Что изменилось в работе с персональными данными с сентября 2025 года

С 1 сентября 2025 в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» внесли важные изменения. Теперь объекты размещения должны по-новому оформлять согласие гостей и внимательнее следить за тем, как хранится и обезличивается информация.

Согласие отдельным документом

Раньше многие отели включали согласие в анкету формулировкой: «Заполняя эту форму, я соглашаюсь на обработку моих персональных данных». Гость подписывал анкету, и все было законно. Но с сентября 2025 года это запрещено.

Теперь нельзя добавлять согласие отдельным пунктом внутри анкеты или договора заселения — оно должно быть самостоятельным бумажным документом, который гость подпишет при заселении на стойке администрации. На сайте тоже должна быть форма согласия в электронном виде с отдельным окном для проставления галочки. Так закон борется со скрытым согласием, когда пользователя одной галочкой просят согласиться сразу на несколько предложений, включая обработку персональных данных. Государство хочет, чтобы человек четко понимал, что он подписывает и на что дает свое разрешение. 

За нарушение требования отдельной формы для согласия действуют штрафы:

• от 10 000 до 15 000 рублей для граждан
• от 100 000 до 300 000 рублей для должностных лиц
• от 300 000 до 700 000 рублей для организаций

При повторном нарушении штраф может дойти до 1 500 000 рублей.

Новые правила обезличивания

При хранении данных о гостях (ФИО, паспортные данные, контакты и другие) закон требует обезличивать их — удалять привязку к конкретному человеку, чтобы его нельзя было идентифицировать. 

Процедура обезличивания должна выполняться по методике, утвержденной Правительством РФ и ФСБ. За некорректное обезличивание предусмотрена ответственность. Правила и методы обезличивания утверждены Приказом Роскомнадзора от 19 июня 2025 г. N 140, который вступил в силу с 1 сентября 2025 года.

• Внутренние документы: в отеле должен быть локальный акт, где описано, как именно происходит обезличивание.
• Раздельное хранение: исходные и обезличенные данные должны храниться отдельно. Запрещено хранить вместе уже обезличенные данные и те, которые только предстоит обезличить.
• Защита методов: доступ к информации о том, как именно вы обезличиваете данные, не должны получить третьи лица.
• Учет операций: каждая операция обезличивания должна фиксироваться.
• Исключение доступа третьих лиц: вся информация, касающаяся обезличивания, должна быть защищена. 

Контроль за соблюдением этих требований осуществляют Роскомнадзор, ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК), но без права доступа к исходным персональным данным.

Передача данных в государственные системы по запросу

С сентября 2025 года отели обязаны по запросу Минцифры передавать часть обезличенных данных в государственную информационную систему (ГИС). Цель этого нововведения — анализ туристических потоков и развитие аналитики на базе ИИ.

Когда персональные данные можно брать без согласия 

Из закона есть исключения, когда некоторые данные можно обрабатывать без согласия граждан. 

1. По закону или решению суда. Например, если запрос пришел от налоговой или полиция попросила данные по конкретному гостю.
2. Для выполнения договора. Когда гость сам бронирует номер и заключает договор с отелем, отель обрабатывает его паспортные данные и контакты, чтобы заселить и оказать услуги.
3. В экстренных случаях. Например, если с гостем что-то случилось, и нужно вызвать скорую или передать его данные врачам.
4. Для защиты интересов отеля. Скажем, если нужно взыскать долг или доказать факт проживания, а гость уклоняется от оплаты. Главное — не нарушать его права.
5. Для журналистики или творчества. К примеру, если СМИ пишет о гостиничном бизнесе и использует данные в рамках закона и без нарушения права на личную жизнь.
6. В исследовательских или статистических целях. Если данные обезличены (например, «в августе 70% гостей — семьи с детьми»), их можно анализировать без согласия.
7. Если данные уже общедоступны. Например, гость сам оставил отзыв о вашем отеле в открытых источниках, и закон обязывает сохранять такую информацию.
8. Через подрядчиков. Если отель пользуется услугами партнеров (например, бухгалтерской фирмы или IT-сервиса), они обрабатывают данные гостей по поручению отеля. Отдельное согласие гостя им не нужно.

Действия отеля в связи с нововведениями

Избежать штрафов объектам размещения помогут следующие шаги:

1. Актуализировать локальные документы:

• создать и внедрить согласие на обработку персональных данных в виде отдельного документа;
• убрать пункт о согласии из других документов.

2. Проверить корректность работы программ для обезличивания персональных данных.

3. Если нужно, актуализировать Политику обработки персональных данных.

4. Разработать отдельное конфиденциальное Положение об обезличивании сведений с обязательным указанием:

• какой метод обезличивания применяется;
• по каким правилам он работает;
• как хранятся отдельные части массива данных.

5. Оценить достаточность методов для обезличивания.

6. Хранить обезличенные сведения отдельно от данных, которым только предстоит эта процедура.

7. Обучить персонал:

• Администраторы должны знать, что теперь нельзя оформлять согласие галочкой в анкете. Также важно, чтобы они корректно вносили данные гостей и не оставляли их документы без присмотра. 
• Юристы или ответственные сотрудники должны понимать новые требования по обезличиванию.

Избежать ошибок при сборе данных вашим сотрудникам поможет встроенный сканер паспортов. Он автоматически подтягивает данные в PMS, исключая риск некорректного заполнения.