Об отсутствии надобности получения согласия на обработку персональных данных при заключении договора оказания туристических услуг.
В соответствии с абзацем пятнадцатым статьи 6 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) согласие субъекта персональных данных на обработку не требуется при получении персональных данных оператором* на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором.
* оператор (в терминологии Закона о защите персональных данных) – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных.
Обработка персональных данных как заказчика по договору оказания туристических услуг, так и туристов, в пользу которых заключается договор, возможна без получения согласия по следующей причине.
- Законом о туризме определено, что оказание туристических услуг осуществляется в соответствии с Правилами оказания туристических услуг, утверждаемыми Советом Министров Республики Беларусь.
- В соответствии с пунктом 20 Правил оказания туристических услуг (далее – Правила), оказание исполнителем туристических услуг участникам туристической деятельности осуществляется исключительно на основании договора оказания туристических услуг.
- Согласно пункту 21 Правил договор оказания туристических услуг заключается между заказчиком и исполнителем в соответствии с типовой формой договора оказания туристических услуг согласно приложению к постановлению, утвердившему Правила.
- В соответствии с типовой формой в приложении к договору необходимо указать также сведения о лицах, которым оказываются туристические услуги.
- В соответствии с пунктом 29 Правил заказчик предоставляет исполнителю или уполномоченному турагенту информацию о себе и туристах, экскурсантах, которым оказываются туристические услуги в объеме, необходимом для исполнения обязательств по такому договору, в том числе данные документов, удостоверяющих его личность и (или) личности туристов, которым оказываются туристические услуги.
В этой связи по мнению Национального центра защиты персональных данных (https://cpd.by/zachita-personalnyh-dannyh/operatoru/pravovye-osnovanija-obrabotki/) не требуется получение согласия на обработку персональных данных у заказчика и третьих лиц (субъекты персональных данных) при заключении договора в соответствии с его типовой формой, т.к. имеется «иное правовое основание на обработку их персональных данных, предусмотренное законодательными актами».
Обработка специальных персональных данных заказчика – физического лица, являющегося стороной по договору возмездного оказания услуг, а также туристов, экскурсантов, которым оказываются услуги, связанные с организацией туристического путешествия, также не требует получения отдельного согласия субъекта персональных данных в силу абзаца 17 пункта 2 статьи 8 Закона «О защите персональных данных».
Справочно:
Специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
При этом:
- оператор осуществляет обработку только тех персональных данных физического лица, которые указаны в договоре либо получены при заключении договора с оператором;
- оператор осуществляет обработку персональных данных физического лица только для целей совершения действий, установленных договором, т.е. когда обработка персональных данных является необходимой для оказания услуг, выполнения работ, совершения действий в отношении конкретного физического лица, и без обработки таких данных выполнение обязательств по договору невозможно или существенно затруднено.
Важные моменты, при которых требуется получение согласия на обработку персональных данных.
Обратите внимание, например, рекламная рассылка не является целью совершения действий по договору оказания туристических услуг. Поэтому, если туроператор поручает получить согласие заказчика на рекламную рассылку или турагент сам изъявляет желание в будущем осуществлять рекламную рассылку заказчику, то письменное согласие на такую рассылку необходимо получить отдельно.
Кто несет ответственность?
Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» определяет правовой статус таких лиц по-разному. Если оператор (согласно терминологии Закона о защите персональных данных, не путать с туристическим оператором!!!) поручает обработку персональных данных уполномоченному лицу, то ответственность перед субъектом персональных данных за действия указанного лица несет оператор. В свою очередь, уполномоченное лицо несет ответственность за свои действия перед оператором.
Оператор осуществляет обработку от своего имени и в своих интересах. Так, он сам решает какие персональные данные и для каких целей стоит обрабатывать. В свою очередь, уполномоченное лицо такой свободой действий не обладает, поскольку действует от имени и в интересах оператора в соответствии с его поручениями. Именно оператор принимает решение о том какие персональные данные каких лиц и для каких целей будет обрабатывать уполномоченное лицо, а также срок обработки и способы обработки.
Следует иметь в виду, что одно лицо применительно к одним обработкам может выступать оператором, а к другим – уполномоченным лицом. В этой связи для определения правового статуса лица требуется анализ каждой конкретной обработки.
Данная информация размещена на официальном сайте: https://cpd.by/zachita-personalnyh-dannyh/operatoru/operator-i-upolnomochennoye-litso/
Т.е. если туроператор выдает поручение турагенту, то туроператор является оператором персональных данных (на тот объем получаемых данных, который необходим для оказания туруслуг), а турагент является уполномоченным лицом.
Если турагент собирается сам по своей инициативе, например, осуществлять рассылку от себя и не по поручению туроператора, то турагент сам становится оператором персональных данных.
РАТА – держим строй!
