Loyalty Programs: the Ukrainian Way
This article is available in Russian only:
Журнал «Отельер», 4(8), 2008
Успешность любой гостиницы (независимо от "ее категории, месторасположения), в первую очередь, обусловлена количеством клиентов, отдающих предпочтение именно этой гостинице. При этом важно понимать, что особую роль среди всех клиентов гостиницы играют лояльные клиенты, которые снова и снова возвращаются в гостиницу, пользуются дополнительными услугами, предоставляемыми в гостинице (рестораны, фитнес-центры, салоны красоты и др.), а также приводят с собой новых клиентов (своих родственников, друзей, коллег). Именно поэтому гостиницы уделяют огромное внимание не только поиску новых клиентов, но и завоеванию и дальнейшему повышению их лояльности.
Следует отметить, что довольно сложно определить факторы, которые способствуют возникновению лояльности у клиентов. Вместе с тем, очевидно, что одной из обязательных основ возникновения лояльности является позитивный опыт, который клиент получил во время пребывания в гостинице.
Однако, как утверждают специалисты, недостаточно просто покорить клиента и сделать его лояльным. Не менее важно все время повышать его лояльность к гостинице, иначе существует риск, что клиент перейдет в другую гостиницу, которая предложит ему более заманчивые условия.
Персональная информация о клиенте как основа программ лояльности
Одним из наиболее эффективных механизмов для повышения лояльности клиента является использование программ лояльности. В гостиничном бизнесе такие программы достаточно распространены (например, Marriott Rewards (Marriott International, Inc.), Starwood Preferred Guest (Starwood Hotels and Resorts Worldwide Inc.), Priority Club Rewards (InterContinental Hotels Group), Hilton Honors (Hilton Honors Corporation) и др.) и такие программы бывают самыми разнообразными (например, фиксированные или накопительные скидки, бонусные баллы, привилегии, специальные акции, корпоративные программы и т.п.).
Любая подобная программа лояльности связана с необходимостью сбора и последующего использования персональных данных о клиенте, причем такие данные могут касаться не только имени и фамилии, адреса, но и должности клиента, его статуса, привычек, взглядов. Гостинице сначала нужно собрать такие данные, потом с этими данными должны быть ознакомлены разные категории персонала, непосредственно обслуживающего клиента. Более того, если речь идет о гостиничной сети, гостиницы которой находятся в разных странах мира, или об участии индивидуальных гостиниц в совместных программах лояльности наряду с другими гостиницами, персональные данные клиента будут также передаваться между разными гостиницами (даже находящимися в разных странах). Поэтому очень важно не допустить нарушение внутреннего законодательства, законодательства третьих стран в сфере персональных данных и самое главное — прав клиента на неприкосновенность личной жизни, поскольку это может привести к негативным последствиям для гостиницы.
Что же необходимо учитывать во время разработки, внедрения и дальнейшего использования программ лояльности в Украине, чтобы избежать возможных негативных последствий? На этот вопрос мы попробуем ответить в рамках этой статьи.
Вопросы, связанные с персональными данными, достаточно подробно урегулированы на международном уровне и в рамках законодательства отдельных стран. Так, на международном уровне, например, действует Конвенция о защите лиц относительно автоматизированной обработки данных личного характера от 28 января 1981 года . В некоторых странах разработаны отдельные отрасли законодательства, посвященные регулированию персональных данных. Например, в Европейском Союзе (далее — «ЕС») вопросы защиты персональных данных подробно урегулированы в Директиве 95/46/ЕС от 24 октября 1995 года «О защите физических лиц в части обработки персональных данных и их свободной передачи» (далее - «Директива 95/46/ЕС»); Директиве 2002/58/ ЕС от 12 июля 2002 «Об обработке персональных данных и защите неприкосновенности частной жизни в сфере связи радиоэлектронными средствами» и др.
Правовое регулирование персональной информации в Украине
К сожалению, действующее украинское законодательство устанавливает только общие принципы работы с персональными данными. Гарантии физических лиц в части персональных данных установлены в Конституции Украины, согласно которой не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благосостояния и прав человека.
Основным же нормативно-правовым актом, который регулирует вопросы, касающиеся персональных данных, является Закон Украины «Об информации» (далее — «Закон об информации»), Согласно Закону об информации персональными данными являются: национальность, образование, семейное положение, религия, состояние здоровья, адрес, дата и место рождения. Этот перечень был дополнен данными об имущественном положении лица согласно Решению Конституционного Суда Украины по делу касательно официального толкования статей 3, 23, 31, 47, 48 Закона Украины «Об информации» и статьи 12 Закона Украины «О прокуратуре» (дело К.Г.Устименко) от 30 октября 1997 года №5-зп (далее — «Решение»), Кроме этого, в соответствии с Решением перечень персональных данных, предусмотренный в Законе об информации, является не исчерпывающим. Также согласно Решению персональные данные являются конфиденциальной информацией и относятся к категории информации с ограниченным доступом.
Закон об информации также устанавливает общие требования и принципы работы с персональными данными. Так, сбор сведений о физическом лице без его предварительного согласия запрещен, кроме случаев, предусмотренных законом. Решение детализировало Закон об информации в этой части. Согласно Решению запрещен не только сбор персональных данных без предварительного согласия физического лица, но и их хранение, использование и распространение, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благосостояния, прав и свобод человека. Вместе с тем, ни Закон об информации, ни Решение не определяют требования к форме и/или содержанию такого согласия физического лица.
Кроме этого, Закон об информации наделяет физических лиц следующими правами:
(а) право знать во время сбора информации, какие сведения о лице и с какой целью собираются, как, кем и с какой целью они используются;
(б) право доступа к информации. Каждому физическому лицу должен быть обеспечен свободный доступ к информации, которая касается такого лица. Кроме этого, каждое лицо имеет право на ознакомление с информацией, собранной о нем;
(в) право оспаривать правильность, полноту, уместность и т.п. информации;
(г) право оспаривать в суде отказ в доступе к информации, укрытие или незаконный сбор, использование, хранение информации.
Опять-таки, к сожалению, Закон об информации не предусматривает порядок и сроки реализации таких прав.
Дополнительно Закон об информации устанавливает ряд важных гарантий/принципов в сфере персональных данных:
(а) хранение информации о физических лицах не должно длиться дольше, чем это необходимо для законно установленной цели;
(б) все организации, которые собирают информацию о физических лицах, должны до начала работы с ней осуществить государственную регистрацию баз данных согласно порядку, установленному Кабинетом Министров Украины. На сегодняшний день такой порядок регистрации не установлен;
(в) необходимое количество данных о физических лицах, которые можно получить законным путем, должно быть максимально ограничено;
(г) за нарушение прав физических лиц виновные лица обязаны возместить причиненный материальный и моральный ущерб.
Отдельные особенности использования информации предусмотрены также в Законе Украины «О защите информации в информационно-телекоммуникационных системах» (далее — «Закон о защите информации»), регулирующем отношения в части защиты информации в информационно-телекоммуникационных системах (совокупность информационных систем и телекоммуникационных систем, которые в процессе обработки информации действуют как единое целое).
Следует отметить, что Закон о защите информации, как и Закон об информации, опять-таки, предусматривает общие принципы работы с информацией и не регулирует подробно права и обязанности субъектов, работающих с информацией. Так, в соответствии с Законом о защите информация порядок доступа к информации, перечень пользователей и их полномочия относительно такой информации, условия обработки информации, порядок и условия защиты информации, определяются собственником информации в договоре, заключаемом с собственником информационно-телекоммуникационной системы. Тогда как собственник такой системы обязан обеспечить защиту информации в системе и строго соблюдать требования упомянутого договора в части обработки информации.
С учетом изложенного, можно сделать вывод, что права и обязанности субъектов, собирающих и использующих персональные данные, в украинском законодательстве определены недостаточно, что на практике может привести к возникновению споров между такими субъектами и физическими лицами, а значит и к судебным разбирательствам. Кроме того, Уголовный кодекс Украины предусматривает уголовную ответственность за незаконные сбор, хранение, использование или распространение конфиденциальной информации о лице без его согласия. Не следует забывать и то, что физическое лицо может обратиться в суд с требованием компенсации морального и материального ущерба.
Следует обратить внимание, что в Верховной Раде Украины зарегистрирован проект Закона Украины «О защите персональных данных» от 25 марта 2008 года №2273 (далее — «Законопроект»), разработанный с учетом положений Директивы 95/46/ЕС. Несмотря на то, что Законопроект содержит ряд противоречивых положений, если он будет принят, сфера персональных данных в Украине будет урегулирована значительно лучше.
Регулирование оборота персональных данных в ЕС
Как уже упоминалось, в рамках программ лояльности в сфере гостиничного бизнеса может происходить обмен персональными данными между разными странами. В таком случае необходимо учитывать как положения международных соглашений, так и внутреннего законодательства соответствующих стран.
Так, например, в ЕС предусмотрены особенности передачи персональных данных в третьи страны, Согласно Директиве 95/46/ЕС персональные данные могут передаваться в другую страну с целью дальнейшей обработки только в том случае, если в такой стране обеспечивается адекватный уровень защиты, о чем принимается соответствующее решение.
На сегодняшний день Украина, к сожалению, не признана в ЕС страной, обеспечивающей адекватную защиту персональных данных.
Если страна не обеспечивает такой адекватный уровень защиты, члены ЕС должны принять все необходимые меры, чтобы персональные данные не передавались в такую страну. Однако при этом, Директива 95/46/ЕС таки предусматривает условия, при наличии которых персональные данные могут быть переданы в страну, не обеспечивающую адекватный уровень защиты, а именно:
(а) физическое лицо предоставило свое однозначное согласие на такую передачу;
(б) такая передача необходима для выполнения договора, заключенного между физическим лицом и контролером ;
(в) передача данных необходима с целью выполнения договора, заключенного между третьим
лицом и контролером в интересах физического лица;
(г) передача необходима или законно требуется для важных публичных интересов или для обоснования, осуществления или защиты законных прав;
(д) передача необходима с целью защиты жизненно важных интересов физического лица;
(е) передача осуществляется из реестров, предназначенных для выдачи информации неограниченному кругу лиц и доступ к которым открыт для неограниченного круга лиц, продемонстрировавших законный интерес.
Также член ЕС может разрешить передачу данных в страну, не обеспечивающую адекватную защиту, если контролер примет адекватные меры для защиты неприкосновенности частной жизни и фундаментальных прав и свобод физических лиц, например, подпишет с субъектом, которому передаются данные, соответствующие договорные условия.
В рамках ЕС разработано два варианта таких договорных условий . Основным отличием между ними является порядок ответственности лица, передающего данные, - экспортера данных и лица, получающего данные, - импортера данных перед физическим лицом. Так, согласно договорным условиям, предусмотренным Решением 2001/497/ЕС, экспортер данных и импортер данных несут солидарную ответственность перед физическим лицом, уполномоченным в случае нарушения его прав обратиться в суд с иском против экспортера данных, или импортера данных, или их обоих. Что касается договорных условий, предусмотренных в Решении 2004/915/ЕС, то в случае нарушения со стороны импортера данных физическое лицо сначала обязано обратиться к экспортеру данных с требованием принять меры в отношении импортера данных. Если экспортер такие меры не примет на протяжении разумного периода времени, то физическое лицо имеет право предъявить свои требования непосредственно импортеру данных. Физическое лицо может непосредственно обратиться к экспортеру данных, если последний не принял все необходимые меры для того, чтобы проверить, сможет ли импортер данных выполнить свои обязательства по данным договорным условиям.
Следует обратить внимание, что даже если договорные условия будут подписаны, все равно член ЕС, разрешивший передачу данных, оставляет за собой право запретить или приостановить их передачу в следующих случаях:
(а) законодательство страны импортера данных идет в разрез с ограничениями, предусмотренными Директивой 95/46/ЕС, что может негативно повлиять на гарантии, предусмотренные стандартными договорными условиями;
(б) компетентный орган члена ЕС, из которого осуществляется передача данных, установил, что импортер данных не соблюдает стандартные договорные условия;
(в) существует вероятность, что стандартные договорные условия не соблюдаются или не будут соблюдаться, что может привести к серьезному нарушению прав физического лица.
Что нужно помнить владельцам украинских гостиниц
Подытоживая вышесказанное, владельцам украинских гостиниц в части использования персональных данных в программах лояльности можно, как минимум, посоветовать следующее:
- Гостинице необходимо получать от клиентов в письменной форме предварительное согласие на сбор, хранение, использование и распространение персональных данных о них. Например, в гостинице можно разработать стандартную оговорку, включаемую в бланки запросов персональной информации клиента. В целом, использование стандартных форм/бланков способно значительно облегчить работу по последующей «оцифровке» персональных данных и занесении их в единую базу данных;
- Следует всегда информировать клиента о сведениях, собираемых о нем, о целях, порядке дальнейшего использования таких сведений, о лицах, которые будут использовать такие сведения. Во избежание возможных споров, желательно, чтобы стандартная оговорка о согласии клиента с предоставлением данных содержала фразу о том, что клиенту была предоставлена вся необходимая информация о целях и порядке дальнейшего использования сведений о нем, лицах, которые будут использовать такие сведения. При этом ознакомление клиента с упомянутой информацией может осуществляться различными способами, например, путем предоставления клиенту разработанного положения о программе лояльности, используемой в гостинице, включения такой информации непосредственно в форму/бланк согласия и т.п.;
- Как упоминалось выше, персональные данные являются конфиденциальной информацией.
Поэтому желательно в гостинице разработать внутреннее положение, предусматривающее:
(а) какие данные являются конфиденциальной информацией;
(б) порядок информирования клиента о сборе информации о нем;
(в) порядок получения согласия клиента;
(г) порядок хранения, использования, распространения персональных данных;
(д) ответственные лица за обработку персональных данных и их обязанности, в том числе в части неразглашения;
(е) порядок доступа клиента к своим персональным данным; и др. Такое положение должно быть доступным клиенту, с тем чтобы он мог, при желании, беспрепятственно ознакомиться с ним;
- Источником утечки информации о персональных данных клиента, как показывает практика, зачастую бывают рядовые сотрудники гостиниц, имеющие к ней доступ. Поэтому необходимо уделять особое внимание их ознакомлению с порядком использования и распространения персональных данных клиентов, а также ответственностью за их нарушение. Также с этой целью на практике достаточно часто используется заключение с сотрудниками, работающими с конфиденциальной информацией, соглашений о неразглашении такой информации;
- Юридической службе гостиницы необходимо постоянно отслеживать изменения в украинском законодательстве в сфере персональных данных, чтобы своевременно адаптировать программы лояльности и политику гостиницы в части персональных данных клиента к требованиям законодательства;
- В случае передачи данных между разными странами необходимо изучать соответствующие международные соглашения и законодательство, действующее в таких странах, до начала такой передачи. Дело в том, что в разных странах по-разному определен перечень персональных данных, операций, которые рассматриваются как обработка персональных данных, принципы разглашения и т.п. Поэтому очень важно понимать еще до начала передачи персональных данных, какие формальности должны быть соблюдены, чтобы такая передача не нарушала прав клиента и была законной. В дальнейшем также необходимо отслеживать все изменения, происходящие в законодательстве, касающемся этих вопросов.
Также хотели бы обратить внимание, что программа лояльности должна разрабатываться не только с учетом требований законодательства в сфере персональных данных, но и в сфере защиты прав потребителей, рекламы, бухгалтерского учета, налогообложения.
Так, например, Закон Украины «О защите прав потребителей» (далее — «Закон о защите потребителей») предусматривает, что если за одну цену гостиница предлагает несколько услуг или предоставляет клиенту во время реализации одной услуги право получить другую услугу по сниженной цене, клиенту необходимо предоставить следующую информацию:
(а) содержание и стоимость предложения, в случае предложения услуг по одной цене — цену таких услуг отдельно;
(б) условия принятия предложения, в частности срок его действия и какие-либо ограничения, в том числе ограничение по количеству.
Кроме этого, согласно Закону о защите потребителей использование понятий «скидка», «сниженная цена» или аналогичных понятий разрешено только при соблюдении следующих условий:
(а) если они применяются к товарам, услугам, которые непосредственно реализует, предоставляет гостиница;
(б) если такого рода скидки, сниженные цены применяются на протяжении определенного и ограниченного периода времени;
(в) если цена товара, услуги является ниже ее обычной цены и др.
Если же программа лояльности будет использоваться в гостинице без соблюдения требований, предусмотренных Законом о защите потребителей, то существует риск, что такие действия гостиницы могут быть квалифицированы как нечестная предпринимательская практика, которая, среди прочего, включает любую деятельность, вводящую клиента в заблуждение, например, относительно цены, наличия скидок или других ценовых преимуществ; непредставление или представление клиенту в нечеткой, непонятной или двузначной форме информации, необходимой для осуществления сознательного выбора и др.
Отдельные требования к подобным программам предусмотрены также в Законе Украины «О рекламе», например, реклама скидок должна содержать информацию о месте, дате начала и окончания действия скидки, а также соотношение размера скидки к предыдущей цене реализации товара, услуги и др.
Резюмируя изложенное, хотелось бы подчеркнуть, что программа лояльности будет более эффективной и не приведет к возможным негативным последствиям для гостиницы в том случае, если разработка, внедрение и дальнейшее использование такой программы будут обеспечены юридически грамотным сопровождением.
1 На сегодняшний день Украина не подписала и не ратифицировала эту КонвенциюЖурнал «Отельер», 4(8), 2008
Успешность любой гостиницы (независимо от "ее категории, месторасположения), в первую очередь, обусловлена количеством клиентов, отдающих предпочтение именно этой гостинице. При этом важно понимать, что особую роль среди всех клиентов гостиницы играют лояльные клиенты, которые снова и снова возвращаются в гостиницу, пользуются дополнительными услугами, предоставляемыми в гостинице (рестораны, фитнес-центры, салоны красоты и др.), а также приводят с собой новых клиентов (своих родственников, друзей, коллег). Именно поэтому гостиницы уделяют огромное внимание не только поиску новых клиентов, но и завоеванию и дальнейшему повышению их лояльности.
