аналитика 14 января 2029 По состоянию на 14 января 2029

Travel-агрегаторы и ПДн

Travel-агрегатор — оператор персональных данных пассажиров, туристов и пользователей программ лояльности. Он обрабатывает ФИО, паспортные реквизиты, платёжные данные и историю поездок — категории, которые регулируются ФЗ-152 в совокупности с требованиями НПС, 115-ФЗ и отраслевыми актами.

С 30.05.2025 штраф за утечку от 1 000 субъектов — от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП. При повторной утечке — оборотный штраф до 500 млн ₽ по ч. 15. Финансовый директор, отвечающий за бюджет на ИБ и комплаенс, должен понимать: стоимость аудита (100–300 тыс. ₽) несопоставима с ценой инцидента.

→ Если вы финансовый директор travel-компании и ещё не оценивали риски по 152-ФЗ — этот материал закрывает ключевые вопросы: какие данные обрабатываются, на каком основании, чем это грозит и что делать.

Travel-агрегаторы — Aviasales, сервисы бронирования отелей, агрегаторы трансферов и страхования путешественников — работают на стыке финансового сектора и туриндустрии. Они передают ПДн авиакомпаниям, отельным сетям, страховщикам и платёжным системам, используют зарубежные облачные платформы и подключают внешних подрядчиков по аналитике. Каждая из этих точек — потенциальное основание для проверки Роскомнадзора. Ниже — разбор правовых оснований, зон риска и финансовых последствий для travel-агрегатора как оператора ПДн.

Какие персональные данные обрабатывает travel-агрегатор?

Типичный агрегатор собирает несколько категорий сведений о пользователях. Регистрационные данные: ФИО, адрес электронной почты, номер телефона. Идентификационные: серия и номер паспорта, дата рождения, гражданство — без них невозможно выписать маршрутную квитанцию. Платёжные: реквизиты банковской карты, история транзакций. Поведенческие: история поиска, предпочтения по направлениям, cookie-идентификаторы — при определённых условиях также квалифицируются как ПДн по позиции РКН.

Отдельная группа — данные, которые агрегатор получает от партнёров: авиакомпании передают сведения о бронированиях, страховщики — о страховых случаях, банки — подтверждение платежа. Каждая такая передача требует правового основания по ст. 6 ФЗ-152 и, как правило, оформления договора поручения обработки.

Паспортные данные по умолчанию не относятся к специальным категориям по ст. 10 ФЗ-152, однако в сочетании с историей поездок и платёжным профилем они формируют чувствительный массив. Утечка такого массива автоматически попадает под ч. 12–14 ст. 13.11 КоАП с момента вступления в силу ФЗ-420 от 30.11.2024 — то есть с 30.05.2025.

«Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки ПДн. Для travel-агрегатора наиболее применимы: согласие субъекта (п. 1), исполнение договора (п. 5) и законный интерес при соблюдении баланса прав (п. 7). Передача данных третьим лицам требует либо прямого согласия, либо поручения с ограниченным составом обрабатываемых данных.»

Ключевая ошибка, которую фиксирует РКН при проверках travel-платформ, — неопределённость правового основания при трансфере данных партнёрам. Агрегатор передаёт паспортные данные авиакомпании, ссылаясь на «исполнение договора», но пользователь заключал договор с агрегатором, а не с перевозчиком. Это основание не работает автоматически — нужно либо отдельное согласие, либо правильно структурированная цепочка обработчиков.

Финансовый директор, считающий бюджет на ИБ: во сколько обходится несоответствие?

Штраф по ч. 12 ст. 13.11 КоАП за утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽. Штраф по ч. 14 (более 100 000 субъектов) — 10–15 млн ₽. Аудит соответствия 152-ФЗ — от 100 000 ₽. Это арифметика бюджета, а не абстрактный комплаенс-риск. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

На каком правовом основании travel-агрегатор обрабатывает ПДн клиентов?

Для большинства операций с данными пассажиров основным основанием служит исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): бронирование билета или отеля создаёт договорные отношения, в рамках которых обработка имени, паспорта и контактов правомерна без отдельного согласия. Однако это основание имеет чёткие границы — оно покрывает только те данные и действия, которые непосредственно необходимы для исполнения договора.

Как только агрегатор выходит за эти границы — начинает строить профиль поведения клиента для таргетированной рекламы, передаёт данные маркетинговому партнёру или использует историю поездок для формирования ценовых предложений — возникает необходимость либо в согласии субъекта, либо в ином самостоятельном основании. С 01.09.2025 согласие по ФЗ-156 от 24.06.2025 оформляется отдельным документом с обязательными реквизитами: ФИО субъекта, цель, перечень данных, перечень действий, срок и способ отзыва. Включить согласие в текст пользовательского соглашения или оферты больше нельзя.

Программы лояльности — отдельный правовой узел. Накопление миль, баллов и профилирование участников выходит за рамки исполнения договора перевозки. Здесь требуется самостоятельное согласие, причём для распространения данных (например, передача партнёрам программы) — дополнительное согласие по ст. 10.1 ФЗ-152.

