GDPR за хотели и туризъм — регистрация на гости, паспортни данни и ЕСТИ
Хотелите обработват лични данни при всяко настаняване — имена, ЕГН, паспортни номера, адреси, данни за плащане. С въвеждането на ЕСТИ и нарастващите изисквания на GDPR, туристическият сектор трябва да балансира между законовото задължение за регистрация и принципа за минимизация на данните. Това ръководство покрива всичко — от регистрацията на гости до OTA платформите, WiFi и видеонаблюдението.
Съдържание
- Регистрация на гости — Закон за туризма (чл. 116)
- ЕСТИ — Единна система за туристическа информация
- Копиране на паспорт/лична карта — защо е забранено
- Видеонаблюдение в хотели
- WiFi и събиране на данни чрез captive portal
- Маркетинг към бивши гости — soft opt-in
- OTA платформи — Booking.com, Airbnb и GDPR
- Срокове за съхранение на данни
- Често задавани въпроси
1. Регистрация на гости — Закон за туризма (чл. 116)
Чл. 116 от Закона за туризма задължава всеки хотелиер да води регистър на настанените туристи. Това е законово задължение и представлява правно основание по чл. 6(1)(в) от GDPR — обработване, необходимо за спазване на юридическо задължение.
Обемът на данните, които се събират, зависи от гражданството на госта:
Данни за български граждани и граждани на ЕС/ЕИП
- Пълно име
- Дата на раждане
- Гражданство
- Номер на документ за самоличност (лична карта или паспорт)
- Постоянен адрес
- Дата на настаняване и напускане
Данни за граждани на трети страни (извън ЕС)
За чужденци от трети страни се събират допълнителни данни, свързани със задълженията по Закона за чужденците в Република България:
- Всички данни, посочени по-горе
- Номер на виза (ако е приложимо)
- Входен номер и дата на влизане в страната
- Цел на посещението
Правно основание: юридическо задължение, не съгласие
Хотелиерът не се нуждае от съгласието на госта за събиране на тези данни. Правното основание е чл. 6(1)(в) GDPR — спазване на юридическо задължение по Закона за туризма. Гостът не може да откаже предоставянето на данни и едновременно с това да бъде настанен — регистрацията е законово задължителна.
2. ЕСТИ — Единна система за туристическа информация
ЕСТИ (Единна система за туристическа информация) е централизирана електронна система, управлявана от Министерството на туризма и свързана в реално време с МВР, НАП и общините. Задължителна е за всички места за настаняване в България от октомври 2019 г.
Как работи ЕСТИ?
При настаняване на гост, хотелиерът въвежда данните в ЕСТИ в рамките на определения срок. Системата автоматично:
Регистрация при МВР
Данните за чужди граждани се предават автоматично на органите на МВР за контрол на пребиваването и миграцията.
Изчисляване на туристически данък
Общините получават информация за броя нощувки и автоматично изчисляват дължимия туристически данък.
Данъчен контрол (НАП)
НАП получава данни за заетостта и приходите, което улеснява данъчния контрол на туристическия бизнес.
Статистика
Агрегирани данни се използват за национална туристическа статистика, без разкриване на лични данни на индивидуални гости.
Правно основание по GDPR
Обработването на данни чрез ЕСТИ се основава на чл. 6(1)(в) от GDPR — спазване на юридическо задължение. Законът за туризма и подзаконовите актове създават конкретно и ясно задължение за хотелиерите. Министерството на туризма действа като администратор на ЕСТИ, а хотелиерите — като обработващи данни при въвеждането.
Внимание: двойна регистрация
Някои хотели все още водят и хартиен регистър паралелно с ЕСТИ. Ако правите това, имате две копия на лични данни и трябва да осигурите защита и на двете. При проверка от КЗЛД ще трябва да обосновете защо поддържате два регистъра и дали хартиеният е наистина необходим. Помислете за преминаване изцяло към електронна регистрация.
3. Копиране на паспорт/лична карта — защо е забранено
Едно от най-честите нарушения в хотелиерството е ксерокопирането или сканирането на лични карти и паспорти на гости. Тази практика е незаконна по няколко основания.
Какво казва законодателството?
| Правна норма | Изискване |
|---|---|
| Закон за туризма (чл. 116) | Изисква конкретни данни (име, дата на раждане, номер на документ и др.), но НЕ изисква фотокопие на документа за самоличност. |
| Закон за българските лични документи (чл. 18) | Изрично забранява копирането, сканирането и фотографирането на лични карти, освен в изрично предвидените от закона случаи (банки, нотариуси и др.). Хотелите НЕ са сред изключенията. |
| GDPR чл. 5(1)(в) | Принципът за минимизация на данните — събират се само данните, които са адекватни, свързани и ограничени до необходимото за целта. Фотокопие съдържа повече данни от необходимите. |
| AEPD (Испания), юни 2025 | Испанският надзорен орган наложи санкция на хотелска верига за копиране на паспорти, потвърждавайки, че визуалната проверка и вписване на полета е достатъчна. |
Защо фотокопието е проблем?
Копие на лична карта или паспорт съдържа много повече данни, отколкото Законът за туризма изисква: снимка, подпис, МРЗ (machine-readable zone), баркодове, понякога биометрични данни. Съхраняването на тези данни създава сериозен риск при теч — документът може да бъде използван за кражба на самоличност, фалшифициране или измами. Фотокопие без основание нарушава и чл. 18 от ЗБЛД с глоба от 2 000 до 10 000 лв.
Правилна практика: визуална проверка + вписване
Вместо да копирате документа, следвайте тези стъпки:
1. Помолете госта да покаже документа за самоличност.
2. Визуално проверете автентичността на документа.
3. Впишете ръчно или електронно само необходимите полета: пълно име, дата на раждане, гражданство, номер и валидност на документа.
4. Върнете документа незабавно на госта.
Тази практика изпълнява изискванията на Закона за туризма и е в пълно съответствие с GDPR.
4. Видеонаблюдение в хотели
Видеонаблюдението е широко разпространено в хотелите за осигуряване на сигурност на гости и персонал. Правното основание обикновено е чл. 6(1)(е) от GDPR — легитимен интерес. Но GDPR поставя ясни граници.
Разрешени зони за камери
- Входове и фоайе (рецепция)
- Паркинги
- Коридори
- Ресторант и лоби бар (общи зони)
- Складови помещения
- Периметър на сградата (външни камери)
Забранени зони за камери
- Хотелски стаи — абсолютна забрана
- Тоалетни и бани — абсолютна забрана
- СПА зони, сауни, съблекални — абсолютна забрана
- Стаи за почивка на персонала
- Медицински кабинети (ако хотелът разполага с такъв)
Задължителни мерки при видеонаблюдение
Информационни табели
Видими знаци на всеки вход с камери: кой наблюдава, с каква цел, контакт на администратора/DPO. Съгласно Насоки 3/2019 на EDPB.
DPIA за големи хотели
Хотели с голям капацитет (над 100 стаи) или множество камери трябва да направят оценка на въздействието (DPIA) по чл. 35 GDPR.
Срок на съхранение: 24–72 часа
Записите трябва да се изтриват автоматично след 24–72 часа. По-дълъг срок (до 30 дни) — само при конкретен инцидент.
Контрол на достъпа
Само определени служители (управител, охрана) имат достъп до записите. Водете дневник на всеки преглед на записи.
За подробно ръководство относно GDPR изискванията за видеонаблюдение, вижте: Видеонаблюдение и GDPR.
5. WiFi и събиране на данни чрез captive portal
Повечето хотели предлагат безплатен WiFi на гостите си, често чрез captive portal — страница за вход, която събира данни преди предоставяне на достъп до интернет. Тук GDPR и Директивата за ePrivacy се прилагат едновременно.
Какви данни събира captive portal?
- Идентификационни данни: име, номер на стая, имейл адрес
- Технически данни: MAC адрес на устройството, IP адрес, времеви печати
- Данни за използване: продължителност на сесията, обем трафик
Маркетинг чрез WiFi — само с отделно съгласие
Ако използвате captive portal за събиране на имейли за маркетингови цели, маркетинговото съгласие трябва да бъде отделно от съгласието за достъп до WiFi. Не можете да поставяте условие „дайте имейл за маркетинг, за да получите WiFi" — това нарушава принципа за свободно дадено съгласие (чл. 7(4) GDPR). Трябва да има ясна отметка (opt-in), която не е предварително маркирана.
ePrivacy и бисквитки на captive portal
Ако captive порталът поставя бисквитки или тракери, те подлежат на същите правила като всеки уебсайт — необходимо е съгласие за нефункционални бисквитки. Прочетете повече в нашата статия: GDPR, бисквитки и cookies consent.
6. Маркетинг към бивши гости — soft opt-in
Много хотели желаят да изпращат маркетингови имейли на бивши гости — специални оферти, сезонни промоции, програми за лоялност. GDPR и Директивата за ePrivacy предоставят специално изключение (soft opt-in), което улеснява тази практика.
Какво е soft opt-in?
Съгласно чл. 13(2) от Директивата за ePrivacy (транспонирана в чл. 261 от Закона за електронните съобщения), ако сте получили имейла на госта в контекста на предоставена услуга (хотелско настаняване), можете да му изпращате маркетинг за подобни собствени услуги без изрично предварително съгласие, при следните условия:
- Имейлът е получен при реална транзакция — гостът е бил настанен в хотела ви
- Маркетингът е за подобни услуги — нощувки, пакети, ресторант, СПА в същия хотел/верига
- Информирали сте госта при събиране на имейла, че може да получава маркетинг
- Предоставяте лесен начин за отказ (unsubscribe линк) при всяко съобщение
Практическа реализация
При чекин или в потвърждението на резервацията, включете кратко уведомление: „Може да получавате имейли с оферти за бъдещи престои. Можете да се откажете по всяко време." Включете unsubscribe линк във всеки маркетингов имейл. Не е необходима изрична отметка за съгласие, но гостът трябва да може лесно да се откаже.
Кога soft opt-in НЕ се прилага
1. Маркетинг от трети страни (партньорски хотели, екскурзии, рент-а-кар) — необходимо е изрично съгласие.
2. SMS маркетинг — soft opt-in обикновено не покрива SMS, освен ако националното законодателство не го допуска изрично.
3. Гости, които не са се настанявали (само запитване) — няма „продажба", следователно няма soft opt-in.
7. OTA платформи — Booking.com, Airbnb и GDPR
Повечето хотели работят с онлайн туристически агенции (OTA) като Booking.com, Airbnb, Expedia и др. Въпросът за GDPR отговорността е ключов.
Ролите по GDPR
Хотелът и OTA платформата са независими администратори на лични данни (не съвместни администратори). Всеки определя самостоятелно целите и средствата на обработка на данните в своя обхват:
| Аспект | OTA (Booking.com и др.) | Хотел |
|---|---|---|
| Роля по GDPR | Независим администратор | Независим администратор |
| Обхват на данните | Резервация, плащане чрез платформата, потребителски профил, ревюта | Настаняване, регистрация, ЕСТИ, маркетинг, видеонаблюдение |
| Отговорност при теч | Самостоятелна — за данните в платформата | Самостоятелна — за данните при настаняване |
| Политика за поверителност | Собствена | Собствена — вижте как да изготвите |
Booking.com — глоба от €475 000 за закъсняло уведомление
През 2020 г. холандският надзорен орган (Autoriteit Persoonsgegevens) наложи глоба от €475 000 на Booking.com за закъсняло уведомление при нарушение на сигурността на данни. Инцидентът засегна данни на над 4 000 клиенти, включително данни за кредитни карти. Booking.com уведоми надзорния орган 22 дни след узнаването, вместо в рамките на 72 часа по чл. 33 GDPR.
Урокът за хотелите: ако получите информация за теч от OTA, трябва да реагирате незабавно и спрямо своите собствени задължения.
Практически съвети при работа с OTA:
- Имайте собствена политика за поверителност, независима от тази на OTA
- Не разчитайте, че OTA е уведомила госта за вашата обработка — вие сте длъжни да предоставите информация по чл. 13/14 GDPR
- При получаване на данни от OTA, проверете каква информация ви е предадена и дали не съдържа повече данни от необходимото
- Изтривайте данни от OTA резервации след изтичане на срока за съхранение — не ги пазете безсрочно
8. Срокове за съхранение на данни
Принципът за ограничение на съхранението (чл. 5(1)(д) GDPR) изисква данните да не се пазят по-дълго от необходимото. В хотелиерството действат различни срокове за различни категории данни:
| Тип данни | Срок | Правно основание |
|---|---|---|
| ЕСТИ — регистър на гости | 10 години | Закон за туризма + подзаконови актове |
| Счетоводни документи (фактури, касови бележки) | 5 години | Закон за счетоводството (чл. 12) |
| Данъчни документи | 5 години след изтичане на давностния срок | ДОПК |
| Видеонаблюдение (записи) | 30 дни максимум | EDPB Насоки 3/2019; при инцидент — до приключване на разследване |
| Маркетингови данни (имейл, предпочитания) | До оттегляне на съгласие | GDPR чл. 6(1)(а) или soft opt-in; преразглеждайте на всеки 2 години |
| WiFi логове | 6–12 месеца | Легитимен интерес за мрежова сигурност |
| Резервационни данни от OTA | До 1 година след напускане | Изпълнение на договор + легитимен интерес (рекламации) |
| Съгласия за обработка (GDPR) | 5 години след оттегляне | GDPR чл. 7(1) — доказване на съгласие + давностен срок |
Автоматично изтриване
Препоръчваме внедряване на автоматични политики за изтриване в хотелския софтуер (PMS). Много системи (Opera, Mews, Clock PMS и др.) поддържат автоматично анонимизиране на гостови профили след изтичане на зададен период. Това намалява риска от санкции и теч на данни.
Често задавани въпроси
Може ли хотел да копира лична карта или паспорт на гост?
НЕ. Законът за туризма (чл. 116) изисква конкретни данни (име, дата на раждане, гражданство, номер на документ), но не и фотокопие. Копирането на лични карти е забранено от ЗБЛД (чл. 18), а по GDPR нарушава принципа за минимизация (чл. 5(1)(в)). Правилната практика е визуална проверка и вписване само на необходимите полета.
Какво е ЕСТИ и задължително ли е?
ЕСТИ е Единната система за туристическа информация — централизирана електронна система, свързана с МВР, НАП и общините. Задължителна е за всички места за настаняване от октомври 2019 г. Данните се съхраняват 10 години. Правното основание по GDPR е чл. 6(1)(в) — юридическо задължение.
Мога ли да изпращам маркетингови имейли на бивши гости?
Да, при определени условия. Съгласно soft opt-in по чл. 13(2) от Директивата за ePrivacy, можете да изпращате маркетинг за подобни услуги на госта, при условие че сте го информирали и предоставяте лесен начин за отказ (unsubscribe). За маркетинг от трети страни е необходимо изрично съгласие.
Колко време може да се съхраняват записи от камерите в хотела?
Записите от видеонаблюдение трябва да се съхраняват максимално кратко — 24–72 часа за рутинни цели и до 30 дни при наличие на конкретен инцидент. EDPB и КЗЛД препоръчват автоматично изтриване. Прочетете повече: Видеонаблюдение и GDPR.
Какви са отношенията между хотел и Booking.com/Airbnb по GDPR?
Хотелът и OTA платформата са независими администратори на лични данни. Всеки носи самостоятелна отговорност. Хотелът отговаря за данните при настаняване, а OTA — за данните в платформата. Необходимо е хотелът да има собствена политика за поверителност и да информира гостите по чл. 13 GDPR.
Тази статия отразява правното положение към 17 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет относно GDPR съответствие на вашия хотел или туристически обект, моля свържете се с нас.
GDPR одит, документация и обучение за хотели
Нашият екип от юристи и IT специалисти има специфичен опит в туристическия сектор. Предлагаме цялостно GDPR съответствие за хотели, ресторанти и туристически обекти.
- Пълен GDPR одит на хотела и туристическия обект
- Изготвяне на пълна документация: регистри, политика за поверителност, DPIA
- Настройка на ЕСТИ процесите в съответствие с GDPR
- Процедури за видеонаблюдение, WiFi и маркетинг
- Обучение на рецепция, мениджмънт и маркетинг екип
- Подготовка за проверки от КЗЛД и общински органи
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.