Персональные данные в туризме: что должен знать и сделать турагент в 2025 году
В современном мире, где цифровизация проникла во все сферы жизни, защита персональных данных (далее в тексте ПДн) стала ключевым вопросом для любого бизнеса, и туристическая отрасль не исключение. Турагенты ежедневно работают с огромным объёмом личной информации своих клиентов: от паспортных данных до предпочтений в еде. В этой статье расскажем, что нужно делать, чтобы избежать штрафов и правильно подготовить все необходимые документы, кто считается оператором ПДн, а также предложим пошаговый алгоритм для турагентов.
Что такое персональные данные в туризме
«Мы часто спорим, что же считать персональными данными. Например, является ли просто имя и номер телефона личной информацией? Так вот, по нашему закону, персональные данные — это любая информация, относящаяся к человеку, которого можно определить, прямо или косвенно. Возьмём, к примеру, файлы cookie на сайте. Вы можете не знать, что это Иванов Иван Иванович, но по этим файлам вы можете выделить этого конкретного пользователя из десятков тысяч других. То есть, вы можете его определить. А значит, это уже его персональные данные, и судебная практика это подтверждает», — говорит руководитель юридического отдела юридической компании «Байбордин и партнёры» Вадим Погорелов.
Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу. В туристической сфере к ПДн относятся:
- ФИО, дата и место рождения;
- Паспортные данные;
- Контактная информация;
- Информация о детях;
- Сведения о здоровье;
- Биометрические данные;
- Данные банковских карт.
Важно понимать, что даже косвенные данные, которые позволяют идентифицировать человека (например, номер бронирования в сочетании с датой рождения), также могут быть признаны персональными.
Обработка персональных данных — это любое действие с персональными данными. К таким операциям относятся: сбор, запись, систематизация, хранение, уточнение, получение данных, использование для определённых целей, передача ПДн, блокирование, обезличивание и удаление.
Турагент сталкивается с персональными данными на каждом этапе работы. Это может быть:
- CRM-системы: Программы для управления взаимоотношениями с клиентами, где хранится вся история общения и данные.
- Excel-таблицы: Часто используются для ведения клиентской базы, учёта заявок.
- Бумажные заявки и анкеты: До сих пор используются для сбора первичной информации.
- Онлайн-формы на сайте: Заявки на подбор тура, обратная связь.
- Мессенджеры (WhatsApp, Telegram): Переписка с клиентами, где часто запрашиваются и передаются личные данные.
- Электронная почта: Переписка с клиентами и партнерами.
Что поменялось в 2025 году
С 30 мая 2025 года в России вступили в силу поправки в ФЗ №152-ФЗ «О персональных данных» и Кодекс РФ об административных правонарушениях (КоАП), существенно ужесточающие ответственность за нарушения.
«Одна из причин, почему так усилилась политика в отношении обработки персональных данных, а именно контрольная политика и политика наказаний. Связано с тем, что подавляющее большинство ситуаций, связанных с телефонным мошенничеством, основаны на том, что происходит та или иная утечка персональных данных. То есть, как мы с вами видим, в интернете существует масса историй, когда мошенники звонят своим жертвам и предоставляют такое количество персональной информации, что это помогает мошенникам в достижении их цели. По моему мнению, это одна из причин», — добавил Вадим Погорелов.
Коротко о новых штрафах:
- До 5 млн ₽ за передачу данных 1 000+ человек: Если оператор ПДн передал данные более чем 1000 человек третьим лицам без законных оснований или надлежащего согласия, ему грозит штраф до 5 миллионов рублей.
- До 15 млн ₽ за утечку данных спецкатегорий: Утечка данных, таких как сведения о состоянии здоровья, национальности, политических или религиозных убеждениях, может обернуться штрафом до 15 миллионов рублей.
- До 3 млн ₽ за несообщение об утечке: Если произошла утечка данных, но оператор не сообщил об этом в Роскомнадзор в установленные сроки, штраф может достигать 3 миллионов рублей.
