Судебная практика: Персональные данные на сайте организации, часть 2

(Окончание, начало см. http://rusrim.blogspot.com/2024/03/1.html )

Арбитражный суд г. Москвы в октябре 2022 года при рассмотрении дела №А40-139096/22-121-796, в котором общество ООО «Страховая компания «Арсеналъ» оспаривало правомочность требований Управления Роскомнадзора по Центральному федеральному округу о прекращении неправомерной обработки персональных данных, размещенных на сайте общества, оценил также правомочность обработки персональных данных (ПДн), которые были размещены на сайте общества в разделах «Заявка на оформление полиса», «Обратная связь» и «Реестр агентов и брокеров».

Относительно формы «Заявка на оформление полиса», суд счёл, что данная форма не подразумевает сбора персональных данных в контексте определения «персональные данные», содержащегося в п.1 ст. 3 федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», поскольку, как следует из материалов дела, не используется обществом для идентификации потребителя финансовых услуг с целью заключения договора страхования, а является формой обратной связи для последующего контакта сотрудника продающего подразделения общества с потенциальным клиентом, которым кроме физического лица, также может выступать индивидуальный предприниматель или юридическое лицо.

Персональные данные - любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Так, форма «Заявка на оформление полиса» не содержит полей, предусматривающих указание данных, позволяющих идентифицировать конкретное физическое лицо, поскольку запрашивает только «Форму обращения», «E-mail», «Телефон».

Мой комментарий: Странно видеть, как суд цитирует совершенно недвусмысленное положение закона, и в следующем же абзаце без каких-либо сомнений говорит, что белое – это в данном контексте чёрное. Давно пора всех любителей самовольно переиначивать определение ПДн (в духе, что «настоящие» ПДн – это те ПДн, которые используются для идентификации), тут же отстранять от работы и отправлять на профессиональную переподготовку!

Совокупность данных, получаемых обществом посредством формы «Заявка на оформление полиса» не обеспечивает возможности доподлинно определить конкретное физическое лицо, которому принадлежит номер телефона и/или адрес электронной почты, поскольку форма не подразумевает предоставления полных «Фамилии Имени Отчества» и/или иных идентификаторов, таких как «Номер документа удостоверяющего личность», «ИНН», «СНИЛС», «Дата и место рождения», в особенности принимая во внимание тот факт, что в форме могут быть указаны номер телефона и адрес электронной почты, принадлежащие юридическому лицу или иному физическому лицу, не являющемуся заполнителем формы.

Утверждение Управления о том, что адрес электронной почты является персональными данными зарегистрировавшего его лица, так как обладает «двумя важными свойствами: неизменностью при присвоении и уникальностью», является безосновательным, поскольку по аналогии с номером телефона, без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит.

Мой комментарий: Позиция Управления в данном случае правильная – согласно Закону о ПДн, выданный физическому лицу и/или систематически используемый им адрес электронной почты является, без каких-либо сомнений, персональными данными; и могу сказать по собственному опыту, что установить владельца этого адреса посредством поиска в интернете и в иных доступных ресурсах часто не так уж сложно. Полагаю, что судьи на самом деле понимали, что неправы, но принимали решение «по понятиям», желая освободить общество от ответственности.

Более того, адрес электронной почты фактически не обладает свойством «абсолютной неизменности», потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам), в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, также, как в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту.

Мой комментарий: Этот аргумент – вообще насмешка над здравым смыслом. Получается, что и ФИО человека тоже нельзя считать персональными данными, поскольку могут существовать (и существуют) полные тезки! И такое пишет столичный (!) суд, в котором вроде как должны работать профессионалы!

Суд отметил, что форма «Обратная связь», размещенная на сайте общества и используемая для направления персонифицированных обращений потребителями финансовых услуг, в свою очередь, содержит интерфейс на предоставление субъектом ПДн согласия на обработку ПДн в соответствии с «Политикой общества в отношении обработки и защиты персональных данных субъектов», поскольку данная форма уже предусматривает указание имени потребителя финансовых услуг.

Относительно подраздела «Реестр агентов и брокеров», суд отметил следующее. Размещенная в нем форма по своему функционалу не подразумевает сбор ПДн, а осуществляет доступ потребителей финансовых услуг к реестру контрагентов страховщика (страховых агентов и страховых брокеров) через официальный сайт общества для проверки у последних наличия полномочий представлять интересы общества по вопросу заключения договоров страхования с целью предотвращения возможных мошеннических действий.

Обеспечение доступа к реестру контрагентов является законной обязанностью общества и установлена п.11 ст.8 Закона №4015-1, согласно которому, страховщики ведут реестры страховых агентов и страховых брокеров, с которыми у них заключены договоры об оказании услуг, связанных со страхованием. Сведения из реестра страховых агентов и страховых брокеров, позволяющие идентифицировать страхового агента или страхового брокера в качестве лица, с которым у страховщика заключен договор об оказании услуг, связанных со страхованием (фамилия, имя, отчество (при наличии) или наименование страхового агента, страхового брокера, номер удостоверения или договора), сведения о видах страхования, по которым страховой агент, страховой брокер уполномочены страховщиком оказывать услуги, связанные со страхованием, в том числе в электронной форме, перечень оказываемых услуг, а также доменное имя и (или) сетевой адрес официальных сайтов страхового агента (при наличии), страхового брокера в информационно-телекоммуникационной сети «Интернет» размещаются страховщиками на своих официальных сайтах. Полномочия по ведению реестра страховых агентов и страховых брокеров и размещению сведений из него в информационно телекоммуникационной сети «Интернет» могут быть переданы страховщиком объединению страховщиков, о чем страховщик должен сообщить на своем официальном сайте с указанием информации о таком объединении страховщиков.

Суд пришел к выводу о том, что общество осуществляет обработку персональных данных, содержащихся в Реестре агентов и брокеров, способом «распространение» на основании п.п.2 и 11 ч.1 ст.6 федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» и во исполнение законной обязанности общества, предусмотренной п.11 ст.8 закона №4015-1.

Относительно обработки персональных данных осуществляемой обществом при создании и ведении Реестра агентов и брокеров, такими способами как, сбор, хранение, запись, систематизация и т.д., суд отметил, что такая обработка осуществляется на основании п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», согласно которому обработка ПДн может осуществляться оператором для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (в данном случае агентского договора и/или договора на оказание услуг страхового брокера, заключенного между субъектом ПДн и обществом).

Общество не осуществляет сбор персональных данных граждан с использованием сети «Интернет» посредством формы, размещенной в подразделе «Реестр агентов и брокеров», как на то указывает Управление в Запросах-требованиях, поскольку данная форма сама по себе имеет иное функциональное назначение, а ПДн, содержащиеся в Реестре агентов и брокеров, обрабатываются обществом правомерно в соответствии с требованиями действующего законодательства РФ в сфере ПДн.

Суд пришел к выводу о том, что действия Управления Роскомнадзора по Центральному федеральному округу по признанию неправомерной обработки ПДн, осуществляемой обществом с использованием официального сайта страховщика и понуждению к прекращению такой обработки ПДн, несоответствующими требованием законодательства являются незаконным и нарушают права заявителя.

Суд признал незаконными действия Управления Роскомнадзора по признанию неправомерной обработки ПДн, осуществляемой обществом с использованием официального сайта страховщика www.arsenalins.ru, и понуждению к прекращению такой обработки персональных данных, несоответствующими требование законодательства.

Суд обязал Управление устранить допущенное нарушение прав и законных интересов общества в течение тридцати дней со дня вступления судебного акта в законную силу.

Девятый арбитражный апелляционный суд в январе 2023 года (постановление №09АП-84769/2022) оставил без изменения решение Арбитражного суда города Москвы, а апелляционную жалобу – без удовлетворения.

Арбитражный суд Московского округа в марте 2023 года оставил без изменения решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда, а кассационную жалобу Управления Роскомнадзора по Центральному федеральному округу - без удовлетворения.

Судья Верховного Суда Российской Федерации в июле 2023 года (Определение №305-ЭС23-12160) отказал Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда Российской Федерации.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/