Авиабилеты и ПДн

Рынок онлайн-продажи авиабилетов обрабатывает имена, паспортные данные, контакты, платёжную информацию и нередко биометрические данные пассажиров. Каждый из этих потоков создаёт самостоятельное основание ответственности по ФЗ-152 и КоАП. Финансовый директор, оценивающий риски, сталкивается с пятью регуляторными периметрами одновременно: ФЗ-152, КоАП (ст. 13.11), УК РФ (ст. 272.1), ФЗ-572 (ЕБС) и 115-ФЗ (идентификация). Ниже — системный разбор каждого периметра и арифметика штрафов для компании с оборотом от 100 млн ₽.

Какие данные пассажира считаются персональными — и почему это важно финдиректору?

По ст. 3 ФЗ-152 персональные данные — любая информация, прямо или косвенно относящаяся к физическому лицу. При продаже авиабилета оператор собирает минимум пять категорий ПДн: фамилию, имя и отчество; серию и номер паспорта; дату рождения; контактный телефон и email; платёжные реквизиты. Если используется программа лояльности — добавляется история перелётов, позволяющая идентифицировать маршруты и предпочтения конкретного лица. Если сайт передаёт данные в аналитические системы зарубежного провайдера — возникает трансграничная передача по ст. 12 ФЗ-152.

Паспортные данные — общая категория ПДн. Но при оформлении страховки или при скоринге по истории покупок оператор может пересечь границу в зону специальных категорий (ст. 10 ФЗ-152) — если, например, обрабатывает информацию о состоянии здоровья пассажира при запросе специального питания или медицинского сопровождения. Обработка спецкатегорий без явного письменного согласия — нарушение ч. 2 ст. 13.11 КоАП со штрафом 300 000–700 000 ₽.

Ключевая ловушка для финдиректора: объём собираемых данных нередко шире, чем требует исполнение договора. Маркетинговые рассылки, программы лояльности, передача данных партнёрам (отели, трансфер) — каждое из этих направлений требует самостоятельного правового основания. Без него — нарушение принципа цели и соразмерности по ст. 5 ФЗ-152, фиксируемое при проверке РКН.

Как работают ФЗ-572 (ЕБС) и ч. 8 ст. 14.8 КоАП при продаже билетов?

Единая биометрическая система регулируется ФЗ-572 от 29.12.2022. Банки, МФЦ и ряд иных операторов обязаны размещать биометрические данные граждан в ГИС ЕБС. Авиационные операторы и агрегаторы билетов в этот перечень обязанных не входят — но могут использовать ЕБС для идентификации клиента при оплате или при пограничном контроле.

Критически важная норма для финдиректора: согласно ч. 8 ст. 14.8 КоАП, отказать клиенту в обслуживании только на основании нежелания предоставить биометрию в ЕБС — незаконно. Штраф для юрлица — до 500 000 ₽. Это означает, что операционная модель, в которой биометрическая верификация является обязательным условием покупки билета, несёт прямой регуляторный риск.

Для финтех-компаний, работающих в смежных сегментах — скоринг при покупке билетов в рассрочку, МФО, выдающие займы под авиабилет как обеспечение, — возникает отдельная нормативная цепочка: ФЗ-572 по биометрии, ФЗ-218 по кредитной истории (срок хранения 7 лет), ст. 16 ФЗ-152 по автоматизированным решениям на основе исключительно ПДн.

Что требует 115-ФЗ при идентификации пассажира — и где риски для скоринга?

Федеральный закон о противодействии отмыванию денег (115-ФЗ) обязывает финансовые организации идентифицировать клиента до совершения операций выше установленного порога. Для авиационного рынка это актуально при продаже билетов через платёжные агрегаторы, аффилированные с банком или МФО, а также при использовании программ рассрочки.

Скоринг по ст. 16 ФЗ-152 — отдельный риск. Норма требует, чтобы решения, влекущие юридические последствия для субъекта и принятые исключительно на основе автоматизированной обработки его ПДн, были допустимы только при наличии согласия субъекта или прямого указания закона. Если система рассрочки авиаоператора отказывает клиенту в продаже на основании автоматического скоринга — субъект вправе потребовать пересмотра решения человеком. Отсутствие такого механизма фиксируется как нарушение.

Какие сценарии нарушений наиболее вероятны при продаже авиабилетов?

Ниже — три типовые ситуации для оператора из авиационно-финтех сегмента.

Сценарий 1. Передача данных пассажиров зарубежному партнёру без уведомления РКН. Агрегатор передаёт данные в зарубежную систему бронирования (GDS) или аналитическую платформу. Оператор не подал уведомление о трансграничной передаче в страну без адекватной защиты по ст. 12 ФЗ-152. При проверке РКН — протокол по ч. 10 ст. 13.11 КоАП: штраф 100 000–300 000 ₽ за неуведомление о намерении обрабатывать, плюс отдельно — предписание об устранении. Если данные утекли через этого партнёра — квалификация ужесточается до ч. 12–14 ст. 13.11.

