Телефон и е-mail — персональные данные или нет? Верховный суд РФ выразил свое мнение

Роскомнадзор по ЦФО проверил сайт Страховой компании «Арсеналъ» и выявил целый ряд нарушений законодательства о персональных данных.

В адрес фирмы было направлено требование, в удовлетворении которого она отказала.

Кроме того, Страховая компания обратилась в Арбитражный суд г. Москвы с требованием признать незаконными действия Роскомнадзора (дело N А40-139096/2022).

Роскомнадзор выявил следующие нарушения:

• Общество не получило у руководителей и участников компании согласие на распространение их персональных данных (способом «распространение»).
• Форма «Заявка на оформление полиса», в которой указывается только электронная почта клиента не содержит интерфейс на предоставление субъектом согласия на обработку ПД.
• Общество разместило на сайте «Реестр агентов и брокеров» и осуществляет сбор персональных данных без их согласия.

Требования заявителя были удовлетворены. Апелляционная, кассационная инстанции, а затем и Верховный суд РФ поддержали такую позицию (Определение ВС РФ от 21 июля 2023 г. № 305-ЭС23-12160).

На что указали суды?

• Обработка компанией данных руководителей и учредителей путем их размещения в разделе «Руководство и участники» не требует получения согласия, поскольку осуществляется во исполнение законной обязанности общества по раскрытию персональных данных и не в рекламных целях.
• Формы «Заявка на оформление полиса» не подразумевает сбора персональных данных, поскольку не используется обществом для идентификации потребителя финансовых услуг с целью заключения договора страхования, а является формой обратной связи для последующего контакта сотрудника продающего подразделения общества с потенциальным клиентом, которым кроме физического лица также может выступать ИП или юридическое лицо.
• Адрес электронной почты по аналогии с номером телефона, не является персональными данными без наличия дополнительных идентификаторов, поскольку невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит.
• Более того, следует учитывать, что адрес электронной почты может меняться. В случае расторжения пользовательского соглашения с почтовым сервисом или удаления электронного почтового ящика с сервера по разным причинам, другой пользователь может зарегистрировать точно такой же адрес электронной почты в том же домене, аналогично с телефонными номерами, которые могут быть переданы новым абонентам после расторжения договора с оператором связи.

  Размещать реестр агентов и брокеров — законная обязанность компании (по Закону «Об организации страхового дела»). В данном случае сбора ПД граждан не происходит.

  Таким образом, суды признали действия Роскомнадзора незаконными и подтвердили, что компания «Арсеналъ» не нарушила законодательство о персональных данных в данном случае.

  Какие выводы мы можем сделать исходя из данной ситуации?

  Если форма обратной связи не содержит никаких других строк кроме телефона или электронной почты — согласие от гражданина получать не требуется. В другом случае, когда кроме почты и емейла надо оставить свои ФИО, дату рождения или иные данные — согласие получить придется.

  Если Роскомнадзор пришел к вам с проверкой — защищайте свои права. Грамотно выработанная правовая стратегия — залог успеха в суде.

  Если вам нужна консультация в сфере обработки и защиты персональных данных, обращайтесь к нашим юристам Академии правовых и финансовых советников.