аналитика 14 января 2029 По состоянию на 14 января 2029

ЖД-билеты и ПДн

Продажа железнодорожных билетов — это обработка персональных данных пассажиров: ФИО, дата рождения, паспортные данные, контакты, сведения о маршруте.

С 30.05.2025 утечка данных от 1 000 субъектов влечёт штраф от 3 млн ₽ по ч. 12 ст. 13.11 КоАП; повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15.

→ Если вы финансовый директор перевозчика или агрегатора билетов — оцените, сколько стоит несоответствие 152-ФЗ против стоимости аудита.

Рынок онлайн-продажи ЖД-билетов в России обрабатывает десятки миллионов транзакций ежегодно. Каждая бронь — это персональные данные: документ пассажира, контактный номер, платёжная информация. Перевозчики, агрегаторы и финтех-платформы, встроенные в цепочку продажи билетов, выступают операторами ПДн по ст. 3 ФЗ-152. Это означает полный объём обязанностей: уведомление РКН, политика конфиденциальности, согласие на обработку, локализация баз, реагирование на утечки за 24 часа. В 2025 году число утечек в даркнете достигло 250 публичных случаев и 767 млн строк данных — рост на 67,6% к 2024 году (отчёт F6 Threat Intelligence). Настоящий материал разбирает правовую конструкцию обработки ПДн в сфере ЖД-перевозок, риски по ст. 13.11 КоАП и бюджетную логику комплаенса для финансового директора.

Кто является оператором ПДн при продаже ЖД-билета?

В стандартной цепочке онлайн-продажи ЖД-билета участвуют несколько субъектов: перевозчик (РЖД или иной), агрегатор билетов, платёжный сервис, программа лояльности. Каждый из них самостоятельно определяет цели и способы обработки ПДн пассажира — то есть является оператором по смыслу ст. 3 ФЗ-152. Агрегатор, передающий данные перевозчику, действует не как обработчик по поручению, а как самостоятельный оператор, если самостоятельно собирает данные на своей платформе и определяет порядок их использования.

Обработчик по поручению — иная правовая конструкция. Она применяется, когда платёжный провайдер или CRM-система обрабатывают данные строго в рамках задания оператора, без права использовать их в собственных целях. Поручение оформляется отдельным договором по п. 3 ст. 6 ФЗ-152: в нём фиксируются перечень ПДн, цели, технические требования и обязанность обеспечить конфиденциальность. Отсутствие такого договора при фактической передаче данных подрядчику — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

«Ст. 6 ФЗ-152, п. 3: оператор вправе поручить обработку ПДн другому лицу на основании договора. Обработчик обязан соблюдать принципы ст. 5 и обеспечить конфиденциальность — в противном случае ответственность перед субъектом несёт оператор.»

Финансовому директору это означает следующее: если в цепочке продажи билетов участвуют субподрядчики — технические платформы, колл-центры, аналитические сервисы — каждый из них требует отдельного соглашения об обработке ПДн. Отсутствие такого соглашения ставит под удар репутацию оператора, даже если утечка произошла на стороне подрядчика.

Какие основания обработки ПДн используются при продаже билетов?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки. В контексте продажи ЖД-билетов применимы несколько из них. Первое — исполнение договора перевозки: пассажир заключает договор, и обработка его ФИО, документа и маршрута необходима для исполнения этого договора (п. 5 ст. 6). Согласие здесь не требуется — данные обрабатываются в силу договорных отношений.

Второе основание — выполнение обязательных требований законодательства. Транспортная безопасность, идентификация пассажиров на отдельных маршрутах, взаимодействие с правоохранительными органами — всё это формирует самостоятельные правовые основания по п. 2 ст. 6. Согласие пассажира здесь также не нужно.

Третье — маркетинг и программы лояльности. Здесь ситуация иная: направление рекламных рассылок, персонализация предложений, использование данных о маршрутах для таргетинга — это отдельная цель, несовместимая с целью исполнения договора перевозки. По принципу ст. 5 ФЗ-152, нельзя объединять базы с несовместимыми целями. Отдельное согласие по ст. 9 ФЗ-152 — обязательно. С 01.09.2025 это согласие должно быть оформлено отдельным документом (ФЗ-156 от 24.06.2025): нельзя включать его в оферту или политику конфиденциальности.

Считаете бюджет на комплаенс по 152-ФЗ?

Стоимость аудита соответствия — от 100 000 ₽. Стоимость утечки данных от 1 000 пассажиров — от 3 000 000 ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). При повторной утечке — оборотный штраф до 500 млн ₽ по ч. 15. Если вы финансовый директор и ещё не видели актуальной карты рисков по 152-ФЗ — это то, что нужно сделать до проверки РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как работает локализация и трансграничная передача при онлайн-продаже?

Ч. 5 ст. 18 ФЗ-152 требует, чтобы запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществлялись в базах данных, расположенных на территории России. Это требование действует с 01.09.2015 и было ужесточено в части первичного сбора с 01.07.2025. Для агрегаторов ЖД-билетов, использующих зарубежные CRM-системы, облачные платформы или аналитические сервисы (например, европейские или американские инсталляции), это создаёт прямой риск по ч. 8 ст. 13.11 КоАП — штраф 1 000 000–6 000 000 ₽ за нарушение локализации.

Трансграничная передача ПДн — это отдельная операция, регулируемая ст. 12 ФЗ-152. Если данные пассажиров направляются в зарубежную систему (например, в службу поддержки, размещённую за рубежом, или в иностранного партнёра по программе лояльности), оператор обязан до начала передачи уведомить РКН. Передача в страны без адекватной защиты ПДн — только при наличии такого уведомления и дополнительных гарантий. Отсутствие уведомления — нарушение ч. 1 ст. 13.11 КоАП.

Практический вопрос для финансового директора: если компания использует Salesforce, HubSpot, Zendesk или аналогичные платформы с хранением данных за рубежом — существует ли соглашение об обработке ПДн с локальным экземпляром или зеркалом? Есть ли уведомление о трансграничной передаче в реестре РКН? Если нет — это уязвимость.

Что проверить финансовому директору по 152-ФЗ

Уведомление о намерении обрабатывать ПДн в реестре на pd.rkn.gov.ru — актуальность сведений, соответствие реальной обработке
Договоры поручения обработки ПДн с каждым подрядчиком, имеющим доступ к данным пассажиров
Согласие на маркетинговую обработку — оформлено отдельным документом с реквизитами по ст. 9 ФЗ-152 (требование с 01.09.2025)
Локализация баз данных: первичный сбор и хранение ПДн граждан РФ — только на серверах в России
Регламент реагирования на утечку: первичное уведомление РКН за 24 часа, отчёт за 72 часа по Приказу РКН №187

Что меняет финтех-интеграция: платежи, скоринг, программы лояльности?

Агрегаторы ЖД-билетов всё чаще встраивают финансовые сервисы: рассрочку покупки, страховку путешественника, программы лояльности с накоплением баллов. Каждый из этих элементов добавляет правовые риски в части обработки ПДн.

Рассрочка и кредитные продукты подтягивают требования 218-ФЗ о кредитных историях: если партнёр-МФО или банк запрашивает кредитную историю покупателя через БКИ, это требует отдельного согласия субъекта на обращение в БКИ. Без него — нарушение 218-ФЗ и ст. 6 ФЗ-152 одновременно.

Скоринг и автоматизированные решения — отдельная зона риска. Ст. 16 ФЗ-152 запрещает принимать решения, порождающие юридические последствия для субъекта, исключительно на основании автоматизированной обработки ПДн — без участия человека. Отказ в продаже билета на основании автоматической проверки по стоп-листам или скорингу пассажира должен быть обеспечен процедурой ручного пересмотра. Нарушение этого требования создаёт риск жалоб в РКН и судебных исков субъектов.

Биометрия в программах лояльности или при посадке по биометрии (системы распознавания лица на вокзалах) регулируется ст. 11 ФЗ-152 и ФЗ-572 о единой биометрической системе. Обработка биометрии допускается только с письменного согласия субъекта. Исходные биометрические данные с 01.06.2023 хранятся только в ЕБС (АО «Центр Биометрических Технологий»). Хранение биометрии в собственных базах вне ЕБС — нарушение ФЗ-572 и основание для штрафа по ч. 16–17 ст. 13.11 КоАП: до 20 млн ₽ за утечку биометрических данных.

