоевременное уведомление, если оно состоялось, операторов не наказывают, в том числе и в административном порядке. Кроме уведомления, требуется позаботиться о разработке пакета внутренней документации по защите информационных баз, в которых хранятся данные клиентов.
Деятельность по защите персональных данных
Персонал отеля больше занят выполнением своих служебных обязанностей, чем соблюдением законодательства об обеспечении защиты персональных данных. Избежать рисков привлечения к административной ответственности поможет составление инструкции для руководства и персонала, описывающей основные действия, которые они обязаны совершать, взаимодействуя с клиентами и получая у них персональные данные для обработки. Нельзя забывать о том, что административные штрафы налагаются на руководителя даже в том случае, если нарушение допущено сотрудником.
Обязательное получение согласия на обработку персональных данных
Формат документа должен быть предварительно разработан с опорой на рекомендации Роскомнадзора. Если сведения собираются на сайте гостиницы, необходимо вместе с формой их предоставления разместить фразу «Даю согласие на обработку персональных данных» с окошком, в котором клиент может отметить свое согласие. Рядом должна находиться ссылка, ведущая на страницу, на которой выложена внутренняя политика о порядке обработки персональных данных.
При заполнении бумажных анкет непосредственно в отеле клиенту нужно предложить заполнить бумажную форму согласия, которая может быть отсканирована и учтена в его анкете. При подписании документа клиент должен точно понимать, для чего собираются его данные, какими способами они будут обрабатываться, кому они будут передаваться и с какими целями. Нарушение этого требования может привести к административной ответственности. Максимальный штраф составит 75 тысяч рублей, которые должна будет заплатить гостиница.
Ознакомление клиента с политикой гостиницы по обработке персональных данных
Прежде всего, этот документ нужно разработать и утвердить. Он не очень сложен, стандарты легко найти в Сети. Главное при его подготовке – подробно описать права и обязанности клиента, связанные с предоставлением и обработкой персональных данных. Если документ выложен на сайте и физическое лицо предоставляет сведения онлайн, задача гостиницы считается выполненной.
В ситуации, когда клиент заполняет формы в гостинице, распечатанный экземпляр политики должен предоставляться ему по запросу. Желательно также предлагать ему прочитать его, так как именно там он найдет ответы на свои вопросы.
Данные должны использоваться только в соответствии с целями их обработки
Каждая гостиница – оператор персональных данных – должна уведомить клиента о цели сбора сведений и используемых способах их обработки. Эта информация должна содержаться в политике обработки персональных данных, она заявляется Роскомнадзору при направлении ему уведомлений. Но могут возникнуть ситуации, когда неинформированные сотрудники нарушают установленный порядок и используют доверенные им сведения не по назначению.
В гостиничном бизнесе могут возникнуть три типичных случая использования данных неустановленным способом:
Такая активность персонала приведет и к штрафам, налагаемым в административном порядке, и к негативной реакции ФАС на незаконную рекламу, и к претензиям и судебным искам со стороны недовольных клиентов.
Права клиента на получение информации о порядке использования его персональных данных должны быть соблюдены
В политике гостиницы должны быть оговорены права клиента получать информацию о судьбе своих персональных данных и на другие действия с ними, и персонал должен знать об их наличии. К ним относятся права клиента:
По заявлению клиентов персональные данные должны быть заблокированы или уничтожены, несмотря на то, что эти действия могут не соответствовать бизнес-процессам и принятым в гостинице стандартам обработки информации. Так, требование об исключении телефонного номера клиента из баз, используемых для СМС-рассылок, должно быть выполнено незамедлительно. Нарушение этого требования не только приведет к привлечению к административной ответственности и наложению штрафа в сумме 45 тысяч рублей, но и может стать основанием для возбуждения ФАС РФ дела о недобросовестной рекламе.
