Авиации грозит персональная ответственность

Федеральный закон Российской Федерации от 27 июля 2006 года №152-ФЗ "О персональных данных", опубликованный в "Российской газете" еще 29 июля 2006 года, вступил в силу спустя 180 дней после публикации. До момента, когда все информационные системы компаний, обрабатывающих персональные данные, должны быть приведены в соответствие с требованиями закона, осталось менее трех месяцев. С 1 января 2010 года подавляющее большинство отечественных авиакомпаний и аэропортов окажутся в числе нарушителей, и к ним могут быть применены достаточно жесткие меры - за нарушение требований законодательства предусмотрена ответственность от дисциплинарной и административной до уголовной. Между тем, как выяснил "АвиаПорт", подавляющее число компаний отрасли не могут похвастаться серьезными успехами в этой области: среди опрошенных игроков рынка ни один не прошел аудит на соответствие требованиям закона, единицы включены в реестр компаний, осуществляющих обработку персональных данных, а многие даже не приступали к изучению этого вопроса. Более того, в ряде авиакомпаний о новой проблеме собеседники узнали от корреспондента нашего издания. Однако в обстановке всеобщего правового нигилизма авиаторам не стоит ожидать серьезных проблем, полагают эксперты.

По всей строгости закона

Федеральный закон №152-ФЗ "О персональных данных", вступивший в силу в начале 2007 года, регулирует отношения, связанные с обработкой персональных данных. Согласно документу, целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Учитывая, что по определению, данному в тексте закона, персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, авиакомпании и аэропорты должны рассматриваться как операторы персональных данных. Это связано с тем, что и авиабилет, и посадочный талон, выдаваемый в аэропорте, содержат фамилию, имя и отчество пассажира, а также дополнительные данные. Кроме того, многие перевозчики имеют системы поощрения часто летающих пассажиров, базы данных по корпоративным клиентам - это дополнительная проблема для компаний. Наконец, свои базы данных с персональными данными есть в отделе кадров, бухгалтерии, а также в системе медицинского обеспечения, которая есть у авиакомпаний.

После вступления закона в силу Федеральной службой безопасности (ФСБ), Федеральной службой по техническому и экспортному контролю (ФСТЭК), Министерством связи и массовых коммуникаций (Минкомсвязь) и Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) были выпущены приказы и инструкции, которые утверждают порядок классификации информационных систем и дают четкие инструкции относительно механизмов защиты персональных данных. Согласно этим документам, оператор персональных данных должен принимать необходимые организационные и технологические меры, в том числе использовать шифровальные и криптографические методы для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, копирования, распространения и так далее.

Существующая классификация операторов имеет несколько градаций. Категорируются сами данные с точки зрения их значимости, учитывается объем данных, обрабатываемых оператором, введено понятие классов систем. Исходя из комбинации этих параметров, каждому оператору предписывается использовать для защиты данных ряд аппаратных и программных комплексов, прошедших сертификацию в государственных органах. И чем больше риски - тем более сложный комплекс мер предстоит принять.

Компании авиационной отрасли, по оценкам экспертов, попадают в число предприятий, которым требуется максимальная защищенность. К примеру, категорирование данных производится по следующим градациям: категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья и интимной жизни. Вторая категория - персональные данные, позволяющие идентифицировать субъект и получить о нем дополнительную информацию, в т.ч. относящуюся к категории один. Категория три - персональные данные, позволяющие идентифицировать субъект. И, наконец, категория четыре - общедоступные и обезличенные персональные данные. Очевидно, что сведения, которыми оперируют авиакомпании, лежат между первой и второй категорией.

Если обратиться к параметру объема обрабатываемых персональных данных, то практически все авиапредприятия обрабатывают данные свыше 100 тыс. субъектов в год, что соответствует первой, наивысшей категории. Во вторую попадают предприятия, обрабатывающие данные от 10 тыс. до 100 тыс. субъектов. Наконец, менее 10 тыс. субъектов в год - это характерный объем баз данных, касающихся сотрудников компаний, количество авиакомпаний и аэропортов, обслуживающих ежегодно менее 10 тыс. пассажиров минимально.

Также введена градация по классам информационных угроз, к примеру класс К1 - информационные системы, для которых нарушение заданных характеристик безопасности может привести к значительным негативным последствиям для субъектов. В авиационной деятельности компании сталкиваются как раз с этим классом.

Таким образом, различные информационные системы авиакомпаний и аэропортов должны получить высокую степень защиты, и к ним будут предъявляться повышенные требования.

