Добрый день! У нас небольшой отель, 30 номеров. Что вообще изменилось в 2026 году по персональным данным? Штрафы правда стали огромными?
Добрый день! Да, изменения серьёзные. С 1 сентября 2025 года (поправки в ст. 9 152-ФЗ от 24.06.2025) согласие на обработку персональных данных (ПД) должно быть отдельным документом. Нельзя больше писать в анкете заселения фразу «Подписывая анкету, даю согласие…» или ставить галочку в общем договоре. Это отдельный лист, который гость подписывает добровольно при заезде.
Штрафы действительно выросли: за обработку без письменного согласия — до 700 тыс. руб. для юрлиц, за утечку — до 15 млн руб. и выше при массовых случаях.
Хорошо, а что именно должно быть в этом отдельном согласии при заезде? Можно ли просто распечатать шаблон из интернета?
Нет, шаблон из интернета часто устаревший или неполный — лучше сделать под себя. Обязательные элементы (ч. 4 ст. 9 152-ФЗ):
- Ф.И.О., адрес регистрации, паспортные данные гостя
- Наименование и адрес вашего юрлица/ИП (оператора ПД)
- Перечень ПД, которые обрабатываете (ФИО, дата рождения, пол, паспорт, телефон, email, фото паспорта и т.д.)
- Цель — «оказание гостиничных услуг, исполнение договора, передача сведений в МВД по 572-ФЗ»
- Действия: сбор, запись, систематизация, хранение, уточнение, передача в МВД, уничтожение, обезличивание
- Срок хранения — обычно 3 года (или конкретно: «до истечения срока исковой давности»)
- Способ отзыва согласия: «по почте на адрес отеля», «по email info@otelsyezzhinskiy.ru», «по телефону с подтверждением личности»
- Подпись гостя и дата
Важно с сентября 2025: согласие — отдельный бумажный документ, не анкета, не договор, не правила проживания. Гость ставит подпись именно под этим текстом.
А на сайте? Что обязательно разместить и в каком виде, чтобы не нарушать закон при онлайн-бронировании?
На сайте нужно сделать две вещи:
- Политика обработки персональных данных — отдельная страница, доступная из футера (подвала) сайта на всех страницах, включая мобильную версию. Ссылка должна называться «Политика конфиденциальности» или «Политика обработки ПД». Текст — минимум 2–3 экрана, с разделами: кто оператор, какие данные, цели, сроки, права субъекта, как отозвать согласие, меры защиты. Обязательно указать, что данные хранятся только в РФ.
- Активное согласие в формах бронирования, заявки, обратной связи: НЕ предустановленная галочка! Гость сам ставит галочку «Я согласен с Политикой обработки ПД и даю согласие на обработку». Без галочки форма не отправляется. Для cookies — отдельный баннер с кнопками «Принять», «Настроить», «Отклонить».
Если используете иностранную аналитику — с 1 июля 2025 запрещено (данные граждан РФ только в РФ).
Мы передаём данные в МВД по закону. Нужно ли отдельное согласие на это?
Нет — передача в МВД по 572-ФЗ — это исполнение закона, согласие не требуется (п. 2 ч. 1 ст. 6 152-ФЗ). Но в согласии и политике это обязательно прописать как цель и основание обработки.
Что с обезличиванием? Мы иногда делаем статистику загрузки.
С 1 сентября 2025 действует Приказ РКН №140. Если обезличиваете (для аналитики, отчётов), то:
- Исходные и обезличенные данные хранятся отдельно
- Ведёте учёт действий по обезличиванию
- Принимаете локальный акт с перечнем методов (замена ФИО на коды, агрегация возраста «18–25 лет», искажение дат и т.д.)
- Ограничиваете доступ к методам и ключам сопоставления
Если не обезличиваете — ничего делать не надо.
Куда и когда уведомлять Роскомнадзор?
Уведомление о начале обработки ПД — один раз, до начала работы или в течение 30 дней после. Форма на сайте РКН. Если изменился ответственный — обновляете. При утечке: в течение 24 часов первичное уведомление, 72 часа — результаты расследования.
Последний вопрос: как нам не получить штраф в 2026 году?