Следует отметить, что довольно сложно определить факторы, которые способствуют возникновению лояльности у клиентов. Вместе с тем, очевидно, что одной из обязательных основ возникновения лояльности является позитивный опыт, который клиент получил во время пребывания в гостинице.
Однако, как утверждают специалисты, недостаточно просто покорить клиента и сделать его лояльным. Не менее важно все время повышать его лояльность к гостинице, иначе существует риск, что клиент перейдет в другую гостиницу, которая предложит ему более заманчивые условия.
Персональная информация о клиенте как основа программ лояльности
Одним из наиболее эффективных механизмов для повышения лояльности клиента является использование программ лояльности. В гостиничном бизнесе такие программы достаточно распространены (например, Marriott Rewards (Marriott International, Inc.), Starwood Preferred Guest (Starwood Hotels and Resorts Worldwide Inc.), Priority Club Rewards (InterContinental Hotels Group), Hilton Honors (Hilton Honors Corporation) и др.) и такие программы бывают самыми разнообразными (например, фиксированные или накопительные скидки, бонусные баллы, привилегии, специальные акции, корпоративные программы и т.п.).
Любая подобная программа лояльности связана с необходимостью сбора и последующего использования персональных данных о клиенте, причем такие данные могут касаться не только имени и фамилии, адреса, но и должности клиента, его статуса, привычек, взглядов. Гостинице сначала нужно собрать такие данные, потом с этими данными должны быть ознакомлены разные категории персонала, непосредственно обслуживающего клиента. Более того, если речь идет о гостиничной сети, гостиницы которой находятся в разных странах мира, или об участии индивидуальных гостиниц в совместных программах лояльности наряду с другими гостиницами, персональные данные клиента будут также передаваться между разными гостиницами (даже находящимися в разных странах). Поэтому очень важно не допустить нарушение внутреннего законодательства, законодательства третьих стран в сфере персональных данных и самое главное — прав клиента на неприкосновенность личной жизни, поскольку это может привести к негативным последствиям для гостиницы.
Что же необходимо учитывать во время разработки, внедрения и дальнейшего использования программ лояльности в Украине, чтобы избежать возможных негативных последствий? На этот вопрос мы попробуем ответить в рамках этой статьи.
Вопросы, связанные с персональными данными, достаточно подробно урегулированы на международном уровне и в рамках законодательства отдельных стран. Так, на международном уровне, например, действует Конвенция о защите лиц относительно автоматизированной обработки данных личного характера от 28 января 1981 года . В некоторых странах разработаны отдельные отрасли законодательства, посвященные регулированию персональных данных. Например, в Европейском Союзе (далее — «ЕС») вопросы защиты персональных данных подробно урегулированы в Директиве 95/46/ЕС от 24 октября 1995 года «О защите физических лиц в части обработки персональных данных и их свободной передачи» (далее - «Директива 95/46/ЕС»); Директиве 2002/58/ ЕС от 12 июля 2002 «Об обработке персональных данных и защите неприкосновенности частной жизни в сфере связи радиоэлектронными средствами» и др.
Правовое регулирование персональной информации в Украине
К сожалению, действующее украинское законодательство устанавливает только общие принципы работы с персональными данными. Гарантии физических лиц в части персональных данных установлены в Конституции Украины, согласно которой не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благосостояния и прав человека.
Основным же нормативно-правовым актом, который регулирует вопросы, касающиеся персональных данных, является Закон Украины «Об информации» (далее — «Закон об информации»), Согласно Закону об информации персональными данными являются: национальность, образование, семейное положение, религия, состояние здоровья, адрес, дата и место рождения. Этот перечень был дополнен данными об имущественном положении лица согласно Решению Конституционного Суда Украины по делу касательно официального толкования статей 3, 23, 31, 47, 48 Закона Украины «Об информации» и статьи 12 Закона Украины «О прокуратуре» (дело К.Г.Устименко) от 30 октября 1997 года №5-зп (далее — «Решение»), Кроме этого, в соответствии с Решением перечень персональных данных, предусмотренный в Законе об информации, является не исчерпывающим. Также согласно Решению персональные данные являются конфиденциальной информацией и относятся к категории информации с ограниченным доступом.
Закон об информации также устанавливает общие требования и принципы работы с персональными данными. Так, сбор сведений о физическом лице без его предварительного согласия запрещен, кроме случаев, предусмотренных законом. Решение детализировало Закон об информации в этой части. Согласно Решению запрещен не только сбор персональных данных без предварительного согласия физического лица, но и их хранение, использование и распространение, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благосостояния, прав и свобод человека. Вместе с тем, ни Закон об информации, ни Решение не определяют требования к форме и/или содержанию такого согласия физического лица.
Кроме этого, Закон об информации наделяет физических лиц следующими правами:
(а) право знать во время сбора информации, какие сведения о лице и с какой целью собираются, как, кем и с какой целью они используются;
(б) право доступа к информации. Каждому физическому лицу должен быть обеспечен свободный доступ к информации, которая касается такого лица. Кроме этого, каждое лицо имеет право на ознакомление с информацией, собранной о нем;
(в) право оспаривать правильность, полноту, уместность и т.п. информации;
(г) право оспаривать в суде отказ в доступе к информации, укрытие или незаконный сбор, использование, хранение информации.
Опять-таки, к сожалению, Закон об информации не предусматривает порядок и сроки реализации таких прав.
Дополнительно Закон об информации устанавливает ряд важных гарантий/принципов в сфере персональных данных:
(а) хранение информации о физических лицах не должно длиться дольше, чем это необходимо для законно установленной цели;
(б) все организации, которые собирают информацию о физических лицах, должны до начала работы с ней осуществить государственную регистрацию баз данных согласно порядку, установленному Кабинетом Министров Украины. На сегодняшний день такой порядок регистрации не установлен;
(в) необходимое количество данных о физических лицах, которые можно получить законным путем, должно быть максимально ограничено;
(г) за нарушение прав физических лиц виновные лица обязаны возместить причиненный материальный и моральный ущерб.
Отдельные особенности использования информации предусмотрены также в Законе Украины «О защите информации в информационно-телекоммуникационных системах» (далее — «Закон о защите информации»), регулирующем отношения в части защиты информации в информационно-телекоммуникационных системах (совокупность информационных систем и телекоммуникационных систем, которые в процессе обработки информации действуют как единое целое).
Следует отметить, что Закон о защите информации, как и Закон об информации, опять-таки, предусматривает общие принципы работы с информацией и не регулирует подробно права и обязанности субъектов, работающих с информацией. Так, в соответствии с Законом о защите информация порядок доступа к информации, перечень пользователей и их полномочия относительно такой информации, условия обработки информации, порядок и условия защиты информации, определяются собственником информации в договоре, заключаемом с собственником информационно-телекоммуникационной системы. Тогда как собственник такой системы обязан обеспечить защиту информации в системе и строго соблюдать требования упомянутого договора в части обработки информации.
С учетом изложенного, можно сделать вывод, что права и обязанности субъектов, собирающих и использующих персональные данные, в украинском законодательстве определены недостаточно, что на практике может привести к возникновению споров между такими субъектами и физическими лицами, а значит и к судебным разбирательствам. Кроме того, Уголовный кодекс Украины предусматривает уголовную ответственность за незаконные сбор, хранение, использование или распространение конфиденциальной информации о лице без его согласия. Не следует забывать и то, что физическое лицо может обратиться в суд с требованием компенсации морального и материального ущерба.
Следует обратить внимание, что в Верховной Раде Украины зарегистрирован проект Закона Украины «О защите персональных данных» от 25 марта 2008 года №2273 (далее — «Законопроект»), разработанный с учетом положений Директивы 95/46/ЕС. Несмотря на то, что Законопроект содержит ряд противоречивых положений, если он будет принят, сфера персональных данных в Украине будет урегулирована значительно лучше.
Регулирование оборота персональных данных в ЕС
Как уже упоминалось, в рамках программ лояльности в сфере гостиничного бизнеса может происходить обмен персональными данными между разными странами. В таком случае необходимо учитывать как положения международных соглашений, так и внутреннего законодательства соответствующих стран.
Так, например, в ЕС предусмотрены особенности передачи персональных данных в третьи страны, Согласно Директиве 95/46/ЕС персональные данные могут передаваться в другую страну с целью дальнейшей обработки только в том случае, если в такой стране обеспечивается адекватный уровень защиты, о чем принимается соответствующее решение.
На сегодняшний день Украина, к сожалению, не признана в ЕС страной, обеспечивающей адекватную защиту персональных данных.
