Министерство транспорта Российской Федерации является федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере гражданской авиации.
В целях обеспечения деятельности Министерства транспорта Российской Федерации федеральное государственное унитарное предприятие «ЗащитаИнфоТранс Министерства транспорта Российской Федерации» (далее по тексту – Предприятие) осуществляет:
Согласно определению, данному в п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и уточнению, приведённому в п. 2.5 Методических рекомендациях Роскомнадзора, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94, персональные данные – это любая информация, относящаяся прямо или косвенно к определяемому физическому лицу (субъекту персональных данных). К персональным данным относятся любые сведения, которые позволяют идентифицировать человека (вместе и по отдельности):
При организации обслуживания пассажиров, грузоотправителей и грузополучателей в производственных информационных системах авиакомпаний и аэропортов происходит обработка персональных данных пассажиров, в том числе данных, позволяющих однозначно идентифицировать субъекта персональных данных.
В соответствии с п. 3 ст. 3 Закона № 152-ФЗ, обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Таким образом, в ходе таких процессов обслуживания пассажиров как: регистрация и обработка багажа, проведение посадки пассажиров, организация предоставления услуг пассажирам задержанных рейсов, обработка грузов отправителями и/или получателями которых являются физические лица или индивидуальные предприниматели, и ряда других производственных процессов, происходит обработка персональных данных.
Такая обработка персональных данных предусмотрена международными договорами и необходима для исполнения договора воздушной перевозки, стороной которого или выгодоприобретателем, по которому является субъект персональных данных – пассажир (грузоотправитель/грузополучатель). Таким образом, при обслуживании пассажиров (грузоотправителей/грузополучателей) в целях исполнения договора воздушной перевозки отдельное согласие на обработку персональных данных не требуется. Аэропорты и компании по наземному обслуживанию при выполнении таких операций являются операторами персональных данных, независимо от того, кто является собственником производственной информационной системы, в которой происходит обработка персональных данных.
Предприятием проведён анализ содержания сообщений в формате Type B, разработанном и поддерживаемом Международной ассоциацией воздушного транспорта ИАТА. В результате анализа установлены типы сообщений, содержащих персональные данные. Приведённый в таблице 1 перечень не является исчерпывающим, в нём приводятся наиболее распространённые и часто используемые типы сообщений.
Таблица 1.
Тип сообщения |
Объём персональных данных |
|
ADL |
ADDITIONS, CHANGES AND DELETIONS TO PNL |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.), пол, дата рождения, номер документа. |
ASL |
Additional Service List |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.). |
BSM |
BAGGAGE SOURCE MESSAGE |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.). |
ETL |
ELECTRONIC TICKET LIST MESSAGE |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.). |
FSL |
STATUS UPDATE LIST |
Фамилия, титул в случаях, когда грузополучателем является частное лицо или индивидуальный предприниматель. |
FSU |
STATUS UPDATE |
Фамилия, титул в случаях, когда грузополучателем является частное лицо или индивидуальный предприниматель. |
FTL |
FREQUENT TRAVELLER LIST MESSAGE |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.). |
FWB |
AIRWAYBILL DATA |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.) адрес, контактная информация в том объёме, в котором они содержатся в грузовой авианакладной в случаях, когда грузоотправителем и/или грузополучателем является частное лицо или индивидуальный предприниматель. Фамилия, имя, контактная информация грузополучателя, если указана в грузовой авианакладной в остальных случаях. |
PFS поимённый |
PASSENGER FINAL SALES MESSAGE |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.) |
PIL |
PASSENGER INFORMATION LIST |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.) |
PNL |
PASSENGER NAME LIST/MESSAGE |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.), пол, дата рождения, номер документа |
PRL |
PASSENGER RECONCILIATION LIST |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.), пол, дата рождения, номер документа |
PSM |
STANDARD PASSENGER SERVICE MESSAGE |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.) |
PTM поимённый |
PASSENGER TRANSFER MESSAGE |
Фамиля, имя, (отчество полностью или часть отчества, или второе имя и т.п.) |
TPM |
TELETYPE PASSENGER MANIFEST |
Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.) |
Так как значительная часть сообщений содержит только фамилию, имя (отчество полностью или часть отчества, или второе имя), уточняем, что фамилия и инициалы гражданина относятся к персональным данным субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. Фамилия, имя, отчество наряду с другими способами используются для идентификации отдельного гражданина среди других. По своей природе это идентификатор, основанный на комбинациях трех параметров: фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. Вместе с тем, во всех приведённых типах сообщений содержится информация, позволяющая, как минимум, установить также дату, время и место нахождения субъекта персональных данных, а также намерение совершить воздушную перевозку.
Особое внимание стоит обратить на то, что сообщения PNL, ADL и PSM могут содержать коды специального обслуживания, указывающие на ограниченные физические возможности субъекта персональных данных. Коды специального обслуживания не являются сведениями ограниченного распространения, и доступны для ознакомления неограниченному числу лиц.
В соответствии с ч.1 ст. 19 Закона № 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Поскольку к информационным системам персональных данных относятся не только базы данных, но и информационные технологии (п. 10 ст. 3 Закона № 152-ФЗ). А информационные технологии включают в себя процессы, методы сбора, поиска, хранения информации и способы осуществления таких методов (п. 2 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ). Письмо по электронной почте - это электронное сообщение или электронный документ, то есть информация в электронной форме, пригодная для передачи и обработки в информационных системах (п. 10 и п. 11.1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ). То есть, передача персональных данных посредством электронной почты является информационной технологией для обработки баз данных. Передача (подготовка к передаче) персональных данных по электронной почте осуществляется по каналам связи, имеющим выход за пределы контролируемой зоны по TCP-портам: IMAP – 143 и 993; POP3 – 110 и 995; SMTP – 25, 587 и 465; HTTP – 80; HTTPS – 443.
В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 №21, оператор персональных данных при передаче (подготовке передачи) персональных данных по электронной почте выполняет следующие меры безопасности персональных данных:
Реализация базовой меры ЗИС.3 обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и применения с использованием сертифицированных ФСБ России средств, в соответствии с Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 №152.
С учетом вышеизложенного передача (подготовка передачи) персональных данных по электронной почте без использования сертифицированных ФСБ России средств не обеспечивает защиту персональных данных от раскрытия, модификации и навязывания (ввода ложной информации). Передача (подготовка к передаче) персональных данных по электронной почте без использования, сертифицированных ФСБ России средств, является фактом разглашения персональных данных и нарушением требований к защите персональных данных.
С позиции законодательства РФ, нарушением будет являться, например, организация работы «клиентов» систем бронирования авиабилетов, регистрации пассажиров, обработки багажа, розыска багажа и других систем без обеспечения шифрования данных обеспечивающего требования ГОСТ РФ 28147–89.
По данным Роскомнадзора, за 2022 год было зарегистрировано более 140 утечек персональных данных россиян, в сеть попали более 600 млн записей. 27 марта 2021 года вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличил штрафы за нарушения в работе с персональными данными.
Согласно действующего законодательства: