Как турфирме избежать миллионных штрафов за ошибки с персональными данными

Подробный разбор от юристов

18 декабря 2024 15:00 Автор: Редакция Profi.Travel

Через полгода штрафы за нарушения в области сбора и обработки персональных данных (ПД) вырастут в разы. Например, вы знали, что можно «попасть» на 20 млн рублей за аватарку пользователя на вашем интернет-ресурсе? Мы попросили специалистов компании «Юристы для турбизнеса «Байбородин и партнеры» разобрать конкретные ситуации, чтобы помочь турфирмам избежать рисков.

Напомним, речь идет о статье 13.11 КоАП РФ, которая была частично изменена и существенно дополнена (9 новых пунктов и дополнительные примечания). В числе поправок — административная ответственность индивидуального предпринимателя за большинство правонарушений, которую он будет нести как юридическое лицо. Изменения вступят в силу 30 мая 2025 года.

Ответственность и штрафы: что изменилось?

1. Ч. 1-2 ст. 13.11. КоАП РФ: выросли штрафы за обработку персональных данных, несовместимую с целями сбора: штраф для юридических лиц — от 150 тысяч до 300 тысяч рублей. За повторное нарушение штраф уже составит от 300 тысяч до 500 тысяч рублей.

Максим Ковалевский: «Это отнюдь не новый состав административного правонарушения — КоАП РФ располагал подобной санкцией и ранее. Однако если раньше никто особо не напрягался из-за относительно небольшого размера штрафа, то сейчас ситуация иная — он стал весьма значительным. Кроме того, отдельно выделен еще более серьезный штраф за повторное нарушение.

В этой связи компаниям может быть рекомендовано обратить особое внимание на соблюдение целей сбора персональных данных при их обработке».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает персональные данные и даже берет письменное согласие на их обработку.

Однако при обработке ПД турфирма, например, передает их третьим лицам, которые никак не задействованы для целей исполнения изначально заключенного договора с туристом.

Такое нарушение при проверке может повлечь штраф в размере от 150 тыс. до 300 тыс. рублей, за повторное нарушение — от 300 тыс. до 500 тыс. рублей.

2. Ч. 10 ст. 13.11. КоАП РФ: Предусмотрен отдельный пункт, связанный с неисполнением или несвоевременным исполнением обязанности по уведомлению Роскомнадзор о намерении осуществлять обработку персональных данных. Штраф составляет для юридических лиц от 100 до 300 тысяч рублей;

Александр Байбородин: «Многие компании до последнего не направляли уведомление в Роскомнадзор (РКН). Аргумент был такой: „Штраф небольшой, а уведомишь — так точно придут с проверкой“.

Определенная логика в этом была, действительно, в некоторых ведомствах, по слухам, была и есть практика: „Потерянные ключи ищи под фонарем. Почему? Там видно лучше“, — то есть проверяли компании, которые есть в реестрах, а те, которых нет, — не трогали.

Сейчас штраф вырос до ощутимой суммы. Очевидно, это подтолкнет направить уведомление всех, кто до сих пор сомневался».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает ФИО, телефоны, мейлы, берет копии паспортов.

Таким образом, компания является оператором персональных данных, однако не уведомляет Роскомнадзор.

Такое нарушение при проверке может повлечь штраф в размере от 100 до 300 тыс. рублей.

А ТЕПЕРЬ САМОЕ ИНТЕРЕСНОЕ

3. ч. 11 ст. 13.11. КоАП РФ: За неисполнение или несвоевременное исполнение обязанности по уведомлению РКН о случае установления факта случайной или неправомерной передачи (распространения/доступа) персональных данных, что влечет нарушение прав субъектов персональных данных, предусматривается штраф, размер которого для юридических лиц составляет от 1 млн до 3 млн рублей.

Вадим Погорелов: «Обязанность по уведомлению РКН об инцидентах с персональными данным не является новой. Сроки таких уведомлений были обозначены еще в 2022 году.

И вполне логично, что установление штрафа как меры воздействия на бизнес с целью принуждения к исполнению такой обязанности было вопросом времени.

С учетом достаточно сжатых сроков для уведомления и проведения внутреннего расследования руководству компаний и назначенным ответственным за обработку персональных данных, очевидно, придется постоянно быть начеку, поскольку именно от своевременного реагирования компании на инциденты будет зависеть риск получения штрафа в столь крупном размере».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает ПД, обрабатывает их должным образом, при этом они хранятся в ее базе данных.

Возникает ситуация, при которой к базе получают доступ злоумышленники, копируют ее и потом используют полученные сведения в незаконных целях. Однако при возникновения подобного инцидента турфирма не уведомляет РКН и пытается скрыть сам факт произошедшего.

Такое нарушение при проверке может повлечь штраф в размере от 1 до 3 млн рублей.

4. Ч. 12-14 ст. 13.11. КоАП РФ: За действия (бездействие) оператора, повлекшие неправомерную передачу (распространение/доступ) информации, содержащей персональные данные, устанавливаются следующие штрафы (в зависимости от объема утечки):

а) при компрометации персональных данных от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов — для юридических лиц от 3 млн до 5 млн рублей;
б) при компрометации персональных данных от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов — для юридических лиц от 5 млн до 10 млн рублей;
в) при компрометации персональных данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов — для юридических лиц от 10 млн до 15 млн рублей.

Вадим Погорелов: «С учетом последних тенденций, связанных с периодическими утечками персональных данных граждан РФ, вполне закономерным выглядит инициатива по установлению достаточно сурового наказания лиц, в результате действия или бездействия которых такие утечки происходят.

А размер штрафов неизбежно приведет к тому, что бизнесу придется озаботиться защитой персональных данных не „на бумаге“, а фактически, что непременно повысит расходы компаний по ведению бизнеса и снижению потенциальных рисков.

Создается впечатление, что именно в этом и кроется основная цель вносимых поправок».

Пример нарушения:

Турфирма заключает договоры с туристами. Собирает персональные данные, обрабатывает их должным образом, при этом ПД хранятся в базе данных.

Менеджер увольняется из турагентства и забирает с собой базу клиентов. В относительно безобидном сценарии в дальнейшем он делает рассылку по клиентам. В этом случае у туристов может возникнуть справедливое возмущение: «Откуда у вас мои персональные данные?». Но есть вариант и похлеще: бывший менеджер турфирмы использует персональные данные в мошеннических схемах получения средств с чужих банковских счетов.

Ответственности в данном случае будет подлежать не только он, но и сама турфирма, которая не приняла надлежащие меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Такое нарушение при проверке может повлечь штраф в размере от 3 млн. до 15 млн. рублей (в зависимости от объемов утечки).

5. Ч. 16 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которого было допущено неправомерное распространение (передача/доступ) персональных данных специальной категории, оператор рискует получить штраф, размер которого для юридических лиц составляет от 10 млн до 15 млн рублей.

Вадим Погорелов: «С учетом дополнения нормы частями, указанным выше, совсем не лишним будет напомнить, что именно относится к специальной категории персональных данных. Ст. 10 ФЗ № 152 указывает таковыми: персональные данные, содержание сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состояния здоровья, интимной жизни.

Пример нарушения:

Турфирма заключает договоры с туристами. При этом по тем или иным причинам (в силу, скажем, специфики туруслуг) собирает персональные данные, относящиеся к специальной категории.

Как вариант, может возникнуть ситуация, при которой полученные данные, относящиеся к специальной категории, были без наличия отдельного согласия на то субъекта ПД переданы третьим лицам (хотя бы даже и во исполнение указанного договора).

Такое нарушение при проверке может повлечь штраф в размере от 10 до 15 млн рублей.

6. Ч. 17 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которых было допущено неправомерное распространение (передача/доступ) биометрических персональных данных, оператор рискует получить штраф, размер которого для юридических лиц составляет от 15 млн до 20 млн рублей.

