Персональные данные в туризме: разъяснения регулятора и ключевые требования для бизнеса

Туристическая отрасль (в частности, организация туров и сопутствующих услуг) предполагает работу с большими объёмами персональных данных, включая их трансграничную передачу. В связи с этим компании туристического сектора находятся в зоне повышенного внимания регуляторов и чаще становятся объектами проверок соблюдения законодательства.

С целью разъяснения требований законодательства Национальный центр защиты персональных данных (далее — Центр) опубликовал разъяснения «О применении законодательства о персональных данных при оказании туристических услуг». Их цель — помочь организациям привести процессы обработки персональных данных в соответствие с требованиями законодательства и актуализировать внутренние процессы.

Документ охватывает широкий круг вопросов: определение ролей оператора и уполномоченного лица, правовые основания обработки данных, получение согласия субъектов, а также отдельные практические ситуации, характерные для туристической деятельности.

Ключевые аспекты обработки данных

1. Роли оператора и уполномоченного лица

Исходя из позиции Центра, в туристической деятельности туроператоры выступают операторами персональных данных, а турагенты — уполномоченными лицами.

При заключении договоров между туроператорами и турагентами необходимо прямо закреплять порядок обработки персональных данных. При этом наличие большого числа турагентов не освобождает туроператора от этой обязанности.

Кроме турагентов, уполномоченными лицами могут быть и иные организации, привлечённые для обработки персональных данных по поручению туроператора или турагента, в том числе:

  • провайдеры рекламных рассылок;
  • компании, предоставляющие «облачное хранение» данных и хостинг сайтов;
  • курьерские службы;
  • подрядчики по изготовлению рекламно-информационной продукции, визиток;
  • организации, оказывающие юридические, бухгалтерские и маркетинговые услуги.

Поскольку основная ответственность за соблюдение законодательства возлагается на оператора, ему следует контролировать, чтобы уполномоченные лица соблюдали обязательные меры по защите персональных данных.

2. Обработка данных на основании согласия

Если обработка персональных данных осуществляется в целях, не связанных напрямую с исполнением договора на оказание туристических услуг, необходимо предварительное согласие субъекта данных. Согласие в соответствии с требованиями законодательства должно быть свободным, однозначным и информированным.

Центр отмечает, что недопустимы формулировки, не позволяющие субъекту данных понять объём и цели обработки.

Без согласия субъекта, в частности, неправомерны:

  • размещение персональных данных сотрудников туроператоров или турагентов на официальных сайтах и в социальных сетях;
  • публикация на официальных сайтах и в социальных сетях отзывов клиентов и их фотографий.

Например,   как   отмечает   Центр,   недопустимой   является   следующая   формулировка:

«Приняв настоящее Пользовательское соглашение, пользователь безусловно выражает согласие на отправку на указанный телефонный номер (посредством СМС) сервисных и системных сообщений, необходимых для использования Сервиса, а также любой информации, требуемой для надлежащего оказания услуг».

3. Использование мессенджеров и социальных сетей

Особое внимание Центр уделяет работе через мессенджеры и соцсети (Viber, Telegram, WhatsApp, Instagram и др.). При этом:

  • использование таких сервисов может сопровождаться трансграничной передачей данных в страны, не обеспечивающие надлежащий уровень защиты прав субъектов персональных данных, что требует наличия отдельного правового основания;
  • операторы и уполномоченные лица должны учитывать существующие риски использования иностранных мессенджеров;
  • чувствительная информация, включая сведения, охраняемые законом, не должна передаваться через такие сервисы;
  • если инициатива использования мессенджера исходит от туристической компании, необходимо получить согласие субъекта на обработку данных;
  • оператор не вправе требовать предоставления через мессенджеры фото или копий документов, содержащих персональные данные;
  • если гражданин направляет данные через мессенджер по собственной инициативе, оператор обязан обеспечить их защиту в процессе обработки.

4. Копии документов, удостоверяющих личность

Центр подчёркивает, что изготовление и хранение копий документов, удостоверяющих личность, может рассматриваться как избыточная обработка персональных данных и нарушение принципа минимизации, если это не обосновано конкретной законной целью.

С дополнительными аспектами порядка обработки данных в туристической деятельности можно ознакомиться в официальных разъяснениях Центра.

 

Авторы: Людмила Епихова, Александра Маглыш.

Юристы REVERA консультируют туристический бизнес по вопросам соблюдения требований законодательства о персональных данных и взаимодействия с регуляторами — от аудита процессов и подготовки документов до сопровождения проверок. 

Готовы обсудить ваши задачи и предложить решения для снижения регуляторных рисков.

Напишите нашему юристу, чтобы узнать подробности

Написать юристу

Читайте ещё

аналитические материалы

Налогообложение в корпоративных процедурах и сделках | Гайд REVERA law group 2026

 статьи

В Беларуси закреплены основные административные процедуры для криптобанков

 статьи

Как оформить права на созданный работником продукт?