В письмах подтверждения бронирования пересылается следующая информация: Ф.И.О, Гражданство, тел, Email, номер брони, дата заезда и выезда, тариф (проживание с лечением или без), стоимость бронирования - Обладателя ПДн.

Конечно не ахти какая информация с которой можно причинить вред обладателю, но все же. Оператором наверное все же является фирма через которую осуществляется бронирование, а мы уже 3 лицом которому эти данные передаются.
Пользователи заходят на наш сайт и там через некую форму вносят свои ПДн для бронирования. Которые пересылаются фирме занимающейся бронированием. А они уже нам тоже через их сайт по протоколу https. Ну и на нашу почту приходят подтверждения брони.

На сайте имеются ссылки на "Пользовательские соглашения с этой фирмой" и "Политикой конфиденциальности" где написано:

Защита информации

а) Данные, введенные клиентом, передаются в средство размещения в объеме, необходимом для бронирования номеров (услуг) в средствах размещения. Кроме того, данные, введенные клиентом, могут быть использованы для передачи третьей стороне. Такая третья сторона может связаться с клиентом посредством e-mail, на пример, в целях получения отзывов и качестве сервиса, забронированного клиентом средства размещения. При этом при получении первого электронного письма от такой третьей стороны клиент имеет возможность отказаться от последующей рассылки.

б) Соглашаясь с условиями настоящего Пользовательского соглашения, клиент дает свое согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу в адрес средства размещения и обозначенных в пункте а параграфа 8 третьих лиц, обезличивание, уничтожение своих персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона, гражданство. Указанные персональные данные запрашиваются с целью предоставления клиентам запрошенных услуг, либо ответа на запросы клиента. Данные отображаются в Ваучере, отчетной и бухгалтерской документации. Такие данные, как адрес электронной почты используются для получения отзывов о качестве сервиса средства размещения. Настоящее согласие предоставляется клиентом для осуществления любых не противоречащих законодательству Российской Федерации действий в отношении персональных данных, направленных на достижение указанных в Пользовательском соглашении целей, в том числе: онлайн бронирование клиентом выбранного средства размещения, составления отчетной и бухгалтерской документации, получение отзывов о качестве сервиса, забронированного средства размещения.

В случае предоставления клиенту рекламных и маркетинговых материалов, ему также предоставляется возможность отказа от получения таких материалов в будущем

Цитата
Дмитрий пишет: Вот это темку я поднял Никто даже не знает что делать. Или боится написать, так как у каждого наверняка на рабочем месте есть такая электронная почта...по которой передают ПДн без всякой защиты.

Не писали, потому что вопрос совсем несложный.
1. Так как Вы обрабатываете ПДн с помощью компьютеров, то ВЫ Оператор ИСПДн.
2. Вам нужно классифицировать ИСПДн, разработать организационно-распорядительную документацию и т.д.
3. Получить в Удостоверяющем центре (УЦ) закрытый ключ шифрования и сертификат открытого ключа и корневой сертификат УЦ
4. Установить криптопровайдер типа КриптоПРо (бевплатно VIPNET)или аналогичный
5. Использовать почтовый клиент (Outlook, The Bat...)
6. Передать сертификаты Вашему партнеру
7. Шаги с 3-6 выполняет партнер по переписке
Или, например, воспользоваться The BAT, который может использовать другую технологию распространения ключей шифрования (бесплатно)
Пишите в stertur@mail.ru с темой BAT- у меня все разработанное.

Цитата
Дмитрий пишет: Мы не являемся оператором, этих данных, так как мы их непосредственно не получаем а нам их предают

1. Вы можете быть Оператором, даже если вам их передают.

Цитата
Дмитрий пишет: Шифровать и подписывать письма содержащие ПДн все же нужно, если они передаются по открытым каналам связи, даже если обладатель дал свое согласие на их передачу третьим лицам по открытым каналам связи. Это так?

2.Вы можете не шифровать, если субъекты письменно разрешат вам включить их ПДн в общедоступные. Подписывать нужно, если требуется свойство "неотрекаемости"
3. Шифрование конфиденциальной информации не обязательно платными, но (мое мнение) обязательно по ГОСТовским алгоритмам

Никто не встречал такой приказ или постановление от регулятора, где черным по белому было бы написано: Для передачи ПДн по открытым источникам связи, необходимо использовать прошедшие соответствующую проверку программы, осуществляющие шифрацию по гост. стандартам? Программы использующиеся для шифрации и кодирования должны быть сертифицированными регуляторами?

Если Обладатель ПДн дал согласие на передачу своих ПДн по открытым каналам связи и для передачи 3 лицам, то фирма получившая эти ПДн должна ли отправлять их 3 стороне с применением защиты (криптографии и шифрации)?