аналитика 11 января 2029 По состоянию на 11 января 2029

Гостиничные сети и ПДн

Гостиничные сети обрабатывают персональные данные гостей, сотрудников и контрагентов — от паспортных данных до платёжных реквизитов и биометрии на ресепшн.

С 30.05.2025 утечка ПДн от 1 000 субъектов влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП; повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15 ст. 13.11 КоАП.

Если вы финансовый директор гостиничной сети и ещё не заложили бюджет на соответствие 152-ФЗ — читайте: ниже разбор рисков, норм и экономики вопроса.

Гостиничный бизнес занимает особое место среди операторов персональных данных: одновременно обрабатываются паспортные данные (обязанность по Приказу МВД), платёжные реквизиты, данные программ лояльности, сведения о предпочтениях гостей и, в ряде сетей, биометрические данные для контроля доступа. Для финансового директора это означает пересечение нескольких правовых режимов — 152-ФЗ, требований к локализации, норм об ЕБС и потенциальных уголовных рисков по ст. 272.1 УК РФ. В 2025 году, по данным F6 Threat Intelligence, в российском сегменте даркнета опубликовано около 250 публичных утечек суммарным объёмом 767 млн строк. Гостиничный сектор входит в число регулярно затрагиваемых отраслей.

Какие категории данных обрабатывает гостиничная сеть и почему это важно финдиректору?

Состав обрабатываемых данных определяет уровень защищённости информационной системы (УЗ-1..УЗ-4 по ПП РФ №1119), объём необходимых технических мер и, главное, потенциальный размер штрафа при утечке. Финансовый директор принимает бюджетные решения, не зная состава рисков — это ошибка планирования.

Типичный состав ПДн в гостиничной сети:

Паспортные данные гостей — обязательная регистрация по постановлению Правительства РФ о порядке учёта иностранных граждан и гостей; правовое основание — исполнение требований закона.
Платёжные реквизиты — данные банковских карт при бронировании; обрабатываются совместно с платёжными агентами; требуют поручения обработки по п. 3 ст. 6 152-ФЗ.
Данные программ лояльности — история пребываний, предпочтения, контактные данные; цель отличается от регистрационной, смешение баз нарушает ст. 5 152-ФЗ.
Биометрические данные — изображение лица в СКУД, голосовая идентификация на линии ресепшн; требуют письменного согласия по ст. 11 152-ФЗ или подпадают под регулирование ЕБС по 572-ФЗ.
Данные сотрудников — кадровая документация, КЭДО, зарплатные проекты; с 01.09.2025 требуют отдельного согласия по ст. 9 152-ФЗ в редакции ФЗ-156.
Данные иностранных гостей — передача в государственные системы учёта влечёт вопрос трансграничной передачи при использовании зарубежных CRM-систем (ст. 12 152-ФЗ).

«Ст. 5 ФЗ-152 запрещает объединение баз данных, обрабатываемых с несовместимыми целями. Программа лояльности и регистрационный учёт — разные цели; хранение в одной базе нарушает принцип целевого ограничения.»

Для финансового директора ключевой вопрос — уровень защищённости. Если гостиница обрабатывает специальные категории (состояние здоровья гостя в медицинских запросах, сведения об инвалидности) или биометрические данные более 100 000 субъектов, ПП РФ №1119 требует УЗ-2 или УЗ-1. Стоимость технических мер по Приказу ФСТЭК №21 для УЗ-2 — от 2–5 млн ₽ в зависимости от инфраструктуры. Сравните: штраф по ч. 13 ст. 13.11 за утечку от 10 000 субъектов — 5–10 млн ₽, и это при первичном нарушении.

Не знаете, какой уровень защищённости нужен вашей сети?

Финансовый директор гостиничной сети закладывает бюджет на ИБ без понимания реального состава рисков — это приводит либо к избыточным расходам, либо к штрафу. Аудит соответствия 152-ФЗ определяет УЗ, состав обязательных мер и стоимость их внедрения за 3–4 недели.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие нарушения выявляет Роскомнадзор в гостиничном секторе?

РКН проводит плановые и внеплановые проверки по индикаторам риска. Для гостиниц типичны четыре нарушения, каждое из которых фиксируется отдельным составом ст. 13.11 КоАП.

Отсутствие или некорректная политика обработки ПДн. Ст. 18.1 152-ФЗ обязывает оператора опубликовать политику на сайте. Нарушение — ч. 3 ст. 13.11 КоАП, штраф для юрлица 30 000–60 000 ₽. На фоне других рисков — незначительно, но в совокупности с иными нарушениями формирует картину системного несоответствия.

Обработка без правового основания или с ненадлежащим согласием. Программа лояльности требует отдельного согласия по ст. 9 152-ФЗ. С 01.09.2025 (ФЗ-156) согласие не может быть включено в договор на гостиничное обслуживание — только отдельный документ. Нарушение — ч. 2 ст. 13.11, штраф 300 000–700 000 ₽; повторное — ч. 2.1, до 1 500 000 ₽.

Неуведомление РКН о намерении обрабатывать ПДн. Большинство гостиниц зарегистрированы в реестре операторов, но актуальность сведений не поддерживается: добавляются новые системы (CRM, СКУД, мобильное приложение), а уведомление не обновляется. Ч. 10 ст. 13.11 — штраф 100 000–300 000 ₽.

Биометрия в СКУД без надлежащего основания. Система распознавания лиц на входе в отель или в зонах с ограниченным доступом — биометрические ПДн по ст. 11 152-ФЗ. Обработка без письменного согласия или без подключения к ЕБС (если применимо) — ч. 16 ст. 13.11 КоАП.

«Ч. 10 ст. 13.11 КоАП (ред. с 30.05.2025): неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных — штраф для юрлица от 100 000 до 300 000 ₽.»

Как рассчитать финансовый риск от утечки в гостиничной сети?

Для финансового директора ключевой инструмент принятия решений — расчёт ожидаемых потерь. Штрафная нагрузка по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025) привязана к масштабу утечки.

1 000 – 10 000 субъектов — ч. 12 ст. 13.11: 3 000 000–5 000 000 ₽
10 000 – 100 000 субъектов — ч. 13 ст. 13.11: 5 000 000–10 000 000 ₽
Более 100 000 субъектов — ч. 14 ст. 13.11: 10 000 000–15 000 000 ₽
Повторная утечка — ч. 15 ст. 13.11: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽
Утечка биометрии — ч. 17 ст. 13.11: 15 000 000–20 000 000 ₽

Крупная городская гостиница с программой лояльности хранит данные 200 000–500 000 гостей. При утечке базы программы лояльности применяется ч. 14 ст. 13.11: 10–15 млн ₽. Добавьте затраты на расследование (от 2 млн ₽), репутационный ущерб (снижение загрузки на 5–10% в течение квартала) и возможные гражданские иски пострадавших гостей.

Стоимость аудита соответствия 152-ФЗ — от 100 000 ₽. Стоимость комплекта ОРД — от 45 000 ₽. Итого превентивные меры — 145 000–300 000 ₽. Минимальный штраф при утечке в гостиничном секторе (1 000–10 000 субъектов) — 3 000 000 ₽. Разница в 10–20 раз — это арифметика бюджетного решения.

Что подготовить финдиректору гостиничной сети

Реестр информационных систем, обрабатывающих ПДн (CRM, PMS, СКУД, мобильное приложение, HR-система), с указанием категорий данных и числа субъектов
Актуальное уведомление в реестре операторов РКН на pd.rkn.gov.ru — проверить соответствие фактической обработке
Договоры с обработчиками (платёжные агенты, CRM-вендор, облачный провайдер) — наличие условий о поручении обработки по п. 3 ст. 6 152-ФЗ
Согласия гостей на программу лояльности в формате отдельного документа (требование ст. 9 152-ФЗ с 01.09.2025 по ФЗ-156)
Оценку уровня защищённости информационных систем по ПП РФ №1119 с подтверждением выполнения мер по Приказу ФСТЭК №21

Типичные сценарии нарушений и стратегия реагирования

Сценарий 1. Утечка базы программы лояльности через взлом CRM.

Ситуация: гостиничная сеть с 15 отелями использует облачную CRM зарубежного вендора. База содержит 180 000 профилей гостей — имена, телефоны, email, история бронирований. Хакеры получают доступ через уязвимость в API интеграции. Факт утечки обнаружен службой ИБ через 6 часов после инцидента.

Доказательства и обязанности: по ч. 3.1 ст. 21 152-ФЗ — первичное уведомление РКН в течение 24 часов с момента обнаружения; через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187. Неуведомление в срок — ч. 11 ст. 13.11 КоАП: 1 000 000–3 000 000 ₽ сверх штрафа за саму утечку.

Вероятный исход: ч. 14 ст. 13.11 КоАП (более 100 000 субъектов) — 10 000 000–15 000 000 ₽. При своевременном уведомлении и наличии документированных мер защиты — возможно применение нижней границы диапазона.

Стратегия: немедленно зафиксировать момент обнаружения, направить первичное уведомление в РКН в течение 24 часов, привлечь юристов для подготовки 72-часового отчёта и сопровождения административного производства.

Сценарий 2. Передача ПДн иностранным системам бронирования без уведомления РКН.

Ситуация: отель подключён к международным системам бронирования (GDS). Данные гостей — граждан РФ — передаются на серверы за рубежом. Уведомление о трансграничной передаче по ст. 12 152-ФЗ не направлялось. Финансовый директор не знал, что это требует отдельного согласования.

Доказательства: договор с GDS-провайдером, технические логи, отсутствие уведомления в реестре РКН.

Вероятный исход: нарушение ч. 5 ст. 18 152-ФЗ (локализация) при первичном сборе за рубежом — ч. 8 ст. 13.11 КоАП: 1 000 000–6 000 000 ₽. При повторном — ч. 9: 6 000 000–18 000 000 ₽.

Стратегия: провести инвентаризацию всех трансграничных потоков данных, подать уведомления по ст. 12 152-ФЗ, привести договоры с зарубежными партнёрами в соответствие.

Сценарий 3. СКУД с распознаванием лиц без согласия сотрудников.

Ситуация: сеть внедрила систему контроля доступа с биометрией в 8 отелях. Сотрудники «подписали» согласие как часть трудового договора до 01.09.2025. С 01.09.2025 такое согласие не отвечает требованиям ст. 9 152-ФЗ в редакции ФЗ-156 — не является отдельным документом.

Вероятный исход: ч. 16 ст. 13.11 КоАП за обработку биометрии без надлежащего согласия. При проверке РКН — предписание об устранении и штраф.

Стратегия: переоформить согласия на биометрическую обработку как отдельные документы; при нежелании сотрудника — исключить его из биометрической системы, обеспечить альтернативный способ контроля доступа.

Если финансовый директор получил запрос РКН или обнаружил утечку — у компании 24 часа на первичное уведомление (ч. 3.1 ст. 21 152-ФЗ). Срок не восстанавливается. Юристы DATUM подключатся к реагированию немедленно.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Гостиничная сеть (Центральный ФО, осень 2025) обнаружила, что её CRM-система передаёт данные бронирований на серверы европейского вендора без уведомления РКН о трансграничной передаче. База содержала около 90 000 записей гостей. Финансовый директор сети обратился в DATUM после получения предписания РКН. Юристы подготовили пакет документов для регуляторного взаимодействия, направили запоздалое уведомление с пояснительной запиской, инициировали переход на российский сегмент хранения первичных данных. Производство завершилось штрафом в диапазоне сотен тысяч рублей вместо потенциальных нескольких миллионов по ч. 8 ст. 13.11 КоАП, поскольку формально нарушение локализации не было зафиксировано отдельным протоколом — нарушение квалифицировали по менее тяжкой части.

