Данные об автомобиле — персональные? Европейский взгляд на вопрос
- 24 февраля, 2026
- Data Privacy, Для бизнеса
Содержание
Нюансы квалификации данных в качестве персональных
Согласно п. 1 ч. 1 ст. 4 Общего регламента защиты персональных данных Европейского союза (General Data Protection Regulation, GDPR), персональные данные — это любая информация, которая относится к субъекту данных, то есть идентифицированному или поддающемуся идентификации физическому лицу. Даже если данные напрямую не называют человека, они могут признаваться персональными, если позволяют косвенно установить личность.
При этом важно учитывать контекст. В преамбуле 26 к GDPR рекомендуется принимать во внимание все способы, при которых существует разумная вероятность, что они будут использованы третьим лицом в целях идентификации субъекта. Стоит учитывать затраты и время, необходимые для его идентификации, а также технологии, доступные на момент обработки персональных данных. Например, компания публикует обезличенную статистику, в которой возраст, редкая профессия и маленький населённый пункт указаны вместе. С учётом открытых реестров и поисковиков, установить конкретного человека можно за несколько часов. В такой ситуации данные будут персональными, поскольку при разумных усилиях и с доступными технологиями возможна идентификация человека.
Британский регулятор ICO (Information Commissioner’s Office) поясняет: если третье лицо обладает данными для отнесения информации к конкретному человеку, то исходная информация считается персональной.
Объясняем, что считается персональными данными по GDPR.
Как на данные об автомобиле смотрят регуляторы?
🔹 EDPB: большая часть данных, которая генерируется «умным» транспортным средством, относится к идентифицированному или поддающемуся идентификации физическому лицу и потому является персональными данными. К ним могут относиться как прямо определённые данные (о личности водителя), так и косвенные данные — маршруты поездок, стиль вождения, пробег, техническое состояние, геоданные и метаданные об обслуживании, которые через VIN-номер или иные комбинации могут быть соотнесены с человеком.
VIN (Vehicle Identification Number) — это уникальный код из 17 символов, который позволяет установить производителя, основные характеристики и год выпуска транспортного средства.
🔹 Британия, ICO: регистрационные номера транспортных средств (VRM) являются персональными данными в сочетании с иной информацией, такой как географические данные, производитель, модель и цвет автомобиля.
🔹 Франция, CNIL (Commission nationale de l’informatique et des libertés): любые данные об автомобиле, которые могут быть отнесены к определённому или определяемому субъекту: идентификационный номер транспортного средства или государственный регистрационный номер, маршрутах поездок, степени износа деталей, датах прохождения технического осмотра, пробеге либо стиле вождения—, являются персональными данными.
🔹Германия, DSK (Datenschutzkonferenz): данные, которые возникают при использовании автомобиля, являются персональными, если их можно связать с идентификационным номером транспортного средства или с государственным регистрационным номером автомобиля.
🔹 Норвегия, Datatilsynet: государственные регистрационные номера транспортных средств относятся к персональным данным, а обработка изображений таких номеров рассматривается как обработка персональных данных.
🔹 Финляндия, Tietosuojavaltuutettu(Data Protection Ombudsman): история обслуживания автомобиля является персональными данными его владельца в смысле GDPR только на период владения. Новый владелец подержанного автомобиля не имеет права на доступ к такой информации как к своим персональным данным. Тем не менее раскрыть историю обслуживания возможно на иных законных основаниях, например, при наличии легитимного интереса по GDPR.
🔹 Польша, UODO (Urząd Ochrony Danych Osobowych): регистрационный номер транспортного средства позволяет идентифицировать конкретное лицо не только уполномоченным органам, но и частным лицам. Такой номер может служить идентификатором владельца и, подобно IP-адресу или идентификационному номеру лица, относится к категории персональных данных.
Что говорят суды о данных об автомобиле?
