ПДн пассажиров авиа
Авиационная отрасль — один из самых сложных сегментов по объёму и разнообразию персональных данных. Перевозчик одновременно выступает оператором ПДн пассажиров, работодателем, участником государственных систем (АС «Мир», база ФСБ, ТСОС) и принципалом по отношению к десяткам подрядчиков: GDS-системам, каршерингу в аэропорту, страховым компаниям, агрегаторам. Каждое из этих взаимодействий порождает самостоятельный правовой риск. С 30.05.2025 санкции по ст. 13.11 КоАП кардинально выросли — в части утечек и нарушений локализации. Ниже — системный разбор для юриста, который сопровождает авиакомпанию или аэропорт.
Какие персональные данные пассажира обрабатывает авиакомпания?
Состав ПДн в авиации шире, чем в большинстве отраслей. Перевозчик собирает несколько категорий данных одновременно.
Идентификационные и паспортные данные. Фамилия, имя, отчество, дата рождения, серия и номер документа — обязательные реквизиты для формирования маршрутной квитанции и передачи в Пограничную службу ФСБ. Правовое основание — исполнение обязанностей оператора перед государственными органами (п. 2 ч. 1 ст. 6 ФЗ-152), а не согласие пассажира.
Контактные данные и данные лояльности. Телефон, email, история рейсов, статус бонусной программы — собираются для исполнения договора перевозки и маркетинговых коммуникаций. Для последних требуется отдельное согласие по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие на рассылку не может быть встроено в договор-оферту или правила программы лояльности.
Специальные категории. Данные о состоянии здоровья (инвалидность, потребность в специальном питании по медицинским показаниям, беременность) относятся к специальным категориям по ст. 10 ФЗ-152. Их обработка допустима только при наличии явного письменного согласия либо в случаях, прямо предусмотренных п. 2 ч. 2 ст. 10 ФЗ-152 (защита жизни и здоровья). Хранение таких данных после завершения перевозки без отдельного основания — нарушение принципа минимизации по ст. 5 ФЗ-152.
Геолокация. Мобильное приложение перевозчика, как правило, запрашивает геолокацию для поиска ближайшего аэропорта и персонализированных предложений. По позиции РКН геолокация — ПДн. Сбор геолокации требует отдельного согласия и отражения в политике конфиденциальности. Передача геолокации зарубежным подрядчикам (например, аналитическим платформам, размещённым вне РФ) квалифицируется как трансграничная передача по ст. 12 ФЗ-152.
Полный состав ПДн не отражён в уведомлении РКН?
Юрист авиакомпании нередко обнаруживает, что уведомление в реестре РКН описывает только «базовые» категории пассажирских данных, оставляя за скобками геолокацию, специальные категории и данные программы лояльности. Расхождение между реальной обработкой и зарегистрированными целями — самостоятельное нарушение по ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽). При повторности — ч. 1.1 (300–500 тыс. ₽). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как авиакомпания передаёт ПДн пассажиров государственным органам?
Авиационная отрасль регулируется специальными требованиями о передаче данных силовым структурам. Эти требования существуют параллельно с ФЗ-152 и создают специфические обязанности.
ФСБ и Пограничная служба. Перевозчик обязан передавать персональные данные пассажиров — паспортные реквизиты, маршрут, дату вылета — в системы ФСБ до отправления рейса. Это обязанность по законодательству о транспортной безопасности, а не самостоятельное основание обработки ПДн: основанием служит п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, предусмотренной законом). Согласие пассажира для такой передачи не требуется, однако информировать его о факте передачи необходимо — в политике конфиденциальности и публичной оферте.
ТСОС и другие государственные системы. Авиационная безопасность предполагает интеграцию с несколькими государственными информационными системами. При каждой такой интеграции необходимо проверить: является ли компания самостоятельным оператором по конкретной базе или действует по поручению государственного органа (п. 3 ст. 6 ФЗ-152). От этого разграничения зависят обязанности по уведомлению РКН и ответственность за инцидент.
GDS-системы и зарубежные агрегаторы. Бронирование через Amadeus, Sabre и аналогичные системы означает передачу ПДн пассажиров серверам, расположенным вне России. Это трансграничная передача по ст. 12 ФЗ-152. До начала такой передачи перевозчик обязан уведомить РКН и убедиться, что страна-получатель включена в перечень адекватной защиты или что получен специальный ответ РКН. Использование GDS само по себе — не нарушение; нарушение — отсутствие уведомления и документального подтверждения оценки рисков.
Что меняет ФЗ-420 для авиаперевозчика с 30.05.2025?
С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей вместо прежних 7. Для авиакомпании с базой в несколько миллионов пассажиров значимы три блока изменений.
