Денис Гавчук – Правовое регулирование защиты персональных данных в гостиничной индустрии России и Китая. Монография (страница 2)

Вопрос классификации персональных данных является важным, как в России, так и в Китае, поскольку эти страны имеют свои специфические законодательные рамки, касающиеся сбора, хранения и обработки данных о физических лицах. Давайте рассмотрим классификацию персональных данных в России и Китае более подробно.

В России основным нормативным актом, регулирующим вопросы, связанные с персональными данными, является Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных»4. Закон чётко определяет и классифицирует персональные данные, подразделяя их на несколько категорий, представленных в таблице 1.

Таблица 1 – Категории персональных данных в российском законодательстве

В последние годы китайское законодательство в области персональных данных ужесточилось, главным образом благодаря вступлению в силу 1 ноября 2021 года Закона о защите персональных данных. Этот документ вводит обязательную классификацию персональных данных и возлагает дополнительные обязанности на организации, осуществляющие их обработку.

Таблица 2 – Категории персональных данных в КНР5

Китайский закон о защите персональных данных ввёл ряд новых требований относительно передачи данных за рубеж, среди которых оценка возможных рисков и обеспечение аналогичного уровню китайского законодательства уровня защиты данных. Анализируя классификации персональных данных в России и Китае, можно выявить определённые сходства и различия. Оба государства выделяют общие и специальные категории данных, отражая стремление защитить наиболее важную личную информацию. Отличительная черта Китая заключается в усиленной охране критически значимых данных, что, вероятно, обусловлено специфическими соображениями национальной безопасности и государственной политики.

Законы обоих государств устанавливают обязательное условие получения согласия субъекта на обработку его персональных данных, однако Китай усиливает этот принцип дополнительными обязанностями организаций по информированию пользователей. Реализация этих положений существенно зависит от культурных, социальных и политических особенностей каждой страны. Компаниям, работающим в России и Китае, важно учитывать не только юридические нормы, но и национальные предпочтения населения в вопросах защиты частной информации. Хотя обе страны стремятся обеспечить конфиденциальность данных, различия в правовом регулировании представляют собой особые вызовы для бизнеса, действующего одновременно в двух юрисдикциях.6

Защита персональных данных имеет важнейшее значение для сохранения прав и свобод каждого гражданина. Основные принципы обработки персональных данных были сформулированы в международных и национальных нормативных актах, включая Общий регламент по защите данных (GDPR) в Европейском Союзе и Закон о персональных данных в России.7 Проведем подробное рассмотрение этих принципов.

Первый принцип обработки данных гласит, что любые операции с персональными данными должны осуществляться правомерно, честно и прозрачно. Это означает, что работа с персональными данными должна осуществляться в полном соответствии с законодательством.

Действия организации должны строго соответствовать принципу целевого ограничения. Сбор и использование персональных данных допустимы исключительно для заранее определенных целей. Использование информации для иных задач (например, применение контактных данных, полученных для бронирования номера, в маркетинговых рассылках) без отдельного разрешения субъекта является нарушением.

В целях минимизации потенциальных рисков утечек и несанкционированного доступа применяется принцип минимизации данных. Он требует ограничивать объем собираемой информации для достижения заявленных целей.

Принцип ограничения хранения предписывает сохранять персональные данные не дольше, чем это требуется для выполнения целей обработки. По истечении установленных сроков информация должна быть удалена или обезличена. Для практической реализации данного принципа организациям необходимо закреплять конкретные сроки хранения для каждого типа данных во внутренних регламентах.

Таким образом, персональные данные в российском и китайском законодательстве представляют собой любую информацию, позволяющую идентифицировать физическое лицо, при этом обе юрисдикции выделяют обычные и специальные категории данных, требующие различного уровня защиты. Обработка персональных данных в обеих странах основывается на универсальных принципах законности, минимизации, точности и безопасности, что отражает общемировую тенденцию к усилению защиты конфиденциальности граждан в цифровую эпоху.

1.2. Нормативная база защиты персональных данных в гостиничном бизнесе России

Защита персональных данных в гостиничном бизнесе России регламентируется несколькими основными нормативно-правовыми актами, которые устанавливают требования к обработке, хранению и защите личной информации гостей. Важнейшими из них являются:8

В России основным документом, устанавливающим требования защиты персональных данные, является Конституция РФ, где декларируется право каждого человека на неприкосновенность частной жизни.