Отказ удовлетворить требование клиента приведет также к жалобе в Роскомнадзор, штрафам и судебным искам. Поэтому от сотрудников отеля требуется оперативность в реакции на запросы клиентов. Решением может стать внесение обязанностей по сопровождению обработки персональных данных и по общению с клиентами по этим вопросам в должностные инструкции.
Какие технические требования необходимо соблюдать администрации отеля
Технические требования к хранению информации также должны соблюдаться максимально точно. Если информационная система, в которой находятся персональные данные, подключена к сети Интернет, должны быть установлены антивирусные средства защиты. При передаче сведений по телекоммуникационным каналам третьим лицам они должны шифроваться. Сами компьютеры должны быть физически защищены, допуск к ним должен быть ограничен, поручен только лицам, уполномоченным на это отдельным приказом руководства. Если есть возможность, нужно установить DLP-систему, которая полностью блокирует возможность передать сведения третьим лицам, которые могут интересоваться и базой данных состоятельных клиентов, и их телефонными номерами. Система защиты персональных данных должна быть комплексной и учитывать все возможные риски.
Руководство гостиницы должно помнить, что клиент может оказаться более информированным в вопросе защиты персональных данных, чем сотрудники отеля. И это знание при выявлении ошибки персонала может быть использовано и для причинения ущерба деловой репутации гостиницы, и для подачи исков о возмещении морального вреда. Единственным решением станет обучение персонала всем аспектам работы с персональными данными.
Шпаргалка для отельеров. 6 ошибок в работе с персональными данными клиентов и как их избежать
— Зачем вы присылаете мне весь этот бред? — Возмущалась Ольга.
Уже несколько лет она получала смс-рассылку от одного отеля, в котором периодически останавливалась во время командировок в Питер, и все это время ей ничего не мешало просто удалять сообщения, а иногда даже пересылать их знакомым.
Но сегодня все было не так: мигрень, ЧП на работе, дочка закатила истерику, а тут еще этот отель со своим спамом. Нет, хоть одну проблему из этого списка надо вычеркнуть.
— Я никакого согласия не давала, я знаю законы, я буду жаловаться на вас в Роскомнадзор! — Искрила Ольга.
Ирина, администратор отеля на другом конце провода, явно с таким еще не сталкивалась, поэтому ей потребовалось пару секунд, чтобы выдавить из себя:
— Скажите, как я могу к Вам обращаться?
— На «Вы» и шепотом! — Не унималась клиентка. — Ольга Герасимова меня зовут.
— Очень приятно, Ольга. — Дрожащим голосом продолжала Ирина. — Не может такого быть, чтобы мы посылали Вам сообщения без Вашего разрешения.
— Очень даже может, знаю я вас! — Почти кричала Ольга. — Готовьтесь, суд уже не за горами.
— Подождите, пожалуйста. Давайте мы все же попробуем найти Вашу анкету для начала. Я уверена, что проблему можно решить. — Ирина пыталась говорить убедительно. — Может быть, Вы помните, в каком году останавливались у нас впервые? Это упростит нам задачу.
— Так я вам еще и задачи должна упрощать? — Ольга была близка к бешенству. — Ищите мою анкету сами, если она вообще существует! — И бросила трубку.
Ирина была в ужасе, но нужно было взять себя в руки. Спустя 4 часа, 2 скандала и 1573 файла, анкету Ольги Герасимовой все же нашли, галочка напротив фразы «Я согласна получать смс-уведомления об акциях и спецпредложениях» и подпись там стояли.
Громкую клиентку удалось успокоить скан-копией анкеты и обещанием удалить ее номер из рассылки. Но осадочек остался…
Мы решили выяснить, какие ошибки чаще всего допускает администрация отелей при обработке персональных данных, какую ответственность влечет за собой незнание законов и как избежать неприятных ситуаций.
Но для начала разберемся,
Что считать персональными данными
Закон не дает четкого определения этого понятия. Если же исходить из формулировки, что это любая информация, которая определяет физическое лицо, то к персональным данным можно отнести: