11.12.2023

Персональные данные: определение, обработка, защита

Министерство транспорта Российской Федерации является федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере гражданской авиации.

В целях обеспечения деятельности Министерства транспорта Российской Федерации федеральное государственное унитарное предприятие «ЗащитаИнфоТранс Министерства транспорта Российской Федерации» (далее по тексту – Предприятие) осуществляет:

Согласно определению, данному в п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и уточнению, приведённому в п. 2.5 Методических рекомендациях Роскомнадзора, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94, персональные данные – это любая информация, относящаяся прямо или косвенно к определяемому физическому лицу (субъекту персональных данных). К персональным данным относятся любые сведения, которые позволяют идентифицировать человека (вместе и по отдельности):

При организации обслуживания пассажиров, грузоотправителей и грузополучателей в производственных информационных системах авиакомпаний и аэропортов происходит обработка персональных данных пассажиров, в том числе данных, позволяющих однозначно идентифицировать субъекта персональных данных.

В соответствии с п. 3 ст. 3 Закона № 152-ФЗ, обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Таким образом, в ходе таких процессов обслуживания пассажиров как: регистрация и обработка багажа, проведение посадки пассажиров, организация предоставления услуг пассажирам задержанных рейсов, обработка грузов отправителями и/или получателями которых являются физические лица или индивидуальные предприниматели, и ряда других производственных процессов, происходит обработка персональных данных.

Такая обработка персональных данных предусмотрена международными договорами и необходима для исполнения договора воздушной перевозки, стороной которого или выгодоприобретателем, по которому является субъект персональных данных – пассажир (грузоотправитель/грузополучатель). Таким образом, при обслуживании пассажиров (грузоотправителей/грузополучателей) в целях исполнения договора воздушной перевозки отдельное согласие на обработку персональных данных не требуется. Аэропорты и компании по наземному обслуживанию при выполнении таких операций являются операторами персональных данных, независимо от того, кто является собственником производственной информационной системы, в которой происходит обработка персональных данных.

Предприятием проведён анализ содержания сообщений в формате Type B, разработанном и поддерживаемом Международной ассоциацией воздушного транспорта ИАТА. В результате анализа установлены типы сообщений, содержащих персональные данные. Приведённый в таблице 1 перечень не является исчерпывающим, в нём приводятся наиболее распространённые и часто используемые типы сообщений.

Таблица 1.

Тип сообщения

Объём персональных данных

ADL

ADDITIONS, CHANGES AND DELETIONS TO PNL

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.), пол, дата рождения, номер документа.

ASL

Additional Service List

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.).

BSM

BAGGAGE SOURCE MESSAGE

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.).

ETL

ELECTRONIC TICKET LIST MESSAGE

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.).

FSL

STATUS UPDATE LIST

Фамилия, титул в случаях, когда грузополучателем является частное лицо или индивидуальный предприниматель.

FSU

STATUS UPDATE

Фамилия, титул в случаях, когда грузополучателем является частное лицо или индивидуальный предприниматель.

FTL

FREQUENT TRAVELLER LIST MESSAGE

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.).

FWB

AIRWAYBILL DATA

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.) адрес, контактная информация в том объёме, в котором они содержатся в грузовой авианакладной в случаях, когда грузоотправителем и/или грузополучателем является частное лицо или индивидуальный предприниматель.

Фамилия, имя, контактная информация грузополучателя, если указана в грузовой авианакладной в остальных случаях.

PFS поимённый

PASSENGER FINAL SALES MESSAGE

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.)

PIL

PASSENGER INFORMATION LIST

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.)

PNL

PASSENGER NAME LIST/MESSAGE

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.), пол, дата рождения, номер документа

PRL

PASSENGER RECONCILIATION LIST

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.), пол, дата рождения, номер документа

PSM

STANDARD PASSENGER SERVICE MESSAGE

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.)

PTM поимённый

PASSENGER TRANSFER MESSAGE

Фамиля, имя, (отчество полностью или часть отчества, или второе имя и т.п.)

TPM

TELETYPE PASSENGER MANIFEST

Фамилия, имя, (отчество полностью или часть отчества, или второе имя и т.п.)

Так как значительная часть сообщений содержит только фамилию, имя (отчество полностью или часть отчества, или второе имя), уточняем, что фамилия и инициалы гражданина относятся к персональным данным субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. Фамилия, имя, отчество наряду с другими способами используются для идентификации отдельного гражданина среди других. По своей природе это идентификатор, основанный на комбинациях трех параметров: фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. Вместе с тем, во всех приведённых типах сообщений содержится информация, позволяющая, как минимум, установить также дату, время и место нахождения субъекта персональных данных, а также намерение совершить воздушную перевозку.

Особое внимание стоит обратить на то, что сообщения PNL, ADL и PSM могут содержать коды специального обслуживания, указывающие на ограниченные физические возможности субъекта персональных данных. Коды специального обслуживания не являются сведениями ограниченного распространения, и доступны для ознакомления неограниченному числу лиц.

В соответствии с ч.1 ст. 19 Закона № 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Поскольку к информационным системам персональных данных относятся не только базы данных, но и информационные технологии (п. 10 ст. 3 Закона № 152-ФЗ). А информационные технологии включают в себя процессы, методы сбора, поиска, хранения информации и способы осуществления таких методов (п. 2 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ). Письмо по электронной почте - это электронное сообщение или электронный документ, то есть информация в электронной форме, пригодная для передачи и обработки в информационных системах (п. 10 и п. 11.1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ). То есть, передача персональных данных посредством электронной почты является информационной технологией для обработки баз данных. Передача (подготовка к передаче) персональных данных по электронной почте осуществляется по каналам связи, имеющим выход за пределы контролируемой зоны по TCP-портам: IMAP – 143 и 993; POP3 – 110 и 995; SMTP – 25, 587 и 465; HTTP – 80; HTTPS – 443.

В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 №21, оператор персональных данных при передаче (подготовке передачи) персональных данных по электронной почте выполняет следующие меры безопасности персональных данных:

Реализация базовой меры ЗИС.3 обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и применения с использованием сертифицированных ФСБ России средств, в соответствии с Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 №152.

С учетом вышеизложенного передача (подготовка передачи) персональных данных по электронной почте без использования сертифицированных ФСБ России средств не обеспечивает защиту персональных данных от раскрытия, модификации и навязывания (ввода ложной информации). Передача (подготовка к передаче) персональных данных по электронной почте без использования, сертифицированных ФСБ России средств, является фактом разглашения персональных данных и нарушением требований к защите персональных данных.

С позиции законодательства РФ, нарушением будет являться, например, организация работы «клиентов» систем бронирования авиабилетов, регистрации пассажиров, обработки багажа, розыска багажа и других систем без обеспечения шифрования данных обеспечивающего требования ГОСТ РФ 28147–89.

По данным Роскомнадзора, за 2022 год было зарегистрировано более 140 утечек персональных данных россиян, в сеть попали более 600 млн записей. 27 марта 2021 года вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличил штрафы за нарушения в работе с персональными данными.

Согласно действующего законодательства: