Можно ли пересылать паспорт по электронной почте?

Закон не запрещает, но требует соблюдения мер защиты данных.

Какие данные содержит паспорт?

Паспорт содержит обычные и биометрические персональные данные.

Что такое биометрические данные?

Это данные, позволяющие идентифицировать личность, например, фотография.

Каковы последствия передачи паспортов по email?

Это может привести к штрафам и уголовной ответственности.

Что говорит закон о передаче персональных данных?

Закон требует защиты данных и соблюдения мер безопасности.

Нужно ли согласие клиента на передачу данных?

Да, согласие должно быть конкретным и информированным.

Материал

Можно ли пересылать паспорт клиента обычной электронной почтой?

Опубликовано: 22.04.2026 · Обновлено: 22.04.2026 · Время чтения: 14 мин

Почему привычная практика отправки сканов паспортов по email может обернуться многомиллионными штрафами и уголовной ответственностью

Почему вопрос актуален

Каждый день сотни тысяч российских компаний рутинно пересылают сканы паспортов клиентов по email: риелторы — партнерам и застройщикам, банки — страховщикам, HR-отделы — подрядчикам. Это настолько привычная практика, что мало кто задается вопросом о ее законности.

Тем временем регуляторная среда изменилась кардинально. В 2024–2025 годах Россия пережила крупнейшую за десятилетие реформу законодательства о персональных данных [1]: штрафы выросли в разы, появилась уголовная ответственность за незаконный оборот ПДн, а Роскомнадзор перешел к активным проверкам. На этом фоне вопрос «можно ли слать паспорт по почте?» перестал быть академическим.

Ответ — не бинарный. Закон не запрещает email как канал, но устанавливает требования, которым обычная почта объективно не соответствует. Разберем по слоям.

Что такое паспорт с точки зрения 152-ФЗ

Прежде чем говорить о передаче, нужно понять, что именно содержит паспорт и под какие категории ПДн подпадает каждая часть [2].

Обычные персональные данные

ФИО, дата и место рождения, адрес регистрации, серия и номер паспорта, орган выдачи — всё это обычные персональные данные по смыслу 152-ФЗ [3]. Для их обработки достаточно согласия субъекта в любой форме, позволяющей подтвердить его получение (ч. 1 ст. 9 152-ФЗ). Письменная форма согласия требуется только в случаях, прямо предусмотренных федеральным законом.

Биометрические персональные данные — фотография

Вот здесь начинается зона повышенного риска. Согласно ч. 1 ст. 11 Федерального закона № 152-ФЗ, биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность [4].

Роскомнадзор в своих разъяснениях указал, что фотография является биометрическими ПДн в том случае, когда она используется оператором для установления личности субъекта [5]. Суды в 2024 году последовательно подтверждали: фотография, которая позволяет идентифицировать человека, содержит биометрические ПДн, и обработка таких данных допустима только при наличии письменного согласия [6].

Значит, скан паспорта — это документ, содержащий одновременно обычные ПДн и биометрические (фотографию), которая используется для идентификации. Когда компания пересылает скан паспорта контрагенту для проверки личности клиента, она обрабатывает биометрию — со всеми вытекающими последствиями.

При этом важен контекст. Если фотография из паспорта используется просто как приложение к договору (а не для автоматизированной идентификации), есть позиции, допускающие более мягкую трактовку. Однако на практике регуляторы склонны к широкому толкованию понятия «биометрические ПДн» применительно к фотографиям в паспортах [7].

Что говорит закон о передаче ПДн по email

Закон № 152-ФЗ не устанавливает исчерпывающий перечень допустимых каналов передачи ПДн. Оператор выбирает канал самостоятельно — но при этом обязан соблюдать требования к защите данных [8].

Ключевая норма — ст. 19 152-ФЗ: оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения [9].

Конкретные технические меры установлены Приказом ФСТЭК России № 21 от 18.02.2013 [10]. Мера ЗИС.3 прямо требует обеспечить защиту персональных данных от раскрытия, модификации и навязывания при их передаче по каналам связи, имеющим выход за пределы контролируемой зоны [11]. Электронная почта — именно такой канал.

Позиция ФСБ: прямой запрет незащищенной передачи

ФСБ России, анализируя требования Приказа № 378, сформулировала однозначный вывод: передача персональных данных по электронной почте без использования сертифицированных ФСБ России СКЗИ является фактом разглашения персональных данных и нарушением требований к их защите [12].

Это не мягкая рекомендация. Это официальная позиция регулятора: обычный email = разглашение ПДн.

