Алексей Ветров
Эксперт по защите данных IC-TECH
Да, в большинстве случаев служебные адреса электронной почты сотрудников относятся к персональным данным, так как они позволяют прямо или косвенно идентифицировать конкретное физическое лицо.
Если e-mail содержит имя или фамилию сотрудника (например, ivanov@company.ru, ivan.petrov@company.com), это уже персональные данные, поскольку такая информация однозначно привязана к конкретному человеку.
Однако если e-mail обезличен и относится к должности или функции (например, info@company.ru, sales@company.ru), такой адрес не является персональными данными, так как он не идентифицирует конкретное физическое лицо.
Если e-mail содержит имя или фамилию сотрудника (например, ivanov@company.ru, ivan.petrov@company.com), это уже персональные данные, поскольку такая информация однозначно привязана к конкретному человеку.
Однако если e-mail обезличен и относится к должности или функции (например, info@company.ru, sales@company.ru), такой адрес не является персональными данными, так как он не идентифицирует конкретное физическое лицо.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — это любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.
- Ст. 6 ФЗ-152 — допускает обработку ПДн для исполнения трудового договора (работодатель может использовать служебные e-mail сотрудников без отдельного согласия).
- Ст. 86–90 ТК РФ — закрепляют порядок обработки персональных данных работников, включая контактные данные, необходимые для выполнения трудовой функции.
Практика проверок Роскомнадзора
- При проверке компании Роскомнадзор указал, что e-mail сотрудника формата surname@company.ru — это персональные данные, которые должны быть включены в перечень обрабатываемых ПДн в локальных актах.
- В другой организации проверяющие сделали вывод, что e-mail формата info@company.ru не является ПДн, так как не связан с конкретным физическим лицом.
Важный нюанс
Даже если e-mail сотрудника служебный, он всё равно относится к ПДн, если привязан к конкретному человеку. Работодатель обязан обеспечить их защиту — например, ограничить доступ к почте, установить порядок хранения и уничтожения переписки, прописать эти моменты в локальных актах.
Рекомендации и выводы
Организация обязана учитывать служебные e-mail сотрудников как персональные данные, если они содержат идентификацию конкретного работника. Чтобы соответствовать закону:
- Включите служебные e-mail в перечень обрабатываемых персональных данных.
- Пропишите порядок их использования и защиты в локальных актах (политика по ПДн, положение об ИТ-ресурсах).
- Обеспечьте ограничение доступа и ведите журналы учёта действий в корпоративной почте.
- Включите эти меры в комплект документов по 152-ФЗ.
Компания ICTech поможет вашей организации правильно классифицировать служебные e-mail, учесть их в документах и выстроить порядок защиты корпоративной переписки. Это исключит риски штрафов и претензий Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