Кейс 2. Региональная сеть из 4 отелей (Сибирский ФО, начало 2026) прошла плановую проверку РКН. Инспекция выявила: отсутствие отдельных согласий на программу лояльности, устаревшее уведомление в реестре операторов (три новые ИС не внесены), политику конфиденциальности без обязательных разделов по ч. 2 ст. 18.1 152-ФЗ. Арбитражный суд региона рассмотрел три состава нарушений: по ч. 2, ч. 10 и ч. 3 ст. 13.11 КоАП. Общий штраф составил сотни тысяч рублей. Компания самостоятельно устранила нарушения до судебного заседания — это учтено как смягчающее обстоятельство. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка систем, документов и процессов по 38-пунктному чек-листу
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на утечки
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать гостю в обслуживании, если он не даёт согласие на программу лояльности?

Отказать в основной услуге (размещение) из-за несогласия на программу лояльности — нельзя. Согласие на обработку ПДн для программы лояльности должно быть добровольным по ст. 9 152-ФЗ: его отзыв или неподписание не может быть условием предоставления гостиничного сервиса. Отказ в обслуживании на этом основании создаёт риск жалобы в РКН и административного производства.

2. Что грозит гостиничной сети за утечку базы гостей?

Штраф зависит от числа пострадавших субъектов: при 1 000–10 000 гостях — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП), при 10 000–100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). Дополнительно — штраф за неуведомление РКН в 24 часа по ч. 11 ст. 13.11: 1–3 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

3. Какое правовое основание использовать для обработки паспортных данных гостей?

Регистрационный учёт гостей — это исполнение обязанности, возложенной на оператора нормативным актом (п. 2 ч. 1 ст. 6 152-ФЗ). Согласие в этом случае не требуется. Однако обработка тех же паспортных данных для иных целей (программа лояльности, маркетинг) требует отдельного правового основания — как правило, согласия по ст. 9 152-ФЗ в виде отдельного документа с 01.09.2025.

4. Где должна храниться биометрия, собранная в СКУД отеля?

Если СКУД использует биометрию (изображение лица) для идентификации — по ст. 11 152-ФЗ это биометрические ПДн. Для работников и посетителей требуется письменное согласие. Если биометрия относится к ЕБС по 572-ФЗ, хранение вне ЕБС после 01.06.2023 запрещено. Корпоративные СКУД, не подключённые к ЕБС, работают по правилам ст. 11 152-ФЗ с обязательным письменным согласием каждого субъекта.

5. Как финансовому директору обосновать бюджет на защиту ПДн перед советом директоров?

Ключевой аргумент — соотношение стоимости превентивных мер и потенциального штрафа. Аудит + ОРД — 145 000–300 000 ₽. Минимальный штраф при утечке от 1 000 субъектов — 3 000 000 ₽; при утечке от 100 000 субъектов — 10 000 000–15 000 000 ₽. Оборотный штраф при повторной утечке — не менее 20 000 000 ₽. Дополнительно: инвестиции в ИБ не менее 0,1% выручки за три года снижают оборотный штраф до 1/10 минимального, но не менее 15 000 000 ₽ (ст. 4.1 КоАП, примечание 3.4-2).

Итог

Гостиничные сети обрабатывают широкий спектр персональных данных — от паспортных до биометрических — в условиях обязательной локализации, ужесточённых требований к согласию и новых уголовных рисков по ст. 272.1 УК РФ. Штрафная нагрузка по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 делает систему комплаенса экономически обоснованной инвестицией: предотвращение одной утечки окупает затраты на аудит в 20–50 раз. Финансовый директор, закладывающий бюджет на соответствие 152-ФЗ, управляет измеримым риском; тот, кто откладывает, накапливает неуправляемое обязательство.

DATUM сопровождает гостиничные и туристические компании по всему спектру вопросов 152-ФЗ: от первичного аудита и разработки ОРД до защиты в арбитраже при штрафах по ст. 13.11 КоАП и реагирования на утечки за 24/72 часа.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

11 января 2029 года