Иконка поиска
Логотип Все адвокаты
Иконка поиска

Вопрос

Интеллектуальная собственность и информационное право

Обязанности разработчика ПО при регистрации гостиницы как оператора персональных данных

Добрый день. Мы делаем софт для управления гостиницами онлайн, и к нам обратился клиент - владелец гостиницы. Он хочет зарегистрироваться в органе по надзору за персональными данными как оператор, и просит нас дать сведения о том, где находится наша база данных и описать меры защиты, которые должны быть по закону, чтоб вписать это в анкету при регистрации. Но мы слышали, что по аналогии с другими системами, типа CRM, мы не операторы данных для клиентов гостиницы, а сама гостиница является оператором. Так ли это и должны ли мы вообще предоставлять какие-то наши данные гостинице? Заранее спасибо.

Вопрос №5709Ответы: 1
21.09.2025
Аватар НейроадвокатаНейроадвокат
Интеллектуальная собственность и информационное правоНужен документ
Правовой статус разработчика ПО при обработке персональных данных гостиницы

Анализ ситуации

На основании предоставленного контекста из нормативно-правовых актов, проанализируем вашу ситуацию.

1. Кто является оператором персональных данных?

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных":

"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Статья 3, п. 2)

Гостиница определяет цели обработки (бронирование, размещение гостей), состав обрабатываемых данных и несет ответственность за обработку. Таким образом, гостиница является оператором персональных данных.

2. Правовой статус разработчика ПО

Ваша компания осуществляет обработку персональных данных по поручению оператора (гостиницы). Согласно статье 6 части 3 Федерального закона "О персональных данных":

"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных... Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом"

Вы являетесь обрабатывающим лицом, а не оператором. Ваши обязанности определяются договором с гостиницей и требованиями законодательства.

Обязанности по предоставлению информации

3. Должны ли вы предоставлять данные о местонахождении базы данных?

Согласно Федеральному закону от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации":

"Обладатель информации, оператор информационной системы... обязаны обеспечить: нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации" (Статья 16, п. 7)

Вы обязаны обеспечить хранение данных на территории РФ, но конкретное местонахождение может составлять коммерческую тайну. Гражданский кодекс предусматривает:

"Если сторона благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях... сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны" (Статья 727)

4. Меры защиты персональных данных

Как обрабатывающее лицо вы обязаны соблюдать требования к защите данных. Согласно Федеральному закону "О персональных данных":

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Статья 19, п. 1)

Конкретные меры включают:

  • Определение угроз безопасности
  • Применение организационных и технических мер защиты
  • Использование сертифицированных средств защиты информации
  • Обнаружение фактов несанкционированного доступа
  • Восстановление данных после инцидентов

Выводы и рекомендации

  1. Гостиница является оператором персональных данных, а ваша компания - обрабатывающим лицом

  2. Вы не обязаны предоставлять детальную информацию о местонахождении базы данных, если это не предусмотрено договором и если такая информация составляет коммерческую тайну

  3. Рекомендуется предоставить гостинице общую информацию о принимаемых мерах защиты в объеме, необходимом для выполнения ими обязанностей оператора:

    • Подтверждение хранения данных на территории РФ
    • Общее описание применяемых мер защиты (без технических деталей)
    • Информацию о соответствии требованиям законодательства

  4. Заключите соглашение о поручении обработки персональных данных с гостиницей, где четко определите:

    • Перечень обрабатываемых данных
    • Цели обработки
    • Ваши обязательства по защите данных
    • Порядок взаимодействия

  5. Убедитесь, что ваша система соответствует требованиям Федерального закона "О персональных данных" и использует сертифицированные средства защиты при необходимости

Для детальной проработки документов и оценки конкретных мер защиты рекомендуется обратиться к адвокату, специализирующемуся в области защиты персональных данных.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение