Позиция судебных инстанций
Верховный суд РФ отверг претензии Роскомнадзора к страховой компании относительно обработки персональных данных на её сайте. Основной претензией стала форма для оформления страхового полиса, которая запрашивает адрес электронной почты и номер телефона посетителя.Страховая компания успешно защитила свою позицию в трех судах. Несмотря на это, Роскомнадзор решил обратиться с жалобой в Верховный суд РФ. Однако последний решил не переносить дело в Судебную коллегию по экономическим спорам.
По мнению судебных инстанций, только на основе адреса электронной почты невозможно идентифицировать конкретное лицо. Следовательно, адрес электронной почты не является персональными данными. Кроме того, судами было отмечено, что форма на сайте используется в качестве средства обратной связи и не предназначена для идентификации потребителя финансовых услуг. По мнению суда, данная форма не обеспечивает возможности точно определить лицо на основе предоставленного номера телефона или адреса электронной почты, так как не требует указания полных персональных данных или идентификаторов, таких как паспортные данные или ИНН.
Далее суд отметил, что адреса электронной почты также не являются абсолютно постоянными и в случае удаления аккаунта такой же адрес может быть перерегистрирован другим пользователем. Это аналогично процессу перерегистрации телефонного номера новому абоненту после расторжения договора с предыдущим.
Выводы и рекомендации
Нам представляется, что к данной позиции судебных инстанций необходимо относиться крайне осторожно. Она уязвима для критики с точки зрения буквального толкования положений законодательства, а также позиции регулирующих органов исполнительной власти в этой области и доктрины. Кроме того, она идет вразрез с мировой практикой определения персональных данных. Несмотря на значимость правовых позиций Верховного суда РФ по конкретным делам, в таких условиях нельзя исходить из того, что принятый Верховным судом РФ по данному вопросу подход будет в том же виде повторяться в последующих делах.Во-первых, законодательство не называет возможность однозначно идентифицировать человека в качестве признака персональных данных. Ст. 3 ФЗ «О персональных данных» говорит о том, что персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Российской судебной практике известны позиции, согласно которым информация должна признаваться персональными данными не по критерию «полной идентификации», а в силу «относимости» к определенному или определяемому лицу, в том числе с использованием какой-либо иной информации — буквально как об этом говорит законодательное определение. Так, к персональным данным, например, была отнесена информация, собираемая с помощью файлов cookies и IP-адреса.
Таким образом, закон не говорит об обязательной однозначной идентификации субъекта персональных данных. Ключевым аспектом является факт возможности определить, что какой-то набор данных принадлежит определенному или потенциально определяемому физическому лицу, даже когда такое лицо однозначно не идентифицировано. В противном случае получалась бы ситуация, при которой, например, информация, собираемая с помощью файлов cookies, IP-адреса, а также любые иные идентификаторы такие, как адрес места жительства, номер телефона, место работы и т.д. не будут являться персональными данными. Это приведет к тому, что указанные данные не будут защищаться ФЗ «О персональных данных», что, в свою очередь, приведет к существенному ущемлению прав граждан (например, это будет означать, что на сбор таких данных не требуется получения согласия субъекта).
Во-вторых, аргумент о том, что идентификатор должен быть неизменным для признания его персональными данными также крайне спорен, и нет оснований считать, что в будущем и, тем более, в случае с другими обстоятельствами дела, решение будет таким же. В принципе почти любые персональные данные являются изменяемыми, кроме тех, которые связаны с определенными неизменяемыми чертами личности (например, биометрические персональные данные). Например, паспорт или номер телефона также можно поменять. Даже имя и фамилию можно изменить.
В-третьих, представляется, что не основано на нормах закона и утверждение о том, что если данные собираются не для идентификации, то такие данные не являются персональными.
С практической точки зрения, мы рекомендуем придерживаться максимально консервативной позиции и рассматривать адрес электронной почты, как и другие идентификаторы, в качестве персональных данных.
Именно такая позиция, по нашей информации, разделяется Роскомнадзором и будет использоваться при проведении проверочных мероприятий. Кроме того, если судебная практика будет скорректирована впоследствии, то организациям придется приводить свою деятельность в соответствии с новой практикой, а значит вносить изменения в свои бизнес-процессы и распространять меры защиты персональных данных на все те данные, которые ранее не были признаваемыми таковыми. Также, например, в случае сбора данных без согласий при изменении практики придется обеспечивать получение таких согласий или другого правового основания post factum, что может быть крайне проблематично.
