Какими нормативными актами урегулирован вопрос каналов связи для передачи персональных данных? Есть ли судебная практика по данному вопросу? Есть ли случаи, когда допускается передача персональных данных по обычной электронной почте?

1. Законодательство РФ не содержит исчерпывающего перечня допустимых каналов связи для передачи персональных данных. Ключевое требование — обеспечение безопасности персональных данных при их обработке и передаче (ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных").

Каналы связи, по которым может осуществляться передача персональных данных не установлены, полагаем, это возможно по различным каналам, например: электронная почта, мессенджеры, социальные сети, интернет-сайты, бумажные носители и др. Ограничений нами не установлено. Однако выбор канала должен соответствовать требованиям по защите персональных данных, установленным ст. 18.1, 19 Закона о персональных данных, а также подзаконными актами (например, Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" ; Приказ ФСТЭК России от 18.02.2013 № 21).

Полагаем, что передача сведений (документов), содержащих персональные данные, в зашифрованном рассматриваемым способом виде, по электронной почте законодательству в области персональных данных не противоречит. Вместе с тем исключить полностью возможные претензии со стороны ФСТЭК России или ФСБ России без учета всей совокупности принимаемых конкретным оператором мер и фактических обстоятельств мы не можем.

Что касается проведения предварительной организационной работы в целях передачи сведений, содержащих персональные данные, по электронной почте, в том числе в зашифрованном с использованием средств СКЗИ виде, полагаем, вопрос должен решаться с учетом принимаемых оператором правовых, организационных и технических мер по обработке персональных данных и обеспечению их безопасности, предусмотренных ст. 18.1, 19 Закона N 152-ФЗ, в частности, соответствующих локальных актов.

 

2. В судебной практике нами не установлено решений, прямо устанавливающие допустимые или недопустимые каналы передачи персональных данных. В ряде дел рассматривались вопросы утечки персональных данных, в том числе через электронную почту или интернет, однако суды исходили из оценки мер по защите данных, а не из выбора конкретного канала связи.

Официальных разъяснений Роскомнадзора по допустимости передачи персональных данных через конкретные каналы (например, незащищенную электронную почту) нами не установлено

 

3. Нами не установлено случаев, когда допускается передача персональных данных по обычной электронной почте.

Обращаем ваше внимание, что изложенная точка зрения является нашим экспертным мнением и может не совпадать с мнением других специалистов.

За официальными разъяснениями Вы можете обратиться в Роскомнадзор, ФСТЭК России и ФСБ России.

 

Обоснование

 

По первому вопросу:

Законодательство РФ, расширяя возможности по использованию информационных технологий и технических средств, в том числе при обработке персональных данных, возлагает на оператора обязанности по обеспечению защиты такого рода информации (данных) от неправомерного доступа и иных несанкционированных действий, что должно найти как отражение в локальных актах оператора, так и фактическую реализацию путем принятия различного рода предусмотренных мер организационного и технического характера.

Выбор конкретных средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с Приказом ФСТЭК России от 18.02.2013 N 21 и Приказом ФСБ России от 10.07.2014 N 378.

Выполнение требований к защите персональных данных, исполнение которых обеспечивают установленные Постановлением Правительства РФ от 01.11.2012 N 1119 уровни защищенности персональных данных; применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

С учетом того, что электронная почта (соответствующий почтовый сервис) позволяет собирать, накапливать, систематизировать, хранить и иным образом обрабатывать информацию, в том числе относящуюся к персональным данным, полагаем, что в указанной ситуации требования к защите персональных данных при обработке в ИСПДн, утвержденные Постановлением N 1119 и устанавливающие уровни защищенности персональных данных в зависимости от актуальных типов угроз, также являются применимыми.

Если передача персональных данных осуществляется с использованием информационных систем, должны применяться сертифицированные средства защиты информации (СКЗИ), если это предусмотрено уровнем защищенности (п. 9 Приказа ФСТЭК России от 18.02.2013 № 21; Методические рекомендации ФСБ России от 31.03.2015 № 149/7/2/6-432).

Роскомнадзором неоднократно ранее высказывалась позиция, что сама по себе передача персональных данных по незащищенным каналам связи Законом N 152-ФЗ не запрещена.

Вместе с тем стоит учитывать, что из приказа ФСТЭК России от 18.02.2013 N 21 следует, что меры по обеспечению безопасности персональных данных при их обработке в ИСПДн реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Исходя из требований приказа ФСТЭК России от 18.02.2013 N 21, передача (подготовка передачи) персональных данных по незащищенным каналам передачи информации (например, электронной почте) без использования сертифицированных ФСБ России СКЗИ не обеспечивает должную защиту персональных данных от раскрытия, модификации и навязывания (ввода ложной информации), что может повлечь для оператора претензии со стороны ФСБ России и ФСТЭК России.

Таким образом, при рассмотрении вопросов, связанных с передачей персональных данных, по электронной почте (с использованием почтовых сервисов), необходимо исходить из принимаемых оператором мер, направленных на обеспечение их безопасности с учетом установленных требований, а также возможных рисков неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, способной повлечь нарушение прав субъектов персональных данных.

КриптоПро является сертифицированным СКЗИ по отдельным классам, что подтверждается соответствующими сертификатами ФСБ России.

Полагаем, что передача сведений (документов), содержащих персональные данные, в зашифрованном рассматриваемым способом виде, по электронной почте законодательству в области персональных данных не противоречит. Вместе с тем исключить полностью возможные претензии со стороны ФСТЭК России или ФСБ России без учета всей совокупности принимаемых конкретным оператором мер и фактических обстоятельств мы не можем.

Что касается проведения предварительной организационной работы в целях передачи сведений, содержащих персональные данные, по электронной почте, в том числе в зашифрованном с использованием средств СКЗИ виде, полагаем, вопрос должен решаться с учетом принимаемых оператором правовых, организационных и технических мер по обработке персональных данных и обеспечению их безопасности, предусмотренных ст. 18.1, 19 Закона N 152-ФЗ, в частности, соответствующих локальных актов.

 

В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона. 

ч. 3 ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

 

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных. 

ч. 14 ст. 19, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

 

По второму вопросу:

Исполнителем не представлено подтверждающих документов о соответствии канала связи (домен - mail.ru) требованиям действующего законодательства о транспортной безопасности и обеспечивающего защиту от несанкционированного доступа и защиту передаваемому по нему информации.

Направление документов посредством электронной почты по незащищенным каналам связи компрометирует содержащуюся в этих документах информацию для дальнейшего утверждения.

Согласно требованиям Технического задания АО "Интегра-С" должна была иметь автоматизированную систему и защищаемое помещение аттестованные по требованиям по защите информации в соответствии с действующими требованиями о проведению оценки соответствия систем защиты информации требованиям по защите информации в форме аттестации: информационных систем персональных данных и Приказом Федеральной службы по техническому и экспортному контролю N 77 от 29 апреля 2021 года "Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" 

Решение Арбитражного суда Саратовской области от 16.09.2025 по делу N А57-29468/2024

 

По третьему вопросу:

При достижении целей обработки данных - оказания содействия (инициативы) в уведомлении собственников от имени инициативной группы собственников помещений многоквартирных домов, в целях обеспечения безопасности персональных данных при их обработке в информационных системах и выполнения требований приказов Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", от 28 октября 2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных", исходя из внутреннего контроля соответствия обработки персональных данных, комиссией по уничтожению персональных данных АО "Спецавтохозяйство г. Хабаровска" на основании локальных актов АО, по достижении целей обработки персональных данных (или в случае утраты необходимости в достижении этих целей), было осуществлено уничтожение (по одному из определенных правил)

20 июня 2024 Управлением Роскомнадзора на обращение <данные изъяты> дан ответ, согласно которому по результатам рассмотрения обращения, в рамках имеющихся полномочий Управлением в адрес АО "Спецавтохозяйство г. Хабаровска" и члена ТСЖ "<данные изъяты>" <данные изъяты>. направлены запросы о предоставлении информации по существу доводов, изложенных в обращении, в том числе с требованием принять меры по удалению персональных данных заявителя и персональных данных иных собственников МКД в случае отсутствия правовых оснований на их обработку. Ответ от члена ТСЖ "<данные изъяты>" <данные изъяты> в Управление до настоящего времени не поступил, письмо вернулось за истечением срока хранения, в связи с чем, в адрес П. была передана телефонограмма, по результатам которой запрос был продублирован ему на представленный адрес электронной почты. 