Если финансовый директор видит в P&L затраты на финтех-интеграции (рассрочка, лояльность, биометрия) — каждая из них несёт самостоятельный риск по ст. 13.11 КоАП. Юристы DATUM проведут аудит цепочки обработки ПДн и оценят реальный бюджет риска.

Заказать аудит 152-ФЗ

Как выглядят типовые сценарии нарушений в этом сегменте?

Сценарий 1. Агрегатор без договора поручения с платёжным провайдером. Компания подключила сторонний процессинг для приёма оплаты за билеты. Доступ к ФИО, email и телефонам пассажиров у процессинга есть — но договора об обработке ПДн по поручению нет. При плановой проверке РКН это фиксируется как нарушение ч. 1 ст. 13.11 КоАП. Штраф — 150 000–300 000 ₽ за первичное нарушение. Если нарушение повторное — 300 000–500 000 ₽ по ч. 1.1. Стратегия: заключить типовое соглашение об обработке ПДн по поручению с каждым подрядчиком, имеющим технический доступ к данным. Стоимость подготовки шаблона — значительно ниже минимального штрафа.

Сценарий 2. Утечка через субподрядчика колл-центра. Оператор агрегатора передал базу контактов пассажиров в аутсорсинговый колл-центр для обзвона по программе лояльности. Колл-центр допустил утечку — около 15 000 записей оказались в открытом доступе. По позиции судебной практики ВС РФ, оператор несёт ответственность за действия обработчика перед субъектом. Квалификация: ч. 13 ст. 13.11 КоАП (утечка 10 000–100 000 субъектов) — штраф 5 000 000–10 000 000 ₽. Дополнительно: неуведомление РКН об утечке в 24 часа — ч. 11 ст. 13.11, ещё 1 000 000–3 000 000 ₽. Итого: потенциальные потери 6–13 млн ₽ против стоимости аутсорсинга DPO и корректного договора поручения.

Сценарий 3. Повторная утечка — оборотный штраф. Компания уже получала штраф по ч. 12 ст. 13.11 КоАП за утечку 2 000 записей пассажиров (выплачено 3,5 млн ₽). Через год — новый инцидент: хакерская атака на базу бонусных карт, затронуто более 100 000 субъектов. Это повторное нарушение по ч. 15 ст. 13.11 — оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Для компании с выручкой 2 млрд ₽ в год минимум расчётный — 20 млн ₽, максимум — 60 млн ₽. Применение скидки за быструю уплату по ст. 32.2 КоАП к оборотным составам — не предусмотрено.

Что говорит практика: реальные дела по ст. 13.11 в транспорте и финтехе

Кейс 1. В деле об утечке данных транспортного агрегатора (Центральный ФО, осень 2025) финансовый директор компании впервые столкнулся с запросом РКН в рамках внеплановой проверки. Регулятор запросил договоры поручения с тремя подрядчиками, доказательства локализации и журнал обращений субъектов. Два из трёх договоров отсутствовали. Штраф по ч. 1 ст. 13.11 — в диапазоне 150 000–300 000 ₽ по каждому эпизоду. Компания оспорила один из протоколов в арбитраже — суд снизил санкцию, применив ст. 4.1 КоАП. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. По делу АС Санкт-Петербурга и Ленинградской области № А56-4733/2026 (ПКР Аналитика, март 2026) суд рассматривал утечку около 70 000 записей — ФИО, должности, служебные email и телефоны — в результате хакерской атаки. Квалификация по ч. 14 ст. 13.11 КоАП (более 100 000 субъектов — пороговое значение для ч. 14). Суд применил смягчающие обстоятельства. Дело показательно тем, что утечка произошла несмотря на наличие у компании базовых мер защиты — суд оценивал не только факт инцидента, но и своевременность уведомления РКН по Приказу №187. Источник: ГАРАНТ.РУ, март 2026.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка 38 параметров, отчёт с приоритетами устранения
Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент реагирования
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1

Частые вопросы

1. Можно ли отказать клиенту в продаже билета, если он не даёт согласие на обработку ПДн?

