Одной электронной почты и номера телефона недостаточно для персональных данных
Роскомнадзор не смог доказать, что сбор почты, номера телефона и имени в одной форме, являются персональными данными. Верховный Суд РФ согласился с выводами нижестоящих судов, оставил без изменений жалобу госоргана и таким образом защитил страховую от штрафов.
Жалобу подало Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (далее проще - Роскомнадзор). Причина - решение в пользу страховой компании и признание неправомерным штраф Роскомнадзора.
Суть дела - спор по поводу формы для обратной связи, где требовалось указать номер телефона, e-mail и как к ним следует обращаться. Форма была размещена на сайте компании и не содержала поля для подтверждения согласия на обработку персональных данных.
В деле еще был поднят вопрос сбора согласий на распространение на сайте персональных данных об акционерах, работниках, руководителей организации. Но и тут суды встали на сторону страховой и указали, что порядок размещения такой информации регулируется законодательством о страховой деятельности и необходима. Но это другая история….
ВС РФ не нашел нарушений и согласился с нижестоящими судами:
Разрешая спор, суды руководствовались положениями статей 65, 71, 198, 200, 201 Арбитражного процессуального кодекса Российской Федерации, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Закона Российской Федерации от 27.11.1992 N 4015-I "Об организации страхового дела в Российской Федерации" и исходили из того, что действия управления не соответствуют требованиям законодательства и нарушают права и законные интересы общества в сфере предпринимательской и иной экономической деятельности, в связи с чем заявленные обществом требования удовлетворили.
Главные аргументы из дела А40-139096/2022 почему форма обращения+телефон+почта не являются персональными данными по закону:
1. форма предназначена для последующего контакта сотрудника с потенциальным клиентом, которым кроме физического лица также может выступать ИП или юридическое лицо.
2. Данные почты могут быть изменены, поэтому не отвечают критерию “неизменности”.
3. Номер и почта могут не принадлежать конкретному лицу, выполняющему форму
4. Персональными данными могут считаться только те, которые позволяют точно определить личность человека (полное ФИО, ИНН, СНИЛС, дата рождения).
5. В форме, которая предназначена для обратной связи, возможно расположить “интерфейс на предоставление субъектом персональных данных согласия на обработку персональных данных в соответствии с политикой общества в отношении обработки и защиты персональных данных субъектов”. Таким образом, согласие будет уже засчитано.
2. Данные почты могут быть изменены, поэтому не отвечают критерию “неизменности”.
3. Номер и почта могут не принадлежать конкретному лицу, выполняющему форму
4. Персональными данными могут считаться только те, которые позволяют точно определить личность человека (полное ФИО, ИНН, СНИЛС, дата рождения).
5. В форме, которая предназначена для обратной связи, возможно расположить “интерфейс на предоставление субъектом персональных данных согласия на обработку персональных данных в соответствии с политикой общества в отношении обработки и защиты персональных данных субъектов”. Таким образом, согласие будет уже засчитано.
Адрес электронной почты признавался персональными данными, например, в Решении Калининского районного суда города Санкт-Петербурга по делу N 12-253/2015 от 26.05.2015. Но стоит обратить внимание, что помимо почты было указаны и другие данные (https://sudact.ru/regular/doc/btVOvxawGy1H/):
На своем интернет-сайте ТСЖ «Х» собирает и обрабатывает персональные данные граждан (фамилия, имя, отчество, адрес электронной почты, дата рождения, адрес проживания, сведения о собственности, номер телефона).
Вопрос, что считать персональными данными, интересный и актуальный. Из рассмотренного случая можно сделать вывод, что важно учитывать в какой форме, для каких целей и каким способом и в каком количестве осуществляется тот самый сбор, обработка, хранение и распространение персональных данных. Чем меньше запрашивается данных, тем сложнее их назвать по закону “персональными данными”.
Материал подготовлен пресс-службой Адвокатского бюро GK legal defenders .