В туристической отрасли обработка персональных данных — не исключение, а норма. Каждое бронирование, оформление визы, покупка страховки или заказ трансфера предполагают передачу информации клиентов за пределы России. И если вы не соблюдаете требования закона — рискуете штрафами, предписаниями Роскомнадзора и блокировкой операций.
Разберёмся, какие данные вы обрабатываете, когда это считается трансграничной передачей, как правильно уведомить Роскомнадзор и как избежать рисков.
Какие персональные данные используются в туризме?
Турагенты и туроператоры работают с широким спектром ПДн, включая:
- Идентификационные данные: ФИО, дата и место рождения, номера паспортов (российского и заграничного), ИНН, адрес регистрации, телефоны, email.
- Дополнительные сведения: состав семьи, возраст детей, данные виз, медицинские показания (для спецпитания или страхования).
- Специальные категории ПДн: информация о состоянии здоровья — хронические заболевания, аллергии, необходимость медицинского сопровождения.
Пример: при оформлении тура в Испанию вы собираете паспортные данные, фото, справку о доходах и сведения о диабете — все это подлежит защите в соответствии с ФЗ-152.
Что такое трансграничная передача персональных данных (ТППДн)?
ТППДн — это любое действие, в результате которого ПДн оказываются на территории иностранного государства, независимо от гражданства получателя.
Важно:
- Даже если вы передаёте данные российской компании, но через сервис с сервером в США — это ТППДн.
- Если вы используете Google Analytics, WhatsApp, Stripe, JivoSite или CloudPayments — ваши клиенты автоматически передают данные за границу.
Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций - это важная составляющая Вашего бизнеса. Для бесплатной консультации переходите по ссылке
Когда ТППДн возникает в туризме?
Типичные случаи трансграничной передачи персональных данных в туристической деятельности:
- Бронирование и подтверждение мест в отелях. Вы передаете гостевые листы с ФИО, данными паспортов и сроками пребывания. Без этого отель не предоставит номер.
- Оформление авиа- и ж/д билетов. Международные бронирующие системы (GDS) и авиакомпании требуют полные паспортные данные для выписки билета. Серверы этих систем часто расположены за рубежом.
- Подача документов в консульства для оформления визы. Это один из самых сложных кейсов. Вы передаете данные в иностранное государство в лице его консульства, что также считается трансграничной передачей.
- Оформление страховых полисов. Страховщики, в том числе международные страховые компании или их партнеры, запрашивают ФИО, даты рождения и, в некоторых случаях, информацию о здоровье для расчета рисков.
- Организация экскурсий и трансферов. При заказе услуг у местных гидов или транспортных компаний вы направляете списки туристов, даты и места их посадки.
Каждая из этих операций — это трансграничная передача персональных данных, так как конечный получатель и его информационные системы находятся за пределами юрисдикции России. Ваша задача — обеспечить ее легальность.
Какие страны считаются «безопасными» для ТППДн?
Согласно приказу Роскомнадзора №128 от 05.08.2022, в список стран с «адекватной защитой» входят:
- Турция, Греция, Мексика, Черногория, Израиль, Бразилия, Монако, Канада, Япония, Сингапур и другие — всего 40+ стран.
⚠️ Важно!
Даже если страна в списке «зелёных», она может быть в списке недружественных (Распоряжение Правительства №430-р).
Рекомендация: ко всем странам, включая «зелёные», применяйте единый порядок — подавайте уведомление.
Как легально передавать ПДн за границу: пошаговая инструкция
Шаг 1. Получите согласие клиента
Согласие требуется, если:
- Передача не связана с исполнением договора,
- В договоре нет перечня передаваемых данных и сведений о получателе.
Согласие должно содержать:
- Цель передачи (например, «оформление тура в Италию»),
- Категории ПДн (ФИО, паспорт, здоровье),
- Страну-получатель,
- Право отзыва.
Шаг 2. Запросите документы у иностранного получателя
До подачи уведомления запросите у партнёра:
- Описание мер защиты ПДн,
- Информацию о законодательстве страны (если она не входит в Конвенцию Совета Европы),
- Контакты: наименование, адрес, телефон, email.
Шаг 3. Подайте уведомление в Роскомнадзор
Заполните форму на официальном сайте — раздел «Трансграничная передача ПДн».
Обязательные поля:
- Данные оператора (ОГРН, ИНН, адрес, ФИО ответственного),
- Цель передачи (например, «организация туристической поездки»),
- Правовое основание (договор или согласие),
- Категории ПДн (ФИО, паспорт, здоровье и т.д.),
- Перечень стран-получателей.
Шаг 4. Дождитесь ответа (если нужно)
- Если страна в списке «адекватной защиты» — можно передавать данные сразу после подачи уведомления.
- Если страна не в списке — ожидайте 10 рабочих дней. Роскомнадзор может запретить передачу, если есть угроза безопасности РФ или правам граждан.
Шаг 5. Проверьте веб-инструменты на соответствие
С 1 июля 2025 года запрещено собирать ПДн с помощью иностранных сервисов.
Решение:
- Используйте российские аналоги (например, Яндекс.Метрика вместо Google Analytics, Тинькофф.Платежи вместо Stripe),
- Только после сбора в РФ — с уведомлением Роскомнадзора — разрешена передача за границу.
Какие штрафы ждут за нарушения?
- Нарушение | Штраф
- Не подали уведомление о ТППДн | До 6 млн рублей (ч.8 ст.13.11 КоАП)
- Повторное нарушение | До 18 млн рублей
- Неисполнение предписания Роскомнадзора | До 20 000 рублей (ч.1 ст.19.5 КоАП)
- Сбор ПДн через иностранные сервисы (с 01.07.2025) | До 6 млн рублей
Если у вас бизнес в туристической отрасли, обязательно подайте уведомление о трансграничной передаче персональных данных до того, как реально отправите их за границу. Юристы сервиса «Роском Онлайн» помогут составить уведомление и проконсультируют по всем вопросам.
