152-ФЗ для турагентства: какие документы нужны

Турагентства обрабатывают один из самых широких наборов персональных данных среди малого бизнеса. При бронировании тура собираются: ФИО (в т.ч. латиницей), паспортные данные (серия, номер, кем выдан), загранпаспорт, дата рождения, гражданство, контактные данные.

Ключевая особенность — **трансграничная передача персональных данных** при бронировании отелей, авиабилетов и оформлении виз. По **ст. 12 закона 152-ФЗ** передача данных в иностранные государства требует дополнительного согласия субъекта и соблюдения условий адекватности защиты.

Турагентство обычно действует как посредник между клиентом и туроператором. Это означает, что агентство передаёт данные третьим лицам (туроператор, авиакомпания, отель, страховая) — каждая такая передача должна быть закреплена юридически.

Пакет документов по 152-ФЗ для турагентства шире стандартного из-за трансграничной передачи:

- **Согласие туриста на обработку ПДн** — с указанием трансграничной передачи и перечнем третьих лиц; - **Согласие на трансграничную передачу ПДн** — отдельное или в составе основного, с перечнем стран; - **Политика конфиденциальности** — для сайта с формами бронирования; - **Положение об обработке ПДн** — внутренний регламент; - **Поручение на обработку** — договор с туроператором о передаче данных; - **Приказ о назначении ответственного за ПДн**; - **Уведомление в Роскомнадзор** — с указанием трансграничной передачи.

Для данных загранпаспортов (фото, серия, номер) рекомендуется отдельное согласие, особенно при передаче в посольства для оформления виз.

При бронировании зарубежных туров данные клиентов передаются в другие страны. По **ст. 12 закона 152-ФЗ** оператор обязан убедиться, что страна-получатель обеспечивает адекватный уровень защиты ПДн.

Страны ЕС, Великобритания, Израиль, Турция входят в перечень стран с адекватной защитой (Приказ Роскомнадзора № 274). Для остальных стран требуется одно из условий: согласие субъекта, договорная обязанность или защита жизненно важных интересов.

В согласии туриста необходимо указать: какие данные передаются, в какие страны, каким организациям (отель, авиакомпания, посольство) и для каких целей. Отсутствие такого согласия — нарушение с штрафом до 75 000 ₽.

Сайт турагентства с формой бронирования обязан соответствовать 152-ФЗ:

- Политика конфиденциальности в открытом доступе; - Чекбокс согласия под каждой формой сбора данных; - Cookie-баннер при использовании аналитики и рекламных пикселей; - SSL-сертификат для шифрования данных при передаче.

При использовании агрегаторов (Travelata, Level.Travel, Sletat.ru) турагентство передаёт данные клиентов в систему агрегатора. Это требует поручения на обработку и указания в политике конфиденциальности.

Мессенджеры (WhatsApp, Telegram) для общения с клиентами — серая зона. Рекомендуется минимизировать передачу паспортных данных через мессенджеры и использовать защищённые каналы.

Паспортные данные туристов хранятся на протяжении срока действия договора и 3 года после для целей претензионной работы. Копии загранпаспортов уничтожаются после возвращения туриста, если нет иных оснований для хранения.

Финансовые документы (договоры, акты, платёжные поручения) хранятся 5 лет для бухгалтерского учёта. При этом персональные данные в них защищены 152-ФЗ весь срок хранения.

При уничтожении данных составляется **акт уничтожения персональных данных**. Электронные копии удаляются из CRM и резервных копий. Бумажные экземпляры — шредером.

Туристическая отрасль — в фокусе Роскомнадзора из-за массовой обработки паспортных данных и трансграничной передачи. Типичные нарушения:

- Передача данных за рубеж без согласия — до 75 000 ₽; - Нет политики конфиденциальности на сайте — до 60 000 ₽; - Копии паспортов хранятся без оснований после тура — нарушение ст. 5 ч. 7 закона 152-ФЗ; - Передача данных мессенджерами без шифрования — риск утечки; - Не подано уведомление в Роскомнадзор с указанием трансграничной передачи.

С 2025 года утечка паспортных данных клиентов турфирмы может повлечь оборотные штрафы по 420-ФЗ.