Скан паспорта целиком — или только серия и номер? Как принцип минимизации меняет практику компаний
Хранить копию паспорта «на всякий случай» — привычная практика HR и безопасников. Но с точки зрения 152-ФЗ именно этот «всякий случай» и становится главным вопросом: зачем, какова цель и не избыточен ли объём?
Почему вопрос стал острым именно сейчас
«Пришлите скан паспорта» — эта фраза звучит в переписке ежедневно: при оформлении на работу, при подписании договора с самозанятым, при бронировании корпоративного жилья, при регистрации на мероприятие. Скан кажется надёжнее — он содержит всё, что есть в документе, включая фотографию, подписи, машиночитаемую зону.
Проблема в том, что именно эта «полнота» и создаёт правовой риск. [1][2]
С 30 мая 2025 года вступили в силу поправки к КоАП (Федеральный закон № 420-ФЗ от 30.11.2024), многократно увеличившие штрафы за нарушения в сфере персональных данных. [3] Роскомнадзор заявил о курсе на массовые проверки в 2026 году. Одновременно появляются законодательные инициативы, которые фактически планируют закрепить принцип минимизации как императивную норму — то есть государство само будет определять, какой объём данных считать «достаточным». [4]
Тема хранения скана паспорта перестала быть абстрактной — она стала конкретным compliance-риском с измеримыми последствиями.
Что такое скан паспорта с точки зрения 152-ФЗ
Паспортные данные — всегда персональные данные
Закон 152-ФЗ определяет персональные данные широко: это любая информация, относящаяся прямо или косвенно к определённому физическому лицу. [5] Паспортные данные — ФИО, дата и место рождения, серия и номер, орган и дата выдачи, место регистрации — однозначно попадают под это определение. Они относятся к категории «иных» (общих) персональных данных и не являются специальной или биометрической категорией сами по себе. [6]
Любое действие со сканом — сохранение на диск, передача по электронной почте, хранение в папке — это обработка персональных данных в смысле ст. 3 152-ФЗ. [5]
А фотография в скане?
Вот здесь возникает нюанс, который нередко упускают. Биометрические персональные данные — это сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта (ч. 1 ст. 11 152-ФЗ). [7] Ключевое слово — «используются для установления личности».
Роскомнадзор в разъяснениях (от 30 августа 2013 г.) занял следующую позицию: если скан паспорта снимается для подтверждения факта совершения действий конкретным лицом (заключение договора, оказание услуг) без проведения процедуры идентификации — это не обработка биометрических данных. [8] Иными словами, фотография в паспорте, которую никто не использует для сличения и идентификации, биометрией формально не является.
Другая ситуация — когда фотоизображение применяется для установления личности: в системах пропускного режима, при KYC-верификации, при биометрической аутентификации. В этом случае оно становится биометрическими персональными данными со всеми вытекающими: требование письменного согласия, повышенный уровень защиты, особый порядок хранения. [8]
Практический вывод: хранить скан паспорта как изображение только потому, что «там есть фото», — риск повышенной квалификации данных и более строгих требований, если впоследствии этот файл будет использован для верификации.
Принцип минимизации: буква закона и позиция РКН
Что говорит ст. 5 152-ФЗ
Статья 5 закона устанавливает принципы обработки персональных данных. Среди них — принцип, который на практике называют «принципом минимизации» (хотя в самом тексте закона это слово не используется). Норма ч. 5 ст. 5 гласит: содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. [5] Обрабатываемые данные не должны быть избыточными по отношению к этим целям.
Это означает, что оператор не просто обязан иметь законное основание для обработки — он обязан ограничить объём данных тем минимумом, который объективно необходим для достижения конкретной цели.
Позиция Роскомнадзора
РКН неоднократно артикулировал эту позицию применительно к копиям документов: обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей, а содержание и объём обрабатываемых данных не должны быть избыточными. [9] Регулятор прямо указывал компаниям в предписаниях, что хранение копий личных документов является избыточным при обработке персональных данных работников. [10]
Что это означает для скана паспорта
Логика применения принципа минимизации к скану паспорта выглядит следующим образом.
Задайте себе вопрос: для чего именно вам нужен этот документ?
Если цель — идентифицировать контрагента при заключении договора и зафиксировать реквизиты, достаточно серии, номера, органа и даты выдачи. Скан с фотографией, машиночитаемой зоной, адресом регистрации и прочим содержимым — это сверх необходимого.
Если цель — проверка подлинности документа при личном визите (например, при заселении в гостиницу), достаточно осмотреть оригинал и внести реквизиты. Оставлять себе цифровую копию — снова вопрос к цели.
Если же цель предполагает хранение именно копии (например, в силу прямого требования закона), тогда это законное основание — но только в пределах, которые этот закон определяет.
Судебная практика: что говорят суды
Российская судебная практика по данному вопросу неоднородна, но показательна.
Ряд судебных решений признал хранение работодателем копий документов работников незаконным, причём даже при наличии согласия на обработку персональных данных. В частности, такую позицию занимали ФАС Северо-Кавказского округа (постановления от 21.04.2014 № Ф08-1921/14 и от 11.03.2014 № Ф08-480/14), Пятнадцатый арбитражный апелляционный суд (постановление от 14.03.2014 № 15АП-22502/13), Семнадцатый арбитражный апелляционный суд (постановление от 10.06.2015 № 17АП-5329/15). [10][11]
Аргументация судов: хранение копий паспорта, военного билета, свидетельств о браке и рождении детей превышает объём персональных данных, установленный Конституцией РФ, ТК РФ и иными федеральными законами, и является обработкой избыточных данных в нарушение ч. 5 ст. 5 Закона № 152-ФЗ. [12]
Одновременно существует противоположная позиция. КонсультантПлюс и Роструд (в докладе за II квартал 2017 г.) допускали хранение копий документов в личном деле при наличии письменного согласия и обоснованной цели. [13] Такую же позицию занимал ряд арбитражных судов.
Итог неоднозначен: само по себе наличие копий документов не является автоматическим нарушением, если оператор соблюдает условия — согласие, цель, соразмерный объём, надлежащая защита. Но риск предписания со стороны РКН и судебного оспаривания при хранении полного скана без очевидной необходимости — реален.
Когда хранение скана всё-таки законно: исключения и специальные случаи
Принцип «не хранить полный скан» имеет исключения, предусмотренные законодательством.
Банки и финансовые организации
Кредитные организации обязаны проводить идентификацию клиентов по требованиям Федерального закона № 115-ФЗ «О противодействии легализации (отмыванию) доходов». В рамках KYC-процедур хранение копии паспорта является законным требованием и имеет прямое нормативное основание. Но даже здесь объём должен быть соразмерен: если для конкретной операции достаточно определённого набора реквизитов, хранить «лишние» страницы незачем. [14]
Гостиницы и средства размещения
Правила предоставления гостиничных услуг требуют регистрации гостей. При этом, как отмечает отраслевая практика после изменений в 152-ФЗ с сентября 2025 года, согласие на обработку персональных данных теперь должно быть оформлено отдельным документом, а не встроено в анкету или договор заселения. [15] Сканирование паспорта при заселении возможно как технический инструмент переноса данных, но хранение скана как файла — вопрос отдельного обоснования.
Нотариальные действия
Нотариус при совершении нотариальных действий работает с оригиналами документов и их реквизитами; правила хранения нотариальных документов регулируются Основами законодательства о нотариате. Нотариус в данном случае имеет специальное законодательное основание для обработки данных.
Дистанционные договоры и электронный документооборот
При заключении дистанционных договоров (аренда, услуги, трудоустройство без личной встречи) компании объективно не могут осмотреть оригинал документа. В этом случае скан паспорта может быть единственным способом верификации личности. Однако после подтверждения реквизитов скан следует уничтожить — оставлять его на хранение не требуется.
Государственные органы и организации с обязательными требованиями
Ряд государственных органов и организаций действует в рамках специальных нормативных актов, прямо предписывающих им работать с документами (Пенсионный фонд, ФСС, военкоматы). Для них хранение копий имеет нормативное основание — хотя конфликт между требованиями РКН и, например, военкоматов в практике действительно существует. [16]
Практические риски: что именно проверяет РКН
При проверке Роскомнадзор обращает внимание на следующее.