🔹 Решение Европейского Суда Справедливости (ECJ) по делу C‑319/22 (Gesamtverband Autoteile-Handel e.V. v Scania CV) от 09.11.2023: сам по себе VIN не обязательно несёт информацию о конкретном лице, то есть самостоятельно не является персональным. По своей природе VIN — это номер, привязанный к вещи — автомобилю. Однако, если существуют разумно доступные средства отнести VIN к конкретному человеку, то для лица, обладающего такими средствами, VIN становится персональными данными. Суд сослался на свой прежний тест (дело Patrick Breyer по признанию динамического IP-адреса персональными данными) и Преамбулу 26 GDPR: нужно принимать во внимание все способы (включая извлечение записей, относящихся к данному лицу), в отношении которых существует разумная вероятность, что они будут использованы в целях прямой или косвенной идентификации физического лица.
Применяя этот принцип, суд указал: VIN является персональными данными того физического лица, которое указано в свидетельстве о регистрации, если у лица, имеющего доступ к номеру, есть разумные возможности установить по нему владельца транспортного средства или законного пользователя. Иными словами, для независимого лица, который может через реестры или иные источники выяснить, кто владелец машины с данным VIN, этот номер — персональные данные.
Более того, суд отметил, что даже производителю авто, передающему VIN таким независимым операторам, придется считаться с персональным характером этих данных. В решении говорится: если независимые сервисы могут идентифицировать человека по VIN, то такой номер следует считать персональными данными и для автопроизводителей, которые предоставляют его, даже если сам по себе для них VIN не был информацией о личности (например, когда автомобиль не принадлежит физлицу). Таким образом, цепочка ответственности распространяется на всех участников обработки.
Отметим также уточнение суда: если транспортное средство зарегистрировано на юридическое лицо, VIN может не считаться персональными данными (пока авто не продано физлицу). Для автомобилей в частной собственности VIN практически неизбежно будет персональными данными, учитывая существование государственных баз регистраций и обязательное внесение VIN и имени владельца в свидетельство о регистрации.
🔹 Решение участкового суда г. Кассель по делу 435 C 584/13 от 07.05.2013: суд посчитал, что данные, которые хранятся я у страховой (госномер и VIN), не являются персональными данными, потому что сама страховая не может по этим номерам прямо определить личность без привлечения органов. Суд указал, что у страховой сохранены лишь признаки автомобиля, а не имя владельца. Отсутствуют основания полагать, что страховщик или оператор базы данных способны своими средствами реконструировать из номера личность владельца. Да, теоретически через дорожное управление можно запросить данные, но это требует отдельной процедуры и обоснования интереса, что суд посчитал непропорциональным усилием — и потому счел, что в рамках имеющихся у страховой средств человек не является идентифицируемым.
🔹 Постановление Высшего административного суда Польшипо делу OSK 2063/17 от 28.06.2019: регистрационный номер механического транспортного средства не является персональными данными.
Если автомобильные данные подпадают под GDPR, какое выбрать основание для их обработки?
Если признавать информацию о машине персональными данными, любой сервис, который собирает, сопоставляет и предоставляет эти данные пользователям, должен опираться на одно из законных оснований обработки согласно статье 6(1) GDPR. Рассмотрим, какие основания применимы к сервисам проверки истории автомобилей:
Легитимный интерес (ст. 6(1)(f) GDPR): наиболее вероятное (и часто используемое) основание для частных сервисов пробива авто. В качестве контролера (оператора) данных, сервис может указать на свой легитимный интерес и/или интерес третьих лиц (покупателей автомобилей). Так они предоставляют достоверную информацию о прошлом автомобиля, предотвращают мошенничество и защищают покупателей от скрытых дефектов. Такой интерес признается обоснованным. Более того, Преамбула 47 GDPR прямо называет предотвращение мошенничества примером законного интереса, который может оправдывать обработку персональных данных. Продажа автомобиля со скрученным пробегом или сокрытие факта серьёзной аварии — это обман потребителя, и выявление таких случаев служит борьбе с мошенничеством.