Штрафы за утечку масштабированы по объёму базы. Утечка данных 1 000–10 000 субъектов — штраф 3–5 млн ₽ (ч. 12). Утечка 10 000–100 000 субъектов — 5–10 млн ₽ (ч. 13). Утечка свыше 100 000 субъектов — 10–15 млн ₽ (ч. 14). Для перевозчика с базой в миллионы записей даже частичная утечка с высокой вероятностью попадает в ч. 14.
Оборотный штраф при повторности. Если компания уже привлекалась по ч. 12–14 или ч. 15–18 и допустила новую утечку — применяется ч. 15: 1–3% совокупной годовой выручки за прошлый год, не менее 20 млн ₽ и не более 500 млн ₽. Для крупного перевозчика с выручкой в десятки миллиардов рублей потолок 500 млн ₽ — реальный сценарий.
Неуведомление об утечке — отдельный состав. Штраф за нарушение обязанности уведомить РКН в течение 24 часов составляет 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Этот штраф назначается независимо от штрафа за саму утечку. Для авиакомпании, у которой нет отлаженного SLA по реагированию на инциденты, риск получить оба штрафа одновременно — высокий.
Биометрия — отдельный трек. Аэропорты и перевозчики активно внедряют биометрическую идентификацию на посадке. Нарушение требований ст. 11 ФЗ-152 при обработке биометрии (отсутствие письменного согласия, хранение вне ЕБС) — штраф по ч. 16 ст. 13.11. Утечка биометрии — ч. 17, 15–20 млн ₽.
Что подготовить юристу авиакомпании
- Актуальное уведомление в реестре РКН со всеми категориями обрабатываемых ПДн: паспортные данные, геолокация, данные лояльности, специальные категории (ст. 22 ФЗ-152).
- Политика конфиденциальности с разделами о трансграничной передаче (GDS, зарубежные аналитические платформы) и основаниях передачи данных в ФСБ/Пограничную службу.
- Отдельные согласия на маркетинговые рассылки и геолокацию — в редакции с 01.09.2025 по требованиям ФЗ-156 (отдельный документ, полные реквизиты по ст. 9 ФЗ-152).
- Регламент реагирования на инциденты с SLA: фиксация момента обнаружения, ответственное лицо, шаблон первичного уведомления РКН за 24 часа по Приказу РКН №187.
- Договоры с подрядчиками (GDS, каршеринг в аэропорту, страховщики) с условием поручения обработки по п. 3 ст. 6 ФЗ-152 и обязанностью уведомления об инциденте.
Типовые сценарии нарушений и стратегия защиты
Сценарий 1. Утечка через подрядчика. Авиакомпания передаёт данные пассажиров агрегатору для обработки программы лояльности. Агрегатор допускает утечку. Ответственность оператора — перевозчика — не снимается фактом передачи данных по договору. Согласно сложившейся практике, оператор отвечает за действия лица, осуществляющего обработку по его поручению, если договор не предусматривал надлежащих мер защиты и контроля. Стратегия: пересмотреть договоры с подрядчиками; включить право аудита и обязанность страхования ответственности за инциденты. Штраф по ч. 13 ст. 13.11 при базе 70 000 субъектов — 5–10 млн ₽.
Сценарий 2. Геолокация в мобильном приложении без уведомления о трансгранике. Приложение передаёт координаты пассажира в аналитическую платформу, сервер которой находится в ЕС. Уведомление РКН о трансграничной передаче отсутствует. Нарушение — ч. 8 ст. 13.11 КоАП (если данные первично собираются за рубежом) или нарушение ст. 12 ФЗ-152 без уведомления РКН. Стратегия: либо мигрировать аналитику на российский сервер, либо подать уведомление о трансгранике в РКН и дождаться ответа до возобновления передачи.
Сценарий 3. Биометрия на посадке без соответствия требованиям ЕБС. Аэропорт внедрил биометрическое распознавание лиц при посадке. Данные хранятся в собственной базе аэропорта, а не в ЕБС. С 01.06.2023 хранение исходной биометрии вне ЕБС запрещено по ФЗ-572. Нарушение — ч. 16 ст. 13.11. При утечке — ч. 17, штраф 15–20 млн ₽. Стратегия: интеграция с ЕБС через оператора — АО «Центр Биометрических Технологий»; получение письменного согласия пассажира на биометрическую идентификацию по ст. 11 ФЗ-152.
Если юрист авиакомпании ведёт дело по ч. 11–14 ст. 13.11 КоАП или получил предписание РКН — время на реагирование ограничено. Срок на оспаривание постановления — 10 дней с момента вручения. DATUM сопровождает защиту от штрафа в арбитраже с применением ст. 4.1 и ст. 4.1.1 КоАП.