Сценарий 2. Утечка базы пассажиров через подрядчика по IT-сопровождению. Технический подрядчик допустил неправомерный доступ к базе с данными 50 000 пассажиров (ФИО, паспорта, email). Согласно позиции судов, оператор отвечает за действия лица, которому поручена обработка, — даже если договор-поручение составлен корректно. Квалификация: ч. 13 ст. 13.11 КоАП (10 000–100 000 субъектов) — штраф 5–10 млн ₽. При повторном инциденте в течение следующего периода — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Ответственность директора по ст. 272.1 УК — если установлено умышленное бездействие при известных уязвимостях.

Сценарий 3. Согласие пассажира встроено в оферту — нарушение с 01.09.2025. До ФЗ-156 от 24.06.2025 согласие на обработку ПДн включалось в договор оферты или правила программы лояльности «галочкой». После 01.09.2025 согласие — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152. Оператор, не переоформивший форму согласия, получает протокол по ч. 2 ст. 13.11: штраф 300 000–700 000 ₽. Для крупного авиаоператора с миллионной базой пассажиров этот риск носит массовый характер.

Как это применяется на практике

Кейс 1. Онлайн-агрегатор авиабилетов (Центральный ФО, осень 2025) получил предписание РКН по итогам плановой проверки. Нарушения: отсутствие договора-поручения с платёжным шлюзом, согласие на маркетинговые рассылки встроено в оферту, уведомление о намерении обрабатывать не обновлялось три года. Штраф по ч. 3 и ч. 10 ст. 13.11 составил в совокупности сотни тысяч рублей; параллельно предписание потребовало привести документацию в соответствие в течение 30 дней. Компания привлекла внешних юристов на стадии обжалования — и удержала штраф на минимальных значениях, применив ст. 4.1.1 КоАП (первичность нарушений).

Кейс 2 (case_S2_pkr_analitika). В деле АС Санкт-Петербурга и Ленинградской области (дело № А56-4733/2026 от 10.03.2026) рассматривался случай утечки около 70 000 субъектов — ФИО, должность, служебный email, телефон — в результате хакерской атаки. Квалификация — ч. 14 ст. 13.11 КоАП. Суд применил смягчающие обстоятельства. Для финдиректора принципиален вывод: утечка через внешнюю атаку не снимает ответственности оператора — и бюджет на защиту должен закладываться заранее, а не после инцидента.

Услуги DATUM по теме

• Аудит соответствия 152-ФЗ — проверка всех точек сбора данных по чек-листу 38 пунктов
• Комплект ОРД под ключ — политика, согласия, договоры-поручения, регламент реагирования
• Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. По ч. 8 ст. 14.8 КоАП отказ в обслуживании по причине нежелания клиента предоставить биометрические данные в ЕБС является административным правонарушением. Штраф для юрлица — до 500 000 ₽. Оператор вправе предлагать биометрическую идентификацию как дополнительный сервис, но не как обязательное условие доступа к основной услуге — продаже авиабилета.

2. Что грозит МФО за утечку данных заёмщиков?

МФО как оператор ПДн несёт ответственность по ст. 13.11 КоАП в редакции с 30.05.2025. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12. От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Более 100 000 — 10–15 млн ₽ по ч. 14. При повторном нарушении — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽. Дополнительно — возможная уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024).

3. Какое правовое основание обработки ПДн клиента в банке или при продаже в рассрочку?

Основное основание — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Это покрывает данные, непосредственно нужные для кредитного договора или договора рассрочки. Для маркетинговых коммуникаций, передачи в БКИ (ФЗ-218) и скоринга — требуются самостоятельные основания: согласие по ст. 9 ФЗ-152 или прямое указание в специальном законе.

4. Где хранится биометрия — в системах оператора или в ЕБС?

По ФЗ-572 от 29.12.2022, хранение исходных биометрических данных вне Государственной информационной системы ЕБС запрещено с 01.06.2023 — для операторов, которые обязаны работать с ЕБС (банки, МФЦ и ряд иных). Оператором ГИС ЕБС является АО «Центр Биометрических Технологий». Авиационные операторы могут использовать ЕБС для идентификации, но самостоятельно хранить биометрию клиентов — только при наличии письменного согласия и в соответствии со ст. 11 ФЗ-152.

5. Как оспорить отказ в кредите, вынесенный автоматически?

По ст. 16 ФЗ-152 субъект вправе потребовать, чтобы решение, принятое исключительно на основе автоматизированной обработки его ПДн и влекущее для него юридические последствия, было пересмотрено уполномоченным лицом оператора. Оператор обязан предоставить такую возможность и разъяснить её клиенту. Отсутствие механизма пересмотра — нарушение ФЗ-152, фиксируемое при проверке РКН.

Итог

Авиационный и финтех-оператор, работающий с данными пассажиров, одновременно находится под действием пяти регуляторных периметров: ФЗ-152, ст. 13.11 КоАП (в ред. с 30.05.2025), ФЗ-572, 115-ФЗ и ст. 272.1 УК. Штраф за утечку 50 000 пассажиров — 5–10 млн ₽ только по одной части КоАП; при повторном нарушении — 1–3% выручки без потолка ниже 20 млн ₽. Цена аудита соответствия — от 100 000 ₽. Это стандартная арифметика бюджета риска.

DATUM сопровождает операторов финансового и транспортного сектора по полному периметру 152-ФЗ: от уведомления в РКН и сборки ОРД до защиты в арбитраже при протоколе по ст. 13.11 КоАП.