Роскомнадзор теперь имеет расширенные полномочия и будет проверять наличие и актуальность документов, соблюдение принципов обработки, меры защиты ПДн, соблюдение прав клиентов (они могут запросить информацию о своих данных, попросить их изменить или удалить). Также ведомство проводит проверку операторов по собственному реестру и получать от них сообщения об утечках.
Еще одно важное изменение — все сведения об операторе ПДн, которые содержатся в уведомлении, поданном в Роскомнадзор, становятся общедоступными. Это значит, что информация о туристической компании (или ИП), включая название, ИНН, адрес, а также сведения об ответственных лицах, будет видна любому желающему на сайте Роскомнадзора. Это повышает прозрачность.
«Штрафы уже действуют и становятся только строже. Налететь, скажем так, на ту или иную административную ответственность можно уже сегодня. Проверки турагентов и туроператоров Роскомнадзором на предмет соблюдения законодательства: это происходит постоянно в последние полтора года, и для нас это уже что-то, наверное, обыденное — взаимодействовать с Роскомнадзором. Третий нюанс также связан с тем, что если у вас есть нарушения либо вы их не исправляете, никоим образом не реагируете на предписание Роскомнадзора, к вам ещё могут с внеплановой проверочкой выехать. Помимо всего прочего, могут пострадать ваши партнёры, например, когда вы не получили согласие на обработку персональных данных, но передали их своим партнёрам. Соответственно, он не сможет в случае чего подтвердить законность обработки ПДн. У него появляется право определённых регрессных требований уже к вам, в случае если он понес убытки по вашей вине. Ну и, разумеется, это финансовые и репутационные риски, связанные с утечками персональных данных. Я думаю, в условиях, когда мы постоянно слышим о новых схемах телефонного мошенничества, новых попытках вывести денежные средства граждан РФ при помощи их же персональных данных, то репутационные риски здесь переоценить невозможно»,
— добавил Вадим Погорелов.
Важно: Если сомневаетесь, что делать, обратитесь к юристу. Он поможет всё оформить правильно и избежать штрафов.
«Закон требует, чтобы любой человек мог ознакомиться с политикой обработки ПДн ещё до того, как он введёт свои данные в какую-либо форму. Говоря простым языком, она должна быть на любой странице, где вы собираете данные. Я считаю, что удобнее всего разместить ссылку на политику в подвале сайта. Так она всегда будет на виду. Это помогает избежать ситуации, когда, например, программист забыл добавить ссылку на какой-то странице. Поэтому идеальный вариант — сделать так, чтобы к политике обработки был неограниченный доступ с любой страницы и из любого всплывающего окна. Важный момент: клиенту не нужно давать согласие на саму политику. Это документ, который описывает подход к работе с данными. Достаточно просто обеспечить возможность с ней ознакомиться. Можно сделать это, например, с помощью галочки Я согласен с условиями обработки данных с активной ссылкой на эту политику. Нажал на ссылку — и вот она, открывается, можно читать», — говорит Погорелов.
Кто такой оператор персональных данных
Согласно закону, оператором персональных данных является любой государственный или муниципальный орган, юридическое или физическое лицо, организующие и осуществляющие обработку персональных данных. Это означает, что оператором в туризме являются:
- Юридические лица: Туристические агентства, туроператоры.
- Индивидуальные предприниматели (ИП): Даже если у ИП нет сотрудников и он работает один.
- Самозанятые: Если самозанятый собирает и обрабатывает данные клиентов (например, проводит авторские экскурсии и собирает данные участников), он также становится оператором ПДн. Даже без офиса и наемных сотрудников.
Ключевой момент — вы являетесь оператором, если вы определяете цель и состав обрабатываемых данных. Если вы собираете ФИО, паспортные данные и контакты для оформления тура, вы — оператор. Турагенты обязаны подавать уведомление о начале обработки персональных данных в Роскомнадзор.
Таким образом, если вы, как турагент, собираете, храните или передаете персональные данные своих клиентов (даже если это только ФИО и телефон), вы обязаны уведомить Роскомнадзор о начале обработки ПДн. Это важно сделать до начала самой обработки.
Трансграничная передача персональных данных
Трансграничная передача персональных данных — это передача ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу. В туризме это происходит постоянно и повсеместно. Например, когда вы отправляете данные клиента в зарубежный отель, авиакомпанию или принимающей стороне, вы осуществляете трансграничную передачу. Даже обычная переписка с зарубежными партнерами, содержащая ПДн, может быть расценена как трансграничная передача.
- Мессенджеры (WhatsApp, Telegram): Большинство популярных мессенджеров, таких как WhatsApp и Telegram, используют серверы, расположенные за пределами России. Соответственно, любая передача ПДн клиента через эти мессенджеры (например, отправка фото паспорта, данных для бронирования) является трансграничной передачей.
- CRM-системы и облачные платформы: Многие CRM-системы (AmoCRM, Bitrix), а также облачные сервисы (Google Forms, Google Sheets, Yandex.Disk) могут иметь серверы за границей. Если вы храните или обрабатываете ПДн клиентов на таких платформах, это также считается трансграничной передачей. Важно проверять, где расположены серверы.
Как турагент, вы постоянно отправляете данные клиентов за рубеж. Это происходит, когда вы бронируете:
- Отели за границей: Им нужны данные клиента, чтобы зарезервировать номер.
- Иностранные авиакомпании: Им нужны данные для оформления билетов.
- Зарубежные страховые компании: Если вы оформляете страховку для поездки.
- Принимающие стороны (DMC): Это компании за границей, которые организуют трансферы, экскурсии, заселение в отели.
Передавать ПДн за рубеж разрешено, но при определенных условиях:
- Согласие клиента. Ваш клиент должен четко понимать, что его данные уйдут за границу. Получите от него согласие, где будет указано, зачем вы передаете данные и кому (например, в какой отель или авиакомпанию).
- Проверка списка стран. Роскомнадзор ведёт список стран, которые хорошо защищают личные данные. Если страна, куда вы отправляете данные (например, Турция или ОАЭ), есть в этом списке, то процесс передачи проще.
- Договор с иностранным партнёром. Если страны нет в списке Роскомнадзора, вам нужно заключить договор с зарубежным партнёром (отелем, авиакомпанией), где будет прописано, как они будут защищать данные вашего клиента и для каких целей их используют.
Согласие на трансграничную передачу можно сделать отдельным пунктом в вашем стандартном согласии на обработку данных или оформить как отдельный документ. В нём должно быть прописано:
- Зачем передаёте данные? Например: «для бронирования отеля, авиабилетов, организации трансфера».
- Какие данные передаёте? Укажите конкретно: ФИО, паспортные данные, контакты.
- Кому передаёте? Например: «туроператору название, зарубежным отелям, авиакомпаниям, принимающим сторонам». Если точные названия заранее неизвестны, укажите категории.
- В какие страны? Укажите страны, куда уйдут данные.
- Предупреждение о рисках (если нужно). Если данные уходят в страны, где защита данных не такая строгая, предупредите об этом клиента.
Обязательно добавьте в свою Политику обработки персональных данных раздел, где будет подробно описано, как вы передаёте данные за границу. И, конечно, в каждом согласии на обработку персональных данных от клиента должен быть отдельный пункт именно про трансграничную передачу данных.
Что делать турагенту: пошаговая инструкция
Чтобы работать с данными клиентов правильно и избежать проблем, турагенту нужно сделать следующее:
- Определите, как вы храните данные
Сначала поймите, как вы собираете и храните личные данные клиентов:
- Через программы (CRM, Excel): Это автоматизированная обработка.
- На бумаге (анкеты, копии паспортов): Это неавтоматизированная обработка.
- И так, и так: Это смешанная обработка, так обычно и бывает. Например, вы сначала берете данные на бумаге, а потом вносите их в компьютер.
- Назначьте ответственного
Обязательно выберите человека, который будет следить за работой с данными. Это может быть владелец, руководитель или менеджер. Главное — оформить приказ о его назначении и прописать, что он должен делать (следить за документами, проводить инструктаж).
- Соберите пакет документов
Это самый важный шаг. Вам понадобятся:
- Политика обработки данных: Главный документ, где описано, как вы работаете с личными данными клиентов. Разместите его так, чтобы клиенты могли легко его найти (например, на сайте).
- Согласия от клиентов: Каждый клиент должен подписать согласие на обработку своих данных. В нем должно быть указано, зачем вы берете данные, какие именно, и что с ними будете делать. Отдельно нужно получить согласие на передачу данных за границу.
- Внутренние приказы и инструкции:
- Приказ о том, кто у вас ответственный за данные.
- Инструкции для сотрудников, как правильно работать с данными (как собирать, хранить, удалять).
- Журналы: Заведите журналы для записи запросов клиентов по их данным и для учета случаев, если данные вдруг «утекли».
- Обязательства о неразглашении: Подпишите со всеми сотрудниками, кто имеет доступ к данным, документ о неразглашении.
- Инструкции по безопасности: Опишите, как вы защищаете данные технически (пароли, антивирусы).
- Ознакомьте сотрудников
Все, кто работает с данными, должны знать правила. Даже если вы ИП и работаете один, вы сами должны ознакомиться со всеми документами. Проведите обучение и возьмите подписи о том, что сотрудники (или вы сами) все прочитали и поняли.
- Проверьте сайт и соцсети
Ваши онлайн-площадки тоже должны быть в порядке:
- На сайте: Разместите Политику конфиденциальности. Если вы используете файлы cookie, предупредите об этом и получите согласие. Все формы, где клиент оставляет данные, должны иметь галочку согласия на их обработку.
- Если нет сайта: Разместите ссылку на Политику обработки данных в описании профиля в соцсети. Согласие от клиентов получайте прямо в переписке или через онлайн-формы с обязательной галочкой.
«Вот на что я обращаю особое внимание. Это категории людей, чьи данные обрабатываются. Например, это могут быть соискатели, пользователи сайта, клиенты-туристы. Также важно указать цели обработки данных для каждой категории. Роскомнадзор часто требует, чтобы цели были чётко разделены по категориям. Не просто общие цели, а конкретно: для соискателей — одна цель, для туристов — другая.
Ещё нужно прописать способы обработки данных: как именно они собираются, хранятся и используются. И конечно, сроки и порядок хранения данных. Не забудьте про порядок уничтожения данных, когда они больше не нужны. Хотя пока не так часто люди просят удалить их данные, это важный пункт. Также необходимо указать ограничения доступа к данным и контроль за материалами, содержащими персональные данные», — рассказал Погорелов.
- Сообщите в Роскомнадзор
Турагенты должны уведомить Роскомнадзор о том, что они собирают и обрабатывают личные данные. Сделать это можно через Госуслуги. Если у вас что-то изменилось например, адрес или цели обработки данных), нужно сообщить об этом Роскомнадзору ещё раз. После этого большая часть информации из вашего уведомления станет публичной и будет доступна на сайте Роскомнадзора.
Чек-лист для проверки соответствия требованиям
По закону, когда вы работаете с личными данными, вы должны придерживаться следующих правил:
- Законность и честность: Всё должно быть по закону, а правила работы с данными — понятны клиентам.
- Точность и актуальность: Данные должны быть верными и вовремя обновляться. Храните их только столько, сколько нужно.
- Конкретная цель: Собирайте данные только для определённых целей, о которых клиент знает заранее.
- Минимум данных: Берите только те данные, которые вам действительно нужны для работы, ничего лишнего.
Чтобы убедиться, что вы ничего не упустили, используйте следующий чек-лист:
- Уведомление в Роскомнадзор: Вы подали уведомление о начале обработки ПДн в Роскомнадзор? Оно актуально?
- Наличие полного комплекта документов: У вас есть Политика обработки ПДн, согласия, приказы, инструкции, журналы, обязательства о неразглашении?
- Назначен ответственный: Назначен ли ответственный за организацию обработки ПДн приказом, и прописаны ли его обязанности?
- Оформлены согласия клиентов: От каждого клиента получено согласие на обработку ПДн, включая согласие на трансграничную передачу, где это применимо?
- Защита ПДн на сайте: На сайте есть Политика конфиденциальности, уведомление о cookie-файлах, формы согласия с чекбоксами?
- Ведутся журналы, учёт, аудит: Ведется ли учет обращений клиентов по ПДн, журнал инцидентов (утечек)? Проводятся ли регулярные аудиты?
- Ознакомление сотрудников: Все сотрудники (включая вас, если вы ИП) ознакомлены с правилами обработки ПДн под подпись?
FAQ
Если нет своего сайта?
Если у вас нет своего сайта, вы все равно обязаны иметь Политику обработки ПДн и получать согласия. Вы можете разместить Политику на стороннем ресурсе (например, Яндекс Дркументы) и давать на нее ссылку в переписке или соцсетях, использовать онлайн-формы (например, Yandex Forms для сбора заявок, где будет обязательный чекбокс согласия на обработку ПДн и ссылка на Политику. Получать письменное согласие от клиентов в офисе или при личной встрече.
Если работаем только в соцсетях?
Аналогично предыдущему пункту: разместите ссылку на Политику обработки ПДн в описании вашего профиля, а в личных сообщениях или через внешние формы получайте согласие клиента перед запросом персональных данных. Будьте крайне осторожны с запросом чувствительных данных (паспортные данные, данные банковских карт) через личные сообщения в мессенджерах, так как это менее безопасно.
Нужно ли ИП подавать уведомление?
Да, абсолютно. ИП если они обрабатывают персональные данные клиентов, являются операторами ПДн и обязаны подавать уведомление в Роскомнадзор. Даже если нет сотрудников.
Как действовать, если нет сотрудников? #
Если вы работаете один, то вы сами являетесь ответственным за организацию обработки ПДн. Все приказы, инструкции и ознакомления вы оформляете для себя. Журналы учета также ведете самостоятельно. Суть в том, что все процедуры должны быть формализованы, даже если вы единственный «сотрудник» своего бизнеса.
Кто отвечает за данные: турагент или туроператор?
Оба несут ответственность, но каждый в своей зоне.
- Турагент является оператором ПДн в части сбора и первичной обработки данных клиента. Вы определяете, какие данные собрать, с какой целью и как их хранить до передачи туроператору.
- Туроператор также является оператором ПДн, когда получает эти данные от турагента и использует их для формирования и реализации турпродукта. Важно, чтобы между турагентом и туроператором был заключен договор, регулирующий передачу и обработку ПДн, с указанием целей и обязанностей сторон.
Кто несёт ответственность: CRM или агент?
Ответственность несет агент. CRM-система или облачная платформа являются лишь инструментом. Вы, как турагент (оператор ПДн), выбираете этот инструмент и несете полную ответственность за соблюдение требований по защите данных, которые вы храните и обрабатываете в CRM. Если произойдет утечка из CRM, Роскомнадзор будет спрашивать с вас, а не с разработчика CRM, если только утечка не произошла по вине самого разработчика из-за критических уязвимостей в их системе. Важно убедиться, что ваша CRM-система соответствует требованиям российского законодательства, особенно в части расположения серверов.
Что делать, если произошла утечка?
Алгоритм уведомления Роскомнадзора об утечке очень строгий и имеет короткие сроки:
- В течение 24 часов: Уведомить Роскомнадзор о факте утечки. В этом первичном уведомлении нужно указать:
- Причины, приведшие к нарушению.
- Предполагаемый вред, нанесенный правам субъектов ПДн.
- Принятые меры по устранению последствий.
- Сведения о лице, уполномоченном на взаимодействие с Роскомнадзором.
- В течение 72 часов: Дополнительно уведомить Роскомнадзор о результатах внутреннего расследования инцидента. В этом уведомлении нужно указать:
- Сведения о пострадавших субъектах ПДн.
- Характер и объем скомпрометированных ПДн.
- Причины, приведшие к нарушению.
- Оценку нанесенного вреда.
- Принятые меры по устранению последствий.
- Сведения о лице, уполномоченном на взаимодействие с Роскомнадзором.
Крайне важно действовать оперативно и по заранее разработанному плану реагирования на инциденты.
Отвечает ли CRM-система за данные?
Нет, не отвечает. CRM-система — это просто инструмент для работы с данными. Ответственность за сохранность и законность использования данных лежит на вашей компании, а не на разработчике CRM.
Ваша зона ответственности:
- Получать согласие клиентов на обработку данных.
- Соблюдать закон о защите данных.
- Контролировать доступ сотрудников к данным.
- Проводить проверки безопасности и работать с инцидентами.
Зона ответственности CRM-системы:
- Обеспечивать техническую защиту (шифрование, доступ, проверки).
- Выполнять условия договора с вашей компанией.
- Соответствовать стандартам безопасности (например, сертификации).
Важно: Проверьте договоры с поставщиками CRM, все эти моменты должны быть там прописаны.
Как быть с данными в мессенджерах?
Использование мессенджеров для передачи ПДн клиентов сопряжено с рисками, в первую очередь из-за трансграничной передачи данных.
- Оформить согласие: Если вы используете мессенджеры для обмена ПДн, необходимо получить у клиента согласие на трансграничную передачу данных, явно указав, что данные могут передаваться через зарубежные серверы (например, WhatsApp, Telegram).
- Разграничить доступ: Обучите сотрудников не хранить чувствительные ПДн (паспортные данные, банковские карты) в истории переписки мессенджеров. Используйте мессенджеры для первичного контакта, а для передачи конфиденциальной информации используйте более защищенные каналы (защищенные CRM, электронную почту с шифрованием).
- Минимизация данных: Передавайте только те данные, которые абсолютно необходимы для решения конкретного вопроса.
Заключение
Защита персональных данных — это не просто требование закона, а фундамент доверия между турагентом и клиентом. В 2025 году, когда штрафы стали ощутимыми, а контроль Роскомнадзора ужесточился, игнорирование этих требований недопустимо. Комплексный подход к обработке ПДн поможет вам избежать проблем с законом, защитить репутацию и обеспечить безопасность ваших клиентов.
Список обязательных документов
- Политика обработки персональных данных (публичный документ, размещается на сайте или предоставляется по запросу).
- Согласие на обработку персональных данных (для каждого клиента).
- Согласие на трансграничную передачу персональных данных (если применимо, можно объединить с основным согласием).
- Приказ о назначении ответственного за организацию обработки персональных данных.
- Должностная инструкция (или Приложение к Приказу) ответственного за ПДн.
- Приказ об утверждении Политики обработки персональных данных.
- Обязательства о неразглашении персональных данных для сотрудников.
- Инструкции для сотрудников по работе с ПДн (правила сбора, хранения, передачи, удаления).
- Журнал учета обращений субъектов ПДн (клиентов).
- Журнал учета инцидентов с персональными данными.
Вы можете найти типовые шаблоны и рекомендации на официальных ресурсах:
- Официальный сайт Роскомнадзора: На портале РКН вы найдете актуальную информацию, образцы уведомлений и разъяснения по законодательству.
- https://pd.rkn.gov.ru/ (Портал персональных данных Роскомнадзора)
- https://rkn.gov.ru/personal-data/ (Раздел «Персональные данные» на сайте РКН)
- Сервисы для подачи уведомления: На портале Роскомнадзора есть онлайн-форма для заполнения и подачи уведомления о начале обработки персональных данных.
- Юридические компании и консультанты:** Рекомендуем обратиться к юристам, специализирующимся на защите персональных данных, для разработки индивидуальных документов и аудита вашей деятельности.