Первое — наличие законного основания для обработки. Это либо согласие субъекта, либо одно из оснований ст. 6 152-ФЗ (исполнение договора, исполнение закона, и т.д.). Согласие без конкретной, прописанной цели хранения скана — недостаточно.
Второе — соответствие объёма данных заявленным целям. Если в политике обработки написано «серия и номер паспорта», а на деле хранится полный скан — это несоответствие.
Третье — сроки хранения. Персональные данные должны храниться не дольше, чем необходимо для достижения цели обработки. [5] Скан паспорта, оставшийся в базе после расторжения договора или увольнения сотрудника, — типичное нарушение.
Четвёртое — уничтожение. После истечения срока хранения данные должны быть уничтожены. Для этого составляется акт об уничтожении, который хранится не менее трёх лет. [17]
Пятое — разграничение доступа. Если скан паспорта доступен всем сотрудникам компании — это нарушение требований к защите, независимо от вопроса об избыточности.
Штрафы: что изменилось с 30 мая 2025 года
Федеральный закон № 420-ФЗ от 30.11.2024 существенно увеличил санкции по ст. 13.11 КоАП. [3]
По общему составу (ч. 1 ст. 13.11) — обработка данных в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора — штрафы теперь составляют: для граждан от 10 000 до 15 000 рублей; для должностных лиц от 50 000 до 100 000 рублей; для юридических лиц от 150 000 до 300 000 рублей. [3]
За обработку без письменного согласия (когда оно обязательно) — для юрлиц от 300 000 до 500 000 рублей. [3]
За утечку данных введены новые «градуированные» штрафы в зависимости от масштаба. При утечке данных 1 000–10 000 физлиц — для организаций от 3 до 5 млн рублей. При утечке данных 10 000–100 000 физлиц — от 5 до 10 млн рублей. [18] При повторных нарушениях — оборотные штрафы: от 1% до 3% выручки за предшествующий год, в пределах от 20 млн рублей. [18]
Уголовная ответственность. С декабря 2024 года в УК РФ появилась ст. 272.1 — уголовная ответственность за использование, передачу, распространение незаконно полученных персональных данных, а также за хранение такой информации, если это повлекло тяжкие последствия. [18]
Важное процессуальное изменение: с 28 декабря 2025 года (Федеральный закон № 508-ФЗ) дела по ст. 13.11 КоАП вернули мировым судьям — это снизило возможности обжалования для бизнеса в сравнении с арбитражными судами. [19]
Что делать: чек-лист для компаний
Шаг 1. Провести инвентаризацию
Найдите все места, где хранятся сканы паспортов: папки на серверах и локальных дисках, почтовые вложения в архивах, CRM и ERP-системы, облачные хранилища, личные дела в HR-системах, мессенджеры и Telegram-чаты с клиентами.
Шаг 2. Определить цель для каждого хранилища
Для каждой группы сканов ответьте на вопросы: зачем они собирались, какова задокументированная цель, какое основание из ст. 6 152-ФЗ её покрывает.
Шаг 3. Оценить избыточность
Если для достижения цели достаточно серии, номера, даты и органа выдачи — скан избыточен. Уничтожьте его и зафиксируйте реквизиты в структурированном виде.
Шаг 4. Обновить согласия и политику обработки
Если вы всё же имеете основания хранить полные копии, убедитесь что: в согласии прямо указана цель хранения скана; указан срок хранения; перечислен объём данных; есть порядок уничтожения.
Шаг 5. Разграничить доступ
К сканам паспортов должны иметь доступ только те сотрудники, которым это необходимо для выполнения должностных функций. Доступ документируется.
Шаг 6. Настроить сроки хранения и уничтожение
Для каждой категории сканов установите срок хранения. После его истечения — уничтожение с составлением акта. Акт хранится не менее трёх лет. [17]
Шаг 7. Обучить персонал
Типичная ошибка: HR или менеджер по продажам «на всякий случай» сохраняет скан в личной папке. Регламент должен исключать такую практику, а сотрудники — понимать ответственность.
Типичные ошибки и как их избежать
Ошибка первая — хранить скан «потому что так удобнее». Удобство не является законным основанием для обработки персональных данных. Если для работы достаточно реквизитов — используйте реквизиты.
Ошибка вторая — считать, что согласие «покрывает всё». Согласие — это условие необходимое, но не достаточное. Объём данных всё равно должен соответствовать цели. Суды неоднократно признавали хранение копий незаконным, даже если согласие было. [10]
Ошибка третья — не устанавливать сроки хранения. Скан паспорта сотрудника, уволенного три года назад, — это нарушение, даже если изначально хранение было законным.
Ошибка четвёртая — пересылать сканы по незащищённым каналам. Telegram, обычная электронная почта без шифрования — это риск утечки. А с 2025 года утечка влечёт миллионные штрафы.
Ошибка пятая — игнорировать «теневые» хранилища. Даже если основная ИТ-система настроена правильно, сканы могут лежать в почте менеджеров, в Telegram, в личных папках на компьютерах. Аудит должен охватывать все места хранения.
Тренды 2025–2026: что происходит в регулировании
Министерство цифрового развития РФ разрабатывает законопроект, который планирует закрепить принцип минимизации на уровне обязательных стандартов — государство будет определять, какой объём данных считается «достаточным» для каждой сферы деятельности. [20] Это принципиально изменит правила игры: сейчас оператор сам обосновывает необходимость объёма, а в перспективе нормативно установленный стандарт станет потолком.
РКН анонсировал переход к автоматическому мониторингу с применением ИИ-систем для выявления нарушений. [21] Это означает масштабируемые проверки без предупреждения. 2026 год обещает быть периодом активных проверок.
Параллельно активно обсуждается создание платформы управления согласиями на базе «Госуслуг», которая позволит гражданам централизованно отзывать разрешения на обработку данных. [20] Для бизнеса это означает необходимость технически поддерживать такой механизм.
Сближение с GDPR. Российский законодатель последовательно сближает требования 152-ФЗ с европейским регламентом. Принцип минимизации данных — один из ключевых в GDPR, и российская практика идёт в том же направлении. [20]
Заключение: базовый вопрос, который меняет всё
Ключевой вопрос при работе со сканом паспорта не «можно ли его хранить», а «для чего именно он нужен и достаточно ли для этой цели более ограниченного набора данных».
Если ответ честный — в большинстве случаев оказывается, что серии, номера, даты выдачи и органа достаточно. Скан нужен только в тех ситуациях, когда требуется подтвердить подлинность документа (при дистанционной верификации) или когда закон прямо обязывает хранить копию.
Во всех остальных случаях полный скан — это избыточные данные, риск нарушения ч. 5 ст. 5 152-ФЗ, потенциальное предписание РКН и штраф до 300 000 рублей для организации (плюс оборотные санкции при утечке).
Простое правило: собрали реквизиты — уничтожьте скан. Это не паранойя, это compliance.
Как «Пятый фактор» помогает решить проблему с хранением сканов
Один из самых сложных аспектов соблюдения принципа минимизации — не выработать политику «на бумаге», а обнаружить, где именно в корпоративных системах уже хранятся сканы паспортов и другие избыточные данные.
Практика показывает: сканы оседают в самых неожиданных местах — в почтовых архивах, в папках на файл-серверах, в базах данных CRM, в вложениях в Bitrix24, в корпоративных мессенджерах. Провести ручной аудит таких хранилищ в компании среднего размера занимает недели — и всё равно оставляет «слепые зоны».
«Пятый фактор» — это on-premises платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных инфраструктурах: базах данных, почте, файловых хранилищах, 1С, CRM и других системах. Платформа работает с метаданными и структурой данных — без передачи и хранения «сырых» ПДн — и формирует живую карту персональных данных в организации.
Применительно к задаче из этой статьи: вместо ручного поиска сканов паспортов платформа автоматически обнаруживает места их хранения, позволяет оценить, где данные избыточны, и отслеживать изменения в режиме реального времени — включая появление новых источников рисков по мере изменения ИТ-ландшафта.