Защитить от штрафа 13.11Как это выглядит на практике
Кейс 1. Крупный российский авиаперевозчик (Центральный ФО, лето 2025) столкнулся с атакой на базу данных программы лояльности: хакерские группы заявили о получении доступа к десяткам терабайт данных. Возбуждено уголовное дело по ч. 4 ст. 272 УК РФ. Проверка РКН выявила расхождение между задекларированными и фактически обрабатываемыми категориями данных. Дело подтвердило: уголовные и административные риски в авиации реализуются одновременно, а несоответствие уведомления РКН реальной обработке становится отдельным эпизодом при проверке. (Кейс case_14_aeroflot; точные параметры уточняет менеджер при публикации.)
Кейс 2. Региональный авиаперевозчик (Северо-Западный ФО, начало 2026) провёл внутренний аудит перед плановой проверкой РКН. Юрист компании выявил: согласия на рассылку были встроены в правила бонусной программы (не отдельный документ), геолокация передавалась в зарубежный аналитический сервис без уведомления о трансгранике, а договор с GDS-провайдером не содержал условий поручения обработки. За три месяца до проверки был проведён аудит и сформирован пакет ОРД. По итогам проверки РКН выдал предписание об устранении нарушений без составления протокола — ввиду оперативного устранения на момент проверки.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка уведомления РКН, политики, согласий и договоров с подрядчиками по авиационной специфике.
- Комплект ОРД под ключ — политика конфиденциальности, согласия, регламент реагирования на инциденты, договоры поручения.
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании.
Частые вопросы
1. Кто является оператором ПДн пассажиров — авиакомпания или аэропорт?
Каждый из них — самостоятельный оператор в отношении тех данных, цели и средства обработки которых он определяет самостоятельно. Авиакомпания — оператор в части бронирования, программы лояльности и передачи данных в ФСБ. Аэропорт — оператор в части пропускного контроля, биометрической идентификации и систем безопасности. При совместных проектах (например, сквозная биометрия от регистрации до посадки) необходимо разграничить роли и закрепить это в соглашении о совместной обработке.
2. Освобождены ли авиакомпании от уведомления РКН?
Нет. Перечень операторов, освобождённых от уведомления, закреплён в ч. 2 ст. 22 ФЗ-152 и не включает авиаперевозчиков. Авиакомпания обязана уведомить РКН о намерении обрабатывать ПДн до начала обработки. Если уведомление подано, но не отражает реальный состав обрабатываемых данных (например, не указана геолокация или специальные категории), это нарушение ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽).
3. Как передавать данные пассажиров в ФСБ без нарушения ФЗ-152?
Передача данных в Пограничную службу и ФСБ осуществляется на основании п. 2 ч. 1 ст. 6 ФЗ-152 — исполнение обязанности, предусмотренной законодательством РФ. Согласие пассажира не требуется. Однако перевозчик обязан: отразить факт такой передачи в политике конфиденциальности; обеспечить защиту канала передачи данных по требованиям ФСТЭК (Приказ №21); не передавать данные шире, чем требует конкретная норма. Передача сверх необходимого объёма — нарушение принципа минимизации по ст. 5 ФЗ-152.
4. Какие данные собирает каршеринг на территории аэропорта?
Каршеринговый оператор на территории аэропорта собирает водительское удостоверение, паспортные данные, геолокацию и данные о поездке. Если каршеринг действует на основании договора с аэропортом и получает ПДн из систем аэропорта, он является лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Аэропорт как оригинальный оператор несёт ответственность за инциденты у подрядчика, если договор не содержал надлежащих условий о безопасности.
5. Что делать авиакомпании, если утечка уже произошла, а 24 часа на уведомление прошли?
Направить уведомление в РКН немедленно после обнаружения — даже с пропуском срока. Факт уведомления влияет на квалификацию нарушения: при наличии уведомления (пусть и просроченного) суды применяют смягчающие обстоятельства по ст. 4.1 КоАП. Штраф по ч. 11 ст. 13.11 за нарушение срока (1–3 млн ₽) не отменяется, но может быть снижен до минимума при наличии документальных доказательств добросовестности. Параллельно — подготовить 72-часовой отчёт по Приказу РКН №187 и задокументировать принятые меры защиты.
Итог
Авиаперевозчик и аэропорт работают с несколькими категориями ПДн одновременно — от паспортных данных до биометрии и геолокации — в рамках разных правовых оснований и с десятками подрядчиков. С 30.05.2025 санкционная шкала по ст. 13.11 КоАП делает любую крупную утечку событием с финансовыми последствиями на уровне 5–500 млн ₽. Уголовная статья 272.1 УК с 11.12.2024 добавляет персональный риск для должностных лиц.
Юристы DATUM специализируются на комплаенсе по 152-ФЗ в транспортной отрасли: проводят аудит, формируют ОРД, сопровождают взаимодействие с РКН и защищают от штрафов по ст. 13.11 в арбитраже.