Исполнение обязанностей по закону (ст. 6(1)(c) GDPR): это основание применяется, если есть специальная законодательная норма, обязывающая кого-то раскрывать или обрабатывать определенные данные о машине. В ЕС действительно существуют нормы, направленные на прозрачность и защиту потребителей, которые могут служить таким правовым основанием. Например, Регламент (EU) 2018/858 («Motor Regulation») обязывает автопроизводителей предоставлять независимым операторам (СТО, дистрибьюторам запчастей, издателям тех. информации) всю информацию, необходимую для ремонта и обслуживания автомобилей, включая доступ к VIN.
На национальном уровне существуют законы против одометрового мошенничества (проще говоря, скручивания пробега) и об информировании покупателя. Например, в Бельгии введена система Car-Pass: продавец обязан предоставить покупателю сертификат Car-Pass при продаже подержанного авто. В нем указана история пробега: данные о километражах, переданные в центральную базу при каждом ТО. Отсутствие Car-Pass делает продажу незаконной или недействительной. Таким образом, в Бельгии предписана передача определённых данных об авто новому владельцу, и обработка этих данных: сбор показаний, формирование сертификата и его выдача покупателю — осуществляется на основании законодательной нормы.
Другой пример — Ирландия: закон о защите потребителей (Consumer Protection Act 2007) требует, чтобы продавцы авто предоставляли точную и не вводящую в заблуждение информацию о товаре. Ирландская ассоциация SIMI (Society of the Irish Motor Industry) организовала для своих членов доступ к базе истории автомобилей, чтобы те могли проверить машину и выполнить свою юридическую обязанность — сообщить покупателю всю правдивую информацию. Отчёт CCPC (Competition and Consumer Protection Commission of Ireland) указывает, что дилеры с помощью проверки истории выполняют требования закона об информации для потребителя. Получается, что в таких случаях основанием для обработки будет исполнение законной обязанности: дилер обязан проверить и раскрыть данные, иначе нарушит закон о защите прав потребителей.
Даже если закон не предписывает конкретный формат передачи данных, общие обязанности по честной продаже могут обосновать обработку. Директива о недобросовестных коммерческих практиках (Directive 2005/29/EC) запрещает скрывать существенные сведения о товаре. Так, сокрытие серьёзной аварии или скрученного пробега можно расценить как введение в заблуждение покупателя. Поэтому продавец должен раскрыть такие сведения, если они ему известны — иначе ему грозят санкции. В ряде стран эта концепция трансформируется в прямой сервис для покупателей: госорганы или партнерские организации собирают и открывают доступ к истории авто.
CCPC отмечает, что 20 стран ЕС (например, Бельгия, Эстония, Польша и др.) уже обеспечивают публичный доступ к ключевой информации о подержанных авто, признавая это лучшей практикой. Брайан МакХью, глава CCPC, отмечает: «Обмен историей автомобиля с покупателями будет защищать всех участников дорожного движения, помогая не допустить появления опасных объектов на дорогах Ирландии. В интересах общества иметь открытую, бесплатную и доступную государственную базу данных с основной информацией об истории автомобилей. Большая часть этой информации уже собирается государством. Часть её предоставляется продавцам и поставщикам сведений об истории автомобилей, но не напрямую потребителям. Мы также знаем, что информация от сторонних сервисов может быть неполной. Потребители заслуживают большего».
Присоединяйтесь к курсу GDPR Data Privacy Professional. На нем тренеры дают понятные правила и визуальные схемы, чтобы поиск правовых оснований проходили легко.
Как это работает на практике?
Во многих странах ЕС существуют легальные механизмы доступа к части данных об авто для третьих лиц. Это создаёт основу для сервисов «пробива».
