В соответствии с определением персональных данных, которое дано в российском законодательстве, персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Примерами персональных данных являются: фамилия, имя, отчество, год и место рождения, адрес, номер мобильного телефона, паспортные данные и иные данные.
В обычной жизни мы оставляем свои персональные данные при регистрации на сайтах и приложениях, при заключении договоров, при обмене информацией, при участии в акциях, использовании банковских карт, обращении за медицинскими услугами, трудоустройстве, получении государственных услуг.
С помощью персональных данных лицо, которому мы предоставляем данные, может идентифицировать нас, то есть выделить среди других субъектов.
Но как быть, с точки зрения персональных данных, когда для регистрации на каком-либо сайте или для отправки чека за оплату товара, мы оставляем только адрес электронной почты. Будет ли в таком случае этот адрес являться персональными данными?
Компании, юристы, Роскомнадзор, Минцифры, Минсвязи и суды сломали не один десяток, и даже наверное уже ни одну сотню копий в спорах об отнесении адреса электронной почты к персональным данным.
С одной стороны, адрес электронной почты считается персональными данными, если его можно соотнести с личностью конкретного человека. Например, вы заполняете какое-нибудь заявление и или анкету и в качестве своих контактных данных оставляете электронную почту - в этом случае такая почта будет являться персональными данными, поскольку с помощью нее можно идентифицировать вас как субъекта персональных данных.
Такую позицию высказывает Минцифры в Письме от 17.03.2022 № П25-5623-ОГ
С другой стороны, если адрес электронной почты используется в форме обратной связи на сайте (одним из самых свежих кейсов является спор страховой компании с Роскомнадзором), то сбор адресов электронной почты через форму обратной связи не признается обработкой персональных данных.
Суды обосновывают это так:
Форма для сбора обратной связи не подразумевает сбора персональных данных в контексте определения «персональные данные», содержащегося в Законе о персональных данных, поскольку, не используется для идентификации потребителя услуг с целью заключения договора страхования, а является формой обратной связи для последующего контакта сотрудника продающего подразделения с потенциальным клиентом, которым кроме физического лица также может выступать индивидуальный предприниматель или юридическое лицо.
Форма для сбора обратной связи не обеспечивает возможности доподлинно определить конкретное физическое лицо, которому принадлежит номер телефона и/или адрес электронной почты, поскольку не подразумевает предоставления полных «Фамилии имени отчества» и/или иных идентификаторов, таких как «Номер документа удостоверяющего личность», «ИНН», «СНИЛС», «Дата и место рождения».
Таким образом, если вы оставляете свой адрес электронной почты совместно с другими персональными данными, например ФИО или паспортными данными, то такой адрес электронной почты будет признан персональными данными. Если же вы оставляете адрес электронной почты изолированно, без предоставления иных данных, позволяющих идентифицировать принадлежность адреса электронной почты лично вам, то такой адрес электронной почты не будет признан персональными данными.
Но тут возникает интересный нюанс: одно дело, когда ваша электронная почта выглядит как “koshe4ka69@domen.ru” (признайтесь, у всех было 😀) - по ней вас действительно практически невозможно идентифицировать без обработки других данных. Но что, если ваша почта выглядит как-то вроде “ivanov_ivan_inavovich_1992@compania.ru” - только из этого адреса можно узнать ваши фамилию, имя, отчество, год рождения, а также место работы (если используется корпоративный домен). Действительно ли в этом случае даже изолированно предоставленный адрес электронной почты не будет относиться к персональным данным?
Кстати, такая спорная ситуация характерна только для российского правового поля. Например, в соответствии с Общим регламентом по защите данных (GDPR) Европейского Союза и другими законами о защите данных практически во всем мире адрес электронной почты относится к персональным данным.
Персональные данные определяются в таких документах как любая информация, которая может быть использована для идентификации физического лица. Адрес электронной почты часто используется для идентификации человека, поскольку он уникален для каждого пользователя и обычно связан с его именем и другой контактной информацией. Поэтому адрес электронной почты считается персональными данными и подлежит защите наряду с другими видами персональных данных.
Будьте внимательны, берегите свои персональные данные, помните, что у вас всегда есть право отозвать согласие на обработку персональных данных и обратиться за разъяснениями кем, когда и в каком порядке они используются.
Буду рада, если в комментариях вы поделитесь, являются ли для вас вопросы защиты и утечки персональных данных актуальными, сталкивались ли вы с незаконным использованием ваших данных?