Есть еще несколько "подводных камней", связанных с обработкой специальных данных и трансграничной передачей данных. Под специальными данными подразумеваются сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Их обработка допускается в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных. Аналогично, трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях, если субъект персональных данных дал согласие в письменной форме на передачу данных, либо обработка данных связана с исполнением договора, стороной которого является субъект персональных данных. Причем государства Евросоюза могут считаться "обеспечивающими адекватную защиту прав субъектов персональных данных", так как одним из критериев оценки государства в данном аспекте для российских надзорных органов может выступать факт ратификации государством "Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных" от 28 января 1981 года, ETS № 108. Однако никаких комментариев относительно передачи данных в США от госорганов пока не получено.

Здесь требуются некоторые пояснения. Информационные системы, в которых хранятся специальные данные, вполне могут присутствовать и у авиакомпаний - к примеру, это сведения о состоянии здоровья сотрудников, получаемые в рамках медицинского обеспечения, либо данные, хранящиеся в системе лояльности: по типу предпочитаемого питания в ряде случаев можно сделать выводы о состоянии здоровья пассажира. Соответственно, формально может потребоваться отдельное письменное согласие субъектов таких персональных данных. Еще сложнее ситуация с трансграничной передачей информации. Во-первых, большое количество авиакомпаний используют инвенторные системы и системы бронирования, чьи сервера находятся на территории не только европейских государств, но и США. Во-вторых, ряд государств требуют предоставлять данные об авиапассажирах в рамках контртеррористических мер. Наконец, трансграничная передача данных происходит при регистрации пассажиров на рейсы. И если в случае, когда передачу данных осуществляет авиакомпания, у которой с пассажиром есть договор (авиабилет), письменное согласие не потребуется, то при регистрации передачу данных может осуществлять компания, у которой нет договорных отношений с пассажиром, и, согласно закону, ей потребуется подпись субъекта персональных данных. Введение процедуры получения письменного согласия совершенно не укладывается в существующие технологические цепочки, поэтому ни авиакомпании, ни аэропорты не смогут ее осуществить, так что может встать вопрос об изменении договорных отношений с провайдерами услуг, которые должны предоставить российским партнерам подтверждения безопасности применяемых ими инструментов и технологий обработки данных.

Впрочем, ответы на эти и другие вопросы пока не очевидны: юридическая экспертиза последствий принятия закона для авиационной отрасли не проведена. Созданная рабочая группа, которая должна была выработать рекомендации для авиационных властей и компаний отрасли, провела только одно заседание, на котором констатировала наличие большого количества проблем. Росавиация, по словам ее представителя Сергея Извольского, "будет исполнять Федеральный закон №152", однако вопрос соответствия бланка билета и ряда процедур, существующих у авиакомпаний и аэропортов, он рекомендовал адресовать в Министерство транспорта и непосредственно к эксплуатантам.

Успеть нельзя, но надо стремиться

Каким бы тяжелым не казался груз проблем, свалившихся на операторов персональных данных, есть последовательность действий, которой следует придерживаться всем авиакомпаниям и аэропортам. Во-первых, необходимо уведомить полномочный орган по защите прав субъектов персональных данных, то есть Роскомнадзор, о том, что организация осуществляет (или намерена осуществлять) обработку персональных данных в рамках данного закона. После этого компания будет включена в реестр операторов персональных данных. В настоящее время (конец ноября 2009 г.) в реестре, согласно информации, размещенной на сайте ведомства, содержатся данные о 70 582 операторах персональных данных, однако количество авиакомпаний и аэропортов среди них минимальное. Правда, стоит отметить, что включение в реестр может привести к практически незамедлительному получению уведомления о плановой проверке, в ходе которой неготовность организации к обработке персональных данных будет выявлена, если только предварительно не проведены подготовительные работы.

Дальнейшая последовательность действий включает разработку документов, регламентирующих обработку персональных данных в организации, принятие организационно-технических мер, в том числе с помощью с использованием шифровальных средств для защиты персональных данных, введение в строй средств защиты информации, обучение лиц, использующих средства защиты информации, проведение учета применяемых средств, и так далее. Одной из важных особенностей работ является то, что средства, которые должны применяться для защиты персональных данных, должны входить в реестр сертифицированных средств защиты ФСТЭК или ФСБ. Компания может обладать средствами, аналогичными тем, что уже размещены в реестре, но если они не имеют соответствующих сертификатов, регуляторы сочтут это нарушением. Усложняет работу то обстоятельство, что большая часть требований силовых ведомств является документами с грифом ДСП, и даже получить доступ к ним для ознакомления - дело минимум двух-трех недель.