Если страна не обеспечивает такой адекватный уровень защиты, члены ЕС должны принять все необходимые меры, чтобы персональные данные не передавались в такую страну. Однако при этом, Директива 95/46/ЕС таки предусматривает условия, при наличии которых персональные данные могут быть переданы в страну, не обеспечивающую адекватный уровень защиты, а именно:
(а) физическое лицо предоставило свое однозначное согласие на такую передачу;
(б) такая передача необходима для выполнения договора, заключенного между физическим лицом и контролером ;
(в) передача данных необходима с целью выполнения договора, заключенного между третьим
лицом и контролером в интересах физического лица;
(г) передача необходима или законно требуется для важных публичных интересов или для обоснования, осуществления или защиты законных прав;
(д) передача необходима с целью защиты жизненно важных интересов физического лица;
(е) передача осуществляется из реестров, предназначенных для выдачи информации неограниченному кругу лиц и доступ к которым открыт для неограниченного круга лиц, продемонстрировавших законный интерес.
Также член ЕС может разрешить передачу данных в страну, не обеспечивающую адекватную защиту, если контролер примет адекватные меры для защиты неприкосновенности частной жизни и фундаментальных прав и свобод физических лиц, например, подпишет с субъектом, которому передаются данные, соответствующие договорные условия.
В рамках ЕС разработано два варианта таких договорных условий . Основным отличием между ними является порядок ответственности лица, передающего данные, - экспортера данных и лица, получающего данные, - импортера данных перед физическим лицом. Так, согласно договорным условиям, предусмотренным Решением 2001/497/ЕС, экспортер данных и импортер данных несут солидарную ответственность перед физическим лицом, уполномоченным в случае нарушения его прав обратиться в суд с иском против экспортера данных, или импортера данных, или их обоих. Что касается договорных условий, предусмотренных в Решении 2004/915/ЕС, то в случае нарушения со стороны импортера данных физическое лицо сначала обязано обратиться к экспортеру данных с требованием принять меры в отношении импортера данных. Если экспортер такие меры не примет на протяжении разумного периода времени, то физическое лицо имеет право предъявить свои требования непосредственно импортеру данных. Физическое лицо может непосредственно обратиться к экспортеру данных, если последний не принял все необходимые меры для того, чтобы проверить, сможет ли импортер данных выполнить свои обязательства по данным договорным условиям.
Следует обратить внимание, что даже если договорные условия будут подписаны, все равно член ЕС, разрешивший передачу данных, оставляет за собой право запретить или приостановить их передачу в следующих случаях:
(а) законодательство страны импортера данных идет в разрез с ограничениями, предусмотренными Директивой 95/46/ЕС, что может негативно повлиять на гарантии, предусмотренные стандартными договорными условиями;
(б) компетентный орган члена ЕС, из которого осуществляется передача данных, установил, что импортер данных не соблюдает стандартные договорные условия;
(в) существует вероятность, что стандартные договорные условия не соблюдаются или не будут соблюдаться, что может привести к серьезному нарушению прав физического лица.
Что нужно помнить владельцам украинских гостиниц
Подытоживая вышесказанное, владельцам украинских гостиниц в части использования персональных данных в программах лояльности можно, как минимум, посоветовать следующее:
- Гостинице необходимо получать от клиентов в письменной форме предварительное согласие на сбор, хранение, использование и распространение персональных данных о них. Например, в гостинице можно разработать стандартную оговорку, включаемую в бланки запросов персональной информации клиента. В целом, использование стандартных форм/бланков способно значительно облегчить работу по последующей «оцифровке» персональных данных и занесении их в единую базу данных;
- Следует всегда информировать клиента о сведениях, собираемых о нем, о целях, порядке дальнейшего использования таких сведений, о лицах, которые будут использовать такие сведения. Во избежание возможных споров, желательно, чтобы стандартная оговорка о согласии клиента с предоставлением данных содержала фразу о том, что клиенту была предоставлена вся необходимая информация о целях и порядке дальнейшего использования сведений о нем, лицах, которые будут использовать такие сведения. При этом ознакомление клиента с упомянутой информацией может осуществляться различными способами, например, путем предоставления клиенту разработанного положения о программе лояльности, используемой в гостинице, включения такой информации непосредственно в форму/бланк согласия и т.п.;
- Как упоминалось выше, персональные данные являются конфиденциальной информацией.