Максим Ковалевский: «А вот это уже новый состав административного правонарушения. Причем хочется отдельно отметить, что санкция в виде штрафа, откровенно говоря, колоссальна! И ни в коем случае не следует ее игнорировать или как-то несерьезно относится к ней. Согласитесь, что лучше уж озаботится наличием соответствующего подтверждающего документа субъекта персональных данных, нежели потом „кусать локти“.

Напомним, что согласно ч. 1 ст. 11 Федерального закона N 152-ФЗ от 27.07. 2006 „О персональных данных“ оператору необходимо получить отдельное согласие от субъекта персональных данных на обработку его биометрических ПД».

Пример нарушения:

Турфирма имеет собственный интернет-сайт, где пользователь может загрузить изображение своего лица (в виде той же аватарки) для, например, публикации какого-либо поста/отзыва.

При этом турфирма не озаботилась получением отдельного согласия у субъекта ПД на распространение его биометрических персональных данных (коим как раз и может являться то самое фотоизображение лица пользователя).

Такое нарушение при проверке может повлечь штраф в размере от 15 до 20 млн рублей.

Отдельного внимания заслуживают ч. 15 и 18 ст. 13.11, согласно которым, в случае совершения административного правонарушения лицом, которое уже было подвергнуто административному наказанию за правонарушения, указанные выше, к юридическому лицу может быть применен штраф в размере от 1 до 3% от выручки за предыдущий года, но не менее 25 млн рублей и не более 500 млн рублей.

Резюмируя, можно прийти к однозначному выводу о том, что политика государства в отношении защиты персональных данных граждан существенно ужесточается.

На фоне широко распространившейся в 2024 году практики РКН по направлению запросов бизнесу на предмет подтверждения должного подхода к защите персональных данных, можно смело утверждать, что одних из ключевых залогов выживания бизнеса будет являться осознанный и ответственный подход к защите персональных данных.

Таким образом, туристическим компаниям настоятельно рекомендуется уже сейчас озаботиться вопросом подготовки всех необходимых внутренних локальных актов, приведению сайта в надлежащий вид и принятию технических и фактических мер по обеспечению защиты обрабатываемых персональных данных.

О том, какие шаги необходимо предпринять турфирме, чтобы избежать перечисленных рисков, читайте в нашем следующем материале.

79844

Источник:

Profi.Travel

Поделитесь:

#туроператоры #законодательство в туризме #турагентства #юридическая практика #ТурВики

Фото: Glenn Carstens-Peters, unsplash

Написать комментарий

Для того чтобы оставить комментарий нужно авторизоваться на портале

4 комментария

Семён

25 апреля, 17:52

короче, понятно, что туризм это одно из самых опасных видов человеческой деятельности. Вероятность влететь" и потом окончить жизнь из-за гипердолгов (за изображение аватарки) намного выше, чем попасть под обстрел на фронте... Во, дожили

Ответить

Сычева Лилия

14 апреля, 11:50

Подскажите пожалуйста а где найти ваш следующий материал?

Ответить

И.

21 декабря, 14:13

Сколько раз, обращалась в МФЦ по тем или иным вопросам, где надо оставить свой телефон (казалось бы странно, ведь на гос услугах он есть в моём ЛК!). И вот я даю им в руки свой паспорт, диктую телефон и подписываю согласие на обработку персональных данных. И как только выхожу оттуда, СРАЗУ на улице начинают звонить с разными предложениями товаров и услуг (окна, двери,зубы и хрен знает чего еще!) Не во время приёма в МФЦ и не завтра, а именно как только вышла за дверь! И это уже несколько раз по одному сценарию!
Начала возвращаться, ругаться - им пофиг! Делают квадратные глаза и говорят что Вы выдумываете. А когда звонки и при ни х продолжаются - не знаем кто и почему Вам звонят!
Сначала бы порядок в госучереждениях навели, а потом уже к Турагентствам цеплялись!!!

Ответить

Ксения

01 февраля, 16:15

➕➕➕

Ответить

19 декабря, 10:06

Но зато на сайте ФССП видно все задолженности по исполнительным производствам.

Ответить

Минэк не собирается регулировать турплатформы: туроператоры думают сменить статус

По словам классических игроков рынка, позиция регулятора может подтолкнуть их переквалифицироваться в агрегаторов

11 июня 2026 18:23 Автор: Светлана Баева

Специального регулирования туристических платформ пока просто не требуется, сказал замминистра экономического развития Дмитрий Вахруков на форуме «Путешествуй!». По его мнению, продажа туров, туруслуг и других товаров имеют мало отличий. Ключевая тенденция сейчас — постепенная трансформация классических туроператоров в платформенные решения. Либо же, по его мнению, они рискуют быть поглощенными агрегаторами.

«Давайте признаемся честно, отличий платформенных решений в сфере туризма, в сфере путешествий от платформенных решений в других товарных группах, группах услуг, на самом деле не очень много. Отсюда исходит одна из наших текущих парадигм, что специального регулирования туристических платформ пока просто не требуется», — сказал замминистра.

При этом Дмитрий Вахруков отметил, что роль платформ сегодня — сокращение издержек и разрывов между продавцом и покупателем, а туризм же — сложносочиненная и сложно администрируемая отрасль, так как он состоит из комплекса услуг. И тем не менее, по его словам, ключевая тенденция сейчас — трансформация классических туроператоров в платформенные решения. Замминистра подчеркнул, что туроператоры, нацеленные на массовый спрос, а не на сложные, специализированные турпродукты, если не смогут адаптироваться, то в будущем могут быть поглощены платформенными решениями.

Такая позиция регулятора, действительно, может привести к поглощению, считают в отрасли. Туроператорам, учитывая финансовую и законодательную нагрузку, будет сложно конкурировать с маркетплейсами, которые могут продавать те же перевозку и размещение, но при этом не получать фингарантий и не нести ответственности перед туристом за все услуги, входящие в поездку. Это может подтолкнуть туроператоров к тому, чтобы самим «трансформироваться» в агрегаторы, то есть фактически — разделить турпакеты на отдельные услуги и перестать делать отчисления в фонды «Турпомощи», изыскивать средства на страхование гражданской ответственности и решать проблемы туристов, продлевая им размещение в отеле и вывозя за свой счет в случае нештатных ситуаций, говорят эксперты.

«Я был бы только рад, если бы нас регулировали так же как обычные маркетплейсы. Сейчас же туроператоров регулируют выборочно: когда нужно — по закону о защите прав потребителей, когда случается какая-то неприятность, вспоминают, что мы отвечаем за жизнь и здоровье туристов, а также обо всех остальных законах, — сказал генеральный директор компании Space Travel Артур Мурадян. — У нас своя ответственность, а у платформенных экономик — своя, точнее никакая. Если бы было единое правовое поле, то всем стало бы легче и можно было бы говорить о здоровой конкуренции».

По его словам, если агрегаторы и маркетплейсы выполняют квазитуроператорскую функцию, у них должна быть такая же ответственность, как и у операторов: «У нас колоссальная финансовая ответственность, помимо этого — огромная ответственность за туристов, мы обязаны соблюдать много правил и требований. А когда человек обращается в агрегатор, то получает там не деньги, а купон на скидку. Это несправедливо».

Артур Мурадян отметил, что у него уже возникала эта мысль: проще трансформироваться в агрегатора, не иметь никакой ответственности и не попадать под 99% регулирований. По его словам, компания действительно сейчас думает над тем, чтобы сменить статус.

Генеральный директор компании «Арт-Тур» Дмитрий Арутюнов заметил: возможно, для каких-то массовых туроператоров слова Дмитрия Вахрукова актуальны — компаниям действительно нужно переформатироваться, и они уже это делают. «У нас есть пример Wildberries и Fun&Sun. Думаю, что кто-то из крупных массовых туроператоров в итоге уйдет под «Озон», — сказал эксперт. — Но надо понимать, что именно мы считаем платформенным решением. У многих серьезных туроператоров, которых нельзя отнести к супермассовым, тоже есть системы бронирований аналогичные той, что у Wildberries. Если турист сам все онлайн забронировал, онлайн заплатил на сайте туркомпании — почему в таком случае это должно регулироваться не по тем же правилам, что для маркетплейсов? Но это скользкая дорожка, и решения тут должны быть очень хорошо продуманы».

Дмитрий Арутюнов напомнил, что туроператоры несут ответственность за туристов. «Недавние события на Ближнем Востоке показали: клиенты маркетплейсов успешно отсылались к авиакомпаниям, к отелям, никто не выкупал билеты, чтобы вернуть их домой, никто не продлевал им размещение, все было за счет самих туристов. В случае туроператоров все делается за наш счет. Поэтому тут при одинаковых практически условиях игры получается очень несправедливый подход с точки зрения законодательства. Мне кажется, это самое важное, а не то, кто кого будет поглощать», — сказал эксперт.

Таким образом, по его словам, если регулятор предлагает продавать туры только через маркетплейсы, нужно быть готовым к тому, что в случае повторения негативных сценариев тысячи туристы могут оказаться брошены на произвол судьбы без денег на размещение в отеле и покупку билета домой.

«Необходимо создать равные условия игры для всех, — подчеркнул Дмитрий Арутюнов. — Назвать свой сайт маркетплейсом, пользоваться правовым нигилизмом, отсутствием обязательств — очень удобная история. Но нужно осознавать, куда это может привести всю отрасль».

Только важное. Только для профи.

Читайте в Телеграме

Все новости в Max

Все новости в ВК

1872

Источник:

Profi.Travel

Поделитесь:

#туроператоры #внутренний туризм #выездной туризм #агрегаторы

Фото: Светлана Баева, Profi.Travel

Написать комментарий

Для того чтобы оставить комментарий нужно авторизоваться на портале

После Сеула — в Токио или Шанхай: что нужно знать про комбинированные путешествия в Азию в 2026 году

«Русский Экспресс» открыл бронирование туров в Южную Корею с продолжением в Японии или Китае.

11 июня 2026 07:00 Русский Экспресс , Национальная организация туризма Кореи На правах рекламы Реклама. Национальная организация туризма Кореи (Московское представительство). ИНН 9909047154. Erid: 2W5zFHRDnFb

Комбинированные туры «Азия в деталях» от «Русского Экспресса» — это два путешествия для тех, кто не может выбрать между Сеулом и Токио или между Сеулом и Шанхаем. Теперь выбирать и не нужно. Первый маршрут — Южная Корея плюс Япония: королевские дворцы Сеула, морской Пусан, «корейский Санторини», медитативный Киото и виды на Фудзи. Второй — Южная Корея плюс Китай: снова неповторимый Сеул и его удивительные соседи, потом Шанхай с районом Пудун и Сучжоу — город на каналах, чьи сады строились веками и внесены в список ЮНЕСКО.

Фото: Национальная организация туризма Кореи

Оба тура стартуют в Сеуле. Знакомство с городом начинается с дворца Кёнбоккун — главной резиденции королей эпохи Чосон, построенной в 1395 году. Дважды в день — в 10:00 и 14:00, кроме вторника — у ворот Кванхвамун проходит церемония смены караула: стражники в ярких исторических костюмах отдают честь традициям так же, как это было 600 лет назад. Рядом — дворец Чхандоккун с Тайным садом Хувон: пруды, деревянные павильоны и деревья, которым несколько сотен лет. Этот сад долгое время был закрыт для простых горожан — только царствующая семья могла гулять по его дорожкам. Теперь он доступен всем гостям столицы Южной Кореи.

Фото: Национальная организация туризма Кореи

После дворцов маршрут ведет в квартал Букчон, где среди узких улиц стоят ханоки — традиционные дома с изогнутыми черепичными крышами. И это, кстати, живой жилой район, а не туристическая реконструкция.

В часе езды от Сеула находится полукруглый остров Намисом на реке Хан. Многие знают его по дораме «Зимняя соната» — её снимали здесь в начале 2000-х, и с тех пор аллеи из метасеквой стали чуть ли не обязательным пунктом программы. Вживую они выглядят именно так, как на экране — только лучше.

