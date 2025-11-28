Обработка персональных данных в туризме практически всегда связана с их передачей в другое государство. В этом случае действуют жесткие правила, которые обязаны соблюдать все — и турагенты, и туроператоры. Мы расскажем обо всех нюансах и подробно объясним особенности трансграничной передачи ПДн.
Считаются ли турагенты и туроператоры операторами ПДн
Оператор — это лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели и способы такой обработки (ст. 3 ФЗ от 27.07.2006 №152-ФЗ). Турагенты и туроператоры в большинстве случаев попадают под этот критерий и считаются операторами ПДн.
В чем разница между турагентом и туроператором при применении норм ФЗ №152-ФЗ:
Турагент получает от клиента паспортные данные, адрес, телефон и электронную почту для бронирования туров. Он фиксирует эти сведения в CRM, передает часть информации туроператору, а также может направлять рекламные предложения. В этом случае турагент является оператором в отношении тех данных, которые получает и хранит самостоятельно.
Туроператор формирует пакеты туров, хранит сведения о клиентах, взаимодействует с гостиницами, авиакомпаниями и страховщиками. Он также определяет цели обработки данных — например, для бронирования и подготовки документов. Соответственно, туроператор — оператор по отношению к всей информации, которой он распоряжается.
Важный нюанс — совместная ответственность. Когда турагент передает персональные данные туроператору, они действуют вместе (ст. 5 ФЗ-152). В этом случае каждый несет ответственность за соблюдение требований закона в своей части обработки данных перед субъектом — человеком, которому они принадлежат.
Что входит в обязанности оператора ПДн
Обязанности оператора персональных данных определяются ФЗ №152 и уточняются постановлением Правительства №1119 от 01.11.2012, которое регламентирует меры по защите персональных данных при их обработке. Для туроператоров и турагентов соблюдение этих требований — залог законной работы и защиты клиентов.
Ниже приведем основные обязанности оператора при обработке ПДн:
1. Определение целей обработки и правомерность действий. Оператор должен четко понимать, зачем собираются данные клиентов. Например, для бронирования туров, оформления страховки, рассылки уведомлений или маркетинговых предложений. Каждая цель должна быть законной и соответствовать заявленной в Политике обработки.
2. Разработка Политики обработки ПДн. Она должна быть в открытом доступе на сайте (при наличии). Если у компании есть офис, ее необходимо разместить на информационном стенде.
3. Получение согласия на обработку персональных данных в туризме. Оно не требуется, если ПДн нужны для исполнения договора — оказания услуг в сфере туризма. Для обработки в целях сверх договора нужно отдельное согласие клиента. Оно должно быть конкретным, информированным и свободным — клиенту важно понимать, на что он соглашается.
4. Обеспечение конфиденциальности и безопасности данных. Согласно ст.ст.18.1 и 19 ФЗ-152 и Постановлению №1119, оператор обязан применять меры защиты:
технические: например, антивирусная защита, настройка и разграничение прав доступа, использование средств шифрования;
организационные: назначение ответственных лиц, утверждение перечня должностей с доступом к ПДн, регулярное обучение персонала, обеспечение сохранности носителей ПДн, оформление локальных документов по обработке ПДн, оценка вреда, ознакомление сотрудников с правилами обработки ПДн, осуществление внутреннего контроля и аудита.
5. Ведение документации и учет действий. Необходимо фиксировать, какие ПДн вы получаете, кому передаете и как уничтожаете. Документы должны быть доступны для внутреннего контроля и проверок Роскомнадзора.
6. Информирование субъектов данных о правах. Клиент имеет право знать, какие данные о нем обрабатываются, как они используются, требовать исправления или удаления информации. Для этого оператор публикует политику обработки ПДн на сайте и размещает ее на информационном стенде в офисе.
7. Уведомление Роскомнадзора об обработке ПДн. Его нужно подать до начала сбора данных, иначе организацию или ИП могут оштрафовать на сумму до 300 000 рублей (ч.10 ст.13.11 КоАП).
8. Контроль за соблюдением законодательства при передаче данных третьим лицам. Туроператоры обычно передают данные гостиницам, авиа- или страховым компаниям, поэтому с ними необходимо заключать соглашения, обеспечивающие соблюдение требований ФЗ №152-ФЗ.
9. Уничтожение данных по достижении цели обработки. После этого оператор обязан уничтожить их. Для этого создается отдельная комиссия, по результатам оформляется акт уничтожения и выгрузка из журнала ИСПДн.
Важно! Нарушение практически любого пункта чревато штрафами по ст.13.11 КоАП и репутационными потерями.
Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций
Как законно обрабатывать ПДн в туристической сфере
Чтобы туроператор или турагент могли законно обрабатывать ПДн, необходимо выполнить несколько шагов:
1. Назначить ответственного за обработку персональных данных:
определите сотрудника или стороннее лицо, которое будет отвечать за организацию обработки ПДн;
издайте приказ о назначении ответственного;
зафиксируйте полномочия и обязанности ответственного в должностной инструкции;
обеспечьте обучение сотрудников правилам обращения с данными — от работы с CRM до приема клиентских документов.
2. Подготовить и оформить документы по ПДн:
разработайте политику обработки ПДн, положения и иные локальные акты;
подготовьте формы согласий клиентов на обработку персональных данных, согласий на маркетинговые рассылки;
введите внутренние инструкции по обработке данных на бумажных и электронных носителях;
организуйте журнал учета действий с ПДн и процедуры контроля доступа сотрудников.
