С 30 мая 2025 года в России вступили в силу масштабные поправки в законодательство о персональных данных (420‑ФЗ) и устанавливаются новые штрафы за его нарушения. Чтобы избежать штрафов, отелю необходимо уведомить РКН о намерении осуществлять обработку персональных данных. Если вы уже подавали уведомление ранее, повторно этого делать не нужно. Если нет, то ниже информационная справка: кому и как это нужно сделать.
Если средство размещения получает данные о гостях с использованием средств автоматизации, например - собирает email-адреса или другую информацию через контактные формы, анализирует статистику своего сайта через внешние сервисы (с помощью cookies), собирает и хранит данные в CRM-системе, ведет информационно-рекламные рассылки, публикует отзывы клиентов на сайте, то ему необходимо подать уведомление в РКН о начале обработки персональных данных. Это касается всех форм деятельности - самозанятых, ИП и юридических лиц.
Если ведомство уже приняло к учету ваше уведомление и присвоило статус оператора, осуществляющего обработку персональных данных, сведения о вас должны быть в данном реестре.
Убедитесь, что ваши гости проинформированы о ваших намерениях в отношении их персональных данных и направьте уведомление в РКН. Разместите на своем сайте политику конфиденциальности.
По закону отель обязан предупреждать гостей (а также посетителей сайта и гостей, чьи данные хранятся в CRM или PMS) о том, что вы обрабатываете их персональные данные, и получить согласие на обработку данных. На сайте РКН можно найти шаблоны обязательных документов.
Убедитесь, что ваша PMS-система или модуль бронирования имеет возможность выводить соглашение на обработку персональных данных при онлайн‑бронировании.
Включите уведомление об обработке данных и согласие на отправку информационно‑рекламной рассылки при онлайн‑бронировании.
Составьте и отправьте уведомление в РКН - есть несколько вариантов: можно заполнить электронную форму, распечатать и направить по почте; заполнить электронную форму, подписать электронной подписью и подать через сайт Роскомнадзора; авторизоваться через Госуслуги и заполнить электронную форму на сайте.
Сведения об операторе (обработки персональных данных гостей - отеле):
Регион регистрации: регион регистрации юридического лица, ИП, самозанятого.
Адрес оператора: адрес регистрации юридического лица (регион фактического местонахождения для самозанятых).
Регионы обработки: территория, на которой вы обрабатываете персональные данные. Можно указать «Все субъекты Российской Федерации».
Цели обработки персональных данных: если целей несколько, нужно добавить отдельно каждую цель (например, продвижение услуг, реализация товаров).
Категории персональных данных: ФИО, электронная почта, номер телефона, день рождения и прочие данные, которые учитывает ваша PMS или CRM.
Категории субъектов, персональные данные которых обрабатываются: гости, посетители сайта или другие категории — в зависимости от специфики вашего объекта.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор, хранение, использование и пр.
Способы обработки: Автоматизированная или смешанная, с передачей по внутренней сети, с передачей по сети Интернет
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»: указываются меры, предусмотренные статьей 18.1 и статьей 19 закона. Вы можете указать: издание документа (локального регламента) для обеспечения соблюдения N 152-ФЗ. Разработка и издание локальных актов по вопросам обработки персональных данных. Осуществление внутреннего контроля за процессом обработки персональных данных. Учет носителей персональных данных. Установление правил доступа к персональным данным. Контроль за принимаемыми мерами по обеспечению безопасности.
Средства обеспечения безопасности: Использование антивирусных средств защиты информации.
Использование шифровальных (криптографических) средств: не используются.
Дата начала обработки персональных данных: дата подачи уведомления.
Срок или условие прекращения обработки персональных данных: выберите «Условие окончания». Это может быть прекращение вашей деятельности как самозанятого или окончание регистрации ИП.
Осуществление трансграничной передачи персональных данных: если не передаете данные третьим лицам или сервисам вне России, укажите «не осуществляется».
Сведения о местонахождении базы данных и об организации, ответственной за хранение данных:
Страна: Россия.
Адрес ЦОДа: адрес регистрации вашей PMS-системы или вашей организации (вполне допустимо указать ваши данные, особенно если у вас локальный, малый бизнес)
Собственный ЦОД: нет.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: Обеспечение сохранности носителей персональных данных. Использование средств защиты информации (пароли, двухфакторная идентификация, обновление программного обеспечения).
Ответственный за организацию обработки персональных данных: укажите одного человека, который будет отвечать за обработку данных перед проверяющими органами. Это можете быть вы или ответственный сотрудник вашей организации. Оставьте только рабочие контакты — информация об ответственном будет в открытом доступе.
В сведениях об исполнителе укажите свои данные. В течение 30-ти дней Роскомнадзор рассмотрит уведомление и внесет информацию об операторе в реестр операторов.
