Гостиничный бизнес и 152‑ФЗ: регистрационные карты, камеры, доступы

Гостиничный бизнес и 152‑ФЗ: регистрационные карты, камеры, доступы

Кому и зачем нужен 152‑ФЗ в отелях

Гостиницы, хостелы и апарт‑отели ежедневно собирают и хранят персональные данные гостей и сотрудников: от паспортных и контактных сведений до записей с камер и журналов доступа. Любая такая обработка регулируется Федеральным законом № 152‑ФЗ «О персональных данных» (см. текст, последняя редакция). Правильная настройка процессов снижает риски утечек, претензий Роскомнадзора и штрафов.

Ключевые темы для гостиниц по 152‑ФЗ: регистрационные карты, видеонаблюдение, СКУД, интеграции с PMS/канал‑менеджерами и «передача данных третьим лицам». Запросы «гостиницы 152 фз» и «паспортные данные 152 фз» — именно про эти практические аспекты.

Какие персональные данные обрабатывает отель

Типичный перечень ПДн в гостиничном бизнесе:

• Идентификационные: ФИО, дата рождения, гражданство, реквизиты документа (паспорт, вид на жительство).
• Контактные: телефон, e‑mail, адрес проживания.
• Договорные и финансовые: номер брони, номер комнаты, сроки проживания, чеки, реквизиты оплаты (без хранения чувствительных платежных данных).
• Миграционный учет: сведения для обязательной передачи в уполномоченные органы.
• Изображения и события: фото с регистрации, записи камер (лобби, входы/выходы, парковка).
• Техданные: лог‑файлы PMS, СКУД, Wi‑Fi‑порталов, журналы обращений в саппорт.

Все это образует ИСПДн отеля (информационные системы ПДн). Базовые определения и критерии — в материале «ИСПДн: определение и требования».

Регистрационная карта гостя: минимизация и законность

Регкарта — центральная точка сбора данных. Важно не запрашивать лишнего и указывать правовые основания. 152‑ФЗ требует законности, прозрачности и минимизации (см. принципы обработки).

Правовые основания для заполнения регкарты чаще всего:

• заключение и исполнение договора оказания гостиничных услуг;
• выполнение обязательных требований иных законов (например, миграционный учет);
• законные интересы оператора при соблюдении баланса прав субъекта.

Часть полей можно обрабатывать без отдельного согласия (по договору/закону) — подробнее в разделе «Обработка без согласия». Для опциональных данных потребуется согласие гостя — см. шаблоны согласий.

Пример разметки полей регкарты (обобщенно):

Поле	Основание	Комментарий
ФИО, дата рождения	Договор/закон	Минимально необходимы для идентификации
Паспортные данные	Закон/договор	См. раздел про паспортные данные ниже
Контакты (телефон, e‑mail)	Договор	Для связи по бронированию и заселению
Гражданство	Закон	Для миграционного учета
Авто, госномер (если парковка)	Законный интерес	Обоснование безопасности/оказания услуги
Маркетинговые рассылки	Согласие	Отдельная галочка, опционально

Рекомендации:

• Четко отделите обязательные поля от опциональных.
• Дайте ссылку на Политику обработки ПДн и отметку о ее ознакомлении.
• Не включайте в регкарту избыточные вопросы (семейное положение, доход и т.п.), если они не нужны для услуги.

Паспортные данные и 152‑ФЗ: сканы, копии, маскирование

Запрос «паспортные данные 152 фз» — про две вещи: законность и безопасность. Ключевое:

• Обрабатывать паспортные данные можно, если это необходимо для договора/заселения и выполнения обязанностей перед государственными органами.
• Скан/фото паспорта допустимы только при документально обоснованной цели и с усиленными мерами защиты. Не храните копии «на всякий случай».
• Маскируйте реквизиты там, где полный номер не нужен (например, в операционных отчетах). Ограничьте доступ по ролевой модели.
• Запретите пересылку паспортов в незащищенных каналах и мессенджерах — см. рекомендации по мессенджерам и 152‑ФЗ.

Фиксируйте в локальных актах: кто и зачем получает доступ к паспортным данным, сколько хранятся записи, как проводится удаление/блокировка, кто отвечает за инциденты (см. обязанности оператора и инциденты и утечки).

Видеонаблюдение в гостинице и 152‑ФЗ

Для безопасной работы отеля часто используется видеонаблюдение. «152 фз видеонаблюдение» — это про информирование, цели и сроки хранения:

• Разместите заметные уведомления в зонах съемки (ресепшн, холлы, лифты, коридоры, парковка).
• Четко опишите цели: безопасность, защита имущества, урегулирование инцидентов. Не используйте записи сверх этих целей.
• Лицевое распознавание и биометрия требуют отдельных оснований и зачастую уведомления РКН. Подробнее — в руководстве «Видеонаблюдение и 152‑ФЗ».
• Срок хранения — соразмерно цели и рискам, фиксируется во внутренних регламентах. Должны быть процедуры удаления.

СКУД и электронные ключи: учет доступов

Электронные ключ‑карты и журналы СКУД содержат сведения о перемещениях гостя и персонала. Это ПДн, если запись соотносится с конкретным человеком.

• Настройте минимально достаточные журналы (не храните лишнего).
• Ограничьте доступ службы безопасности/администраторов.
• Синхронизируйте сроки хранения журналов с целями (безопасность, расследование инцидентов) и отражайте их в локальных актах.

