Гостиница ежедневно собирает и обрабатывает большой объём персональных данных гостей. Это не только ФИО и контактные сведения, но и паспортные данные, сведения о гражданстве, визах, миграционных картах, а иногда и данные о здоровье (например, при предоставлении специальных условий проживания). Всё это подпадает под действие ФЗ-152, а значит, гостиница обязана выстроить систему работы с ПДн в соответствии с законом.
Какие данные обрабатывает гостиница:
- ФИО, дата рождения, пол;
- паспортные данные (серия, номер, кем и когда выдан);
- сведения о гражданстве, регистрации, визах, миграционных картах;
- контактные данные (телефон, e-mail);
- платёжные реквизиты, информация об оплате проживания;
- фотографии гостей (при сканировании документов);
- сведения о пребывании (сроки проживания, номер комнаты).
Обоснование по законодательству
- Ст. 3 ФЗ-152 — любая информация, позволяющая идентифицировать человека, является персональными данными.
- Ст. 6 ФЗ-152 — обработка ПДн возможна с согласия субъекта или на основании закона/договора.
- Ст. 9 ФЗ-152 — согласие должно быть конкретным, информированным и сознательным.
- ФЗ № 5242-1 «О праве граждан Российской Федерации на свободу передвижения» и Правила предоставления гостиничных услуг (Постановление Правительства РФ № 1853 от 18.11.2020) обязывают гостиницы фиксировать паспортные данные гостей и вести учёт проживающих.
- Ст. 13.11 КоАП РФ — нарушение правил обработки ПДн влечёт ответственность.
Позиция Роскомнадзора и практика проверок
Роскомнадзор регулярно проверяет гостиничный бизнес, так как здесь обрабатываются чувствительные данные, включая копии паспортов. В практике выявлялись такие нарушения:
- сканирование и хранение паспортов без письменного согласия гостей;
- публикация списков проживающих для внутреннего пользования без защиты;
- использование клиентской базы для рассылки рекламы без отдельного согласия.
Роскомнадзор подчёркивает: обработка паспортных данных гостей является обязательной для исполнения требований законодательства, но хранить копии документов без отдельного согласия нельзя.
Важный момент для гостиниц
Не вся обработка данных требует согласия. Например, при заселении гостиница обязана собирать паспортные сведения по закону. Но для дополнительных целей (реклама, акции, фотоотчёты) необходимо письменное согласие гостя.
Рекомендации и выводы
Чтобы работать с персональными данными в гостинице законно, необходимо:
- Подать уведомление в Роскомнадзор и зарегистрироваться оператором ПДн.
- Разработать политику и локальные акты по обработке ПДн.
- Назначить ответственного за ПДн.
- Получать письменные согласия гостей на обработку данных для целей, не связанных напрямую с регистрацией и проживанием (например, рассылка акций).
- Обеспечить защиту данных: ограничить доступ сотрудников, настроить безопасное хранение копий документов.
- Уничтожать копии паспортов после достижения целей, если не предусмотрено иное законом.
Компания ICTech поможет гостиницам разработать полный пакет документов по ФЗ-152, оформить согласия гостей и выстроить систему защиты клиентских данных. Это позволит пройти проверки Роскомнадзора без штрафов и сохранить доверие постояльцев.