Определение Девятого кассационного суда общей юрисдикции от 26.08.2025 N 88-6236/2025 (УИД 27RS0001-01-2024-005238-81)

 

Также пунктом 5.1 Технического задания установлены требования по оказанию Услуг Исполнителем в соответствии с законодательством Российской Федерации, в том числе регламентирующим обеспечение безопасности персональных данных. Где также указано на предоставление Исполнителю возможности удаленного доступа к необходимым компонентам и параметры для осуществления защищенного подключения к сети Росреестра.

Инструкция по подключению к сети передачи данных Росреестра, защищенной на сетевом уровне от несанкционированного доступа из сетей третьих лиц (далее - Инструкция, ЗСПД) и требования к СКЗИ Исполнителя, совместимому с СКЗИ Росреестра, были направлены 27.04.2022 на электронную почту Исполнителя mva@kogorta-m.ru, указанную в уведомлении Исполнителя о начале оказания Услуг по Контракту (письмо Исполнителя от 20.04.2022 N 01/14 (далее - Уведомление).

Вместе с тем, письмом от 19.05.2022 N 04/14 Исполнитель сообщил, что место оказания услуг Контрактом не установлено, а также не предусмотрено приобретение СКЗИ. В то время как в Инструкции, направленной 27.04.2022 Заказчиком на электронную почту mva@kogorta-m.ru, содержится в том числе следующая информация (подпункт 2.1 "Приобретение СКЗИ" пункта 2 "Подготовительные мероприятия" Инструкции):

"2.2.1. Подключение к ЗСПД должно осуществляться с использованием сертифицированных (ФСБ России и ФСТЭК России) СКЗИ, совместимых с СКЗИ ЗСПД Росреестра."

По результатам переписки заявка на подключение к ВЗСПД направлена Исполнителем только 07.06.2022 ввиду отсутствия у него до этого времени СКЗИ (письмо Исполнителя от 11.05.2022 N 03/14).

07.06.2022 посредством электронной почты mva@kogorta-m.ru Исполнитель сообщил о приобретении оборудования СКЗИ и о готовности приступить к его настройке. Работы по настройке защищенного подключения к сети Росреестра с Заказчиком начаты 10.06.2022. Подключение к сети Росреестра Исполнителем получено 15.06.2022.

Вместе с тем письмами от 01.07.2022 N 07/14 и от 01.07.2022 N 08/14 Исполнитель сообщил, что на 01.07.2022 доступа к системе нет.

При этом, отсутствие защищенного подключения, а также удаленного доступа у Исполнителя к сети Росреестра не препятствовало исполнению Исполнителем своих обязательств по обеспечению бесперебойной работы сервисов АИС МОГУ по месту нахождения объекта Заказчика. 

Решение Арбитражного суда г. Москвы от 10.07.2023 по делу N А40-14926/23-110-129

 

Клиентский опыт

В дополнение к основному ответу мы хотели бы поделиться с Вами Алгоритмом эффективного решения похожих задач. Вы можете ознакомиться с эффективной последовательностью действий в КонсультантПлюс по теме Вашего запроса в документе: «Поиск судебной практики в нетипичных ситуациях».

 

1. "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утв. ФСБ России 31.03.2015 N 149/7/2/6-432) {КонсультантПлюс},
2. Приказ ФСТЭК России от 29.04.2021 N 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" {КонсультантПлюс},
3. Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" {КонсультантПлюс},
4. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" {КонсультантПлюс},
5. Определение Коми УФАС России от 10.11.2025 по делу N 011/05/18-1178/2025 "О возбуждении дела и назначении дела к рассмотрению" {КонсультантПлюс},
6. Решение Арбитражного суда Саратовской области от 16.09.2025 по делу N А57-29468/2024 {КонсультантПлюс},
7. Решение Арбитражного суда г. Москвы от 10.07.2023 по делу N А40-14926/23-110-129 {КонсультантПлюс},
8. Апелляционное определение Челябинского областного суда от 20.01.2026 N 11-1109/2026 (УИД 74RS0021-01-2025-001611-13) {КонсультантПлюс},
9. Приговор Донского городского суда Тульской области от 19.10.2022 N 1-148/2022 {КонсультантПлюс},
10. Определение Девятого кассационного суда общей юрисдикции от 26.08.2025 N 88-6236/2025 (УИД 27RS0001-01-2024-005238-81) {КонсультантПлюс}.