Любой отель работает с персональными данными: паспорт при заселении, телефон и e-mail при бронировании, данные карты при оплате, видеонаблюдение, переписка с гостем, анкеты, запросы через сайт. Всё это — персональные данные, и обработка персональных данных в отеле должна соответствовать требованиям Федерального закона № 152-ФЗ.

Главная ошибка гостиниц — сводить тему к «бумажке с согласием» или политике на сайте. Роскомнадзор проверяет не только документы, но и фактический порядок работы с данными: кто имеет доступ, как они хранятся, кому передаются, как защищены. Если процесс не выстроен, формальные файлы не спасут.

За нарушения ФЗ-152 предусмотрены реальные штрафы:
— до 100 000 ₽ за отсутствие корректного согласия на обработку;
— до 200 000 ₽ за передачу данных третьим лицам без оснований;
— до 300 000 ₽ — если информация утекла по вине отеля.

Чтобы обработка персональных данных в отеле была законной, нужно не «напечатать политику», а организовать процесс: определить, какие данные собираются, кто с ними работает, кто отвечает за хранение, где фиксируются инциденты, как оформлена передача данных в PMS, Wi-Fi, эквайринг, МВД и т. д.

Это как с пожарной безопасностью: документы нужны, но главное — чтобы система действительно работала. Поэтому отелям часто нужен юрист для гостиницы — не ради шаблонов, а чтобы всё было готово к проверке или жалобе гостя.

Обработка персональных данных в отеле — это обязанность, за которую отвечает собственник. Исправлять последствия утечки или штрафа всегда дороже, чем заранее настроить процесс и спокойно спать.