Над рейсами за рубеж российских авиаперевозчиков нависла новая угроза. И речь идёт не о зарубежных санкциях, а об отечественных инициативах. Точнее — о внесении изменений в закон о персональных данных, которые обязывают авиаперевозчиков получать разрешение Роскомнадзора на передачу за рубеж информации о пассажирах и экипажах уже с 1 марта 2023 года.
Как заявил «Коммерсант», ссылаясь на оценку авиаперевозчиков, часть пунктов данных поправок — например, необходимость сбора данных об иностранных физических и юридических лицах, которые будут обрабатывать эту информацию, по факту невыполнимы, а требования — избыточны. Под нарушение можно будет подвести абсолютного любого перевозчика.
По факту, авиакомпании не смогут осуществлять перевозку без разрешения Роскомнадзора — уверяют источники «Коммерсанта». При этом, как заявили источники издания, авиакомпании уже входят в реестр операторов персональных данных Роскомнадзора. В этом реестре содержится информация о том, какие данные перевозчики собирают о своих клиентах и сотрудниках, как хранят в России и передают за рубеж. В том числе это касается ФИО туриста, его контактных данных, дате и месте рождения и информации о совершенном ими рейсе. Согласно закону, все авиакомпании, которые летали за рубеж до вступления поправок в силу, могут до 1 марта просто уведомить Роскомнадзор о том, что продолжат передавать данные в те страны, куда они совершали рейсы. Однако с 1 марта перевозчики в случае расширения географии полетов (например, при снятии ограничений или пополнении парка отечественными самолетами) должны будут оформлять запрос в Роскомнадзор. При этом если иностранное государство входит в перечень «благонадежных» стран (из списка конвенции Совета Европы о защите персональных данных или соответствующих ее требованиям), то проблем не возникнет. Однако для всех остальных государств — а это в том числе популярный Египет, допустим, на рассмотрение дается до 15 суток.
При этом Роскомнадзор может запретить данную передачу данных «в целях защиты конституционного строя, обеспечения обороны и безопасности государства», а также «защиты суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене», уверяют источники «Ъ». При этом в Роскомнадзоре изданию сообщили, что уведомления подаются разово: и для стран, в которые компания летала до 1 марта, и для тех, в которые сможет полететь после.
Во всех случаях авиакомпании «должны обладать информацией об иностранных организациях и госорганах, которым предоставлен доступ к персональным данным российских граждан». И в этом-то авиакомпании видят основную сложность. Согласно закону, им придется предварительно получить у иностранных властей подтверждения о «мерах по защите передаваемых персональных данных», а также сведения об иностранных госорганах, юридических и физических лицах, которые могут иметь доступ к таким данным (наименование, ФИО, номера телефонов и почтовые адреса), что в целом мягко говоря малореально.
В ведомстве заверяют, что поименного списка сотрудников иностранных компаний и госорганов не потребуется. Однако в юридическом департаменте одной из из авиакомпаний уже забили тревогу — там полагают, что без корректировки требований закона в ходе «правоприменительной практики» авиакомпании можно будет привлечь к ответственности «за любого нового сотрудника в иностранных аэропортах».