КОМУ И ДЛЯ ЧЕГО НЕОБХОДИМО ПОДАВАТЬ УВЕДОМЛЕНИЕ В РКН
Если средство размещения получает данные о гостях с использованием средств автоматизации, например - собирает email-адреса или другую информацию через контактные формы, анализирует статистику своего сайта через внешние сервисы (с помощью cookies), собирает и хранит данные в CRM-системе, ведет информационно-рекламные рассылки, публикует отзывы клиентов на сайте, то ему необходимо подать уведомление в РКН о начале обработки персональных данных. Это касается всех форм деятельности - самозанятых, ИП и юридических лиц.
Если ведомство уже приняло к учету ваше уведомление и присвоило статус оператора, осуществляющего обработку персональных данных, сведения о вас должны быть в данном реестре.
КАК ПОДАТЬ УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР
Убедитесь, что ваши гости проинформированы о ваших намерениях в отношении их персональных данных и направьте уведомление в РКН. Разместите на своем сайте политику конфиденциальности.
По закону отель обязан предупреждать гостей (а также посетителей сайта и гостей, чьи данные хранятся в CRM или PMS) о том, что вы обрабатываете их персональные данные, и получить согласие на обработку данных. На сайте РКН можно найти шаблоны обязательных документов.
Убедитесь, что ваша PMS-система или модуль бронирования имеет возможность выводить соглашение на обработку персональных данных при онлайн‑бронировании.
Включите уведомление об обработке данных и согласие на отправку информационно‑рекламной рассылки при онлайн‑бронировании.
Составьте и отправьте уведомление в РКН - есть несколько вариантов: можно заполнить электронную форму, распечатать и направить по почте; заполнить электронную форму, подписать электронной подписью и подать через сайт Роскомнадзора; авторизоваться через Госуслуги и заполнить электронную форму на сайте.
КАК ЗАПОЛНЯТЬ ФОРМУ ПОДАЧИ ЗАЯВЛЕНИЯ
Сведения об операторе (обработки персональных данных гостей - отеле):
Регион регистрации: регион регистрации юридического лица, ИП, самозанятого.
Адрес оператора: адрес регистрации юридического лица (регион фактического местонахождения для самозанятых).
Регионы обработки: территория, на которой вы обрабатываете персональные данные. Можно указать «Все субъекты Российской Федерации».
Цели обработки персональных данных: если целей несколько, нужно добавить отдельно каждую цель (например, продвижение услуг, реализация товаров).
Категории персональных данных: ФИО, электронная почта, номер телефона, день рождения и прочие данные, которые учитывает ваша PMS или CRM.
Категории субъектов, персональные данные которых обрабатываются: гости, посетители сайта или другие категории — в зависимости от специфики вашего объекта.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий: сбор, хранение, использование и пр.
Способы обработки: Автоматизированная или смешанная, с передачей по внутренней сети, с передачей по сети Интернет
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»: указываются меры, предусмотренные статьей 18.1 и статьей 19 закона. Вы можете указать: издание документа (локального регламента) для обеспечения соблюдения N 152-ФЗ. Разработка и издание локальных актов по вопросам обработки персональных данных. Осуществление внутреннего контроля за процессом обработки персональных данных. Учет носителей персональных данных. Установление правил доступа к персональным данным. Контроль за принимаемыми мерами по обеспечению безопасности.
Средства обеспечения безопасности: Использование антивирусных средств защиты информации.
Использование шифровальных (криптографических) средств: не используются.
Дата начала обработки персональных данных: дата подачи уведомления.
Срок или условие прекращения обработки персональных данных: выберите «Условие окончания». Это может быть прекращение вашей деятельности как самозанятого или окончание регистрации ИП.
Осуществление трансграничной передачи персональных данных: если не передаете данные третьим лицам или сервисам вне России, укажите «не осуществляется».
Сведения о местонахождении базы данных и об организации, ответственной за хранение данных:
Страна: Россия.
Адрес ЦОДа: адрес регистрации вашей PMS-системы или вашей организации (вполне допустимо указать ваши данные, особенно если у вас локальный, малый бизнес)
Собственный ЦОД: нет.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: Обеспечение сохранности носителей персональных данных. Использование средств защиты информации (пароли, двухфакторная идентификация, обновление программного обеспечения).
Ответственный за организацию обработки персональных данных: укажите одного человека, который будет отвечать за обработку данных перед проверяющими органами. Это можете быть вы или ответственный сотрудник вашей организации. Оставьте только рабочие контакты — информация об ответственном будет в открытом доступе.
В сведениях об исполнителе укажите свои данные. В течение 30-ти дней Роскомнадзор рассмотрит уведомление и внесет информацию об операторе в реестр операторов.