Венчать эту работу должна проверка компании на соответствие требованиям законодательства и последующая аттестация предприятий. Причем для авиакомпаний и аэропортов, исходя из классов и категорий персональных данных и информационных систем, такая аттестация является обязательной. Важно отметить, что аттестацию могут провести только специальные уполномоченные компании, которые имеют соответствующие лицензии ФСБ и ФСТЭК. Такие компании на основании коммерческих договоров проводят анализ информационных систем, строят модель угроз, проводят аудит существующих систем защиты информации и персональных данных, а затем, после устранения выявленных недостатков, выдают соответствующее аттестационное заключение.

По мнению директора департамента транспорта и авиации компании "Би-Эй-Си" группы "Астерос" Андрея Черемных, для большинства авиакомпаний и аэропортов завершить прохождение аудита к 1 января 2010 года, стартовав только сегодня, весьма затруднительно, но утверждать что это вовсе невозможно, было бы некорректно. "Срок аттестации зависит от текущего положения дел на предприятии. Есть компании, где, к примеру, каждый сотрудник имеет доступ к персональным данным, весь отдел может смотреть на данные в системе поощрения часто летающих пассажиров, системы разграничения доступа нет, системы криптозащиты не используются, и так далее. А есть противоположная ситуация, когда в компании используется выделенная система хранения данных, которая поддерживает алгоритм шифрования, рекомендованный ФСБ и ФСТЭК, когда компания хранит данные на территории России. Если предприятие досконально понимает проблему и реализует комплекс адекватных мер, мы быстро проведем аудит и в течение месяца будем готовы такую компанию аттестовать. Но, к сожалению, таких компаний в нашей гражданской авиации пока не существует", - отмечает он.

Предположения о том, что вступление в срок новых требований можно как-то отсрочить, не подтверждаются практикой и выглядят маловероятными. К примеру, депутат Госдумы Анатолий Аксаков направил в апреле 2009 года письмо в Роскомнадзор с предложением перенести день приведения информационных систем персональных данных в соответствие с требованиями закона 152-ФЗ "О персональных данных" на два года. За это время он предложил продолжить работу по совершенствованию законодательной базы в области защиты прав субъектов персональных данных, доработать сам закон № 152-ФЗ и связанные с ним подзаконные акты. Затем с предложением об отсрочке выступила Ассоциация российских банков. Однако официальный ответ Роскомнадзора на обращение по поводу переноса сроков аудита указывает, что "изменение сроков нецелесообразно и с 1 января 2010 года все информационные операторов персональных данных должны будут соответствовать требованиям закона".

Поэтому, подчеркивает А.Черемных, "многие вещи в работе компаний надо будет перестроить, в это надо будет вложиться. Это то, что все равно раньше или позднее придется сделать всем, особенно крупным авиакомпаниям или аэропортами". Наконец, специалист призывает не демонизировать требования закона. "В нормативной базе есть совершенно разумные требования по защите информации внутри компаний, и эти требования необходимо выполнять", - резюмирует он.

Информационные системы в авиации и так находится вне правового поля

Опрос представителей авиакомпаний и аэропортов, а также ряда отраслевых экспертов, проведенный "АвиаПортом", показал недостаточную осведомленность специалистов в сути проблемы, по крайней мере на уровне пресс-служб. Отчасти можно сделать скидку на "испорченный телефон", однако общая картина представляется достаточно безрадостной.

Андрей Полозов-Яблонский, председатель комитета по электронным билетам НАУЭТ, руководил внедрением электронных продаж в ОАО "Аэрофлот - российские авиалинии"

Вступившим в силу в 2007 году законом "О персональных данных" было дано время на приведение информационных систем операторов в соответствие с новыми требованиями до 1 января 2010 года, и это достаточно большой срок. За отведенное время авиакомпании и аэропорты, как операторы персональных данных, должны были провести аудит и пройти аттестацию в компаниях, которые обладают соответствующими лицензиями ФСТЭК и ФСБ. Однако многие специалисты, с которыми я общался с лета 2008 года, предпочитали ничего не делать, мотивируя это тем, что "нет указаний от Минтранса".