3. Подать уведомление в Роскомнадзор:
уведомление заполняется на официальном сайте ведомства;
РКН рассмотрит уведомление в течение 30 календарных дней;
по результатам компанию внесут в реестр операторов.
4. Привести в порядок сайт и соцсети:
разместите на сайте актуальную политику конфиденциальности, согласия, уведомления о сборе cookies;
обеспечьте корректное получение согласий через формы онлайн-заявок или бронирования;
настройте технические меры безопасности: SSL-сертификаты, шифрование форм, ограничение доступа к базам данных;
регулярно проверяйте уязвимости сайта и обновляйте системы для предотвращения утечек ПДн.
Эти меры позволяют туроператорам и турагентам не только выполнять требования закона, но и повысить доверие клиентов. Соблюдение каждого этапа снижает риски штрафов и делает бизнес безопасным с точки зрения обработки персональных данных.
Особенности трансграничной передачи
При трансграничной передаче персональных данных туроператоры и турагенты должны подать уведомление в Роскомнадзор. Конкретные действия зависят от того, в какую страну передаются ПДн — обеспечивающую адекватную защиту или нет. Перечень стран, обеспечивающих адекватную защиту, утвержден приказом Роскомнадзора от 05.08.2022 №128. В него входят 89 государств, среди которых есть страны-участницы Конвенции Совета Европы о защите ПДн при автоматизированной обработке, а также страны, не являющиеся участницами Конвенции, но чьи применяемые меры и нормы соответствуют ее положениям.
Важно! В обоих случаях до подачи уведомления нужно запросить у получателя ПДн сведения о принимаемых мерах защиты и данные самого получателя: наименование, адрес, номер телефона, email. Если страна не входит в перечень принимающих адекватные меры защиты, дополнительно запрашивается еще и информация о правовом регулировании в сфере ПДн.
Данные передаются в страну с адекватной защитой
В этом случае оператор персональных данных в сфере туризма должен подать в РКН уведомление о намерении осуществлять ТППДн. Брать с субъекта согласие на передачу не нужно, если данные отправляются для исполнения договора. Согласование ТППДн с Роскомнадзором тоже не требуется — данные можно отправлять сразу после подачи уведомления, а не ждать 10 рабочих дней, когда его рассмотрят.
Важно! В перечень таких стран входят, например, Венгрия, Грузия, Ирландия, Монако, Бельгия, Норвегия, Швеция, Нидерланды, Мексика, Азербайджан, Польша, Израиль, Бангладеш, Беларусь, Бразилия, Китай, Нигерия и т.д.
Данные передаются в страну без адекватной защиты
Для передачи персональных данных туроператоры должны свериться с приказом РКН №128, чтобы понять, входит ли страна в список обеспечивающих адекватную защиту, или нет. В последнем случае передавать ПДн сразу после подачи уведомления нельзя: сначала нужно дождаться, когда РКН его рассмотрит, и только после согласования отправлять данные. Срок рассмотрения уведомления — 10 рабочих дней. В этот период ведомство может запросить сведения о принимаемых мерах защиты получателем и другие документы, которые должны быть у оператора на руках еще до подачи уведомления.
Когда Роскомнадзор может запретить или ограничить трансграничную передачу
Роскомнадзор вправе запретить или ограничить трансграничную передачу персональных данных. Запрет возможен в ситуациях, когда:
Страна или иностранный контрагент не обеспечивают защиту ПДн и не регламентируют условия прекращения их обработки.
Суд запретил деятельность иностранной организации в РФ, решение вступило в силу.
Иностранная организация включена в перечень нежелательных.
Цели обработки после передачи не совпадает с целями первоначального сбора.
Сами сведения не подлежат обработке — например, оператор пытается обрабатывать специальные категории данных, не имея законных оснований.
Ограничение возможно, если объем данных или категории субъектов не соответствуют цели передачи.
В обоих случаях Роскомнадзор должен уведомить оператора персональных данных. Уведомление направят не позднее следующего рабочего дня после принятия решения так, чтобы оператор мог подтвердить его получение. Например, по адресу, указанному в уведомлении о намерении осуществлять ТППДн.
Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций
Штрафы для операторов
Если нарушены правила обработки персональных данных в туризме, компанию или ИП могут оштрафовать по ст.13.11 КоАП. Так, если обрабатывать ПДн без согласия физлица, когда оно требуется, оператору грозит штраф до 700 000 рублей. Если на сайте в открытом доступе нет политики обработки ПДн — до 60 000, не подали уведомление о начале обработки ПДн — до 300 000 рублей.
Учтите, что с 01 июля 2025 года первоначальный сбор ПДн возможен только с помощью ПО с базами в РФ. В противном случае могут оштрафовать на сумму до 6 млн рублей.
Самые большие штрафы предусмотрены за утечку — до 20 млн рублей в зависимости от категорий ПДн и масштабов. При повторном инциденте могут быть применены уже оборотные штрафы — 1–3% годового дохода организации, максимум — 500 000 рублей.
Если вы хотите обезопасить себя и избежать штрафов, оставьте заявку. Юристы сервиса «Роском Онлайн» оформят необходимые документы, и вы сможете работать с ПДн на законных основаниях.
