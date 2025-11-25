Мы расскажем, какие персональные данные (ПДн) могут собирать и обрабатывать турагенты и туроператоры, как осуществлять трансграничную передачу правильно и что будет, если не уведомить Роскомнадзор.
Какие персональные данные могут использоваться в туризме
Туристический бизнес по своей сути связан с обработкой обширного массива персональных данных клиентов. Каждая операция — от бронирования отеля до покупки страховки, — требует передачи тех или иных сведений. Ваша компания работает с ними ежедневно.
Типичный объем данных включает:
Идентификационные и контактные данные. Это основа для заключения договора: ФИО, дата и место рождения, паспортные данные (российский и заграничный), адрес регистрации, номера телефонов, e-mail. Без этих ПДн невозможно оформить ни одну туристическую услугу.
Дополнительные данные, необходимые для оказания услуг. Сюда входит информация о семейном положении (для подбора номера в отеле), составе семьи и возрасте детей (для расчета скидок и квот), данные виз и разрешительных документов.
Специальные категории данных. Наиболее чувствительная информация — о состоянии здоровья клиента. Она требуется для оформления страховки, заказа специального питания в отеле или медицинского сопровождения.
Пример: для бронирования тура в Шенгенскую зону вы собираете у клиента паспортные данные, фотографию, сведения о месте работы и доходе (для справки), а также данные о хронических заболеваниях (специальная категория) для подбора страхового полиса. Каждый блок информации имеет свой правовой режим обработки.
Трансграничная передача персональных данных: что это
С точки зрения закона, трансграничная передача персональных данных (ТППДн) — это действия оператора, в результате которых ПДн субъекта оказываются на территории иностранного государства. Ключевой критерий — географическое положение сервера или лица, получившего доступ к информации, а не его гражданство или юрисдикция.
Важно! Даже если ПДн передаются российскому контрагенту, но с помощью программы с сервером на территории другого государства, это все равно считается ТППДн.
Когда может понадобиться трансграничная передача ПДн
Ежедневная работа туристической компании невозможна без трансграничной передачи персональных данных. Исключение — если вы продаете туры только по РФ и не используете иностранное ПО: в этой ситуации с ТППДн вы не сталкиваетесь.
Типичные случаи трансграничной передачи персональных данных в туристической деятельности:
Бронирование и подтверждение мест в отелях. Вы передаете гостевые листы с ФИО, данными паспортов и сроками пребывания. Без этого отель не предоставит номер.
Оформление авиа- и ж/д билетов. Международные бронирующие системы (GDS) и авиакомпании требуют полные паспортные данные для выписки билета. Серверы этих систем часто расположены за рубежом.
Подача документов в консульства для оформления визы. Это один из самых сложных кейсов. Вы передаете данные в иностранное государство в лице его консульства, что также считается трансграничной передачей.
Оформление страховых полисов. Страховщики, в том числе международные страховые компании или их партнеры, запрашивают ФИО, даты рождения и, в некоторых случаях, информацию о здоровье для расчета рисков.
Организация экскурсий и трансферов. При заказе услуг у местных гидов или транспортных компаний вы направляете списки туристов, даты и места их посадки.
Каждая из этих операций — это трансграничная передача персональных данных, так как конечный получатель и его информационные системы находятся за пределами юрисдикции России. Ваша задача — обеспечить ее легальность.
Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций
Особенности трансграничной передачи данных в туризме
Страна получателя обеспечивает адекватную защиту
Перечень стран, обеспечивающих адекватную защиту, утвержден приказом Роскомнадзора от 05.08.2022 №128. В него вошли государства-участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны, чье законодательство и применяемые меры безопасности соответствуют стандартам указанной Конвенции.
Какие особенности оператор для трансграничной передачи персональных данных должен учитывать:
Основанием для ТППДн может быть как согласие, так и договор, но в последнем случае договор должен содержать объем отправляемых ПДн и сведения о зарубежном получателе.
До ТППДн нужно подать уведомление о намерении осуществлять трансграничную передачу персональных данных. Его рассмотрят в течение 10 рабочих дней, но данные можно отправлять получателю сразу после подачи уведомления.
Важно! В перечень стран, утвержденных Роскомнадзором, входят такие государства, как Турция, Греция, Монако, Мексика, Черногория, Израиль, Бразилия и другие популярные туристические направления. А вот США в этом списке нет. Тем не менее, даже если государство входит в перечень «зеленых стран», оно одновременно может быть и в списке недружественных (распоряжение Правительства от 05.03.2022 № 430-р). Поэтому к ним лучше применять те же правила, что и для стран, не обеспечивающих адекватную защиту.
Страна получателя не обеспечивает адекватную защиту
В этом случае для осуществления трансграничной передачи персональных данных тоже нужно направить уведомление в Роскомнадзор. Но придется ждать 10 рабочих дней, пока его проверят. До официального разрешения вы не вправе отправлять ПДн за границу — ведомство в итоге может это запретить.
Запрет или ограничение возможны, если передача создает угрозу суверенитету, безопасности и обороноспособности РФ или способна привести к нарушению прав и законных интересов самого субъекта ПДн или других российских граждан.
Как осуществить трансграничную передачу данных: пошаговая инструкция
Шаг 1: возьмите согласие на трансграничную передачу данных
Как мы уже говорили, согласие требуется, если вы передаете за границу данные вне рамок договора, заключенного с субъектом. Также оно понадобится, если договор есть, но в нем нет перечня передаваемых ПДн и сведений об иностранном получателе.
В согласии указываются цели передачи, категории передаваемых ПДн, страна-получатель, основания и порядок отзыва. В конце субъект ставит дату и подпись.
Шаг 2: запросите необходимые сведения у получателя
До подачи уведомления в Роскомнадзор оператор должен запросить у иностранного получателя данных (госоргана, компании или частного лица) следующие документы:
Описание применяемых мер защиты передаваемых данных и условий прекращения их обработки.
Информацию о законодательстве страны получателя в сфере персональных данных (требуется только если страна не участвует в Конвенции Совета Европы и не входит в перечень обеспечивающих адекватную защиту).
Контактные реквизиты получателя: название/ФИО, телефоны, адреса.
Шаг 3: отправьте уведомление в Роскомнадзор
Заполнить уведомление о намерении осуществлять трансграничную передачу персональных данных можно на сайте РКН.
Что необходимо указать:
Данные оператора: наименование, адрес, ИНН, номер телефона, наличие в реестре операторов, email, а также ФИО ответственного за организацию обработки ПДн.
Цели трансграничной передачи персональных данных: например, организация туристической поездки.
Правовое основание ТППДн — наличие согласия субъекта или исполнение обязательств по договору.
Категории передаваемых ПДн: ФИО, паспортные данные и другие сведения, которые вы берете для реализации турпродукта.
Категории субъектов ПДн, данные которых передаются — клиенты.
Перечень государств, куда будут переданы данные.
Шаг 4: подождите 10 рабочих дней
Ожидание обязательно, если страна получателя не входит в перечень государств, обеспечивающих адекватную защиту. Если же она входит туда, можете сразу после подачи уведомления отправлять данные за границу.
Трансграничная передача данных на сайте
Многие стандартные инструменты веб-аналитики и коммуникации, которые вы используете для привлечения клиентов, являются каналами трансграничной передачи персональных данных. Это происходит автоматически, когда данные с вашего сервера, расположенного в России, попадают на серверы иностранных компаний.
Типичные примеры ТППДн на сайтах:
Системы веб-аналитики. Например, использование Google Analytics означает, что данные о поведении посетителей (IP-адрес, cookie, геолокация) передаются для обработки в США.
Виджеты обратной связи и чаты. Виджеты для общения через WhatsApp1, Viber, а также популярные сервисы вроде LiveChat или JivoSite, передают номера телефонов, имена и текст переписки за границу.
Платежные системы. Интеграция с CloudPayments, Stripe, PayPal подразумевает передачу финансовых данных клиента для проведения транзакции.
Хостинг форм. Если вы используете иностранные сервисы — например, Google Forms, — данные из анкет (имя, email, телефон) сразу уходят за пределы РФ.
Важно! Трансграничная передача не запрещена, но, если речь идет о сервисах с базами в США или в других странах, ее нужно согласовывать с Роскомнадзором. Кроме того, с 01 июля 2025 года вы вообще не можете использовать иностранное ПО для сбора данных, это тоже считается ТППДн. Сначала они должны быть собраны с помощью программ или сервисов с базами в РФ, и только потом после уведомления Роскомнадзора вы можете передавать их за границу.
Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций
Ответственность операторов при ТППДн
Законодательством не предусмотрены штрафы за трансграничную передачу персональных данных, поскольку запрета на нее нет. Однако компанию могут оштрафовать на сумму до 6 млн рублей, если она не обеспечит первоначальный сбор ПДн в российских базах (ч.8 ст.13.11 КоАП). При повторном нарушении штраф может достигать уже 18 млн рублей.
Выявив ТППДн без соблюдения уведомительного порядка, Роскомнадзор может оформить предписание об устранении нарушений и запретить передачу. За неисполнение предписания предусмотрена ответственность по ч.1 ст.19.5 КоАП и штраф до 20 000 рублей.
Если у вас бизнес в туристической отрасли, обязательно подайте уведомление о трансграничной передаче персональных данных до того, как реально отправите их за границу. Юристы сервиса «Роском Онлайн» помогут составить уведомление и проконсультируют по всем вопросам.
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFHGimip
- Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена
Начать дискуссию