Подробнее о платформе: 5factor.ru
Источники
[1] cisoclub.ru — Паспортные данные: правила обработки и хранения по 152-ФЗ, риски и советы для бизнеса — https://cisoclub.ru/pochemu-nelzja-razdavat-pasportnye-dannye-pravo-riski-i-prakticheskie-pravila/
[2] workspace.ru — Полный гайд по персональным данным 152-ФЗ: новые штрафы, частые ошибки и требования в 2025 году — https://workspace.ru/blog/polnyy-gayd-po-personalnym-dannym-152-fz-novye-shtrafy-chastye-oshibki-i-trebovaniya-v-2025-godu/
[3] consultant.ru — КоАП РФ Статья 13.11. Нарушение законодательства РФ в области персональных данных — https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/
[4] klerk.ru — 152-ФЗ о персональных данных: требования закона для бизнеса в 2026 году — https://www.klerk.ru/blogs/roskom24/674017/
[5] consultant.ru — Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ, статья 5 — https://www.consultant.ru/document/cons_doc_LAW_61801/
[6] profkadrovik.ru — Обработка биометрических персональных данных: правила — https://profkadrovik.ru/articles/working-conditions/biometricheskie-personalnye-dannye-ponyatie-i-pravila-obrabotki-22-m10/
[7] base.garant.ru — Статья 11. Биометрические персональные данные. 152-ФЗ — https://base.garant.ru/12148567/9d78f2e21a0e8d6e5a75ac4e4a939832/
[8] legalacts.ru — Разъяснения Роскомнадзора о вопросах отнесения фото- и видеоизображения к биометрическим ПДн — https://legalacts.ru/doc/razjasnenija-roskomnadzora-o-voprosakh-otnesenija-foto-i/
[9] 77.rkn.gov.ru — Роскомнадзор: о персональных данных — https://77.rkn.gov.ru/p3852/p13239/p13309/
[10] garant.ru — РКН направил предписание: хранение копий личных документов является избыточным — https://www.garant.ru/consult/control/1209539/
[11] elcode.ru — Можно ли хранить копии документов работника (например, паспорта) в его личном деле? — https://elcode.ru/service/news/daydjest-novostey-zakonodatelstva/mozhno-li-hranit-kopii-dokumentov-rabotnika-naprim
[12] tls-cons.ru — Имеет ли право отдел кадров хранить в личном деле работника копии документов работника? — https://tls-cons.ru/liniya-konsultatsij/lenta-konsultatsii/imeet-li-pravo-otdel-kadrov-khranit-v-lichnom-dele-rabotnika-kopii-dokumentov-rabotnika/
[13] consultant.ru — Согласие на хранение копии паспорта (подборка КонсультантПлюс) — https://www.consultant.ru/law/podborki/soglasie_na_hranenie_kopii_pasporta/
[14] vc.ru — Персональные данные: как хранить, обрабатывать и защищать по закону — https://vc.ru/legal/162911-personalnye-dannye-kak-hranit-obrabatyvat-i-zashishat-po-zakonu
[15] bronirui-online.ru — Что изменилось в работе с персональными данными с сентября 2025 года — https://bronirui-online.ru/jurnal/novosti/izmeneniya-v-152-fz-s-sentyabrya-2025-dlya-otelerov/
[16] delo-press.ru — Хранение копий документов в личном деле — https://delo-press.ru/faq/staff/64445-pochemu-nelzya-khranit-kopii-dokumentov-s-persdannymi-v-lichnom-dele-rabotnika/
[17] itelon.ru — Как хранить персональные данные по 152-ФЗ — https://itelon.ru/blog/kak-khranit-personalnye-dannye-po-152-fz/
[18] pravovest-audit.ru — Обработка персональных данных: изменения с 30.05.2025 — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/izmeneniya-v-obrabotke-personalnykh-dannykh-s-30-maya-2025-goda/
[19] pro-ability.ru — Штрафы за персональные данные с 2026 года — https://www.pro-ability.ru/article_hr/tpost/s7v0blul61-shtrafi-za-personalnie-dannie-s-2026-god
[20] tadviser.ru — Обработка персональных данных в России — https://www.tadviser.ru/index.php/Статья:Обработка_персональных_данных_в_России
[21] klerk.ru — Новые требования к персональным данным в 2026: что теперь обязательно? — https://www.klerk.ru/user/2631355/683258/