Как обрабатывать персональные данные в туризме в 2026 году: главные правила

Если вы считаете, что для обработки персональных данных в туризме достаточно взять согласие, это не так. Чаще всего оно не требуется, а вот пакет других документов у оператора в любом случае должен быть. Мы расскажем, что именно понадобится для обработки данных, как правильно их собирать и передавать за границу. 

Под персональными данными (ПДн) подразумевается любой массив информации, который прямо или косвенно относится к вашему клиенту и необходим для формирования, бронирования и оказания ему туристских услуг:

• фамилия, имя, отчество;

• дата и место рождения;

• пол;

• гражданство.

• серия, номер, дата выдачи и другие реквизиты внутреннего паспорта;

• данные заграничного паспорта;

• сведения о визах;

• информация о водительском удостоверении (при аренде автомобиля);

• номер мобильного телефона;

• адрес электронной почты;

• адрес регистрации и проживания.

Дополнительные сведения, необходимые для оказания услуг:

• информация о состоянии здоровья (для оформления страховки или специализированных туров);

• данные о пищевых предпочтениях (аллергии, тип питания);

• сведения о профессиональной деятельности;

• фотографии для виз или пропусков. 

Важно! Согласие на обработку персональных данных в туризме не требуется, если данные обрабатываются в рамках договора. При этом в нем должно быть указано, какие именно ПДн обрабатывает оператор и для каких целей. Если вам нужны данные вне договора, понадобится отдельное согласие. 

Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций

Консультация

Объем локальных документов, необходимых туроператору или турагенту для легальной обработки персональных данных, зависит от конкретных целей и масштабов деятельности. Однако существует базовый пакет документов, который должен быть разработан в обязательном порядке.

Основные документы для обработки персональных данных в туристической компании:

1. Политика в отношении обработки персональных данных:

• это основной документ, определяющий правила и принципы работы компании с конфиденциальной информацией;

• Политика обязательна для публикации на официальном сайте компании в открытом доступе;

2. . Приказ о назначении ответственного за организацию обработки ПДн:

• внутренний распорядительный документ, который закрепляет конкретного сотрудника, отвечающего за соблюдение законодательства о ПДн;

• его наличие проверяется Роскомнадзором в ходе контрольных мероприятий.

3. Документация по обеспечению безопасности ПДн (для автоматизированной обработки):

• модель угроз безопасности персональных данных;

• матрица доступа к информационным системам;

• инструкции для администраторов и пользователей систем.

4. Обязательство о неразглашении персональных данных:

• документ, который подписывают все сотрудники, имеющие доступ к персональным данным клиентов (менеджеры, бухгалтеры). Он юридически фиксирует их обязанность сохранять конфиденциальность.

5. Иные административные документы: 

• этот блок может включать журналы учета обращений субъектов ПДн, регламенты работы с информационными системами, приказы об утверждении мест хранения материальных носителей и другие внутренние акты.

В соответствии с ФЗ № 152-ФЗ, туроператор или турагент, выступая оператором персональных данных, обязан уведомлять Роскомнадзор о ключевых аспектах своей деятельности по обработке информации. Уведомления направляются в следующих случаях:

1. О намерении осуществлять обработку персональных данных. Это первоначальное уведомление, с которого начинается легальная обработка данных клиентов и других физлиц.

2. Об изменении сведений в ранее поданном уведомлении. Любые изменения (например, смена целей обработки, состава данных или юридического адреса) требуют своевременного информирования надзорного органа.

3. О прекращении обработки. Если компания полностью прекращает деятельность, связанную с обработкой ПДн, она обязана сообщить об этом в Роскомнадзор.

4. О намерении осуществлять трансграничную передачу данных. Данное уведомление подается отдельно, если планируется передавать данные за рубеж.

5. О факте неправомерной или случайной передачи данных. В случае утечки или несанкционированного доступа к персональным данным оператор обязан проинформировать регулятора в течение 24 часов, а в течение 72 часов с момента выявления инцидента предоставить отчет о результатах расследования. 

С 1 июля 2025 года правила локализации ПДн граждан РФ были ужесточены. Под ограничением оказались все сервисы и ПО, передающее данные за границу (ч. 5 ст. 18 ФЗ № 152-ФЗ):

1. Запрещается осуществлять первичный сбор и запись персональных данных граждан РФ через интернет непосредственно в базы данных, расположенные за пределами России. Это означает, что данные с момента их ввода должны сначала фиксироваться и храниться на серверах в РФ.

2. Какие сервисы попадают под ограничение (например):

• онлайн-формы бронирования, интегрированные непосредственно с зарубежными системами отелей;

• виджеты и плагины для сбора заявок, передающие данные напрямую за границу;

• CRM-системы, серверы которых расположены за пределами РФ.

Важно! Такое ограничение не означает полный запрет на использование иностранного ПО. Если вы хотите им пользоваться, вы можете подать уведомление о трансграничной передаче, но первоначальный сбор должен быть в любом случае с помощью российского ПО и сервисов. За нарушение этого требования предусмотрен штраф по ч. 8 ст. 13.11 КоАП — до 6 млн рублей для юрлиц и ИП. 

Когда вы отправляете данные клиента для бронирования отеля за рубежом, вы совершаете трансграничную передачу. Главный вопрос — как сделать это быстро и по закону. Все зависит от того, в какую страну передаются данные:

1. Передача в страны с адекватной защитой:

• они входят в перечень, утвержденный приказом Роскомнадзора от 05.08.2022 № 128;

• к «адекватным» странам относятся, в частности, Турция, Аргентина, Грузия, Канада, Вьетнам, Бразилия, Китай;

• можно отправить уведомление о ТППДн в Роскомнадзор и сразу передавать данные за границу.

