Персональные данные в отеле: закон 152-ФЗ и требования

В России действует Федеральный закон № 152-ФЗ «О персональных данных», который обязаны соблюдать все объекты размещения. Каждый отель, гостевой дом и даже кемпинг отвечает за персональные данные гостей еще до заселения, с момента получения первой заявки на бронь с именем гостя и его контактами. К тому же, любой объект размещения выступает оператором персональных данных для своих сотрудников.

В статье разберем, что относится к персональным данным, какие документы должны быть в отеле, чтобы он мог собирать и обрабатывать информацию, как правильно хранить сведения и что делать, если случилась утечка.

Что относится к персональным данным

Персональные данные — это любая информация, которая позволяет прямо или косвенно идентифицировать человека.

• ФИО;
• дата и место рождения;
• адрес проживания и прописки;
• ИНН;
• СНИЛС;
• номер телефона;
• e-mail;
• серия и номер паспорта;
• реквизиты банковских карт;
• биометрия (фотографии, отпечатки пальцев и др.);
• сведения о здоровье или судимости.

Сами по себе дата рождения, номер телефона или другая информация не всегда считается персональной. Защищать их следует с того момента, когда по ним становится возможно идентифицировать конкретного гостя или сотрудника.

Например, номер телефона, написанный на листе бумаги, не относится к персональным данным. А вот если этот номер телефона указан в анкете вместе с ФИО, то уже можно определить конкретного человека. Такая информация становится персональными данными, сохранность которых уже регламентируется законом.

Какие документы нужны отелю для хранения и обработки персональных данных

Чтобы работать с персональными данными законно, объекту размещения нужны внутренние документы и формы:

1. Положение об обработке персональных данных.

2. Внутренний акт, где прописано, какие данные собирает отель, для чего, кто имеет к ним доступ, какие меры защиты применяются.

3. Политика конфиденциальности — должна быть опубликована на сайте в открытом доступе. Политика конфиденциальности объясняет:

• какие данные собираются;
• цели обработки;
• сроки хранения;
• права гостя (например, отозвать согласие).

4. Форма согласия гостя на обработку персональных данных. С 1 сентября 2025 действуют обновленные требования, по которым согласие должно быть в виде отдельного документа. Согласие нужно брать до начала обработки данных: при бронирование онлайн гость должен ставить галочку на пункте о согласии на обработку данных, а при заселении — подписывать бумажный бланк. В бланке обязательно должны быть:

• данные гостя (ФИО, серия и номер паспорта, кем и когда выдан, адрес регистрации);
• реквизиты отеля (ИП или юридическое лицо);
• перечень обрабатываемых данных и цель (например, целью может быть «оказание услуг проживания»);
• сроки хранения;
• порядок отзыва согласия;
• дата и подпись гостя.

5. Приказы о назначении ответственных и должностные инструкции, чтобы было ясно: кто отвечает за хранение и обработку данных.

6. Регламенты и инструкции для сотрудников — как работать с данными, где хранить, как уничтожать.

Как организовать хранение персональных данных

Чтобы организовать хранение данных по нормам Роскомнадзора, важно соблюдать несколько правил:

1. Назначьте ответственного за работу с данными. Обычно это администратор гостиницы, управляющий или специалист по документообороту. Приказ о назначении должен быть подписан директором. У ответственного должно быть описание обязанностей: контроль за хранением, доступностью и уничтожением документов. Если в отеле несколько администраторов, лучше назначать конкретных, чтобы не было размывания ответственности.

2. Храните документы в закрытых шкафах или сейфах. Бумажные анкеты, копии паспортов и договоры должны лежать под замком в отдельном служебном помещении, а не на стойке ресепшена. 

3. Обеспечьте доступ только уполномоченным сотрудникам. Доступ к документам должны иметь только те, кому они нужны для работы: администраторы, бухгалтер, управляющий. Уборщица, охранник или техник не должны иметь возможности открыть шкаф с документами. Внутренним приказом закрепите список должностей с правом доступа. Заведите журнал выдачи и возврата документов, чтобы было видно, кто и когда ими пользовался.

4. Храните электронные данные на серверах в России. Это требование закона: персональные данные россиян должны храниться на территории РФ. Если используете PMS-платформу, уточните у провайдера, где расположены серверы. Не храните копии паспортов на Google Диске или личном USB-носителе администратора. 

5. Используйте лицензионное ПО. На ресепшн должен стоять компьютер с официальной операционной системой и антивирусом. Нужно регулярно устанавливать обновления, иначе защита не сработает. 

6. Уничтожайте данные по окончании срока хранения. Срок хранения персональных данных составляет 3 года после окончания действия и 30 дней, если человек отозвал согласие. Для уничтожения данных не достаточно просто выбросить их в урну. Бумажные носители можно уничтожить с помощью шредера, порвать, сжечь или утилизировать с помощью подрядчика. Для электронных носителей — безопасное удаление с дисков и из архива или физическое разрушение носителя. После необходимо составить акт, который подтвердит факт уничтожения и может быть предъявлен в случае проверки или судебного разбирательства.

7. Заключайте договор об обработке персональных данных при работе с подрядчиками. Например, если вы отдаете бухгалтерию на аутсорсинг, нужно обязательно заключить с исполнителем договор об обработке персональных данных. В договоре прописывается, какие данные передаются и как подрядчик обязан их защищать. Без этого договора отвечать за утечку будет отель.

Как заподозрить утечку персональных данных

Признаки возможной утечки:

1. Фишинговые сообщения: получение писем или звонков от неизвестных организации, клиентов или якобы из государственных структур и кредитных организаций с просьбой предоставить информацию, подтвердить данные и так далее.
2. Жалобы клиентов на спам-сообщения, фишинговые письма или странные телефонные звонки, касающиеся оплаты счетов или изменений брони.
3. Изменения в профиле аккаунта: неожиданные изменения ваших регистрационных данных в личном кабинете отеля, смена адреса электронной почты или контактного телефона.
4. Изменения конфигурации серверов, баз данных систем без вашего ведома, появление неизвестных учетных записей. А также появление записей о входе в систему в журнале учета событий ОС, программ или приложения.
5. Сообщения от банков о подозрительных операциях, совершаемых с дебетовых и кредитных карт гостей отеля.
6. Создание фейковых аккаунтов: кто-то создал соцсеть, почту или профиль в сервисе от вашего имени.
7. Уведомления от правоохранительных органов или компаний, кому вы передаете или поручаете обработку персональных данных, о произошедшей массовой утечке данных.

Действия отеля в случае утечки данных

• Уведомить Роскомнадзор в течение 24 часов.
•  Провести внутреннее расследование.
•  Оценить ущерб и последствия для гостей.
•  Уведомить пострадавших гостей.
•  Усилить меры безопасности и обучить сотрудников.

Кто отвечает за утечку и какие штрафы грозят ответственным

Частые причины штрафов — это незаконная обработка данных, разглашение информации, нарушение правил обработки, передача данных с нарушениями и другие. Ответственность может быть дисциплинарная, административная и уголовная. Часто штрафуют и компанию, и конкретного сотрудника, допустившего нарушение.

Основные штрафы по ст. 13.11 КоАП РФ:

• для должностных лиц — от 100 000 до 300 000 рублей (повторно до 500 000 рублей);
• для организаций — от 300 000 до 700 000 рублей (повторно до 1 500 000 рублей).

Работа с персональными данными — это не только требование закона, но и вопрос доверия гостей. Организовав хранение и обработку данных правильно, вы защищаете свой бизнес от штрафов, а гостей — от неприятных последствий.