18 июля 2025

#Сайт, #Законы

Защита персональных данных в гостинице: что нужно знать отельеру

Екатерина Сундарева

Главный редактор

Статья обновлена 18 июля 2025 года: добавили пункт про ответственность за нарушение законодательства о персональных данных.

Когда гость бронирует номер по телефону, от стойки или на сайте отеля, он оставляет свои персональные данные: фамилию, имя, год рождения, номер телефона, паспорта и т. д. По закону «О защите персональных данных» № 152-ФЗ от 27.07.2006 года эта информация относится к персональным данным и требует специального обращения.

Защита персональных данных в гостинице — обязанность отельера, за соблюдением которой строго следит Роскомнадзор. Если не соблюдать закон, можно получить крупные штрафы и понести огромные репутационные убытки. Сейчас явно прослеживается тенденция к увеличению таких штрафов — например, выросли штрафы за обработку персональных данных (ПД) без согласия и за утечку ПД.

В статье рассказываем, как работать с ПД, не нарушая закон: какие документы подготовить и как избежать подводных камней.

Разобраться в теме помогла гостиничный юрист Анастасия Королева.

Информация про работу с персональными данными актуальна на дату выхода статьи — 18 июля 2025 года.

Анастасия Королева

Гостиничный юрист, 13+ лет специализации в HoReCa. Спикер отельных мероприятий, автор правовых курсов и тренингов для отельеров

Содержание статьи:
1. Как защитить персональные данные в гостинице.
2. Шаги по защите ПД:
— Попросите гостя дать согласие на сайте.
— Возьмите у гостя письменное согласие.
— Подготовьте документацию по ПД.
— Сделайте доступной информацию об обработке ПД.
— Закрепите ответственных и место хранения ПД.
— Обучите сотрудников.
— Вовремя уничтожайте ПД.
— Уведомляйте Роскомнадзор.
— Заботьтесь о репутации.
— Храните ПД в России.
3. Ответственность за нарушение ПД.
4. Что поможет избежать штрафов.

Как защитить персональные данные в гостинице

Чтобы обеспечить безопасность персональных данных, нужно предпринять ряд шагов:

— Проанализировать бизнес-процессы в гостинице, чтобы учесть их в документах.

— Подготовить полный пакет документов: политику конфиденциальности, согласия, приказы о назначении ответственных, другие документы.

— Уведомить Роскомнадзор о том, что отель является оператором персональных данных.

— Обучить персонал. Объяснить сотрудникам, что такое ПД и как их обрабатывать, чтобы не нарушать закон. Например, сказать, что нельзя давать номер телефона одного гостя другому.

— Следить за выполнением требований закона и вовремя вносить изменения в документы при необходимости.

Обработка персональных данных — это весь комплекс действий с ПД — как с помощью автоматизированных средств обработки, так и без них. Обработка включает в себя сбор, хранение, передачу, использование, уничтожение, обезличивание и т. д.

С сентября 2025 года в законе* появилось уточнение, которое определяет порядок обезличивания ПД. Обезличивание — это действия, в результате которых становится невозможно определить принадлежность ПД, если не использовать дополнительную информацию.

* Приказ Роскомнадзора №140 от 19.06.2025 г.

Что важно сделать при обезличивании ПД по новому закону:
— Хранить раздельно исходные и обезличенные персональные данные.
— Вести учет действий.
— Зафиксировать в локальных документах перечень лиц, которые имеют доступ к этим данным и документации.
— Дополнить перечень методов обезличивания новым методом — преобразования.
— Проверить и при необходимости заменить или сертифицировать программное обеспечение для обезличивания.

— Хранить ПД только на российских серверах.

— Контролировать процесс обработки ПД. Руководитель направления должен отслеживать и исправлять нарушения. Например, если он видит, что на стойке регистрации открыто лежат сканы паспортов, то поговорить с сотрудниками и объяснить, что так делать нельзя.

— Вовремя уведомлять Роскомнадзор о нарушениях.

— Не хранить ПД дольше, чем это нужно в целях обработки и заботиться о том, чтобы гость мог отозвать свои ПД.

А теперь — рассмотрим подробно все шаги по защите ПД.

1. Попросите гостя на сайте дать активное согласие на обработку персональных данных

Активное согласие — это совершение действия. В случае согласия на обработку персональных данных на сайте это значит, что гость ставит галочку «я согласен» сам — она не должна быть активна по умолчанию.

Политика обработки ПД всегда должна быть в свободном доступе на сайте отеля, чтобы гость в любой момент мог ее перечитать. Обычно документ помещают в подвал сайта — блок внизу страницы, который видно в каждом разделе.

Правила проживания в гостинице: новые требования закона →

Анастасия Королева

Гостиничный юрист
Какие документы нужны для обработки персональных данных гостей при бронировании:

Политика обработки персональных данных на сайте отеля.
Согласие на обработку ПД в модуле бронирования. Важно, чтобы гость ознакомился с Политикой и самостоятельно поставил галочку, что он согласен на обработку данных. Если галочка уже стоит — это нарушение закона.

2. Возьмите у гостя при заезде подробное письменное согласие на обработку персональных данных в гостинице

Даже если гость на сайте подписывал согласие на обработку ПД, при въезде в отель нужно снова взять письменное согласие на обработку ПД. Особенно это касается случаев, когда на сайте акцепт состоит из одной фразы «Предоставляю согласие на обработку персональных данных» — этого недостаточно.

Кроме того, гости, которые бронировали не через сайт, совсем не давали согласия на обработку своих данных.

Образец согласия на обработку персональных данных в гостинице

Роскомнадзор не дает четко регламентированной формы такого согласия — в законе перечислены только пункты, которые обязательно должны быть в документе. Согласие на обработку персональных данных в каждой гостинице будет выглядеть по-разному, в зависимости от бизнес-процессов и особенностей оказания услуг. Кроме того, важно подготовить согласие на отдельном листе, а не включать его в другие документы

Важно: собирайте только те данные, которые нужны для передачи данных гостей в МВД или для ваших внутренних задач. Избегайте избыточности — допустимо, например, собирать телефон гостя для оперативной связи с ним. Все остальное — например, данные о семейном положении или социальный статус — избыточная информация.

Анастасия Королева

Гостиничный юрист

Если вы планируете передавать персональные данные гостей третьим лицам (то есть распространять), на такие действия обязательно запрашивать отдельное согласие. Это потребуется, если вы планируете размещать в интернете отзыв гостя с Ф.И.О. или сведения о своих работниках.

Помните, что молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

3. Подготовьте документацию по обработке персональных данных в гостинице: образец стандартного пакета документов

Набор документов, который поможет отелю работать законно онлайн и офлайн, довольно обширный: список включает более 20 позиций. Ниже — часть обязательной документации:

— политика обработки ПД для сайта;
— положение об обработке ПД;
— согласия гостей на обработку ПД;
— приказы о назначении ответственных;
— должностные инструкции сотрудников, где прописаны их действия в отношении ПД гостей;
— другие документы, которые утверждают порядок работы с ПД в отеле, в том числе документы, которые определяют порядок хранения ПД.

Как отелю заключить договор оказания гостиничных услуг →

4. Предоставьте субъектам ПД доступ к информации о том, как обрабатываются их данные

Обрабатывать персональные данные в соответствии с законом отель должен в отношении сотрудников, бывших работников и соискателей, контрагентов и гостей. Все обязательно должно быть зафиксировано в Политике обработки ПД.

Важно хранить такие данные отдельно друг от друга: желательно в разных помещениях, разных шкафах или сейфах.

Профессиональный этикет в отеле: 7 советов →

5. Закрепите документально место хранения и ответственных

Обязательно подготовьте место для хранения ПД, например, архивную комнату.

Где какие документы хранятся, должно быть написано в приказе. Например, вы решили хранить бумажные ПД гостей в специальном сейфе в здании отеля. В приказе так и напишите: персональные данные гостей хранятся по адресу г. Рязань, ул. Иванова, 7, каб. 2, сейф № 5, ответственный — Иванов И. И.

И так — по каждому виду ПД: папки с бумажными согласиями, жесткие диски компьютеров и ноутбуков, жесткие диски серверов и т. д.

Если данные хранятся на серверах, важно хранить их только в России и своевременно менять пароли.

Ответственным за обработку ПД в отеле должно быть одно лицо, например, руководитель СПИР или главный бухгалтер и т. п. Информация об этом лице передается в Роскомнадзор. Важно: если работник уволился, данные нужно поменять и отправить новое уведомление.

Новый персонал на ресепшене: 5 ошибок обучения →

6. Убедитесь, что сотрудник понимает, что он должен делать в сфере защиты ПД

Важно не просто прописать обязанности в инструкции, ввести их в действие приказом и письменно ознакомить сотрудника, но и быть уверенным, что он действительно понимает алгоритм действий по защите ПД и зону своей ответственности.

Анастасия Королева

Гостиничный юрист

С сотрудников, которые имеют доступ к ПД гостей, обязательно брать обязательство о неразглашении. Его можно оформить в виде приказа и указать, что за разглашение ПД он понесет ответственность.

Если этого пункта не было в должностной инструкции, важно его добавить. Как вариант — дополнить соглашением, что одна из обязанностей работника — обрабатывать ПД.

Мотивация персонала гостиницы →

7. Вовремя уничтожайте персональные данные

Не забывайте вовремя уничтожать ПД. Данные уничтожаются по истечении срока хранения ПД. Также в некоторых случаях закон предусматривает удаление ПД по запросу субъекта. Можно разработать специальную форму для отзыва персональных данных или просто указать, что гость должен написать в таком заявлении.

В обоих случаях распишите, каким способом нужно отправить документ, например, электронная почта, мессенджер, почтовый адрес. Каждое заявление фиксируйте в журнале обращения гостей.

Анастасия Королева

Гостиничный юрист

Напомню, что хранить данные можно только за тот период, который указан в согласии на обработку ПД и столько, сколько нужно для исполнения договора. Как правило, это три года, но всегда есть нюансы.

