Авиакомпании пытаются избежать обязательного согласования международных полетов с Роскомнадзором. Новые требования закона о персональных данных требуют запрашивать у регулятора разрешение на их передачу за рубеж. Речь идет, например, об информации о пассажирах и членах экипажа. Дополнительно осложняет ситуацию необходимость сбора данных об иностранных физических и юридических лицах, которые будут обрабатывать информацию. Авиаторы считают этот пункт фактически невыполнимым, а требования закона — избыточными.
Рисунок: Виктор Чумачев, Коммерсантъ
Как выяснил “Ъ”, авиакомпании жалуются на изменения в законе о персональных данных, которые обязывают их получать разрешение Роскомнадзора (РКН) на передачу за рубеж информации о пассажирах и экипажах с 1 марта 2023 года.
Как отмечают собеседники в авиаотрасли, без согласия РКН они фактически не смогут совершать международные рейсы.
Минцифры подготовило проект постановления правительства с исключениями, в том числе для международных перевозок, однако они распространяются только на государственные или муниципальные органы. Ассоциация эксплуатантов воздушного транспорта (АЭВТ) попросила расширить действие исключений на всех перевозчиков. «Авиакомпании осуществляют международные воздушные перевозки, не являясь при этом госорганами»,— говорится в отзыве АЭВТ, с которым ознакомился “Ъ”. С аналогичным предложением выступил «Аэрофлот».
Однако в Минцифры пояснили, что не могут выходить за пределы формулировок закона. Корректировкой постановления изменить закон нельзя, поскольку федеральные законы обладают большей юридической силой, подтверждает юрист BGP Litigation Анастасия Мырсина:
«Даже если в данном постановлении обозначат конкретные компании, это не изменит положение дел: для того чтобы изменить положения самого закона, необходимо принять новый закон».
В АЭВТ и Минтрансе не ответили на вопросы “Ъ”. В «Аэрофлоте» лишь уточнили, что «предложение направлено на устранение возможных противоречий рассматриваемого проекта».
Авиакомпании уже входят в реестр операторов персональных данных РКН. В реестре содержится информация о том, какие данные перевозчики собирают о своих клиентах и сотрудниках, как хранят в РФ и передают за рубеж. В случае с пассажирами речь идет о ФИО, контактных данных, дате и месте рождения и информации о совершенном ими рейсе. Собеседник “Ъ” в другой крупной авиакомпании добавил, что передают данные, например, при бронировании гостиниц для членов экипажей и пассажиров в случае задержки рейса.
Согласно закону, все авиакомпании, которые летали за рубеж до вступления поправок в силу, могут до 1 марта просто уведомить РКН о том, что продолжат передавать данные в те страны, куда они совершали рейсы. Но прямое авиасообщение из РФ сейчас доступно только в 24 страны.
Поэтому с 1 марта перевозчики в случае расширения географии полетов (например, при снятии ограничений или пополнении парка отечественными самолетами) должны будут оформлять запрос в РКН.
Дожидаться подтверждения не нужно, если иностранное государство входит в перечень «благонадежных» стран (из списка конвенции Совета Европы о защите персональных данных или соответствующих ее требованиям). Для всех остальных государств, например для Египта, на рассмотрение дается до 15 суток. Ведомство может запретить передачу «в целях защиты конституционного строя, обеспечения обороны и безопасности государства», а также «защиты суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене».
В Роскомнадзоре “Ъ” сообщили, что уведомления подаются разово: и для стран, в которые компания летала до 1 марта, и для тех, в которые сможет полететь после. Во всех случаях авиакомпании «должны обладать информацией об иностранных организациях и госорганах, которым предоставлен доступ к персональным данным российских граждан».
В этом уточнении авиакомпании видят основную сложность.
Согласно закону, им придется предварительно получить у иностранных властей подтверждения о «мерах по защите передаваемых персональных данных», а также сведения об иностранных госорганах, юридических и физических лицах, которые могут иметь доступ к таким данным (наименование, ФИО, номера телефонов и почтовые адреса).
В авиакомпаниях отметили, что это требование фактически неисполнимо.
В РКН “Ъ” заверили, что поименного списка сотрудников иностранных компаний и госорганов не потребуется. Но в юридическом департаменте одной из авиакомпаний полагают, что без корректировки требований закона в ходе «правоприменительной практики» авиакомпании можно будет привлечь к ответственности «за любого нового сотрудника в иностранных аэропортах».