Защита персональных данных в ресторанном бизнесе: институциональный подход

УЧЕБНОЕ ПОСОБИЕ
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 
В РЕСТОРАННОМ БИЗНЕСЕ
ИНСТИТУЦИОНАЛЬНЫЙ ПОДХОД
Д.В. ГАВЧУК
Москва
ИНФРА-М
2026

А в т о р:
Гавчук Д.В., Ph.D., магистр международных отношений (Швейцария), магистр права, член Торгово-промышленной палаты Российской 
Федерации и Федерации рестораторов и отельеров России, профессор 
Региональной академии менеджмента
УДК 004.056.5+347.77.03(075.8)
ББК 67.400.3я73
 
Г12
Гавчук Д.В.
Г12 
 
Защита персональных данных в ресторанном бизнесе: институциональный подход : учебное пособие / Д.В. Гавчук — Москва : ИНФРА-М, 
2026. — 94 с. — DOI 10.12737/2227675.
ISBN 978-5-16-114353-7 (online)
Учебное пособие посвящено актуальной и важной теме защиты персональных данных клиентов в условиях современного ресторанного бизнеса. 
Книга охватывает широкий спектр вопросов, касающихся обработки 
и хранения персональной информации гостей ресторанов, кафе и гостиниц. Читатель познакомится с законодательными нормами Российской 
Федерации, регулирующими деятельность предприятий общественного 
питания относительно обращения с персональными данными, включая 
Федеральный закон № 152-ФЗ «О персональных данных». 
Ориентировано на студентов высших учебных заведений, обучающихся 
по направлениям «Туризм», «Сервис», «Менеджмент организаций питания», а также всех заинтересованных лиц, стремящихся повысить уровень 
своей профессиональной компетенции в области информационной безопасности.
УДК 004.056.5+347.77.03(075.8)
ББК 67.400.3я73
Р е ц е н з е н т ы:
Домнина С.В., доктор экономических наук, доцент, профессор кафедры экономики и управления социально-культурной деятельностью 
Самарского государственного института культуры;
Кузнецова Ю.А., доктор экономических наук, доцент, профессор кафедры гуманитарных, социально-экономических дисциплин и информационных технологий управления Кузбасского института ФСИН 
России, г. Новокузнецк
ISBN 978-5-16-114353-7 (online)
© Гавчук Д.В., 2025
ФЗ 
№ 436-ФЗ
Издание не подлежит маркировке 
в соответствии с п. 1 ч. 2 ст. 1

ОГЛАВЛЕНИЕ 
 
 
ВВЕДЕНИЕ .............................................................................................................. 4 
1. 
ТЕОРЕТИКО-МЕТОДОЛОГИЧЕСКИЕ 
ВОПРОСЫ 
ЗАЩИТЫ 
ПЕРСОНАЛЬНЫХ ДАННЫХ ............................................................................... 8 
1.1Основные понятия, характеризующие персональные данные и их 
использование .................................................................................................. 8 
1.2 Нормативно-правовое регулирование контроля персональных данных
 ......................................................................................................................... 11 
1.3 Специфика использования персональных данных на предприятиях 
общественного питания ................................................................................ 16 
2. АНАЛИЗ МЕТОДОВ КОНТРОЛЯ И ПРАВОВОГО РЕГУЛИРОВАНИЯ 
ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ 
ОБЩЕПИТА .......................................................................................................... 26 
2.1 Методы получения персональных данных ........................................... 26 
2.2 Система организации контроля персональных данных в ресторанном 
бизнесе ............................................................................................................ 28 
2.3 Проблемы обеспечения контроля персональных данных .................. 48 
3. ОСНОВНЫЕ НАПРАВЛЕНИЯ СОВЕРШЕНСТВОВАНИЯ КОНТРОЛЯ 
ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИЯХ ОБЩЕСТВЕННОГО 
ПИТАНИЯ ............................................................................................................. 60 
ЗАКЛЮЧЕНИЕ ..................................................................................................... 72 
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ ............................................. 76 
ПРИЛОЖЕНИЯ ..................................................................................................... 86 
 
 

ВВЕДЕНИЕ 
 
В современном мире, где технологии развиваются с большой скоростью, 
вопрос охраны конфиденциальности становится все более актуальным. Это 
особенно актуально в ресторанной сфере, где каждый день миллионы людей 
доверяют свои данные и информацию о своих предпочтениях и 
предпочтительном сервисе. 
Защита конфиденциальности клиентов является одним из главных 
приоритетов ресторанов. Конфиденциальность клиентов означает, что их 
личная информация, такая как имя, номер телефона, электронная почта или 
платежные данные, остается в безопасности и не попадает в руки третьих лиц. 
Чтобы обеспечить охрану конфиденциальности клиентов, рестораны 
должны максимально усилить свою информационную безопасность. Это 
может включать в себя использование защищенных баз данных, шифрование 
данных, использование паролей и многое другое. Установка физических 
систем безопасности, например, видеонаблюдения, также может играть 
важную роль в защите конфиденциальности клиентов. 
В 
условиях 
всё 
более 
возрастающей 
роли 
информации 
и 
информатизации современного общества, возрастает роль своевременного и 
эффективного обмена информацией. Информация, помимо достоверности и 
точности, 
должна 
соответствовать 
обязательным 
требованиям: 
своевременность, достаточность для принятия наилучшего решения, защита 
информации. 
Любое управление, в первую очередь, должно быть качественным. 
Последнее требование определяется уже качеством полученной информации. 
Если оно находится на низком уровне, соответственно, потребуется 
дополнительное время и ресурсы на ее обработку. В настоящее время 
эффективность управления приобретает необходимость особого внимания к 
совершенствованию работы с документами. Именно в документах любое 
решение находит свое выражение, свою окончательную форму. Поэтому за 

счет 
совершенствования 
системы 
документационного 
обеспечения 
управления и повышается уровень движения и исполнения служебных 
документов, 
а 
также 
их 
сохранность, 
использование 
и 
контроль 
конфиденциальности. 
Защита персональных данных стала одной из главных проблем в области 
информационной безопасности. Компании, которые не обеспечивают 
достаточную защиту персональных данных своих клиентов и сотрудников, 
могут стать жертвами кибератак и потерять доверие клиентов. С развитием 
технологий и широким использованием интернета, вопросы защиты 
персональных данных стали особенно актуальными. В связи с этим, 
разрабатываются различные системы защиты, которые призваны обеспечить 
безопасность и конфиденциальность личной информации. В учебном пособии 
будет рассмотрена защита персональных в ресторанном бизнесе, а также будут 
предложены рекомендации по обеспечению их безопасности и автоматизации. 
Актуальность темы исследования заключается в повышенном 
внимании к грамотно организованному документообороту предприятия 
общественного питания, от которого зависит эффективность управления 
организацией, независимо от его организационно-правовой формы, поэтому 
правильно организованное делопроизводство поднимает на более высокий 
уровень 
его 
функционирование. 
В 
том 
случае, 
если 
управление 
документацией на предприятии организовано правильно, то данный фактор 
позволит сформировать его информационные ресурсы, тем самым обеспечив 
их плодотворное функционирование. Помимо этого, потребителям будет 
открыт доступный информационный источник, которым они смогут 
воспользоваться с наименьшими затратами времени, труда и средств.  
Информационную безопасность и систему контроля безопасности 
персональных данных рассматривали такие отечественные авторы как: В.К. 
Белозеров, Н.А. Васильева, М.А. Гареев, С.Б. Иванов, Л.Г. Ивашов, С.А. 
Комов, А.В. Лукин, И.Ф. Луппов, К.А. Панцирев, А.В. Понеделков, Д.О. 

Рогозин, А.С. Сергунин, А.А. Стрельцов, О.Ф. Шабров, Д.Н. Шакин, Е.Б. 
Шестопал и другие. 
Большинство авторов отмечают, что в современном мире каждая 
организация собирает, обрабатывает и хранит огромные объемы личных 
данных, которые выступают в роли пользователей, клиентов, сотрудников. В 
основном вся эта информация является конфиденциальной, и ее утечка, 
потеря, хищение может иметь негативные последствия, как для человека, в 
целом, так и для организации. 
В рамках исследования предполагается рассмотреть деятельность 
ресторанного бизнеса. Привлечение квалифицированного персонала является 
залогом эффективного развития компании. Компания привлекает кадры, как 
на постоянной основе, так и для реализации отдельных проектов, что 
определяет необходимость организации качественного документооборота. 
Объектом исследования является система защиты персональных 
данных.  
Предмет исследования – особенности защиты персональных данных 
ресторанном бизнесе. 
Целью исследовательской работы является анализ особенностей 
защиты персональных данных в деятельности ресторана. 
Для достижения поставленной цели требуется решить следующие 
задачи: 
− 
изучить теоретические основы организации делопроизводства и 
документооборота с учетом требований по защите персональных 
данных; 
− 
провести анализ технологий и систем контроля безопасности 
персональных данных в ресторанном бизнесе; 
− 
выявить проблемы контроля безопасности персональных данных и 
разработать мероприятия по оптимизации условий их защиты. 
В качестве теоретической основы при написании работы были 
использованы законы и другие нормативно-правовые акты, специальная 

литература, научные труды российских ученых и исследователей в области 
документооборота и делопроизводства. Также были использованы данные 
судебной практики. 
Методологической основой стали общенаучные (анализ, синтез) 
методы, а также методы сравнения, статистический методы.  
Научная работа состоит из введения, двух глав, включающих в себя семь 
параграфов, заключения, списка использованных источников, приложений.  

1. ТЕОРЕТИКО-МЕТОДОЛОГИЧЕСКИЕ ВОПРОСЫ ЗАЩИТЫ 
ПЕРСОНАЛЬНЫХ ДАННЫХ 
 
1.1 Основные понятия, характеризующие персональные данные и их 
использование 
Почти все компании в России — операторы персональных данных (ПД), 
так как обрабатывают как минимум сведения о сотрудниках. Поэтому всем 
важно знать требования к работе с ПД и иметь необходимый перечень 
документов, иначе за нарушения в этой сфере компания может получить 
штраф. 
Организации, которые собирают и хранят данные сотрудников, а 
зачастую и клиентов, по ст. 3 закона от 27.07.2006 № 152-ФЗ «О персональных 
данных» (далее – закон № 152-ФЗ) называют операторами персональных 
данных. Этот же закон устанавливает требования к пакету документов, 
которые должны быть у каждого оператора ПД, чтобы он мог корректно 
обрабатывать информацию. 
Закон устанавливает ряд общих требований, а некоторые статьи 
содержат прямые указания на наличие конкретного документа. Например, в 
организации должны быть: 
1. 
Согласие на обработку ПД — регулируется ст. 9 закона № 152-ФЗ. 
2. 
Согласие на обработку ПД несовершеннолетнего — регулируется той 
же статьей. 
3. 
Согласие на распространение ПД. Такой документ оформляют отдельно 
от других согласий. В нем определяют конкретный список сведений по 
каждой категории, которые сотрудник разрешает распространять. Если 
такой документ с сотрудником не подписали, то компания обрабатывает 
данные без права распространения. 
4. 
Согласие на передачу ПД работника третьей стороне. 
5. 
Правила обработки ПД. По-другому этот документ иногда называют 
Положением об обработке и защите ПД. В этом ЛНА определяют, какие 

данные будут обрабатываться и в какие сроки, как и в течение какого 
времени их хранить и как уничтожать. 
6. 
Приказ о назначении ответственного за организацию обработки ПД. 
7. 
Приказ о допуске к обработке ПД — определяет, сотрудники каких 
должностей могут обрабатывать ПД для реализации своих трудовых 
функций. 
8. 
Политика оператора в отношении обработки ПД. 
9. 
Политика конфиденциальности ПД посетителей сайта. 
10. 
Приказ об утверждении политики оператора в отношении обработки 
ПД. 
Это не полный перечень документов — остальные указаны в ст. 9, 18, 
19 закона 152-ФЗ. 
Чтобы разработать документацию по работе с ПД, нужно не только 
выполнить требования 152-ФЗ, но и обратиться к другим законодательным 
актам. В частности, необходимо руководствоваться следующими НПА: 
Постановление Правительства от 15.09.2008 № 687. 
Постановление Правительства от 01.11.2012 № 1119. 
Приказ ФСБ от 10.07.2014 № 378. 
Приказ ФСТЭК от 18.02.2013 № 21. 
Приказа ФСТЭК № 21 от 18.02.13. 
Приказ Роскомнадзора № 180 от 28.10.22. 
Приказ Роскомнадзора № 179 от 28.10.22. 
Приказ Роскомнадзора № 94 от 30.05.17. 
В 2023 году Роскомнадзор (РКН) уделил большое внимание работе с 
утечками ПД. В приказе РКН от 14.11.2022 № 187 утвердили порядок 
взаимодействия РКН и оператора ПД в случае, если последний допустил 
утечку сведений. Кроме того, в приказе указано, какую информацию нужно 
прописать в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 закона 
№ 152-ФЗ. 

С марта 2023 года оператору ПД нужно проводить оценку 
потенциального вреда субъекту ПД, требования к которой устанавливает 
приказ РКН от 27.10.2022 № 178. Оценивать степень вреда может специальная 
комиссия или сотрудник, который несет ответственность за обработку ПД. 
Результаты такой оценки оформляют актом — его содержание и форму подачи 
устанавливают п. 4 и 5 приложения к приказу № 178. То есть акт — это еще 
один обязательный документ, наличие которого может проверить РКН. 
Еще одно правило касается уничтожения ПД. По 152-ФЗ, это нужно 
делать в следующих случаях: 
Сведения обрабатывались неправомерно, например, без согласия лица. 
Цели, для которых собирали информацию, достигнуты. 
Субъект ПД отозвал согласие. 
То, что данные и в самом деле уничтожены, нужно подтвердить актом 
(приказ РКН от 28.10.2022 № 179), который содержит информацию из п. 3 
приложения 
к 
данному 
приказу. 
При 
уничтожении 
компьютерной 
информации, помимо акта, делают выгрузку из журнала регистрации событий 
в информационной системе ПД. Требования к составу выгрузки устанавливает 
п. 5 приложения к приказу № 179. 
В 2023 году продолжает действовать мораторий на плановые проверки 
бизнеса. При этом по решению главы или замглавы РКН могут назначить 
внеплановую проверку компании (в том числе аккредитованной ITорганизации), которая допустила утечку ПД в Интернет. 
В общем случае ответственность за нарушение закона № 152-ФЗ 
устанавливает ст. 13.11 КоАП. Так, если не выполняются требования об 
уничтожении ПД, предприниматель может получить штраф до 40 тысяч 
рублей; должностное лицо — до 20 тысяч рублей, юридическое лицо – до 90 
тысяч рублей. 
За обработку данных лица без согласия, если по закону его нужно 
получить в письменном виде, ответственное лицо могут оштрафовать на 
сумму до 40 тысяч рублей, а компанию — до 150 тысяч. Для ИП