В настоящий момент ситуация достаточно критичная, потому что провести аудит - это работа не одного месяца. Но ожидая истечения "срока годности" информационных систем начиная с 2010 года, специалисты забывают, что у нас уже действуют законы "О транспортной безопасности", "Об информационной безопасности", положениям которых авиационная отрасль не удовлетворяет. У нас налицо правовой нигилизм, нарушение ряда законов. И к тому правовому нигилизму, который есть, просто добавится еще немного. Информационные системы в авиации и так сейчас находятся вне правового поля, так как нарушается ряд законов прямого действия.

Сергей Быхал, директор по связям с общественностью ОАО "Авиакомпания "Трансаэро"

- В авиакомпании "Трансаэро" составлен специальный план подготовки к вступлению в силу 1 января 2010 года Федерального закона о персональных данных. Согласно этому плану, в компании идет работа по обследованию информационных систем и регламентирующих документов на предмет приведения их в полное соответствие с требованиями этого закона. В компании также подготовлен необходимый комплект внутренних документов.

Александр Белей, руководитель Центра информационных технологий ФГУП ГТК "Россия"

Основная часть закона вступает в силу 1 января 2010 года, и мы работаем над этим вопросом. В настоящий момент работаем над защитой персональных данных как сотрудников компании, так и персональных данных пассажиров. Компания сейчас работает над аттестацией системы защиты персональных данных. Надеемся, что до 1 января мы ее пройдем.

ГТК "Россия" включена в реестр операторов, такую компанию не спрячешь. Все знают, что у нас есть персональные данные о пассажирах и сотрудниках. А персональные данные всегда являлись конференциальной информацией. Мы понимаем, что являемся оператором персональных данных, понимаем, что законодательство по трансграничной передаче данных не полностью урегулировано. Над этим работаем, чтобы решить все задачи, которые на нас ложатся с введением данного закона.

Есть небольшие проблемы у самого закона. Не очень понятно, как работать по передаче трансграничных данных, не совсем понятно, как работать с аэропортами, особенно в России, потому что они должны будут выступать в роле агентов, работающих с персональными данными. С другой стороны, есть агенты, которые продают перевозки, а перевозки продаются по всему миру. Есть вопрос и по урегулированию российского законодательства и международного, у которых немного разные требования и немного разные подходы к понятию персональных данных.

Игорь Орлов, заместитель генерального директора по авиационной и производственной безопасности ОАО "Донавиа"

О существовании данного закона мы знаем, и мы работаем в этом направлении. Для нас наиболее приоритетной является работа, направленная на обеспечение безопасности полетов, но к 1 января 2010 года, как и нужно, авиакомпания будет включена в реестр операторов, осуществляющих обработку персональных данных. Правда, пока мы не можем выделить финансирование на прохождение аудита.

Игорь Гуревич, советник генерального директора по связям с общественностью ЗАО "Аэрофлот-Норд"

В авиакомпании создана рабочая группа, которая прорабатывает данный вопрос.

Елена Федорова, начальник Департамента по связям с общественностью авиакомпании ООО "Авиакомпания "ВИМ-АВИА"

Мы знаем о существовании данного закона. Авиакомпания пока не включена в реестр операторов персональных данных, так как Россвязькомнадзор, являющийся уполномоченным органом по защите прав субъектов персональных данных, только начал формирование реестра. Компания пока не проходила аттестацию информационных систем, сейчас рассматриваются предложения от ряда компаний, предлагающих свои услуги в данной сфере.

Дмитрий Васильченко, заместитель начальника службы экономической безопасности ОАО "Международный аэропорт Шереметьево"

Существует три государственных службы, которые четко прорабатывают данный вопрос: ФСТЭК, ФСБ и Роскомнадзор. Эти органы создают некоторую нормативную базу, и мы находимся с ними в тесном контакте. Вопрос о защите персональных данных всегда лежит на поверхности, и мы постоянно взаимодействуем с этим тремя госслужбами. Комментировать прессе свою работу в данной сфере мы не будем, так как общаться на эту тему мы можем только с тремя этими госорганами.

Олег Пусько, начальник пресс-службы ОАО "Аэропорт Внуково"

Как мне сообщили в Департаменте информационных технологий ОАО "Аэропорт Внуково", нами совместно с партнерами проводится комплекс мероприятий для обеспечения бесперебойной деятельности предприятия при условии полного соблюдения положений Федерального закона "О персональных данных" после вступления его в силу.

Ольга Антипова, ведущий специалист по связям с общественностью ОАО "Аэропорт "Пулково"

У нас все знают про этот закон, но аэропорт не является оператором личных данных пассажира, у нас просто есть отдельные договорённости с авиакомпаниями о неразглашении данных.

АвиаПорт, 24 ноября 2009 г.