Теперь о процессе по уничтожению. Если раньше можно было составить акт об уничтожении в произвольной форме, то сейчас составлять его нужно по требованиям Роскомнадзора, как и проводить сам процесс уничтожения.

Порядок и текст акта — в приказе Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

8. Обязательно сообщайте в Роскомнадзор об утечках, если они все же случаются

По закону об утечке ПД нужно сообщить в Роскомнадзор в течение 24 часов, а в течение 72 часов — провести расследование внутри отеля. Выяснить, почему так произошло, определить виновных и рассказать, какие выводы вы сделали. Все это оформляется в объемный документ — акт расследования.

9. Защищайте данные гостей и сотрудников не только ради закона

Разработайте комплекс мер по защите данных гостей: как правового, так и технического характера. В это стоит вложиться: утечка ПД, кроме штрафов, влечет за собой крупные репутационные риски. Гость не захочет приезжать в отель, зная, что доступ к его паспорту могут получить мошенники.

Чтобы действовать по закону, в документации важно учитывать все детали бизнес-процессов вашего отеля и нюансы работы с персональными данными.

В стандартных шаблонах из интернета — только базовые положения, причем не всегда корректные. Документы станут рабочими, только если будут изготовлены индивидуально для каждой гостиницы.

Как общаться с гостем в отеле, чтобы он захотел к вам вернуться →

10. Храните ПД на российских серверах

— Сбор данных. ПД должны собираться только на российские серверы. Базы с содержанием ПД граждан РФ должны находиться только на территории страны и не иметь копий за ее пределами — например, с 1 июля 2025 года запрещено пользоваться иностранными системами веб-аналитики.

— Трансграничная передача. Если трансграничная передача обоснована, отель должен уведомить о ее начале Роскомнадзор. Такое уведомление отправляют отдельно от уведомления о намерении осуществлять обработку персональных данных.

Ответственность за нарушение законодательства о ПД

Законодательство в сфере защиты ПД ужесточается, штрафы увеличиваются и расширяются зоны ответственности. За соблюдением законодательства о ПД следит Роскомнадзор: чтобы проверить, как оператор ПД соблюдает законы, Роскомнадзор может проводить плановые и внеплановые проверки в документарной и выездной формах, поэтому желательно, чтобы документы были в порядке с самого начала обработки ПД.

Кто несет ответственность

По закону ответственность за нарушение законодательства о ПД несет оператор ПД — тот, кто обрабатывает ПД физических лиц и несет ответственность за сохранность этих данных. Оператор может быть как физическим, так и юридическим лицом.

В отеле оператором ПД будет юрлицо или ИП, от имени которого ведется деятельность. Оператор ПД может обрабатывать данные сам, а может поручить это другому лицу — например, с помощью договора об оказании услуг. В этих случаях административную ответственность перед законом будет также нести оператор ПД, а исполнитель будет нести ответственность перед оператором.

За какие действия наступает ответственность

Чем серьезнее правонарушение, чем большую опасность представляет это деяние и чем серьезнее вина нарушителя, тем выше штрафы. Но новому закону они достигают 20 миллионов рублей.

Утечка ПД — неумышленная незаконная передача ПД третьим лицам — когда оператор не создал достаточных условий для защиты ПД, и они стали известны третьим лицам.

Незаконное распространение — умышленная незаконная передача ПД третьим лицам, когда оператор ПД намеренно передает данные и получает за это вознаграждение.

Неуведомление Роскомнадзора о том, что произошла утечка, и о намерении оператора обрабатывать ПД. Также из новых составов — ответственность за несвоевременное уведомление Роскомнадзора.

Незаконная обработка ПД — например, которая противоречит заявленным целям или без письменного согласия.

И другие правонарушения.

Примеры некоторых штрафов за нарушения

С 1 июля 2025 года штрафы за некоторые нарушения выросли. В таблице ниже — основные штрафы для граждан и организаций.

В таблице перечислены не все правонарушения в сфере обработки ПД: полный список — в КоАП РФ. В законе также есть штрафы для ИП и должностных лиц

Что запомнить: основные действия по обработке ПД, которые помогут избежать штрафов

Подготовьте пакет документов.
Направьте уведомление в Роскомнадзор о начале обработки ПД, сделайте это своевременно.
Подготовьте место для хранения ПД.
Обучите персонал, убедитесь, что сотрудники знают матчасть и могут применить на практике.
Назначьте ответственного и подпишите с сотрудниками необходимые документы.
Внедрите в работу документы и контролируйте процесс.
Уничтожайте данные по истечению срока хранения и в некоторых случаях — по запросу.
Своевременно сообщите в Роскомнадзор, если произошла утечка.

Работайте с нами

TL: WebPMS подстроится под ваш объект за счет дополнительных модулей и интеграций. Оставляйте заявку и выбирайте, что важно для вас.

Оставить заявку

Редактор: Евгения Щелчкова.

Упоминая в этой публикации Meta, Facebook и Instagram, сообщаем, что они признаны экстремистскими организациями и их деятельность запрещена на территории РФ.