Краткий чек-лист:
- Отдельное письменное согласие при заезде (новая форма)
- Политика + активная галочка на сайте
- Уведомление в РКН
- Назначен ответственный + приказы, инструкции, обязательства о неразглашении
- Хранение только в РФ, уничтожение по акту (Приказ РКН №179)
- Обучение сотрудников + контроль
Самые частые нарушения сейчас: согласие внутри анкеты, предустановленные галочки на сайте, отсутствие политики в мобильной версии, иностранная аналитика.
Пример акта об уничтожении персональных данных (бумажный/электронный вариант) — по Приказу РКН №179
АКТ
об уничтожении персональных данных
г. _____________________ "__" _____________ 20__ г.
Комиссия в составе:
Председатель комиссии: ______________________________________________,
(Ф.И.О., должность)
Члены комиссии:
1. __________________________________________________________________,
(Ф.И.О., должность)
2. __________________________________________________________________,
(Ф.И.О., должность)
на основании ______________________________ (указать основание: истечение срока хранения, отзыв согласия субъекта, иное основание по ст. 21 152-ФЗ)
и в соответствии с требованиями Приказа Роскомнадзора от 28.10.2022 № 179
"Об утверждении Требований к подтверждению уничтожения персональных данных"
провела уничтожение персональных данных следующих субъектов:
1. Фамилия, имя, отчество субъекта (субъектов) персональных данных:
- Иванов Иван Иванович
- Петрова Анна Сергеевна
(или: "персональные данные 47 субъектов, указанных в прилагаемом перечне")
2. Категории уничтоженных персональных данных:
- общие персональные данные (Ф.И.О., дата рождения, паспортные данные, адрес регистрации, номер телефона);
- специальные категории (при наличии);
- биометрические персональные данные (при наличии).
3. Основание уничтожения:
- истечение срока, установленного в согласии на обработку персональных данных и необходимого для достижения целей обработки;
- отзыв согласия субъектом персональных данных;
- достижение целей обработки или утрата необходимости в достижении этих целей.
4. Способ уничтожения:
- без использования средств автоматизации: физическое уничтожение бумажных носителей (шредер 5 уровня конфиденциальности / сжигание / измельчение);
- с использованием средств автоматизации: удаление из базы данных 1С:Отель / CRM / файлового хранилища, очистка корзины, перезапись свободного пространства (shred / sdelete / иное сертифицированное ПО).
5. Дата уничтожения персональных данных: "__" _____________ 20__ г.
6. Лица, осуществившие уничтожение:
- ______________________________________________ (Ф.И.О., должность, подпись)
- ______________________________________________ (Ф.И.О., должность, подпись)
Комиссия подтверждает, что персональные данные уничтожены без возможности восстановления в соответствии с требованиями законодательства РФ.
Приложения:
- Перечень субъектов персональных данных (при большом объёме) — 1 экз. на __ л.
- Выгрузка из журнала регистрации событий ИСПДн (при автоматизированной обработке) — 1 экз.
Председатель комиссии: ____________________ / ____________________
(подпись) (Ф.И.О.)
Члены комиссии:
____________________ / ____________________
(подпись) (Ф.И.О.)
____________________ / ____________________
(подпись) (Ф.И.О.)
Этот акт можно печатать на бумаге или вести в электронной форме (с УКЭП по 63-ФЗ). Храните акты + выгрузки из журнала событий минимум 3 года.
Важные моменты по Приказу №179:
- Для автоматизированной обработки — обязательно акт + выгрузка из журнала событий ИСПДн (логи удаления записей).
- Если выгрузка не содержит всех данных — недостающее пишется в самом акте.
- Акт подписывается комиссией (минимум 2–3 человека, включая ответственного за ПД).
- Способ уничтожения должен гарантировать невозможность восстановления (шредер, сертифицированное ПО).
Если сделаете всё это — риски минимальны.
Берегите данные гостей — это ваша репутация и спокойствие от проверок.
Примеры обязательных форм по 152-ФЗ (актуально на 2026 год)
Ниже приведены типовые примеры текстов, которые можно адаптировать под ваш отель. Главное — согласие при заезде должно быть отдельным документом (не внутри анкеты или договора), а политика — полноценной страницей на сайте.