Фото: Национальная организация туризма Кореи

А ещё можно отправиться в Пусан — морской порт и второй по величине город Кореи. В программе — рынки, уличные рестораны со свежими морепродуктами и, конечно, деревня Камчхон. Она строилась стихийно в послевоенные годы: дома карабкались вверх по склонам один за другим, и сейчас этот квартал с разноцветными фасадами и узкими лестницами называют «корейским Санторини». Храм Хэдон Ёнгунса стоит прямо на скалах над морем — редкость для страны, где большинство буддийских монастырей спрятаны в горах. К храму спускаются по лестнице и под шум прибоя, а у подножия статуи Будды принято загадывать желание.

Фото: Национальная организация туризма Кореи

Тур «Азия в деталях: культурный тур по Южной Корее и Китаю»

После Сеула туристы летят в Шанхай. Набережная Вайтань — это километр вдоль реки Хуанпу, где с одной стороны стоят массивные здания в стиле британского и французского колониализма, а с другой светятся небоскребы Пудуна с телебашней «Жемчужина Востока». В саду Юйюань — лабиринт павильонов, прудов с карпами кои и причудливых камней, которые китайские садовники ценили наравне с живописью. Сад строился около 20 лет в XVI веке и сохранился до наших дней практически без изменений. Рядом — старинные торговые ряды, где можно почувствовать себя жителем того времени, стать участником чайной церемонии и попробовать уличную еду.

Фото: Shutterstock

Из Шанхая группа едет в Сучжоу — всего час на скоростном поезде. Город стоит на каналах, по которым до сих пор ходят деревянные лодки, и именно за это его называют Венецией Востока. Сюда обязательно нужно приехать, чтобы увидеть классические китайские сады, девять из которых внесены в список наследия ЮНЕСКО. Среди самых известных — Чжочжэнъюань, Люю и Шицзылинь. Каждый сад — что-то вроде архитектурного эссе: камни вместо гор, пруды вместо океана. Беседки расставлены так, что с каждой открывается свой неповторимый вид.

Тур «Азия в деталях: культурный тур по Южной Корее и Японии»

После Сеула маршрут продолжается в Токио. Программа начинается с района Асакуса: это храм Сэнсодзи — старейший в городе, основанный в 628 году — и торговая улица Накамисэ, где продают нингё-яки, моти и традиционные сувениры. Отсюда хорошо виден силуэт телебашни Токио Скайтри — самого высокого сооружения Японии. Но стоит сесть в метро и выехать из Асакуса, как город меняется до неузнаваемости: тут уже Синдзюку с небоскребами, ночными барами и главным транспортным узлом столицы, Акихабара — квартал электроники, аниме и поп-культуры — и это уже совсем другой Токио.

Фото: Shutterstock

Из Токио группа переезжает в Киото на скоростном поезде синкансэн. Киото был столицей Японии больше тысячи лет и сегодня город по-прежнему несет свой титул с невероятным достоинством и неспешностью. В храме Рёандзи — сад из 15 камней и с любой точки один всегда скрыт за другими. Зачем так сделано — никто не знает. И конечно, в программе — район Фудзи. Гора появляется неожиданно: из окна поезда, с берега озера или просто за поворотом дороги. Это финальная точка маршрута и одно из самых сильных впечатлений от поездки.

А если нужно что-то совсем необычное, тогда стоит выбрать «Обратную сторону кимоно» — VIP-круиз с Владимиром Познером по Японии и Южной Корее. Это 11-дневное путешествие на борту пятизвездочного теплохода SH Minerva через Хиросиму, Нагасаки, Хакодатэ, Бэппу, Хаги и корейский Пусан. Известный журналист станет и приятным собеседником, и проводником по истории и культуре.

Фото: https://r-express.ru

Что включено в стоимость путешествий, условия размещения, подробности экскурсионного обслуживания, актуальное расписание вылетов и даты заездов — у менеджеров туроператора «Русский Экспресс».

992

Поделитесь:

#туроператоры #турагентства #выездной туризм #актуальные направления #Южная Корея