Например, в Финляндии агентство Traficom (местный аналог ГИБДД) предоставляет онлайн-сервис для проверки истории автомобиля по регистрационному номеру или VIN. Бесплатно доступны технические характеристики, прохождение техосмотров и налоговая информация, а за небольшую плату любой человек может получить данные об имени текущего владельца, одном предыдущем владельце-физлице и общей истории регистрации. Доступ к таким данным ограничен: требуется электронная идентификация пользователя и соблюдение условий использования (например, информация предоставляется в первую очередь покупателям для проверки правдивости слов продавца, ее нельзя использовать во вред частной жизни людей). Финский реестр тем самым прямо допускает раскрытие персональных данных владельцев авто в интересах покупательской проверки.
Если говорить о Польше, то там есть бесплатный государственный портал, где любой желающий, зная VIN и номер машины (и дату первой регистрации), может получить базовую историю: данные о техосмотрах, количестве владельцев, авариях и т.п.
Из частных сервисов по пробиву авто стоит упомянуть carVertical и CARFAX.
carVertical – европейский сервис, который был основан в Литве и ориентирован на рынок ЕС. В своей Политике конфиденциальности carVertical прямо указывает на легитимный интерес как на основное правовое основание для обработки данных с целью составления отчетов. Они формулируют этот интерес как «предотвращение мошенничества на рынке подержанных автомобилей и предоставление покупателям прозрачной информации».
CARFAX – европейское подразделение американского сервиса. Аналогично carVertical, их бизнес-модель в Европе опирается на легитимный интерес. Кроме того, этот сервис участвует как партнёр в проекте Autonomous Ready, который реализуется испанским транспортным ведомством DGT и муниципалитетом Барселоны. Он обеспечивает установку датчиков и систем помощи водителю в 150 транспортных средствах. Проект направлен на предсказание и предотвращение ошибок водителей, например, перестройка без поворотника, резкое ускорение или торможение. За 1,5 года работы система сработала десятки тысяч раз. А это — способствует повышению безопасности дорожного движения.
Подводим итоги
В Европе данные об автомобиле в целом рассматриваются как персональные, если они позволяют прямо или косвенно идентифицировать владельца или пользователя. Регуляторы (EDPB, национальные органы, суды) подчёркивают: VIN, регистрационный номер, пробег, маршруты, стиль вождения и даже технические метаданные могут относиться к персональным данным, поскольку связаны с физическим лицом через реестры или иные источники. Однако акцент делается на контексте: один и тот же идентификатор (например, VIN) может быть неперсональным для производителя, но персональным для сервисов, имеющих доступ к данным реестров.
Отдельное внимание уделяется балансу между защитой приватности и интересами потребителей и рынка. Европейские регуляторы признают важность прозрачности на рынке подержанных авто, чтобы бороться с мошенничеством (скручивание пробега, сокрытие аварий), и допускают раскрытие данных при наличии законного основания: «легитимного интереса», выполнения законодательной обязанности или защиты потребителей. Примеры из Бельгии (система Car-Pass) и Финляндии (сервис от Traficom) показывают, что национальные законы прямо предписывают или допускают доступ к данным об истории авто, несмотря на их персональный характер.
Сервисы проверки истории автомобилей в ЕС считаются вполне легитимными, но они обязаны соответствовать GDPR и национальному регулированию. Они должны опираться на законные основания обработки, ограничивать объём раскрываемых данных и обеспечивать защиту прав субъектов. При этом европейская практика демонстрирует стремление к узакониванию таких сервисов как инструмента защиты потребителей и повышения безопасности дорожного движения.
Эта информация была собрана в рамках legal research для одного из наших клиентов.
Такие исследования нужны, когда в компании инициируется обработка, которую сложно трактовать однообразно. В будущем они помогают избежать недопонимания между компанией и надзорными органами.
Если у вас тоже есть большой комплексный вопрос, который требует изучения официальных позиций и судебной практики, мы можем вам в этом помочь.
Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг.
Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими.
Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы.
Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.