Пример 1. Согласие на обработку персональных данных при заселении (бумажный вариант)
СОГЛАСИЕ
на обработку персональных данных
Я, __________________________________________________________________________________________,
(Ф.И.О. полностью)
паспорт серия ______ № ___________, выдан _______________________________ "__" ___________ ____ г.,
зарегистрированный(ая) по адресу: _____________________________________________________________,
даю согласие Обществу с ограниченной ответственностью "Гостиница Рога и Копыта"
(ИНН __________, ОГРН __________, юридический адрес: __________________________________________)
на обработку моих персональных данных:
Перечень обрабатываемых данных: фамилия, имя, отчество, дата и место рождения, пол, гражданство,
паспортные данные (серия, номер, дата выдачи, кем выдан), адрес регистрации/проживания,
номер телефона, адрес электронной почты, дата заезда/выезда, номер бронирования/номера.
Цель обработки: оказание гостиничных услуг, исполнение договора на оказание услуг по временному
размещению, передача сведений в органы МВД в соответствии с Постановлением Правительства РФ № 572,
ведение внутренней учётной документации, обеспечение безопасности.
Действия с данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление,
изменение), извлечение, использование, передача (в т.ч. в МВД), обезличивание, блокирование,
удаление, уничтожение.
Согласие действует в течение 3 (трёх) лет с даты подписания или до отзыва субъектом.
Отзыв согласия: путём направления письменного заявления по адресу: __________________________________,
или по электронной почте: info@ваш-отель.ru (с подтверждением личности).
Я уведомлён(а), что предоставление персональных данных является обязательным для заселения,
отказ влечёт невозможность оказания услуги.
Дата: "__" ___________ 20__ г. Подпись: ____________________ / ____________________
Печатается на отдельном листе А4. Гость подписывает только этот документ. Не включается в анкету регистрации!
Пример 2. Политика обработки персональных данных (фрагмент для страницы сайта)
Политика обработки персональных данных
(утверждена Приказом Генерального директора от "__" ________ 20__ г. № ___)
1. Общие положения
1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению
безопасности персональных данных в ООО "Гостиница Рога и Копыта" (далее — Оператор).
1.2. Оператор осуществляет обработку персональных данных субъектов в соответствии с Федеральным
законом от 27.07.2006 № 152-ФЗ "О персональных данных" (ред. от 24.06.2025).
2. Цели обработки
Обработка персональных данных осуществляется в целях:
- оказания гостиничных услуг;
- исполнения требований законодательства РФ (в т.ч. передача данных в МВД);
- обеспечения безопасности гостей и имущества;
- ведения внутренней статистики и аналитики (в обезличенном виде).
3. Перечень обрабатываемых данных
- ФИО, дата рождения, пол, гражданство;
- паспортные данные;
- контактные данные (телефон, email);
- данные бронирования и проживания.
4. Хранение и локализация
Все персональные данные граждан РФ хранятся исключительно на территории Российской Федерации.
Трансграничная передача не осуществляется.
5. Права субъекта
Субъект имеет право:
- получать информацию об обработке своих ПД;
- требовать уточнения, блокирования или уничтожения ПД;
- отозвать согласие в письменной форме.
6. Отзыв согласия
Отзыв направляется по адресу: ________________________________________ или email: info@ваш-отель.ru.
Обработка прекращается в течение 30 дней (если нет иных оснований по ст. 6 152-ФЗ).
Дата актуализации: 28 января 2026 г.
Размещайте как отдельную страницу /politika-obrabotki-personalnyh-dannyh или /privacy-policy. Ссылка в футере на всех страницах сайта.
Пример 3. Активное согласие в форме бронирования на сайте (HTML без JS)
<form action="/booking" method="post">
<!-- поля формы -->
<div class="form-check mt-3">
<input class="form-check-input" type="checkbox" name="consent" id="consent" required>
<label class="form-check-label" for="consent">
Я ознакомлен(а) и даю согласие на обработку моих персональных данных в соответствии с
<a href="/politika-obrabotki-personalnyh-dannyh" target="_blank">Политикой обработки персональных данных</a>
</label>
</div>
<button type="submit" class="btn btn-primary mt-3" disabled>Забронировать</button>
</form>
Галочка не предустановлена. Кнопка "Забронировать" активна только после проставления галочки (можно добавить JS для required, но здесь чистый HTML).