Нет, если речь идёт об обработке, необходимой для исполнения договора перевозки. Согласие по ст. 9 ФЗ-152 не требуется, когда обработка ПДн (ФИО, документ, маршрут) осуществляется на основании п. 5 ст. 6 — то есть для заключения и исполнения договора с субъектом. Отказ в продаже билета под предлогом отсутствия согласия на обработку персональных данных, когда такое согласие не является обязательным, нарушает права потребителя. Отказ возможен лишь в случае, если клиент отказывается предоставить данные, без которых договор исполнить физически невозможно (например, документ для идентификации).

2. Что грозит агрегатору ЖД-билетов за утечку данных пассажиров?

Штраф зависит от масштаба утечки. По ч. 12 ст. 13.11 КоАП (1 000–10 000 субъектов) — 3 000 000–5 000 000 ₽. По ч. 13 (10 000–100 000 субъектов) — 5 000 000–10 000 000 ₽. По ч. 14 (более 100 000 субъектов) — 10 000 000–15 000 000 ₽. Дополнительно: неуведомление РКН об утечке в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152 — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11. Повторная утечка переводит дело в оборотный состав по ч. 15 — от 1% годовой выручки, но не менее 20 млн ₽. Все нормы действуют в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024).

3. Какое правовое основание обработки ПДн применяется в банке при покупке билета в рассрочку?

При оформлении рассрочки или кредита банк обрабатывает ПДн покупателя на основании нескольких оснований: исполнение договора кредитования (п. 5 ст. 6 ФЗ-152), выполнение требований законодательства (идентификация по 115-ФЗ, передача сведений в БКИ по 218-ФЗ). Обращение в БКИ с запросом кредитной истории требует отдельного согласия субъекта по ст. 6 218-ФЗ. Это согласие должно быть документально зафиксировано — иначе обращение в БКИ квалифицируется как нарушение.

4. Где должны храниться биометрические данные, если перевозчик использует распознавание лица при посадке?

Исходные биометрические данные — изображение лица и (или) голос — с 01.06.2023 хранятся только в единой биометрической системе (ЕБС), оператором которой является АО «Центр Биометрических Технологий» (ФЗ-572 от 29.12.2022). Перевозчик не вправе хранить биометрию пассажиров в собственных базах. При посадке по биометрии перевозчик направляет запрос в ЕБС и получает подтверждение идентификации — без хранения исходных данных. Нарушение этого порядка влечёт штраф по ч. 16–17 ст. 13.11 КоАП: за утечку биометрических ПДн — 15 000 000–20 000 000 ₽.

5. Как финансовому директору оценить реальный бюджет риска по 152-ФЗ до проверки РКН?

Оценка строится по трём параметрам: объём обрабатываемых ПДн (число субъектов определяет уровень защищённости и потенциальный размер штрафа при утечке), наличие специальных категорий и биометрии (утечка биометрии — от 15 млн ₽), статус повторности (первичное нарушение даёт шанс на снижение по ст. 4.1 КоАП; повторное — оборотный штраф). Инструмент оценки — аудит соответствия 152-ФЗ с выдачей отчёта по 38 параметрам. Стоимость аудита от 100 000 ₽; стоимость одного реализованного риска — от 3 000 000 ₽. Это базовая арифметика для бюджетного решения.

Итог

Продажа ЖД-билетов — это массовая обработка персональных данных с участием нескольких операторов и обработчиков. Каждый элемент цепочки — агрегатор, платёжный сервис, колл-центр, программа лояльности — несёт самостоятельную правовую нагрузку по ФЗ-152. Финтех-интеграции (рассрочка, БКИ, биометрия) добавляют отраслевые требования 218-ФЗ, ФЗ-572, 115-ФЗ.

Практика DATUM охватывает полный цикл комплаенса по 152-ФЗ для транспортных платформ и финтех-компаний: от аудита и сборки ОРД до сопровождения проверок РКН и защиты в арбитраже по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

14 января 2029 года