Что изменилось для travel-компаний после 30.05.2025 с точки зрения санкций?

До вступления в силу ФЗ-420 максимальный штраф за любое нарушение ст. 13.11 КоАП составлял 100 000 ₽ для юридических лиц. С 30.05.2025 картина принципиально иная. Появились дифференцированные санкции в зависимости от масштаба утечки и её повторности:

Утечка от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП).
Утечка от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13).
Утечка более 100 000 субъектов — 10–15 млн ₽ (ч. 14).
Повторная утечка — оборотный штраф 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽ (ч. 15).
Неуведомление РКН об утечке в течение 24 часов — 1–3 млн ₽ (ч. 11).

Крупный travel-агрегатор с базой в несколько миллионов пользователей при утечке автоматически попадает в диапазон ч. 14 или ч. 15. Для компании с годовой выручкой 3 млрд ₽ оборотный штраф по ч. 15 означает 30–90 млн ₽ — минимальная граница при этом составляет 20 млн ₽ независимо от масштаба выручки.

«Ст. 4.1 КоАП — примечание 3.4-2: если оператор инвестировал в средства защиты информации не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это единственный законный механизм снижения оборотного штрафа.»

Что подготовить финансовому директору travel-компании

Выписку из реестра операторов ПДн на pd.rkn.gov.ru — подтверждение факта уведомления и актуальности сведений о целях и категориях обработки.
Политику обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликованную на сайте, датированную после 01.09.2025.
Реестр поручений на обработку (договоры с авиакомпаниями, отелями, платёжными системами, аналитическими платформами) с перечнем разрешённых действий и обязательством о конфиденциальности.
Документацию об инвестициях в ИБ за последние три года — для применения льготы по ст. 4.1 КоАП (снижение оборотного штрафа).
Регламент реагирования на инциденты с ПДн: кто уведомляет РКН в течение 24 часов, кто готовит отчёт за 72 часа.

Трансграничная передача данных: как travel-агрегаторы нарушают 152-ФЗ незаметно для себя?

Travel-агрегаторы по природе своей бизнес-модели передают данные за рубеж: бронирование через GDS-системы (Amadeus, Sabre), платёжные шлюзы, облачные CRM и аналитические инструменты. Каждая такая передача в страну, не обеспечивающую адекватную защиту ПДн, требует предварительного уведомления РКН по ст. 12 ФЗ-152.

Перечень стран с адекватной защитой утверждён приказом РКН и включает преимущественно государства, ратифицировавшие Конвенцию Совета Европы о защите данных, и ряд других. США в этот список не входят. Это означает, что подключение американского аналитического SaaS или хранение данных в AWS без уведомления РКН — прямое нарушение ст. 12 ФЗ-152.

Дополнительный риск создаёт требование локализации по ч. 5 ст. 18 ФЗ-152: первичный сбор, систематизация и хранение ПДн российских граждан должны осуществляться в базах данных на территории РФ. Штраф за нарушение — 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП (для юрлиц), при повторном нарушении — 6–18 млн ₽ по ч. 9.

Если вы финансовый директор и используете зарубежные аналитические или CRM-платформы — проверьте, подано ли уведомление о трансграничной передаче в РКН. Неуведомление обнаруживается при плановой проверке и автоматически становится основанием для протокола. Юристы DATUM соберут комплект ОРД под ключ и оформят документацию по трансграничной передаче.

Собрать ОРД под ключ

Типовые сценарии нарушений и их стоимость

Три ситуации, которые встречаются в travel-сегменте наиболее часто.

Сценарий 1. Утечка базы через подрядчика. Маркетинговое агентство, которому агрегатор передал базу для рассылки, допустило утечку. По принципу, сложившемуся в судебной практике, оператор отвечает за действия обработчика — договор поручения не снимает ответственности по ст. 13.11 КоАП. База на 50 000 субъектов — штраф по ч. 13 от 5 до 10 млн ₽. Доказательства, которые могут смягчить: договор с обработчиком содержит исчерпывающий перечень допустимых действий, инструктаж сотрудников зафиксирован, первичное уведомление РКН направлено в течение 24 часов. Стратегия: оспорить размер штрафа через ст. 4.1 КоАП (инвестиции в ИБ) или ст. 4.1.1 (если первичное нарушение и микропредприятие).

Сценарий 2. Передача данных в зарубежный GDS без уведомления РКН. Компания работает через Amadeus, данные российских пассажиров поступают на серверы в ЕС. Уведомление о трансграничной передаче в РКН не подавалось. При проверке — протокол по ст. 12 ФЗ-152, квалификация по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). При повторности — ч. 1.1 (300–500 тыс. ₽). Стратегия: подать уведомление до проверки, обновить реестр операторов, включить трансграничную передачу в политику конфиденциальности.

Сценарий 3. Согласия в пользовательском соглашении после 01.09.2025. Агрегатор не переоформил согласия на получение рассылок и профилирование — они по-прежнему «зашиты» в оферту. С 01.09.2025 это нарушение требований к форме согласия по ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025). Квалификация — ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. ₽. При повторности — 1–1,5 млн ₽ по ч. 2.1.

Как это применяется на практике

Кейс 1. Travel-платформа из Приволжского ФО (осень 2025): утечка базы пользователей программы лояльности (около 80 000 субъектов) через взлом аналитического подрядчика. Компания уведомила РКН в течение 20 часов, через 68 часов направила отчёт о расследовании с описанием принятых мер. РКН возбудил дело по ч. 13 ст. 13.11 КоАП. В ходе рассмотрения суд учёл своевременное уведомление и задокументированные инвестиции в ИБ как смягчающие обстоятельства по ст. 4.1 КоАП. Штраф составил несколько миллионов рублей — ниже верхней границы диапазона.

Кейс 2. Онлайн-агрегатор страховых туристических продуктов (Центральный ФО, начало 2026): при плановой проверке РКН установил, что согласия на обработку ПДн включены в текст публичной оферты без выделения в отдельный документ (нарушение ФЗ-156, действует с 01.09.2025), а уведомление о трансграничной передаче данных в страховую компанию, зарегистрированную за рубежом, отсутствовало. Компания получила два протокола: по ч. 2 ст. 13.11 (согласие) и по ч. 1 ст. 13.11 (трансграничка). Совокупный штраф составил сотни тысяч рублей. Ситуацию осложнило то, что до проверки юридическая служба не проводила аудит соответствия.

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не дал согласие на обработку ПДн?

Отказать в услуге за отзыв согласия можно только в том случае, если согласие — единственное правовое основание обработки и обработка объективно необходима для исполнения договора. Если же речь идёт о маркетинговых рассылках или профилировании, отзыв согласия не даёт оснований для отказа в бронировании. Принуждение к согласию как условие оказания услуги квалифицируется как нарушение ч. 2 ст. 9 ФЗ-152.

2. Что грозит travel-компании за утечку данных туристов?

С 30.05.2025 санкции зависят от числа затронутых субъектов. Утечка от 1 000 до 10 000 пользователей — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Утечка более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15. Дополнительно — штраф 1–3 млн ₽ за неуведомление РКН в течение 24 часов (ч. 11 ст. 13.11). Параллельно возможна уголовная ответственность по ст. 272.1 УК РФ для конкретных физических лиц.

3. Какое основание использовать при передаче паспортных данных авиакомпании?

Передача паспортных данных авиакомпании для оформления билета правомерна на основании исполнения договора (п. 5 ч. 1 ст. 6 ФЗ-152) — пользователь заключил договор с агрегатором, в котором предусмотрена передача данных перевозчику. Это основание должно быть прямо прописано в пользовательском соглашении и политике конфиденциальности. Передача тех же данных партнёрам для маркетинга требует отдельного согласия по ст. 9 ФЗ-152.

4. Где должна храниться биометрия клиентов, если travel-компания использует верификацию по лицу?

Биометрические ПДн (изображение лица, используемое для идентификации) с 01.06.2023 должны храниться в Единой биометрической системе (ЕБС) по ФЗ-572. Самостоятельное хранение исходной биометрии вне ЕБС запрещено для операторов, работающих в сферах, подпадающих под действие ФЗ-572. Обработка биометрии без письменного согласия субъекта влечёт штраф по ч. 16 ст. 13.11 КоАП.

5. Как финансовому директору оценить реальный бюджет на комплаенс по 152-ФЗ?

Минимальный комплаенс-бюджет включает: аудит соответствия (от 100 000 ₽), сборку пакета ОРД (от 45 000 ₽), ежегодное сопровождение DPO или обслуживание ответственного (от 30 000 ₽/мес). Совокупно — от 200 000 до 500 000 ₽ в год для компании среднего размера. Нижняя граница одного штрафа по ч. 12 ст. 13.11 КоАП — 3 млн ₽. Инвестиции в ИБ не менее 0,1% выручки за три года дополнительно снижают оборотный штраф по ч. 15 в 10 раз (ст. 4.1 КоАП) — это прямая финансовая выгода для финансового директора.

Итог

Travel-агрегатор работает с чувствительным массивом ПДн: паспортные данные, платёжные реквизиты, поведенческие профили, история поездок. После 30.05.2025 любая утечка от 1 000 субъектов влечёт штраф от 3 млн ₽, а повторная — оборотный штраф до 500 млн ₽. Ключевые риски — неправильное основание обработки при передаче партнёрам, согласия в форме оферты после 01.09.2025 и отсутствие уведомлений о трансграничной передаче в РКН.

DATUM сопровождает операторов из travel- и финтех-сегмента: аудит обработки ПДн, сборка ОРД, подготовка к проверкам РКН и защита в арбитраже при штрафах по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с планом устранения
Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент реагирования
Защита при штрафе в арбитраже — обжалование протокола и постановления по ст. 13.11 КоАП

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП, антиотмывочный контроль и 115-ФЗ.

14 января 2029 года