При передаче ПДн по email оператор обязан выполнить как минимум следующие меры безопасности [13]:

АВЗ.1 — антивирусная защита.
ЗИС.3 — защита данных от раскрытия при передаче по открытым каналам (шифрование).
ОЦЛ.4 — обнаружение и реагирование на незапрашиваемые сообщения.

Стандартный корпоративный email не обеспечивает ни одну из этих мер в части шифрования канала с использованием сертифицированных СКЗИ.

Уровни защищенности: что обязан применять конкретный оператор

Требования зависят от уровня защищенности информационной системы (УЗ), который определяется по Постановлению Правительства № 1119. Системы, обрабатывающие биометрические данные, относятся к высшим уровням (УЗ-1 или УЗ-2), требующим применения сертифицированных средств защиты информации [14].

Практический вывод: компания, которая пересылает сканы паспортов, фактически обрабатывает биометрические данные — а значит, обязана соответствовать УЗ-1 или УЗ-2. Обычный email этим требованиям не соответствует никогда.

Правовые основания для передачи: без согласия — незаконно

Технические требования — только часть истории. Не менее важна правовая база: на каком основании компания вообще передает паспорт третьему лицу?

Когда согласие обязательно

По общему правилу обработка ПДн возможна при наличии согласия субъекта (ст. 6 152-ФЗ). Для биометрических данных закон требует письменного согласия (ст. 11 152-ФЗ). Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 152-ФЗ) [15].

Ключевое требование: согласие адресное

Если компания планирует передать данные конкретному контрагенту — страховщику, застройщику, банку — она обязана получить согласие, в котором прямо указано наименование организации-получателя [16]. Формулировка «в соответствии с целями деятельности компании» или «третьим лицам» не подойдет — такое согласие суды признают ненадлежащим [17].

Исключения из требования согласия

Закон предусматривает ряд случаев, когда согласие не требуется (ч. 1 ст. 6 152-ФЗ): исполнение договора, законные интересы оператора, выполнение обязанностей, возложенных законодательством. Например, банки при передаче данных в бюро кредитных историй или нотариусы действуют на основании закона. Но в большинстве коммерческих ситуаций (риелтор — застройщику, аутсорсер — клиенту, HR — кадровому агентству) законного основания без согласия нет.

Сценарии из практики: анализ законности

Сценарий 1. Риелтор пересылает скан паспорта клиента застройщику

Ситуация типична и повсеместна. Между риелтором и клиентом есть договор — но в нём, как правило, нет прямого упоминания о передаче скана паспорта застройщику с указанием его наименования. Согласие на обработку биометрических данных (фотографии) в письменной форме почти никогда не берется. Канал передачи — обычный email.

Итог: нарушение как минимум по двум основаниям — отсутствие надлежащего согласия и незащищенный канал передачи.

Сценарий 2. HR-отдел пересылает паспорт нового сотрудника аутсорсинговому кадровому агентству

Сотрудник дает согласие на обработку ПДн при трудоустройстве — но согласие должно содержать конкретное указание на аутсорсера. Если такого указания нет — передача незаконна вне зависимости от канала [16].

Сценарий 3. Банк передает данные страховщику при оформлении кредита со страховкой

Здесь нередко есть законное основание — исполнение договора или комплексное согласие, полученное клиентом при подписании кредитного договора. Однако банк всё равно обязан использовать защищенный канал передачи. Передача незашифрованным email нарушает технические требования, даже если правовое основание есть.

Сценарий 4. Компания пересылает паспорт своему же сотруднику для проверки через другой отдел

Передача внутри организации формально не является «передачей третьим лицам», однако обработка данных в информационной системе (включая почтовую) всё равно подпадает под требования ст. 19 152-ФЗ и мер ФСТЭК. Незащищенный внутренний email — тоже риск.

Ответственность: чем рискует компания в 2025–2026 годах

Административная ответственность — ст. 13.11 КоАП РФ

С 30 мая 2025 года вступили в силу новые размеры штрафов по 420-ФЗ. Для организаций картина следующая [18]:

Обработка ПДн в случаях, не предусмотренных законодательством (ч. 1 ст. 13.11): от 150 000 до 300 000 руб., при повторном нарушении — до 500 000 руб.
Обработка без письменного согласия, когда оно обязательно (ч. 2 ст. 13.11): от 300 000 до 700 000 руб.
За утечку данных от 1 000 до 10 000 человек: от 3 до 5 млн руб.
За утечку данных от 10 000 до 100 000 человек: от 5 до 10 млн руб.
За повторную утечку: оборотный штраф от 1% до 3% годовой выручки, но не менее 20 млн руб. и не более 500 млн руб.
За незаконную передачу третьим лицам биометрических персональных данных (ч. 17 ст. 13.11): от 400 000 до 500 000 руб. [19]

Уголовная ответственность — ст. 272.1 УК РФ

С 11 декабря 2024 года действует новая статья 272.1 УК РФ, введенная Федеральным законом № 421-ФЗ [20]. Она устанавливает уголовную ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученной незаконным путем.