Пример формы
Веб-аналитика на сайте отеля: что можно использовать в 2026 году
С 1 июля 2025 года вступили в силу жёсткие изменения в ч. 5 ст. 18 152-ФЗ: первичный сбор персональных данных граждан РФ (IP-адреса, cookie, поведение на сайте и т.д.) запрещено сразу отправлять на зарубежные серверы без предварительной обработки в России. Это напрямую влияет на популярные сервисы аналитики.
Яндекс.Метрика — можно и рекомендуется
- Данные собираются и хранятся на серверах Яндекса в России → соответствует локализации 152-ФЗ.
- Нет трансграничной передачи на этапе первичного сбора → не нужно отдельное уведомление в РКН о трансграничной передаче.
- В политике обработки ПД на сайте укажите: «Мы используем Яндекс.Метрику для анализа посещаемости сайта. Данные обрабатываются в РФ».
- В форме согласия (чекбокс) на сайте: «Согласен на обработку данных в Яндекс.Метрике (подробнее в Политике)».
- Дополнительно: настройте «анонимизацию IP» в Метрике (если нужно минимизировать ПД).
Вывод: Самый безопасный и законный вариант для российских отелей в 2026 году.
Google Analytics — запрещено или крайне рискованно
- Скрипт GA отправляет данные (IP, cookie, поведение) напрямую на серверы Google (США/Европа) → это первичный сбор за рубежом, нарушение ч. 5 ст. 18 152-ФЗ с 1 июля 2025.
- Даже если подать уведомление о трансграничной передаче в РКН — с июля 2025 первичная передача без локальной базы в РФ запрещена (многие эксперты считают GA полностью запрещённым).
- Штрафы: от 300 тыс. до нескольких миллионов руб. за нарушение локализации + до 18 млн за повторные/массовые случаи.
- РКН в 2025 году активно проверяет сайты с иностранной аналитикой → риски блокировок или предписаний.
- Альтернатива: если очень нужно — использовать GA4 через серверный прокси в РФ (Google Tag Manager Server-side + российский сервер), но это сложно, дорого и всё равно требует уведомления РКН.
Вывод: В 2026 году большинству отелей лучше полностью отказаться от Google Analytics. Переходите на Яндекс.Метрику или российские аналоги (Roistat, Callibri и др.).
Что сделать прямо сейчас:
- Проверьте код сайта — если есть ga.js, gtag.js или analytics.js — удалите.
- Установите Яндекс.Метрику (если ещё нет).
- Обновите Политику обработки ПД: добавьте пункт про используемую аналитику и локализацию в РФ.
- В футере сайта добавьте ссылку на Политику + баннер согласия на cookies (с кнопками «Принять», «Настроить»).
Информация актуальна на январь 2026 года. Для точного соответствия проконсультируйтесь с юристом — практика РКН может меняться.
Важно: Это шаблоны. Обязательно адаптируйте под свои реквизиты, цели и сроки. Для полной защиты лучше проконсультироваться с юристом — шаблоны из интернета могут быть устаревшими.
Поддержать нас
Категории
Блог
Смотреть всеКонцепция продвижения и развития бутик-отеля
Ценовой сегмент: 10 000–15 000 ₽/ночь | Целевой ADR: 10 000–12 000 ₽
Основные каналы продаж: Ostrovok, Яндекс.Путешествия, Тинькофф Путешествия, Суточно, Travel.Wildberries.ru, Ozon.Travel, Tutu.ru, СберТур
Управление бронированиями: Bnovo (PMS + Channel…
Подробнее
Примеры лояльности гостевые дома
Гостевые дома, как часть индустрии гостеприимства, также активно разрабатывают программы лояльности для привлечения и удержания своих гостей. Ниже приведены реальные примеры успешных программ лояльности и стратегий, используемых гостевыми домами
Подробнее
Примеры лояльности хостелов
Хостелы, как и любые другие предприятия в индустрии гостеприимства, стремятся к увеличению лояльности своих клиентов. Вот несколько реальных примеров программ и стратегий, которые успешно используются хостелами для удержания и привлечения постоянных гостей
Подробнее