Передача данных третьим лицам: PMS, эквайринг, агрегаторы

«Передача данных третьим лицам 152 фз» в гостинице встречается постоянно:

• PMS, Channel Manager, облачные CRM и колл‑центры — как правило, обработчики по поручению. Нужен договор поручения с мерами защиты (см. поручение обработки).
• Эквайринг и платёжные провайдеры — самостоятельные операторы. Делитесь только необходимым минимумом.
• Агрегаторы и OTA (Booking, и др.) — возможна трансграничная передача. Проверьте основания и уровень защиты, оформите процедуры по трансграничной передаче ПДн.
• Передача государственным органам — в рамках закона и только по предусмотренным каналам.

Общие правила и образцы формулировок — в разделе «Передача третьим лицам».

Документы и процессы: что должно быть у отеля

Минимальный комплект для соблюдения 152‑ФЗ:

• Публичная Политика обработки ПДн на сайте и на стойке.
• Реестр процессов обработки (data‑map): регкарта, PMS, видеонаблюдение, СКУД, маркетинг.
• Правила доступа, модель угроз и меры безопасности, в т.ч. резервные копии, контроль носителей, журнал инцидентов.
• Шаблоны уведомлений и согласий: согласие на обработку, при необходимости — на распространение ПДн.
• Порядок обработки запросов субъектов (доступ, исправление, удаление) и взаимодействия с РКН.
• Программа внутреннего контроля и обучения персонала, назначение ответственного.

Готовые материалы собраны в пакете документов по 152‑ФЗ. Для веб‑сайта отеля проверьте требования к сайту, cookie и баннеры, Яндекс.Метрика.

ИСПДн и безопасность: уровни, шифрование, облака

Оцените свои ИСПДн и определите уровень защищенности (см. уровни защищенности ИСПДн). Рекомендации:

• Проведите базовую модель угроз: кто и как может получить доступ к регкартам, паспортам, видео, СКУД.
• Шифруйте каналы (TLS/HTTPS), рабочие станции и резервные копии — см. криптографию и шифрование.
• При использовании облаков выбирайте провайдеров, соответствующих требованиям РФ: см. облака (Yandex Cloud) и серверы/хостинг/ЦОД.
• Для части ИСПДн могут применяться требования ФСТЭК и ФСБ — уточните по итогам вашей оценки.

Сроки хранения, блокировка и уничтожение данных

Устанавливайте разумные сроки хранения под каждую цель и фиксируйте их в локальных актах и реестре обработки. Общие ориентиры:

• Регкарты и документы заселения — хранить столько, сколько требуется для исполнения договора и учета, после чего уничтожать/обезличивать.
• Видеозаписи и журналы СКУД — минимально необходимый срок для безопасности, затем удаление.
• Маркетинговые данные — до отзыва согласия либо достижения цели кампании.

Процедуры обязаны предусматривать блокировку, уничтожение, актирование и отражение в регистрах — см. сроки хранения ПДн и уничтожение/блокировку. Права гостей на доступ и удаление — в разделе права субъектов.

Проверки и ответственность

Отели попадают в план проверок РКН, а также могут пройти внеплановую проверку по жалобе или инциденту. Полезные материалы:

• Проверки Роскомнадзора: как готовиться, что проверяют.
• Уведомление РКН и реестр операторов ПДн: когда требуется уведомление.
• Ответственность и штрафы по ст. 13.11 КоАП.
• Следите за изменениями 152‑ФЗ в 2025.

Типичные ошибки отелей и как их исправить

• Хранение сканов паспортов без обоснованной цели. Решение: убрать избыточное хранение, сократить сроки, закрыть доступы.
• Отправка паспортов в WhatsApp/почту без защиты. Решение: закрытые каналы, шифрование вложений, политика по мессенджерам.
• Сбор маркетинговых согласий «по умолчанию». Решение: явная галочка и раздельное согласие.
• Ненужные поля в регкарте (например, место работы). Решение: ревизия форм по принципу минимизации.
• Сверхдолгие сроки хранения видеозаписей без причин. Решение: прописать разумные сроки и авто‑удаление.
• Публикация фото/видео гостей в соцсетях без согласия на распространение. Решение: использовать согласие на распространение ПДн.

Краткий чек‑лист соответствия 152‑ФЗ для гостиницы

• Инвентаризируйте процессы: регкарта, PMS, камеры, СКУД, сайт, маркетинг.
• Проверьте основания: что обрабатывается по договору/закону, где нужно согласие (см. обработка без согласия).
• Обновите формы: отделите обязательные и опциональные поля, добавьте информацию для гостей.
• Закройте каналы: запретите пересылку паспортов в незащищенных мессенджерах, настройте DLP‑минимум.
• Утвердите сроки хранения и процедуры удаления (акты), обучите персонал.
• Заключите соглашения с подрядчиками (поручение/передача) и проверьте трансграничную передачу.
• Проведите базовый аудит безопасности ИСПДн, настройте резервное копирование и шифрование.

Вывод и следующий шаг

Соблюдение 152‑ФЗ в гостиничном бизнесе — это не только «бумаги». Это понятные формы регкарты, аккуратная работа с паспортными данными, корректное видеонаблюдение, контролируемые доступы и дисциплина передачи данных третьим лицам. Начните с инвентаризации и базовых документов, затем закройте технические риски и обучите команду.

Нужна помощь «под ключ»? Закажите аудит соответствия 152‑ФЗ, внедрение документов и обучение персонала — консалтинг и документы и обучение и курсы. Ваша гостиница будет готова к проверкам и требованиям рынка.