Ключевое условие уголовной ответственности — данные должны быть получены незаконным способом: через неправомерный доступ к средствам обработки или иным незаконным путем [21]. Это означает, что легальный оператор, который правомерно получил паспорт клиента, но затем нарушил правила его хранения или передачи, под ст. 272.1 УК в общем случае не подпадает — для него применяется административная ответственность.

Однако если паспортные данные клиентов окажутся в руках злоумышленников и будут пересланы по незащищенному email — это создает условия для их дальнейшего незаконного использования третьими лицами уже с уголовными последствиями.

Санкции по ст. 272.1 УК РФ [22]:

Ч. 1 (обычные ПДн): до 4 лет лишения свободы или штраф до 300 тыс. руб.
Ч. 2 (биометрические, специальные ПДн, данные несовершеннолетних): до 5 лет лишения свободы или штраф до 700 тыс. руб.
Ч. 4 (трансграничная передача): до 8 лет лишения свободы и штраф до 2 млн руб.

Гражданско-правовая и дисциплинарная ответственность

Помимо административной и уголовной, нарушение ст. 24 152-ФЗ влечёт гражданско-правовую ответственность — клиент вправе требовать компенсации морального вреда. Сотрудники, допустившие передачу паспорта по незащищенному каналу в нарушение внутренних регламентов, могут быть привлечены к дисциплинарной ответственности.

Практические риски: что происходит при перехвате

Незащищенная электронная почта перехватывается на нескольких уровнях. Во-первых, при передаче через публичные серверы (Gmail, Яндекс.Почта, Mail.ru). Во-вторых, в случае взлома почтового ящика отправителя или получателя. В-третьих, при хранении сообщений на серверах провайдеров. Скан паспорта в чужих руках — это прямой путь к мошенничеству с ЭЦП, кредитным заявкам и незаконной регистрации юридических лиц [23].

Риск не абстрактный: московская полиция неоднократно возбуждала уголовные дела, связанные с незаконным получением ЭЦП по сканам паспортов, купленных у организаций, которые беспечно обращались с документами клиентов [24].

Как действовать законно: пошаговый план

Шаг 1. Определить правовое основание

Перед любой передачей паспорта ответьте на вопросы: есть ли у вас законное основание? Если нет прямой нормы закона, требующей передачи, — получите письменное согласие субъекта. В согласии укажите наименование организации-получателя, перечень передаваемых данных, цель передачи и срок.

Шаг 2. Минимизировать объем передаваемых данных

Принцип минимизации (ст. 5 152-ФЗ): передавайте только те данные, которые необходимы для конкретной цели. Если контрагенту нужны только ФИО и серия-номер паспорта — не отправляйте скан целиком. Если можно ограничиться текстовыми данными — используйте текст, а не изображение.

Шаг 3. Выбрать защищенный канал передачи

Законные и технически корректные варианты:

Защищенный корпоративный портал с шифрованием (https + аутентификация обеих сторон).
Передача через защищенные системы документооборота (СЭДО) с использованием СКЗИ, сертифицированных ФСБ.
Шифрование файла перед отправкой по email с использованием сертифицированных криптографических средств (КриптоПро и аналоги) и передача ключа по отдельному защищенному каналу [8].
Личная передача или через курьерскую службу — для наиболее чувствительных случаев.

Шаг 4. Обеспечить организационные меры

Разработайте внутренний регламент передачи ПДн, в котором чётко прописаны: допустимые каналы, ответственные лица, порядок логирования фактов передачи. Назначьте ответственного за организацию обработки ПДн (ст. 22.1 152-ФЗ).

Шаг 5. Уведомить Роскомнадзор

Если ваша организация не внесена в реестр операторов ПДн — с 30 мая 2025 года за это грозит штраф до 300 000 руб. [25]. Подайте уведомление через портал РКН.

Типичные ошибки и как их избежать

Ошибка 1. «Мы получили согласие при заключении договора — этого достаточно»

Нет. Если в согласии не указан конкретный получатель данных, передача ему сканов паспорта — незаконна. Общее согласие на обработку ПДн не покрывает передачу третьим лицам.

Ошибка 2. «Email зашифрован — мы используем HTTPS»

HTTPS защищает канал между браузером и сервером. Это не то же самое, что шифрование содержимого письма с использованием СКЗИ. Письмо хранится на серверах провайдеров в открытом виде; HTTPS лишь защищает передачу до сервера.

Ошибка 3. «Фотография в паспорте — не биометрия, это просто картинка»

Позиция РКН и судебная практика расходятся с этим мнением. Фотография в паспорте, используемая для идентификации личности, признается биометрическими ПДн, требующими письменного согласия.

Ошибка 4. «Мы пересылаем данные своих клиентов давно, нас не проверяли»

Отсутствие проверки в прошлом — не защита от ответственности в будущем. РКН планомерно наращивает активность проверок; с введением новых повышенных штрафов мотивация у регулятора только выросла.

Ошибка 5. «Контрагент сам попросил прислать скан — значит, это его ответственность»

Ответственность несет тот, кто передает данные. Инициатива получателя не снимает с оператора обязанности использовать защищенный канал и иметь надлежащее правовое основание.

Чек-лист: перед тем как отправить паспорт клиента

☐ Есть письменное согласие клиента, в котором указан получатель (наименование организации), перечень данных, цель и срок передачи.
☐ Если паспорт содержит фотографию — согласие оформлено на обработку биометрических ПДн.
☐ Объём передаваемых данных минимален: передаёте только то, что реально необходимо.
☐ Канал передачи защищён: используете защищённый портал или шифрование СКЗИ (не просто HTTPS почтовика).
☐ Факт передачи задокументирован: дата, кому, какие данные, на каком основании.
☐ Организация зарегистрирована в реестре операторов ПДн РКН.
☐ В компании есть ответственный за организацию обработки ПДн.
☐ Сотрудники прошли инструктаж по правилам передачи ПДн.
☐ Есть регламент действий при инциденте (утечке): уведомление РКН в течение 24 часов.

Где хранятся «невидимые» паспорта в вашей компании

Практика показывает: даже когда компании осознают риски пересылки сканов паспортов по email, они не всегда понимают, где эти данные оседают в итоге. Письмо отправлено — но скан остался в «Отправленных» почтовом ящике менеджера, на корпоративном файловом сервере, в CRM, в облачном хранилище, куда синхронизируются вложения. Теневые копии паспортных данных разбросаны по всей ИТ-инфраструктуре.

Это одна из ключевых проблем, с которой работает платформа «Пятый фактор» — on-prem решение для автоматического обнаружения и инвентаризации персональных данных в корпоративных системах. Платформа находит, где именно в базах данных, файловых хранилищах, почтовых системах и CRM содержатся ПДн клиентов — в том числе паспортные данные — и кто имеет к ним доступ, работая только с метаданными и агрегатами без доступа к «сырым» данным. Вместо того чтобы узнать о рассредоточенных сканах паспортов на проверке РКН или при инциденте, компания видит полную карту ПДн в реальном времени и может устранять риски заблаговременно.

Подробнее — на 5factor.ru.

Заключение

Ответ на вопрос «можно ли пересылать паспорт клиента обычной электронной почтой?» — нельзя. Не потому что закон прямо запрещает использовать email, а потому что обычная почта не обеспечивает ни одного из обязательных технических требований к защите ПДн при передаче по открытым каналам. При этом паспорт содержит биометрические данные (фотографию), обработка которых требует письменного согласия с указанием конкретного получателя.

В 2025–2026 годах цена ошибки выросла кратно: штрафы для организаций исчисляются миллионами, за повторные нарушения — сотнями миллионов. Перестройка процессов требует усилий, но это инвестиция в защиту бизнеса, а не просто выполнение формальных требований регулятора.

