Как обрабатывать персональные данные в туризме в 2026 году: главные правила

Вы думаете: «Взял согласие — и всё ок»?
Нет.
В туризме согласие — не главное.
А вот документы — обязательны.
И если их нет — вас ждёт штраф до 6 млн ₽.
При утечке — до 20 млн ₽.

Вот как работать с персональными данными клиентов — по закону, без рисков и задержек.

Что считается ПДн туриста?

Любая информация, которая позволяет узнать, кто клиент, и нужна для бронирования, страховки или услуги:

• фамилия, имя, отчество;
• дата и место рождения;
• пол;
• гражданство.
• серия, номер, дата выдачи и другие реквизиты внутреннего паспорта;
• данные заграничного паспорта;
• сведения о визах;
• информация о водительском удостоверении (при аренде автомобиля);
• номер мобильного телефона;
• адрес электронной почты;
• адрес регистрации и проживания.

Дополнительные сведения, необходимые для оказания услуг:

• информация о состоянии здоровья (для оформления страховки или специализированных туров);
• данные о пищевых предпочтениях (аллергии, тип питания);
• сведения о профессиональной деятельности;
• фотографии для виз или пропусков.

Важно! Согласие не нужно, если данные нужны для исполнения договора. Согласие нужно, если вы используете данные для рекламы, рассылок, аналитики.

Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций.

Какие документы обязательны?

Вы не обязаны быть юристом.
Но если у вас нет этих 5 документов — вы нарушитель.
И Роскомнадзор это знает.

Вот что обязательно должно быть у каждого туроператора и турагента:

1. Политика обработки ПДн
— Основной документ: «Какие данные мы собираем, зачем и как храним».
— Обязательно публикуется на сайте — в открытом доступе.
— Без неё — неправомерная обработка.
— Пример: «Мы собираем ФИО и паспорт для бронирования отеля — данные хранятся 5 лет, уничтожаются после окончания тура».

2. Приказ о назначении ответственного за ПДн
— Кто в компании отвечает за ФЗ-152?
— Это не «кто-то из отдела» — это конкретный человек с ФИО и должностью.
— Роскомнадзор проверяет этот приказ — без него даже другие документы не спасут.

3. Документы по безопасности (если есть база данных)
— Модель угроз — «Что может пойти не так?»
— Матрица доступа — «Кто, где и что видит» (менеджер — только ФИО, бухгалтер — паспорт, IT — всё)
— Инструкции — «Как работать с паспортами? Как удалять данные?»
— Если вы используете CRM, Excel, сайт с формами — эти документы обязательны.

4. Обязательство о неразглашении
— Подписывают все, кто видит паспорта, телефоны, email клиентов:
→ менеджеры
→ бухгалтеры
→ администраторы
→ даже курьеры, если доставляют бумажные документы
— Это не «формальность» — это юридическое основание для увольнения при утечке.

5. Журналы и регламенты
— Журнал учета обращений клиентов
— Приказы о хранении бумажных дел (где лежат паспорта?)
— Регламент уничтожения данных
— Журнал инструктажей по ИБ
— Эти документы — «доказательство, что вы не бездумно работаете».

Какие уведомления отправлять в Роскомнадзор? (5 обязательных случаев)

Вы не просто «работаете с клиентами» — вы оператор ПДн.
И Роскомнадзор требует официального уведомления в 5 случаях:

1. Начинаете обрабатывать ПДн — первое уведомление.
С этого момента ваша деятельность легальна.

2. Изменились данные — смена адреса, цели, состава ПДн.
Например: теперь вы собираете данные о здоровье для туров в горы — нужно обновить уведомление.

3. Закрываете бизнес — сообщите, что больше не обрабатываете данные.
Даже если вы просто перестали работать — уведомление обязательно.

4. Передаёте данные за границу — отдельное уведомление.
Это касается всех: отелей в Турции, авиакомпаний в Египте, CRM в Европе.

5. Утечка или взлом — в течение 24 часов — уведомление, в течение 72 часов — отчёт.
Если клиент узнал, что его паспорт ушёл в Telegram — вы обязаны сообщить.
Иначе — штраф до 20 млн ₽.

Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций.

Правила сбора ПДн: локализация с 1 июля 2025

Запрещено собирать ПДн граждан РФ напрямую в базы за рубежом.

Что это значит?
Нельзя:
— Форма бронирования, которая сразу отправляет данные в отель в ОАЭ.
— CRM с серверами в США, Китае, Европе.
— Виджеты, которые передают email/телефон за границу.

Можно:
— Собирать данные на российском сервере (сайт на хостинге в РФ, российская CRM).
— Потом — передавать за границу, только после уведомления Роскомнадзора.

Пример:
Клиент заполняет форму на вашем сайте — данные попадают на сервер в Москве.
Потом — вы вручную или через API передаёте их в отель в Египте — после подачи уведомления о ТППДн.
Нарушение — штраф до 6 млн ₽ (ч. 8 ст. 13.11 КоАП).

Как передавать данные за границу?

Сценарий 1: Страна с «адекватной» защитой

1. Убедитесь, что отель/авиакомпания гарантирует защиту ПДн.
2. Подайте уведомление о ТППДн на сайте Роскомнадзора.
3. Сразу передавайте данные — ждать 10 дней не нужно.