2. Передача в страны без адекватной защиты:

• это остальные государства, не попавшие в приказ Роскомнадзора № 128: например, ЦАР, ОАЭ,Египет, Куба, Шри-Ланка и т.д.; 

• нужно отправить уведомление о ТППДн и Роскомнадзор и подождать 10 рабочих дней, так как передачу могут ограничить или запретить. 

Важно! В обоих случаях согласие туриста на трансграничную передачу персональных данных не требуется, если они направляются для исполнения договора. 

Вне зависимости от того, в какую страну вы отправляете ПДН — «адекватную» или нет, — перед подачей уведомления о ТППДн нужно заранее собрать пакет документов и информации от иностранного получателя данных (ч. 5 ст. 12 ФЗ № 152-ФЗ):

1. Информация о мерах защиты:

• подробное описание мер, которые иностранный получатель применяет для защиты передаваемых персональных данных;

• условия, при которых обработка данных будет прекращена.

2. Информация о правовой системе страны получателя (требуется не всегда):

• это требование действует только для стран, которые не являются участниками Конвенции Совета Европы о защите данных и не входят в перечень государств с адекватной защитой;

• в этом случае нужно предоставить описание правового регулирования защиты персональных данных в этой стране.

3. Реквизиты получателя данных:

• полное наименование органа власти, ФИО физического лица или название компании;

• актуальные контактные данные: телефоны, почтовые адреса и адреса электронной почты.

Важно! Роскомнадзор может проверить достоверность представленного уведомления. При поступлении соответствующего запроса от ведомства оператор обязан предоставить все запрошенные документы в течение 10 рабочих дней. В исключительных случаях данный период может быть продлен еще на пять рабочих дней, однако для этого необходимо направить в Роскомнадзор официальное уведомление с подробным обоснованием причин, вызвавших необходимость продления срока.

На этом для передачи персональных данных туроператор должен провести детальный анализ:

1. Убедиться, что страна назначения не входит в перечень государств с адекватной защитой, опубликованный Роскомнадзором.

2. Проверить наличие договора с иностранным контрагентом (отелем, авиакомпанией), где прописаны:

• его обязательства по защите передаваемых ПДн;

• конкретные меры безопасности, которые он обязуется применять;

• условия уничтожения данных после достижения целей обработки.

• Получить информацию о мерах защиты в стране получателя с точки зрения законодательства. 

3. Оценить, достаточно ли этих мер для обеспечения защиты прав туристов, либо требуются дополнительные документы.

Проще всего заполнить уведомление на сайте Роскомнадзора. В документе указываются сведения, предусмотренные ч. 4 ст. 12 ФЗ № 152-ФЗ:

1. Наименование и адрес оператора, реквизиты ранее поданного уведомления об обработке персональных данных.

2. ФИО ответственного за обработку ПДн лица с контактными данными (телефоны, адреса, e-mail).

3. Правовые основания и цели трансграничной передачи последующей обработки данных.

4. Категории и конкретный перечень передаваемых персональных данных.

5. Группы субъектов, чьи данные подлежат передаче.

6. Перечень стран назначения для трансграничной передачи.

7. Дата проведения оператором оценки соблюдения иностранными получателями требований к конфиденциальности и безопасности данных.

После подачи уведомления о трансграничной передаче персональных данных в туризме применяется следующий регламент:

1. При отсутствии ответа от Роскомнадзора в течение 10 рабочих дней трансграничная передача персональных данных разрешена при условии соблюдения всех требований защиты информации.

2. В случае поступления от Роскомнадзора запроса о предоставлении дополнительных сведений рассмотрение уведомления приостанавливается. Оператор обязан представить запрашиваемую информацию, после чего рассмотрение возобновляется.

3. До завершения процедуры рассмотрения уведомления (либо до истечения 10-дневного срока, либо до получения разрешения после предоставления дополнительных сведений) осуществление ТППДн не допускается.

Если оператор, нарушив установленный порядок, передаст данные за рубеж до истечения 10-дневного срока, а затем получит официальный запрет на такую передачу, он обязан немедленно организовать уничтожение этих данных у иностранного контрагента. Невыполнение этого требования неминуемо повлечет за собой штраф по ч. 5 ст. 13.11 КоАП: для ИП — от 20 000 до 40 000 рублей, для организаций — от 50 000 до 90 000 рублей. 

Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций

Консультация

Процедура практически ничем не отличается от передачи ПДн в страны с неадекватной защитой. Ключевое отличие — не нужно ждать 10 рабочих дней.

Алгоритм действий простой и четкий:

1. Проверьте партнера — убедитесь, что иностранный отель гарантирует конфиденциальность и безопасность данных туристов.

2. Убедитесь в надежности защиты — проверьте, какие меры безопасности применяет партнер для обработки персональных данных в туризме.

3. Направьте уведомление в Роскомнадзор — заполните и подайте документ на сайте ведомства..

4. Действуйте без задержек — передавайте данные для бронирования сразу после отправки уведомления.

Согласно официальной позиции Роскомнадзора (письмо от 09.11.2022 № 08ВМ-98928), законодательство не устанавливает ограничений по количеству и периодичности направления уведомлений о трансграничной передаче персональных данных.

Какие возможности есть:

1. Оформление единого уведомления, охватывающего все планируемые направления трансграничной передачи и целевые страны.

2. Подача отдельных уведомлений для каждой конкретной цели передачи и каждой страны назначения.

Важно! При возникновении любых изменений в параметрах трансграничной передачи (перечень данных, страны назначения, цели обработки) оператор обязан направить в Роскомнадзор обновленное уведомление с актуальными сведениями.

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGJGD3N