Как определяется вопрос об электронной почте?
Следуя положениям 152-го закона, персональные данные можно обозначить как «информацию, относящуюся прямо или косвенно к определяемому физическому лицу». На практике только эта формулировка не дает в полной мере понять, является ли адрес электронной почты персональными данными.
По сути, та или иная категория ПДн, будучи признанной таковой, должна указывать на конкретное лицо. Однако сам по себе email не может служить идентификатором человека в отрыве от другой личной информации (Ф.И.О., номера телефона, места проживания). Следовательно, персональные данные нужно рассматривать в комплексе.
Является ли ФИО персональными данными? Мы разбирались здесь.
Так как для однозначного определения этого вопроса формулировок закона бывает недостаточно, следует обратиться к разъяснениям государственных органов. Так, например, Роскомнадзор склонен считать адрес электронной почты персональными данными, если он содержит Ф.И.О. пользователя (например, ivan.ivanov@mail.ru). С другой стороны, учитывая, что претензии РКН к различным организациям неоднократно отклонялись судами разных инстанций, стоит уделить большее внимание судебным решениям.
Верховный Суд РФ несколько раз корректировал позицию регулятора в сфере информационных коммуникаций, определяя, что запросы номеров телефонов и адресов электронной почты, которые не требуют более конкретных сведений от пользователей, не являются сбором ПДн, а значит, контактные данные нельзя отнести к категории сугубо личной информации. Такие решения также исходят из того соображения, что одного email недостаточно для идентификации гражданина, а это не подпадает под положение п. 1 ст. 3 Закона о ПДн. При этом судебные органы отмечают, что адрес электронной почты, введенный в форме запроса контактов, может быть зарегистрирован на другое физическое или даже юридическое лицо.
Кроме того, суды обосновывают отсутствие у email «абсолютной неизменности». То есть почтовый ящик может быть удален самим пользователем или администраторами почтового сервиса в любое время, а затем это же имя может быть заново зарегистрировано совершенно другим человеком.
Является ли номер телефона персональными данными? Ответ смотрите здесь.
Когда адрес электронной почты относится к персональным данным?
С учетом законодательных требований и судебных постановлений можно определить случаи, когда email всё же может быть признан в качестве ПДн. Прежде всего, он должен входить в набор других сведений, указывающих на конкретного гражданина. Персональные данные, включая имя, фамилию, дату рождения, в совокупности могут составлять часть личного дела или учетной записи в электронном виде.
Помимо этого, адрес электронной почты можно считать персданными, если он используется в качестве логина или дополнительного средства доступа к ресурсам коммерческих и государственных услуг, которые к тому же могут хранить и обрабатывать другие виды ПДн.
По мнению некоторых экспертов, особым, хотя и крайне редким, случаем, когда электронная почта - это персональные данные, является также ситуация, при которой email используется в качестве аналога собственноручной подписи. Ст. 160 Гражданского кодекса РФ разрешает использовать электронные средства для факсимильного воспроизведения подписи. Хотя один только адрес электронной почты технически вряд ли подходит на роль АСП, он может стать таковой в паре с паролем. Этому помогает тот факт, что имя ящика на одном домене является уникальным. К тому же на некоторых сервисах имеется привязка email к паспортным данным пользователя, что явно должно способствовать его идентификации.
О существенном росте штрафов с 30.05.2025 за работу с персональными данными мы рассказали здесь.
Еще больше материалов по персданным смотрите в нашей рубрике.
Итоги
Адрес электронной почты - это персональные данные, если он позволяет прямо или косвенно идентифицировать человека. В иных случаях (например, при обезличивании или использовании в публичных источниках) email не относится к ПДн. Компаниям и сервисам важно учитывать эти нюансы при обработке данных, чтобы соблюдать требования 152-ФЗ. Без особой необходимости, во избежание претензий со стороны регулятора, не стоит запрашивать у пользователей такую личную информацию, как Ф.И.О., дата рождения, место жительства и т. д. Если же подобные сведения действительно нужны, в запросе обязательно должна быть функция, с помощью которой сервис заручается согласием пользователя на обработку ПДн.