Сценарий 2: Страна без «адекватной» защиты

1. Подготовьте от партнёра:
— Описание мер защиты
— Условия уничтожения данных
— Реквизиты (название, email, телефон)
— Если страна не в Конвенции Совета Европы — описание её законодательства
2. Подайте уведомление.
3. Ждите 10 рабочих дней — до этого — НИКАКИХ данных!

Если передали данные до истечения 10 дней — и Роскомнадзор запретил — вы обязаны потребовать уничтожения данных у партнёра!
Не уничтожили — штраф 50 000–90 000 ₽ (ч. 5 ст. 13.11 КоАП).

Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций.

Что нужно сделать до подачи уведомления

Независимо от страны — до подачи уведомления вы обязаны получить от иностранного получателя:
1. Описание мер защиты — как они хранят, шифруют, защищают данные.
2. Условия прекращения обработки — когда и как удалят данные после тура.
3. Реквизиты получателя — полное название, адрес, email, телефон.

Важно!
Роскомнадзор может запросить эти документы — вы обязаны предоставить их в течение 10 дней.
Если не успеваете — подайте запрос на продление (ещё +5 дней).

Как передавать данные в страну с «неадекватной» защитой

Шаг 1: оцените соблюдение мер по защите прав субъектов ПДн

На этом для передачи персональных данных туроператор должен провести детальный анализ:

1. Убедиться, что страна назначения не входит в перечень государств с адекватной защитой, опубликованный Роскомнадзором.

2. Проверить наличие договора с иностранным контрагентом (отелем, авиакомпанией), где прописаны:

• его обязательства по защите передаваемых ПДн;
• конкретные меры безопасности, которые он обязуется применять;
• условия уничтожения данных после достижения целей обработки.
• Получить информацию о мерах защиты в стране получателя с точки зрения законодательства.

3. Оценить, достаточно ли этих мер для обеспечения защиты прав туристов, либо требуются дополнительные документы.

Шаг 2: направьте уведомление о намерении осуществлять ТППДн

Проще всего заполнить уведомление на сайте Роскомнадзора. В документе указываются сведения, предусмотренные ч. 4 ст. 12 ФЗ № 152-ФЗ:

1. Наименование и адрес оператора, реквизиты ранее поданного уведомления об обработке персональных данных.
2. ФИО ответственного за обработку ПДн лица с контактными данными (телефоны, адреса, e-mail).
3. Правовые основания и цели трансграничной передачи последующей обработки данных.
4. Категории и конкретный перечень передаваемых персональных данных.
5. Группы субъектов, чьи данные подлежат передаче.
6. Перечень стран назначения для трансграничной передачи.
7. Дата проведения оператором оценки соблюдения иностранными получателями требований к конфиденциальности и безопасности данных.

Шаг 3: дождитесь ответа от Роскомнадзора

После подачи уведомления о трансграничной передаче персональных данных в туризме применяется следующий регламент:

1. При отсутствии ответа от Роскомнадзора в течение 10 рабочих дней трансграничная передача персональных данных разрешена при условии соблюдения всех требований защиты информации.
2. В случае поступления от Роскомнадзора запроса о предоставлении дополнительных сведений рассмотрение уведомления приостанавливается. Оператор обязан представить запрашиваемую информацию, после чего рассмотрение возобновляется.
3. До завершения процедуры рассмотрения уведомления (либо до истечения 10-дневного срока, либо до получения разрешения после предоставления дополнительных сведений) осуществление ТППДн не допускается.

Как передавать ПДн в страну с «адекватной» защитой

Процедура практически ничем не отличается от передачи ПДн в страны с неадекватной защитой. Ключевое отличие — не нужно ждать 10 рабочих дней.

Алгоритм действий простой и четкий:

1. Проверьте партнера — убедитесь, что иностранный отель гарантирует конфиденциальность и безопасность данных туристов.
2. Убедитесь в надежности защиты — проверьте, какие меры безопасности применяет партнер для обработки персональных данных в туризме.
3. Направьте уведомление в Роскомнадзор — заполните и подайте документ на сайте ведомства..
4. Действуйте без задержек — передавайте данные для бронирования сразу после отправки уведомления.

Такая схема работы позволяет моментально бронировать туры, не теряя драгоценное время на бюрократические процедуры, но при этом оставаться в правовом поле.

Регистрация в Роскомнадзоре и подготовка документов по 152 ФЗ «О персональных данных» для туристических организаций.

Сколько уведомлений о ТППДн подавать в Роскомнадзор

Согласно официальной позиции Роскомнадзора (письмо от 09.11.2022 № 08ВМ-98928), законодательство не устанавливает ограничений по количеству и периодичности направления уведомлений о трансграничной передаче персональных данных.

Какие возможности есть:

1. Оформление единого уведомления, охватывающего все планируемые направления трансграничной передачи и целевые страны.
2. Подача отдельных уведомлений для каждой конкретной цели передачи и каждой страны назначения.

Важно! При возникновении любых изменений в параметрах трансграничной передачи (перечень данных, страны назначения, цели обработки) оператор обязан направить в Роскомнадзор обновленное уведомление с актуальными сведениями.