аналитика 14 января 2027 По состоянию на 14 января 2027

Бронирование отелей онлайн

Онлайн-бронирование гостиниц — это полноценная обработка персональных данных клиентов: ФИО, паспорт, платёжные реквизиты, история поездок, геолокация. С 30.05.2025 утечка данных от 10 000 субъектов грозит штрафом 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП, а повторная — оборотным взысканием до 500 млн ₽.

Финтех-компании, платёжные агрегаторы и сервисы бронирования работают в зоне пересечения ФЗ-152, ФЗ-218 о кредитных историях, ФЗ-572 о биометрии и 115-ФЗ об идентификации. Каждый из этих законов устанавливает самостоятельные требования к обработке ПДн — нарушение любого создаёт риск проверки Роскомнадзора.

Если вы финансовый директор и оцениваете бюджет на соответствие требованиям — сравните: аудит стоит от 100 000 ₽, штраф за утечку начинается от 3 000 000 ₽. → Ниже — карта рисков для финтех-платформ бронирования.

С 30.05.2025 вступила в силу редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, оборотный штраф за повторную утечку, отдельный состав за несвоевременное уведомление регулятора. Для финтех-платформ, обеспечивающих онлайн-бронирование отелей, это означает одновременный рост требований сразу по нескольким направлениям — платёжные данные, биометрия, идентификация по 115-ФЗ, передача в БКИ. Ниже — разбор обязательств оператора, типовых нарушений и арифметика штрафов.

Почему онлайн-бронирование отелей — зона повышенного риска для финдиректора?

Сервис бронирования обрабатывает не просто контактные данные. При каждой транзакции фиксируются: паспортные данные гостя, реквизиты банковской карты, IP-адрес, устройство, история брониров, сведения о спутниках. Если платформа подключена к скоринговым моделям или предоставляет рассрочку — добавляется запрос в БКИ по ФЗ-218 и автоматизированное решение по ст. 16 ФЗ-152.

Ст. 16 ФЗ-152 запрещает принимать решения, порождающие юридические последствия для субъекта, исключительно на основе автоматизированной обработки — без возможности субъекта оспорить такое решение или потребовать его пересмотра живым сотрудником. Для финтех-сервисов это означает: любой автоматический отказ в бронировании по кредитному скорингу должен сопровождаться явной процедурой обжалования.

«Ст. 16 ФЗ-152 — запрет принятия решений исключительно на основе автоматизированной обработки ПДн, если они порождают правовые последствия для субъекта или существенно затрагивают его интересы, без права субъекта на оспаривание.»

С точки зрения финансового директора риск многоуровневый. Прямые штрафы по ст. 13.11 КоАП — самый очевидный, но не единственный. К ним добавляются расходы на реагирование при утечке, компенсации субъектам по гражданским искам и репутационный ущерб, который в индустрии путешествий напрямую влияет на конверсию. По данным РКН, в 2024 году зафиксировано более 135 случаев компрометации баз данных — свыше 710 млн записей.

Оцениваете бюджет на соответствие 152-ФЗ для финтех-платформы?

Если вы финансовый директор и стоите перед выбором между инвестицией в комплаенс и риском штрафа — нужна точная карта обязательств. Аудит по ФЗ-152 для финтех-платформы бронирования выявляет все активные правовые основания обработки, соответствие хранения платёжных ПДн и риски по ч. 12–15 ст. 13.11 КоАП. Стоимость — от 100 000 ₽. Минимальный штраф за утечку — от 3 000 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие правовые основания обработки ПДн действуют при онлайн-бронировании?

Обработка ПДн требует законного основания по ст. 6 ФЗ-152. Для платформы бронирования одновременно применяется несколько оснований — важно чётко разграничить, какое из них покрывает конкретную операцию.

Обработка для исполнения договора с клиентом (п. 5 ч. 1 ст. 6 ФЗ-152) покрывает передачу данных гостиницей для регистрации, выставление счёта, подтверждение бронирования. Это основание не требует отдельного согласия — достаточно оферты и акцепта. Передача данных платёжному агрегатору строится на поручении обработки по п. 3 ст. 6 ФЗ-152: оператор поручает обработку третьему лицу, заключая договор с исчерпывающим перечнем поручаемых действий.

Отдельного согласия по ст. 9 ФЗ-152 требует: передача ПДн гостя третьим лицам в рекламных целях, профилирование для персонализированных предложений, запрос в БКИ при предоставлении рассрочки. С 01.09.2025 по ФЗ-156 от 24.06.2025 такое согласие обязано быть отдельным документом — не встроенным в пользовательское соглашение или оферту.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие субъекта на обработку ПДн оформляется отдельным документом и не может быть объединено с договором, офертой или политикой конфиденциальности.»

Идентификация клиента для целей 115-ФЗ об ПОД/ФТ при предоставлении финансовых услуг (рассрочка, кэшбэк-программы через МФО) создаёт самостоятельное правовое основание — исполнение требования закона (п. 2 ч. 1 ст. 6 ФЗ-152). Здесь согласие не требуется, но объём обрабатываемых данных должен строго соответствовать целям идентификации.

Что меняет ФЗ-572 о биометрии для платформ бронирования?

Ряд платформ и гостиниц внедряет бесконтактный check-in по лицу или голосу. По ФЗ-572 от 29.12.2022, биометрические ПДн (изображение лица, голос для идентификации) хранятся исключительно в Государственной информационной системе «Единая биометрическая система» (ГИС ЕБС). Оператор — АО «Центр Биометрических Технологий». Хранение биометрии на собственных серверах отеля или агрегатора с 01.06.2023 нарушает требования ФЗ-572.

Ст. 11 ФЗ-152 устанавливает, что обработка биометрических ПДн допустима только с письменного согласия субъекта (за исключением прямо поименованных в законе случаев). Для сервисов бронирования это означает: биометрическая идентификация гостя при заезде требует отдельного письменного согласия, оформленного до момента сбора данных.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн без письменного согласия субъекта образует состав по ч. 16 ст. 13.11 КоАП. Утечка биометрии — ч. 17 той же статьи, штраф для юрлица 15–20 млн ₽.»

Отдельный риск — ч. 8 ст. 14.8 КоАП (введена ФЗ-420): штраф до 500 000 ₽ за отказ обслуживать потребителя, не предоставившего биометрию в ЕБС. Гостиница или агрегатор не вправе ставить факт бронирования в зависимость от биометрической регистрации клиента.

Что подготовить финансовому директору финтех-платформы бронирования

Реестр операторов ПДн на pd.rkn.gov.ru с актуальными сведениями об обрабатываемых категориях и целях — несоответствие реальной обработки уведомлению образует состав по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽).
Договоры поручения с платёжными агрегаторами, гостиницами-партнёрами и облачными провайдерами — каждый должен содержать исчерпывающий перечень действий с ПДн согласно п. 3 ст. 6 ФЗ-152.
Отдельные согласия на скоринг, профилирование и запрос в БКИ — в редакции с 01.09.2025 (ФЗ-156): отдельный документ с обязательными реквизитами ст. 9 ФЗ-152.
Процедура реагирования на утечку: первичное уведомление РКН за 24 часа, отчёт за 72 часа по Приказу РКН №187 — нарушение срока даёт штраф 1–3 млн ₽ по ч. 11 ст. 13.11.
Документация по локализации ПДн граждан РФ: запись, систематизация и хранение — только в базах на территории РФ согласно ч. 5 ст. 18 ФЗ-152; нарушение — ч. 8 ст. 13.11, штраф 1–6 млн ₽.

Как штрафы по ст. 13.11 КоАП применяются к финтех-сервисам бронирования?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей. Для финтех-платформы бронирования актуальны прежде всего следующие составы.

Ч. 2 ст. 13.11 — обработка ПДн без согласия субъекта, когда оно обязательно, или с нарушением состава согласия: штраф для юрлица 300 000–700 000 ₽. При повторении (ч. 2.1) — 1 000 000–1 500 000 ₽. Это прямой риск при профилировании без отдельного согласия или при использовании согласий старого образца после 01.09.2025.

Ч. 12–14 — штрафы за утечку в зависимости от масштаба: от 1 000 до 10 000 субъектов — 3–5 млн ₽; от 10 000 до 100 000 субъектов — 5–10 млн ₽; свыше 100 000 субъектов — 10–15 млн ₽. Крупные агрегаторы бронирования работают с базами от нескольких миллионов записей — утечка автоматически попадает в ч. 14 или ч. 15 (оборотный штраф при повторности).

Ч. 15 — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки за предшествующий год, не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП к оборотным составам не применяется. Снизить взыскание позволяет только инвестиция в ИБ не менее 0,1% выручки за три предшествующих года (примечание 3.4-2 к ст. 4.1 КоАП): в таком случае штраф рассчитывается как 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

Если финансовый директор уже получил протокол по ст. 13.11 или ожидает проверку РКН — у вас ограниченное время до вынесения постановления. Юристы DATUM оспорят протокол в арбитраже и применят ст. 4.1 и ст. 4.1.1 КоАП для снижения суммы взыскания.

Защитить от штрафа 13.11

Типовые сценарии нарушений и их последствия

Сценарий 1. Скоринг без документированного основания. Платформа бронирования предлагает рассрочку через партнёрскую МФО. Скоринговая модель автоматически отказывает части клиентов. Согласие на запрос в БКИ по ФЗ-218 есть, но механизм оспаривания автоматического решения по ст. 16 ФЗ-152 не описан в пользовательском соглашении и не реализован технически. Субъект направляет жалобу в РКН. Итог: внеплановая проверка, протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽), предписание внедрить процедуру ручного пересмотра. Стратегия: задокументировать процедуру оспаривания, ввести форму обращения в интерфейс, обучить поддержку.

Сценарий 2. Утечка через подрядчика. Агрегатор бронирования передаёт данные гостей сторонней CRM-системе. У подрядчика происходит взлом, утекают данные 50 000 клиентов. Договор поручения обработки заключён, но оператор — агрегатор — по-прежнему несёт полную ответственность перед субъектами и РКН. Квалификация — ч. 13 ст. 13.11, штраф 5–10 млн ₽. Оператор обязан уведомить РКН в течение 24 часов. Если уведомление нарушено — дополнительно ч. 11 ст. 13.11, ещё 1–3 млн ₽. Стратегия: включить в договор с подрядчиком обязанность немедленного уведомления оператора об инцидентах, проводить регулярный аудит мер защиты у обработчика.

Сценарий 3. Хранение данных в зарубежном облаке. Небольшой финтех-агрегатор хранит базу бронирований российских пользователей на серверах европейского провайдера. Ч. 5 ст. 18 ФЗ-152 требует, чтобы запись, систематизация и хранение ПДн граждан РФ осуществлялись в базах данных на территории России. Нарушение образует состав по ч. 8 ст. 13.11 — штраф 1–6 млн ₽. При повторности (ч. 9) — 6–18 млн ₽. Стратегия: перенести первичную базу на российского провайдера, использовать зарубежное облако только для обезличенных аналитических данных.

Как это применяется на практике

Кейс 1. Финтех-платформа бронирования (Центральный ФО, осень 2025) прошла плановую проверку РКН. Выявлено: согласия пользователей на профилирование встроены в текст оферты, а не оформлены отдельным документом. С 01.09.2025 это прямое нарушение ст. 9 ФЗ-152 в редакции ФЗ-156. Финансовый директор компании до проверки провёл аудит по чек-листу из 38 пунктов, выявил риск заблаговременно и переработал форму согласия. По итогам проверки — предписание об устранении, штраф не назначен ввиду добровольного исправления до вынесения протокола. Инвестиция в аудит составила около 120 000 ₽.

Кейс 2. По данным открытой практики 2026 года (дело АС Москвы № А40-263126/2025): утечка охватила свыше 26 млн записей, однако штраф составил 150 000 ₽ — минимальный по ч. 1 ст. 13.11, поскольку инцидент произошёл до 01.06.2025 и применялась старая редакция закона. Это наглядно показывает: переходный период закрыт, и новые нарушения будут рассматриваться по ч. 12–15 с принципиально иными суммами взысканий.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований, согласий, договоров поручения и локализации.
Комплект ОРД под ключ — политика, согласия, регламент реагирования на утечку, приказы.
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП.

Частые вопросы

1. Можно ли отказать клиенту в бронировании, если он не предоставил биометрию?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, прямо запрещает отказ в обслуживании потребителя по основанию непредставления биометрических данных в ЕБС. Штраф для юрлица — до 500 000 ₽. Биометрическая идентификация при заезде допустима только как дополнительная добровольная опция при наличии письменного согласия по ст. 11 ФЗ-152.

2. Что грозит МФО или агрегатору за утечку базы клиентов?

С 30.05.2025 размер штрафа зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 человек — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП). От 10 000 до 100 000 — 5–10 млн ₽ (ч. 13). Свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно — штраф за несвоевременное уведомление РКН по ч. 11: 1–3 млн ₽.

3. Какое правовое основание обработки ПДн в банке или МФО при оформлении рассрочки на бронирование?

Несколько одновременно. Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) покрывает обработку, необходимую для предоставления финансовой услуги. Исполнение требования закона (п. 2 ч. 1 ст. 6) — идентификацию по 115-ФЗ. Запрос в БКИ по ФЗ-218 требует отдельного согласия субъекта с указанием конкретного бюро. Профилирование и маркетинговые рассылки — отдельного согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025.

4. Где хранится биометрия клиентов — на серверах гостиницы или в ЕБС?

По ФЗ-572 от 29.12.2022, биометрические ПДн, используемые для идентификации, хранятся исключительно в ГИС ЕБС. Оператор системы — АО «Центр Биометрических Технологий». Хранение исходной биометрии на собственных серверах гостиницы или агрегатора недопустимо с 01.06.2023. Нарушение образует состав по ч. 16 ст. 13.11 КоАП; утечка биометрии — ч. 17, штраф 15–20 млн ₽.

5. Как клиент может оспорить автоматический отказ в услуге по итогам скоринга?

Ст. 16 ФЗ-152 обязывает оператора предоставить субъекту возможность оспорить автоматическое решение или потребовать его пересмотра уполномоченным сотрудником. Для этого на платформе должна быть описана процедура обращения: форма запроса, срок рассмотрения, контакт ответственного лица. Отсутствие такой процедуры — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) при жалобе субъекта в РКН.

Итог

Онлайн-бронирование отелей в финтех-контексте — это пересечение как минимум четырёх законодательных режимов: ФЗ-152, ФЗ-218, ФЗ-572 и 115-ФЗ. Каждый устанавливает самостоятельные требования к согласиям, хранению, идентификации и передаче данных. С 30.05.2025 административная ответственность по ст. 13.11 КоАП выросла кратно — минимальный штраф за утечку средней базы превышает 3 млн ₽, оборотный за повторное нарушение может достигать 500 млн ₽.

Практика DATUM по сопровождению финтех-операторов ПДн включает аудиты платёжных и кредитных платформ, подготовку комплектов ОРД с учётом требований ФЗ-218 и ФЗ-572, защиту от протоколов по ст. 13.11 КоАП в арбитраже.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по ФЗ-218, скоринг и автоматизированные решения по ст. 16 ФЗ-152, биометрия в ЕБС (ФЗ-572), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 января 2027 года