Источники

[1] consultant.ru — Федеральный закон от 30.11.2024 № 420-ФЗ (изменения в КоАП) — https://www.consultant.ru/legalnews/28492/

[2] taxcom.ru — Новые требования в работе с персональными данными: что такое скан паспорта — https://taxcom.ru/baza-zaniy/effektivnyy-biznes/stati/novye-trebovaniya-v-rabote-s-personalnymi-dannymi-rabotnikov-i-pokupateleyklientov/

[3] consultant.ru — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 3, 5, 9 — https://www.consultant.ru/document/cons_doc_LAW_61801/

[4] legalacts.ru — 152-ФЗ, ст. 11. Биометрические персональные данные — https://legalacts.ru/doc/152_FZ-o-personalnyh-dannyh/glava-2/statja-11/

[5] legalacts.ru — Разъяснения Роскомнадзора о фото- и видеоизображениях как биометрических ПДн — https://legalacts.ru/doc/razjasnenija-roskomnadzora-o-voprosakh-otnesenija-foto-i/

[6] consultant.ru — Подборка судебных решений 2024 года по ст. 11 152-ФЗ (фотография как биометрия) — https://www.consultant.ru/law/podborki/fotografiya_biometricheskie_personalnye_dannye/

[7] workspace.ru — Полный гайд по персональным данным 152-ФЗ: нюансы биометрии — https://workspace.ru/blog/polnyy-gayd-po-personalnym-dannym-152-fz-novye-shtrafy-chastye-oshibki-i-trebovaniya-v-2025-godu/

[8] garant.ru — Передача сведений, содержащих ПДн, по электронной почте (ГАРАНТ, вопрос-ответ) — https://www.garant.ru/consult/business/1793028/

[9] normativ.kontur.ru — Федеральный закон № 152-ФЗ, ст. 19 — https://normativ.kontur.ru/document?moduleId=1&documentId=501173

[10] fstec.ru — Приказ ФСТЭК России от 18.02.2013 № 21 — https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21

[11] fstec21.blogspot.com — Мера ЗИС.3: защита ПДн при передаче по открытым каналам — https://fstec21.blogspot.com/2017/08/protection-information-system.html

[12] fsb378.blogspot.com — Приказ ФСБ России № 378: передача ПДн по email без СКЗИ = разглашение — https://fsb378.blogspot.com/2017/07/transfer-of-personal-data-via-e-mail.html

[13] fsb378.blogspot.com — Меры АВЗ.1, ЗИС.3, ОЦЛ.4 при передаче ПДн по email — https://fsb378.blogspot.com/2017/07/transfer-of-personal-data-via-e-mail.html

[14] kontur.ru — Приказ ФСТЭК № 21: уровни защищенности и требования — https://kontur.ru/aegis/blog/83426-prikaz_fstek_21

[15] consultant.ru — 152-ФЗ, ст. 9. Согласие субъекта персональных данных — https://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59f6006b08c/

[16] pro-personal.ru — Согласие на передачу данных третьим лицам: требование адресности — https://www.pro-personal.ru/question/4292667787-26-m04-kak-oformit-soglasie-rabotnika-na-peredachu-ego-personalnyh-dannyh

[17] law.ru — Можно ли передавать персональные данные по электронной почте? — https://www.law.ru/question/84387-mojno-li-peredavat-personalnye-dannye-po-elektronnoy-pochte

[18] pravovest-audit.ru — Обработка ПДн с 30 мая 2025 года: новые штрафы — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/izmeneniya-v-obrabotke-personalnykh-dannykh-s-30-maya-2025-goda/

[19] saby-sbis.ru — Штрафы за ПДн с 30 мая 2025 года, в том числе за биометрию (ч. 17 ст. 13.11) — https://saby-sbis.ru/blog/shtrafy-pri-rabote-s-personalnymi-dannymi-s-30-maya-2025-goda

[20] consultant.ru — УК РФ, ст. 272.1 (введена 421-ФЗ от 30.11.2024) — https://www.consultant.ru/document/cons_doc_LAW_10699/deefead19003ba8266e85fbf42fc31f60ed3c698/

[21] advodom.ru — Ст. 272.1 УК РФ: ключевые условия уголовной ответственности — https://www.advodom.ru/practice/ugolovnaya-otvetstvennost-za-nezakonnoe-obrashhenie-s-elektronnymi-personalnymi-dannymi.php

[22] ugpr.ru — Статья 272.1 УК РФ об уголовной ответственности: составы и санкции — https://www.ugpr.ru/article/2100-ugolovnaya-otvetstvennost-za-personalnye-dannye

[23] roskomsvoboda.org — Копия паспорта: риски мошенничества с ЭЦП — https://roskomsvoboda.org/en/cards/card/copy-of-passport/

[24] zachestnyibiznes.ru — Как обезопасить себя при требовании копии паспорта — https://zachestnyibiznes.ru/blog/kak_sebya_obezopasit_esly_prosyat_kopiyu_pasporta

[25] astral.ru — Обработка ПДн с 30 мая 2025 года: уведомление РКН, штрафы — https://astral.ru/products/152doc/uvedomlenie-ob-obrabotke-personalnykh-dannykh/