Турагентов предупредили о больших штрафах за нарушения закона о персональных данных
Роскомнадзор усилил контроль за соблюдением законодательства о персональных данных и начал добиваться штрафов через суд даже в тех случаях, когда утечки информации не произошло. Поводом для претензий становится сам факт нарушения требований закона при сборе и обработке данных пользователей на сайтах.
Как следует из судебных решений Арбитражного суда Москвы, надзорное ведомство выявило нарушения в работе нескольких компаний с помощью автоматического мониторинга сайтов. Проверка показала, что организации собирали сведения через формы обратной связи и, следовательно, являлись операторами персональных данных. При этом уведомления о том, что начали это делать, в Роскомнадзор они не направляли.
По одному из дел компанию наказали на 30 тыс. руб. за отсутствие на сайте политики обработки персональных данных. По другому суд назначил штраф в размере 75 тыс. руб., указав, что организация использовала инструменты аналитики, в том числе «Яндекс Метрику», без надлежащих правовых оснований для обработки данных пользователей. Суд подчеркнул, что для привлечения к ответственности достаточно самого факта нарушения – наступление каких-либо негативных последствий доказывать не требуется. В третьем случае штраф составил 50 тыс. руб. из-за размещенных на сайте форм сбора Ф. И. О., адресов электронной почты, телефонов и других сведений. Довод компании о том, что Роскомнадзор предварительно не предупреждал о нарушениях, суд не принял.
Для туристической отрасли тема особенно актуальна. Практически любой туроператор, турагентство или сервис онлайн-бронирования регулярно собирает ПД клиентов: от контактной информации до сведений из паспорта. Соответственно, такие компании автоматически попадают в категорию операторов персональных данных и обязаны соблюдать требования закона.
Как пояснила TourDom.ru юрист Альянса туристических агентств Мария Чапиковская, о крупных штрафах в туризме в последнее время не сообщалось, однако проверки отрасли проводятся регулярно.
«Сейчас во всех сферах участились запросы Роскомнадзора по соблюдению требований 152-ФЗ. Для сайта обязательно наличие политики обработки персональных данных, согласия на обработку данных, согласия на рассылки и уведомления об использовании cookie-файлов», – отметила эксперт.
По ее словам, особое внимание необходимо уделить оформлению форм обратной связи. Пользователь должен иметь возможность ознакомиться с политикой обработки данных и самостоятельно дать согласие. Предустановленные галочки, как правило, недопустимы. Кроме того, туркомпаниям необходимо соблюдать требования о локализации ПД – информация, собираемая на сайте, должна обрабатываться на серверах, расположенных в России.
Учитывая новую судебную практику, эксперты рекомендуют туристическим компаниям провести аудит сайтов и внутренних процедур работы с персональными данными, не дожидаясь претензий со стороны надзорного ведомства.
Добавим, что усиление контроля со стороны Роскомнадзора происходит на фоне масштабного ужесточения законодательства о ПД. С 30 мая 2025 года вступили в силу поправки, которые существенно увеличили штрафы за нарушения при их обработке. Для юрлиц базовый штраф по ст. 13.11 КоАП РФ вырос до 150–300 тыс. руб., а также появились новые составы правонарушений, в том числе за непредставление уведомления о начале обработки персональных данных в РКН. Если раньше за это нарушение компании могли отделаться штрафом в несколько тысяч рублей, то теперь санкции для организаций достигают 100–300 тыс. руб.
Ранее мы написали, что из-за требований закона «О персональных данных» турагенты опасаются пользоваться иностранными мессенджерами.