Трудовой кодекс РФ прописывает, что все персональные данные сотрудников, их объем, хранение и распространение используются только в целях исполнения законодательства и осуществления трудовых обязанностей.

Гражданский кодекс РФ посвящает охране частной жизни гражданина статью 152.2.

Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» устанавливает конкретные правила получения, обработки, использования и хранения персональных данных.9

Федеральный закон №152-ФЗ «О персональных данных», введённый в действие 26 января 2007 года, служит фундаментальным нормативно-правовым документом в области защиты приватной информации граждан Российской Федерации. Данный акт закрепляет ключевые понятия и принципы обращения с персональными данными, обозначает права лиц, чьи данные подвергаются обработке, а также фиксирует обязанности тех субъектов хозяйствования и государственных органов, которые занимаются обработкой указанной информации.

Документ раскрывает базовые концепции и подходы, представленные следующим образом.10

Во-первых, определяется само понятие персональных данных, включающее любую информацию, позволяющую прямо или косвенно установить личность физического лица. Примеры подобной информации охватывают ФИО, адреса проживания, контактные телефоны, электронные почтовые адреса и прочие идентификационные признаки.

Кроме того, выделяются важные принципы, регулирующие порядок обработки персональных данных:

– Любые действия с персональными данными должны совершаться в рамках существующего правового поля и с соблюдением интересов и прав самих владельцев данных.

– Цель сбора и последующей обработки данных должна быть установлена заранее и носить юридически обоснованный характер.

– Сбор и обработка данных ограничивается только теми случаями, когда такая информация действительно необходима для достижения заявленных целей.

– Операторы обязаны обеспечивать актуальность и точность персональных данных.

– Персональные данные должны защищаться от несанкционированного доступа.

Согласно закону, субъекты персональных данных обладают рядом прав, включая:

– Право на доступ к своим данным.

– Право на исправление недостоверных данных.

– Право на отзыв согласия на обработку данных.

– Право на уничтожение данных, обработка которых была осуществлена незаконно.

Операторы, обрабатывающие персональные данные, несут определенные обязательства, среди которых:

– Обеспечение безопасности обрабатываемых данных.

– Заключение с третьими лицами договоров на передачу персональных данных.

Для регламентации рассматриваемых общественных отношений помимо Федерального закона №152-ФЗ11 применяются иные правовые акты:

Постановление Правительства РФ №1119 от 1 ноября 2012 года, которое вводит правила обработки персональных данных в информационных системах и предъявляет требования к их защите. Этот акт является значимым для операторов, использующих информационные технологии, так как предусматривает конкретные технические и организационные мероприятия по обеспечению безопасности данных.

Федеральный закон №126-ФЗ от 7 июля 2003 года «О связи», регулирующий процессы обработки данных, относящихся к телефонной и интернет-коммуникациям. Закон детально описывает права и обязанности операторов связи в части защиты персональных данных пользователей.

Все вышеперечисленные акты образуют комплексную нормативную базу, определяющую правила обработки персональных данных в России. Она требует от организаций не только соблюдения законных требований, но и внедрения эффективных систем защиты данных, что, в свою очередь, помогает обеспечить доверие пользователей и минимизировать правовые риски в процессе обработки информации.

Стоит отметить, что с учетом развития технологий и изменения подходов к проблемам защиты данных, в России обсуждаются и принимаются новые поправки в законодательство, что требует от компаний постоянного мониторинга актуальных изменений и своевременной корректировки своих процессов в соответствии с новыми требованиями.

Вторым важным документом можно считать Федеральный закон от 6 апреля 2011 года №63-ФЗ «Об электронной подписи»12, который устанавливает правила использования электронной подписи. Указанное имеет значение в гостиничном бизнесе, особенно с учётом растущей популярности онлайн-бронирования и оплаты, что требует защиты данных клиентов. Применение законодательства о защите персональных данных в гостиничном бизнесе представляет собой значимую тему, требующую детального изучения как юридической, так и практической составляющей. С ростом технологических возможностей и расширением объемов обрабатываемой информации эта проблема приобрела особую актуальность в последние годы.