Обработка имени и номера телефона пользователей в мобильном приложении
Анализ ситуации
Вы собираете при регистрации имя пользователя и номер телефона, используете эти данные исключительно для входа и авторизации, храните в зашифрованном виде и не передаете третьим лицам.
Правовая квалификация данных
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Комбинация имени и номера телефона однозначно позволяет идентифицировать конкретное физическое лицо, поэтому такие данные являются персональными данными согласно законодательству.
Требования к обработке персональных данных
Получение согласия
"Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)
Поскольку использование данных для авторизации не подпадает под исключения, перечисленные в статье 6 (например, исполнение договора, где пользователь является стороной), вам необходимо получать согласие на обработку персональных данных.
Требования к согласию
"Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)
Уведомление Роскомнадзора
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)
Ваша деятельность не подпадает под исключения из уведомления, поэтому вы обязаны направить уведомление в Роскомнадзор.
Меры защиты персональных данных
Общие требования
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)
Шифрование данных и ограничение доступа соответствуют требованиям закона о принятии технических мер защиты.
Конкретные требования к защите
"Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений...; б) обеспечение сохранности носителей персональных данных; в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным... необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки соответствия..." (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 13)
Правовой статус оператора
"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Даже если вы как владелец не имеете доступа к данным, вы все равно являетесь оператором персональных данных, поскольку определяете цели и состав обрабатываемых данных.
Выводы и рекомендации
-
Имя и номер телефона являются персональными данными - они позволяют идентифицировать физическое лицо.
-
Требуется получение согласия - необходимо разработать и внедрить механизм получения явного, информированного согласия пользователей на обработку их персональных данных.
-
Обязательно уведомление Роскомнадзора - необходимо направить уведомление до начала обработки данных.
-
Меры защиты должны быть документально оформлены - шифрование является правильным подходом, но необходимо:
- Разработать и утвердить политику обработки персональных данных
- Назначить ответственного за обработку персональных данных
- Документально оформить применяемые меры защиты
- Провести оценку соответствия средств защиты информации
-
Ответственность сохраняется - даже при ограничении доступа к данным вы остаетесь оператором и несете ответственность за соблюдение требований законодательства.
Рекомендую обратиться к адвокату, специализирующемуся в области защиты персональных данных, для разработки полного пакета документов и процедур, соответствующих требованиям законодательства.
