Обработка имени и номера телефона для регистрации в приложении
Анализ ситуации
Вы обрабатываете комбинацию имени и номера телефона пользователей для целей регистрации и авторизации в приложении. Данные хранятся в зашифрованном виде, не передаются третьим лицам и недоступны для просмотра в открытой форме.
Юридический анализ
Являются ли данные персональными
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Комбинация имени и номера телефона однозначно позволяет идентифицировать физическое лицо, поэтому такие данные являются персональными данными согласно законодательству.
Требования к обработке для целей регистрации
"Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5)
"Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)
Обязанности оператора
"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1)
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)
Требования к политике конфиденциальности
"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1)
Достаточность шифрования как меры защиты
"Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы" (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 2)
Шифрование является важной технической мерой защиты, но не единственной требуемой.
Выводы и рекомендации
-
Комбинация имени и номера телефона является персональными данными - вы обязаны соблюдать все требования законодательства о персональных данных.
-
Требуется разработка и публикация политики конфиденциальности, которая должна содержать:
- Цели обработки персональных данных
- Перечень обрабатываемых данных
- Способы и сроки обработки
- Права субъектов персональных данных
- Меры защиты данных
-
Шифрование является необходимой, но недостаточной мерой защиты. Вам необходимо:
- Назначить ответственного за обработку персональных данных
- Разработать локальные акты по обработке ПДн
- Обеспечить организационные меры защиты
- Провести оценку соответствия уровня защиты требованиям законодательства
-
Рекомендуется получить согласие пользователей на обработку их персональных данных, даже если обработка осуществляется для исполнения договора.
-
Рассмотрите вопрос об уведомлении Роскомнадзора о начале обработки персональных данных, если не подпадаете под исключения.
Для полноценного приведения деятельности в соответствие с законодательством рекомендую обратиться к адвокату, специализирующемуся в области защиты персональных данных.
