Трансграничная передача персональных данных на сайте гостиницы в Новосибирске (модуль Wubook)

Многие гостиницы в России используют зарубежные системы бронирования на своих сайтах. Одна из них — Wubook (домен: wubook.net), предоставляющая удобный виджет бронирования. Однако с 30 мая 2025 года такие формы могут привести к нарушению законодательства о персональных данных, если не соблюдены новые требования обновлённого закона №152-ФЗ.

Суть ситуации

На сайте российской гостиницы размещена форма онлайн-бронирования Wubook, встроенная во фрейме на странице. Пользователь вводит свои ФИО, email, телефон, даты бронирования напрямую в форму Wubook — данные передаются не в Россию, а сразу на зарубежный сервер в Италии. На стороне сайта они не сохраняются и не обрабатываются.

Таким образом, происходит автоматическая трансграничная передача персональных данных, без локального хранения.

Что говорит закон

Согласно изменениям в 152-ФЗ, вступающим в силу с 30 мая 2025 года:

Часть 5 статьи 12: передача персональных данных за границу возможна, если:
- страна входит в перечень, утверждённый Роскомнадзором,
- есть отдельное информированное согласие пользователя,
- действует международный договор с соответствующим государством (между РФ и Италией — нет).

Следовательно, автоматическая передача данных в Wubook без согласия и регистрации — будет считаться нарушением закона.

Что считается трансграничной передачей

Роскомнадзор даёт чёткое толкование:

Даже если сайт не обрабатывает данные, а лишь вставляет фрейм/форму, где пользователь вводит их — это уже считается трансграничной передачей,
Особенно если форма/скрипт напрямую взаимодействует с сервером за пределами РФ.
Технически такие формы могут начинать обработку ещё до отправки — например, через автозаполнение, cookies, скрипты.

Варианты действий владельца сайта

Вариант 1. Полный отказ от Wubook

Самый безопасный путь — перейти на систему бронирования, которая обрабатывает данные в пределах РФ и соответствует требованиям законодательства.

Вариант 2. Использование Wubook с соблюдением закона

Анализ данных — выяснить, какие именно данные передаются через форму (ФИО, email, IP и т.п.).
Проверка страны получателя — на момент составления статьи Италия не входит в перечень стран с адекватной защитой ПДн.
Получение отдельного согласия до обработки
- отдельный чекбокс, не объединённый с другими согласиями,
- ссылка на политику конфиденциальности и упоминание Wubook как получателя,
- фиксация согласия с IP, датой и временем.
Реализация предварительного экрана согласия
- ⚠️ форма бронирования не может отображаться сразу,
- отображение только после подтверждения согласия,
- при отказе — форма недоступна вовсе.
Обновление политики конфиденциальности — включить:
- цели и перечень передаваемых данных,
- информацию о Wubook,
- упоминание трансграничной передачи и страны получателя.
Регистрация в Роскомнадзоре как оператора ПДн (если ещё не сделано).
Уведомление пользователей — краткое предупреждение рядом с формой.

Выводы

Передача персональных данных в систему бронирования Wubook без согласия — после 30 мая 2025 года незаконна.
Чтобы легализовать её, нужно:
- получить отдельное информированное согласие до начала обработки,
- отложить отображение формы до получения согласия,
- обновить политику, зарегистрироваться в РКН, логировать согласие.
В противном случае — разумнее отказаться от использования Wubook.

Изучайте актуальную информацию на портале «Сайт В Законе»:

разъяснения о трансграничной передаче ПДн;

актуальный список стран с признанным уровнем защиты;

нормативные документы, регулирующие эту сферу.

Список стран может обновляться. Актуальная версия размещается на официальном сайте Роскомнадзора.