Поэтому желательно в гостинице разработать внутреннее положение, предусматривающее:
(а) какие данные являются конфиденциальной информацией;
(б) порядок информирования клиента о сборе информации о нем;
(в) порядок получения согласия клиента;
(г) порядок хранения, использования, распространения персональных данных;
(д) ответственные лица за обработку персональных данных и их обязанности, в том числе в части неразглашения;
(е) порядок доступа клиента к своим персональным данным; и др. Такое положение должно быть доступным клиенту, с тем чтобы он мог, при желании, беспрепятственно ознакомиться с ним;
- Источником утечки информации о персональных данных клиента, как показывает практика, зачастую бывают рядовые сотрудники гостиниц, имеющие к ней доступ. Поэтому необходимо уделять особое внимание их ознакомлению с порядком использования и распространения персональных данных клиентов, а также ответственностью за их нарушение. Также с этой целью на практике достаточно часто используется заключение с сотрудниками, работающими с конфиденциальной информацией, соглашений о неразглашении такой информации;
- Юридической службе гостиницы необходимо постоянно отслеживать изменения в украинском законодательстве в сфере персональных данных, чтобы своевременно адаптировать программы лояльности и политику гостиницы в части персональных данных клиента к требованиям законодательства;
- В случае передачи данных между разными странами необходимо изучать соответствующие международные соглашения и законодательство, действующее в таких странах, до начала такой передачи. Дело в том, что в разных странах по-разному определен перечень персональных данных, операций, которые рассматриваются как обработка персональных данных, принципы разглашения и т.п. Поэтому очень важно понимать еще до начала передачи персональных данных, какие формальности должны быть соблюдены, чтобы такая передача не нарушала прав клиента и была законной. В дальнейшем также необходимо отслеживать все изменения, происходящие в законодательстве, касающемся этих вопросов.
Также хотели бы обратить внимание, что программа лояльности должна разрабатываться не только с учетом требований законодательства в сфере персональных данных, но и в сфере защиты прав потребителей, рекламы, бухгалтерского учета, налогообложения.
Так, например, Закон Украины «О защите прав потребителей» (далее — «Закон о защите потребителей») предусматривает, что если за одну цену гостиница предлагает несколько услуг или предоставляет клиенту во время реализации одной услуги право получить другую услугу по сниженной цене, клиенту необходимо предоставить следующую информацию:
(а) содержание и стоимость предложения, в случае предложения услуг по одной цене — цену таких услуг отдельно;
(б) условия принятия предложения, в частности срок его действия и какие-либо ограничения, в том числе ограничение по количеству.
Кроме этого, согласно Закону о защите потребителей использование понятий «скидка», «сниженная цена» или аналогичных понятий разрешено только при соблюдении следующих условий:
(а) если они применяются к товарам, услугам, которые непосредственно реализует, предоставляет гостиница;
(б) если такого рода скидки, сниженные цены применяются на протяжении определенного и ограниченного периода времени;
(в) если цена товара, услуги является ниже ее обычной цены и др.
Если же программа лояльности будет использоваться в гостинице без соблюдения требований, предусмотренных Законом о защите потребителей, то существует риск, что такие действия гостиницы могут быть квалифицированы как нечестная предпринимательская практика, которая, среди прочего, включает любую деятельность, вводящую клиента в заблуждение, например, относительно цены, наличия скидок или других ценовых преимуществ; непредставление или представление клиенту в нечеткой, непонятной или двузначной форме информации, необходимой для осуществления сознательного выбора и др.
Отдельные требования к подобным программам предусмотрены также в Законе Украины «О рекламе», например, реклама скидок должна содержать информацию о месте, дате начала и окончания действия скидки, а также соотношение размера скидки к предыдущей цене реализации товара, услуги и др.
Резюмируя изложенное, хотелось бы подчеркнуть, что программа лояльности будет более эффективной и не приведет к возможным негативным последствиям для гостиницы в том случае, если разработка, внедрение и дальнейшее использование такой программы будут обеспечены юридически грамотным сопровождением.
2 Согласно Закону про информацию нфиденциальная информация - это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и аспространяется по их желанию согласно предусмотренных ими условий
3 Информационная система - организационно-техническая система, в которой реализуется технология обработки информации с использованием технических и программных средств
4 Телекоммуникационная система - совокупность технических и программных средств, предназначенных для обмена
информацией путем передачи, излучения или приема ее в виде сигналов, знаков, звуков, движимых или недвижимых изображений или другим способом
5 Например, Решение Комиссии 2000/518/ЕС от 26 июля 2000 года в соответствии с Директивой 95/46/ЕС Европейского Парламента
и Совета «Об адекватной защите персональных данных в Швейцарии»
6 Контролер - это физическое или юридическое лицо, государственный орган, организация или другой орган, определяющий самостоятельно или с другими лицами или органами цель и средства обработки персональных данных
7 Решение Комиссии 2001/497/ЕС от 15 июня 2001 года «О стандартных договорных условиях в части передачи персональных данных в третьи страны согласно Директиве 95/46/ЕС» (далее - «Решение 2001/497/ЕС»); Решение Комиссии 2004/915/ЕС от 27 декабря 2004 года, изменяющие Решение 2001/497/ЕС «О применении альтернативных стандартных договорных условий для передачи персональных данных в третьи страны» (далее - «Решение 2004/915/ЕС»)