Личные данные клиентов: как бизнесу работать по актуальным правилам в 2026 году

В 2025 году законодательство, регулирующее требования к обработке персональных данных, претерпело ряд существенных изменений. Подводим итоги и конкретизируем новые требованиях к бизнес-процессам на примере туристической деятельности.

Что такое персональные данные?

Это любая информация, по которой можно узнать человека:

•  ФИО, дата рождения, адрес;

•  информация о семье, работе, имуществе;

•  фото, номер телефона, электронная почта;

•  любые другие сведения, которые помогают идентифицировать человека.

Законодательное регулирование в области работы с персональными данными

Федеральный закон № 41-ФЗ (вступил в силу с 01.06.2025):

— запрещает использование иностранных мессенджеров для взаимодействия с потребителями;

— под особый контроль подпадают государственные органы, госкомпании, финансовые организации и операторы связи;

Ответственность за нарушение запрета на использование иностранных мессенджеров установлена статьей 13.11.2 КоАП РФ. Нарушение этого требования чревато штрафами:

— для должностных лиц: от 30 000 до 50 000 рублей;

— для юридических лиц: от 100 000 до 700 000 рублей.

Внесены изменения в часть 5 статьи 18 Федерального закона № 152-ФЗ.

Собирать, хранить и обрабатывать личные данные граждан России теперь можно только в базах данных, которые находятся на территории РФ. Тем самым под запретом оказывается обмен данными и документами с клиентами через сервисы, чьи сервера расположены за границей.

Возможная ответственность:

— первичное нарушение: штраф для юрлиц — от 1 до 6 млн рублей;

— повторное нарушение: штраф для юрлиц — от 6 до 18 млн рублей.

Важно: с 30.05.2025 индивидуальные предприниматели несут такую же ответственность, как и юридические лица.

Федеральный закон № 156-ФЗ (вступил в силу с 01.09.2025) диктует дополнительные требования.

Согласие туриста на обработку его личных данных теперь должно быть оформлено отдельно от всех остальных документов, которые он подписывает, то есть:

•  Согласие больше не может быть просто частью договора или его приложением.

•  Нельзя, чтобы оно «пряталось» в общей форме на сайте под одной «галочкой» с другими условиями (например, согласием на рассылку или условиями бронирования). Это должен быть самостоятельный документ или отдельная, четко выраженная форма согласия.

Как выполнить требования действующего законодательства при работе с туристами? 

— Откажитесь от иностранных мессенджеров для обмена ПД.

— Используйте отечественные ресурсы для обмена данными с клиентами («ВКонтакте», мессенджер МАХ, электронную почту (mail․ru, yandex․ru. и т.п.), защищённые CRM, Yandex Forms, собственный сайт (российские домены) и т.д.).

— Используйте электронную почту или формы на сайте для запроса и передачи персональных данных.

— Оформляйте согласие на обработку ПД отдельно от других документов.

—  Убедитесь, что клиентам предоставляется полная информация о целях обработки их данных. 

— Обеспечьте хранение всех данных на серверах в России.

Приведем в качестве дополнительного пояснения практический пример из туристического бизнеса.

При взаимодействии с туристами допустимо обсуждать в мессенджерах, удобных обеим сторонам, параметры тура, маршруты, время встречи и другую информацию общего характера.

Как только стадия выбора тура переходит в стадию бронирования и требуется предоставление персональных данных, общение переводится на отечественные ресурсы.

Перевод общения с туристом на российские площадки не отменяет необходимости получения согласия на обработку персональных данных. На сайте, например, это может быть «чекбокс» с проставлением «галочки» под текстом согласия. В переписке по электронной почте — добавление к подписи менеджера текста «продолжая переписку, вы соглашаетесь на обработку ваших персональных данных» и ссылки на текст согласия.

Электронный договор о реализации туристского продукта считается заключенным с момента оплаты, проведенной туристом, и подтверждающей его согласие с условиями договора. В документе должны быть указаны все существенные условия оказания услуг, а также  контактные данные заказчика, используемые для обмена документами (номер телефона, адрес электронной почты и т.д.). Предоставление скан-копии подписанного туристами договора не требуется. Но если клиент предлагает предоставить подписанную им версию договора, не отказывайтесь.