И нужно ли в этом случае уведомлять гос органы что проводим обработку персональных данных?

Марина, здравствуйте!

Спасибо за Ваш вопрос!

Да, конечно, Вам нужно получать согласие на обработку персональных данных у каждого клиента. Вам нужно разработать модельную форму согласия на обработку персональных данных, которую клиент будет заполнять и подписывать при заселении или бронировании.

В силу норм статьи 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Вот, что должно быть в тексте согласия:

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.

Готов помочь Вам в разработке формы!

Надеюсь, что понятно!

Если ответ был Вам полезен, пожалуйста, поставьте ему “+”.

Если понадобится более подробная помощь, Вы можете обратиться ко мне в чат для индивидуального сопровождения на коммерческой основе.

Здравствуйте, Марина.

Короткий ответ: да, указать пункт о персональных данных в договоре аренды необходимо, но отдельное согласие на обработку, скорее всего, не требуется. Однако, в 2026 году существуют важные нюансы, особенно в части уведомления Роскомнадзора и использования иностранных мессенджеров.

Ниже приведен пошаговый алгоритм, основанный на актуальных требованиях закона № 152-ФЗ и последних изменениях, вступивших в силу в 2025 году.

 
1. Нужно ли включать пункт о персональных данных в договор?
Да, нужно, но осторожно.

С 1 сентября 2025 года вступили в силу важные изменения: согласие на обработку персональных данных должно оформляться отдельно от договора. Это значит, что вы не можете включить фразу «Согласен на обработку данных» просто в текст договора как один из пунктов.

Как правильно оформить:

Договор аренды: в нем вы указываете основание для обработки (п. 5 ч. 1 ст. 6 152-ФЗ) — «в целях исполнения договора». Этого достаточно для обработки стандартных данных (ФИО, паспорт, адрес), которые вы берете для оформления проживания.
Отдельный документ (Согласие): если вы собираете какие-либо данные сверх минимально необходимых (например, дату рождения для поздравлений, адрес электронной почты для рассылок, предпочтения по питанию) или планируете передавать данные третьим лицам (например, в системы бронирования), необходимо подписать с гостем отдельный документ «Согласие на обработку персональных данных». Хранить такое согласие нужно 3 года после того, как гость выехал.
2. Нужно ли уведомлять Роскомнадзор?
Да, в большинстве случаев — да.

Согласно ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор (то есть вы) обязан уведомить Роскомнадзор о начале обработки персональных данных .

Ключевой нюанс: Если вы обрабатываете данные только на бумаге (без компьютера, ведете рукописный журнал) и данные используются исключительно для исполнения договора, уведомление можно не подавать. Однако если вы:

Используете компьютер, CRM-систему или облачный сервис (например, Контур.Отель);
Храните данные в электронном виде;
Передаете данные через интернет (например, для бронирования),
то уведомление подавать обязательно .

Что будет, если не подать?
Штраф по ст. 19.7 КоАП РФ: на должностных лиц (ИП) от 300 до 500 рублей, на юридических лиц — до 5 000 рублей. Это «бумажный» штраф, который выписывается практически при первой же проверке.

Как подать:
Через специальный сервис на сайте Роскомнадзора (портал персональных данных). Это делается один раз при начале деятельности .

3. Важные изменения 2025-2026 года для отелей
В вашем случае есть три критических момента, которые часто упускают из виду:

А. Запрет на иностранные мессенджеры
С 1 июня 2025 года запрещено использовать иностранные мессенджеры (WhatsApp, Telegram, Viber и др.) для передачи персональных данных клиентов .

Что делать: Если вы обсуждаете с гостем детали заезда в WhatsApp — это нарушение. Для общения, в ходе которого вы передаете паспортные данные или фото документов, используйте отечественные сервисы: почту (Mail, Yandex), мессенджер MAX (внедряется с 2026 года для отелей), VK Мессенджер, или системы бронирования.
Штраф: до 700 000 рублей для юрлиц.
Б. Локализация данных (Базы данных в РФ)
С 1 июля 2025 года ужесточены требования к локализации. Все базы данных с персональными данными граждан РФ должны физически находиться на серверах в России .

Что делать: Если вы используете какую-либо зарубежную CRM или облачный сервис (американский, европейский) для хранения данных гостей, это незаконно. Убедитесь, что программное обеспечение, куда вы вносите данные, работает на серверах в РФ.
Штраф: от 1 до 6 млн рублей.
В. Новые правила заселения (с 1 марта 2026)
С 1 марта 2026 года гостиницы смогут заселять гостей с использованием мессенджера MAX и Единой биометрической системы. Это позволит упростить процедуру, но потребует интеграции с новыми сервисами .

Резюме (что нужно сделать прямо сейчас):
Разделите документы: Сделайте форму «Договор аренды» и отдельную форму «Согласие на обработку персональных данных» (если собираете данные сверх паспортных).
Подайте уведомление: Зайдите на сайт Роскомнадзора и направьте уведомление о начале обработки (если у вас есть компьютеры или облачные сервисы).
Смените мессенджеры: Прекратите отправлять паспорта гостей в WhatsApp. Перейдите на электронную почту с российским доменом (@mail.ru, @yandex.ru) или VK Мессенджер.
Разместите Политику: Если у вас есть сайт, опубликуйте на нем документ «Политика в отношении обработки персональных данных». Это требование для всех операторов, у которых есть сайт.
Ваш подход (использование данных только для исполнения договора) — правильный, и отдельное «разрешительное» согласие (кроме как в случаях, описанных в пункте 1) вам не нужно. Но бюрократическая процедура уведомления государства и технические меры защиты (локализация, мессенджеры) являются обязательными в 2026 году.

*Данная информация носит ознакомительный характер. Для полного соблюдения всех нюансов (особенно если вы работаете как юрлицо) рекомендую утвердить пакет документов с юристом, специализирующимся на 152-ФЗ.*
 
 С уважением, Анастасия Алексеевна

Здравствуйте, Марина!

1. Нужно ли указывать пункт о персональных данных в договоре?

Да. В договоре аренды необходимо предусмотреть условие, информирующее гостя об обработке его персональных данных в целях исполнения договора. Отдельное согласие на обработку не требуется (п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ), но сам факт обработки должен быть отражен в договоре.

 
2. Нужно ли уведомлять Роскомнадзор?

Да, нужно (если обработка автоматизированная).

Уведомление не требуется только в двух случаях (ч. 2 ст. 22 152-ФЗ):

— обработка исключительно без использования средств автоматизации (только бумага);
— данные в государственных информационных системах.

Если вы используете компьютеры,  или любое электронное хранение/обработку — уведомление в РКН обязательно.

Если информация была полезной и помогла решить вопрос — вы можете выразить благодарность в денежном эквиваленте. Для меня это лучший стимул делать консультации еще качественнее и быстрее.

https://pravoved.ru/lawyer/128...

Нужна дополнительная помощь?
Если остались вопросы или требуется помощь в составлении документа (заявления, жалобы, претензии) — обращайтесь ко мне в личный чат. В личном чате я помогу быстрее и учту все детали вашей ситуации. В личном чате я помогу решить вопрос под ключ.

С уважением и готовностью помочь, юрист Бакшанов Николай.