Телефон и е-mail — персональные данные или нет? Верховный суд РФ выразил свое мнение
Роскомнадзор по ЦФО проверил сайт Страховой компании «Арсеналъ» и выявил целый ряд нарушений законодательства о персональных данных.
В адрес фирмы было направлено требование, в удовлетворении которого она отказала.
Кроме того, Страховая компания обратилась в Арбитражный суд г. Москвы с требованием признать незаконными действия Роскомнадзора (дело N А40-139096/2022).
Роскомнадзор выявил следующие нарушения:
- Общество не получило у руководителей и участников компании согласие на распространение их персональных данных (способом «распространение»).
- Форма «Заявка на оформление полиса», в которой указывается только электронная почта клиента не содержит интерфейс на предоставление субъектом согласия на обработку ПД.
- Общество разместило на сайте «Реестр агентов и брокеров» и осуществляет сбор персональных данных без их согласия.
Требования заявителя были удовлетворены. Апелляционная, кассационная инстанции, а затем и Верховный суд РФ поддержали такую позицию (Определение ВС РФ от 21 июля 2023 г. № 305-ЭС23-12160).
На что указали суды?
- Обработка компанией данных руководителей и учредителей путем их размещения в разделе «Руководство и участники» не требует получения согласия, поскольку осуществляется во исполнение законной обязанности общества по раскрытию персональных данных и не в рекламных целях.
- Формы «Заявка на оформление полиса» не подразумевает сбора персональных данных, поскольку не используется обществом для идентификации потребителя финансовых услуг с целью заключения договора страхования, а является формой обратной связи для последующего контакта сотрудника продающего подразделения общества с потенциальным клиентом, которым кроме физического лица также может выступать ИП или юридическое лицо.
- Адрес электронной почты по аналогии с номером телефона, не является персональными данными без наличия дополнительных идентификаторов, поскольку невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит.
- Более того, следует учитывать, что адрес электронной почты может меняться. В случае расторжения пользовательского соглашения с почтовым сервисом или удаления электронного почтового ящика с сервера по разным причинам, другой пользователь может зарегистрировать точно такой же адрес электронной почты в том же домене, аналогично с телефонными номерами, которые могут быть переданы новым абонентам после расторжения договора с оператором связи.
Размещать реестр агентов и брокеров — законная обязанность компании (по Закону «Об организации страхового дела»). В данном случае сбора ПД граждан не происходит.
Таким образом, суды признали действия Роскомнадзора незаконными и подтвердили, что компания «Арсеналъ» не нарушила законодательство о персональных данных в данном случае.
Какие выводы мы можем сделать исходя из данной ситуации?
Если форма обратной связи не содержит никаких других строк кроме телефона или электронной почты — согласие от гражданина получать не требуется. В другом случае, когда кроме почты и емейла надо оставить свои ФИО, дату рождения или иные данные — согласие получить придется.
Если Роскомнадзор пришел к вам с проверкой — защищайте свои права. Грамотно выработанная правовая стратегия — залог успеха в суде.
Если вам нужна консультация в сфере обработки и защиты персональных данных, обращайтесь к нашим юристам Академии правовых и финансовых советников.
Странно, ФИО может быть зашито в email до собаки, а после собаки идет домен компании, где он работает. Получается вполне себе конкретный сотрудник в конкретной компании
krasnov_ivan_sergeevich@ooo-kuzbass-promstroi-nastil-potolki.ru ?
Ну это как продаваны в магазинах бейджики носят. Тебе же не нужно спрашивать у них разрешение, прочитать их имя? ))
Только есть компании, которые до сих пор считают это персональными данными и не хотят работать