Считается ли комбинация номера телефона и имени персональными данными по закону о защите данных?

Обработка имени и номера телефона пользователя в мобильном приложении

Анализ ситуации

Вы описываете ситуацию, когда пользователь при регистрации в мобильном приложении указывает своё имя и номер телефона. Номер телефона используется исключительно для входа (аутентификации), хранится в зашифрованном формате, не передаётся третьим лицам, и даже администраторы не имеют доступа к номерам в открытом виде.

Юридическая квалификация данных

1. Являются ли имя и номер телефона персональными данными?

Согласно Федеральному закону №152-ФЗ "О персональных данных", персональные данные определяются как:

"любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 3)

Сочетание имени и номера телефона однозначно позволяет идентифицировать конкретное физическое лицо. Номер телефона, особенно в связке с именем, является уникальным идентификатором, который прямо или косвенно указывает на конкретного человека. Следовательно, это персональные данные.

2. Влияет ли шифрование на статус данных как персональных?

Шифрование является мерой защиты персональных данных, но не меняет их юридическую природу. Закон определяет понятие "обезличивание персональных данных":

"обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 3)

В вашем случае наличие ключа шифрования (даже если он технически недоступен администраторам) означает, что существует "дополнительная информация", с помощью которой можно восстановить связь данных с субъектом. Поэтому зашифрованные данные не считаются обезличенными.

3. Применяется ли законодательство о персональных данных?

Да, применяется в полном объёме. Обработка персональных данных включает:

"любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение..." (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 3)

Сбор и хранение имени и номера телефона пользователя подпадает под это определение обработки. Организация, осуществляющая эти действия, является оператором персональных данных.

Требования к обработке

1. Правовое основание для обработки

Обработка персональных данных допускается только при наличии законных оснований. Для сценария мобильного приложения наиболее вероятными основаниями являются:

"обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 6, часть 1, пункт 1)

Или:

"обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных..." (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 6, часть 1, пункт 5)

2. Требования к согласию

Если вы основываете обработку на согласии, оно должно соответствовать требованиям:

"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 9, часть 1)

Согласие должно включать в том числе:

• цель обработки персональных данных
• перечень персональных данных, на обработку которых дается согласие
• перечень действий с персональными данными
• срок, в течение которого действует согласие (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 9, часть 4)

3. Уведомление Роскомнадзора

Оператор обязан уведомить уполномоченный орган (Роскомнадзор) о начале обработки персональных данных, за исключением случаев, предусмотренных законом:

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 22, часть 1)

Для мобильного приложения, обрабатывающего персональные данные пользователей, уведомление, как правило, требуется.

Требования к защите данных

1. Общие обязанности оператора

Оператор обязан принимать меры по обеспечению безопасности персональных данных:

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 19, часть 1)

2. Применение шифрования (криптографической защиты)

Использование средств криптографической защиты информации (СКЗИ) регулируется специальными требованиями. В частности, для обеспечения 4 уровня защищенности необходимо:

"использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз" (Источник: Приказ ФСБ России №378, пункт 5)

При использовании СКЗИ должны применяться средства класса КС1 и выше:

"использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше" (Источник: Приказ ФСБ России №378, пункт 9)

Риски и ответственность

1. Административная ответственность

Нарушение требований к защите информации влечет административную ответственность:

"Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации... - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей" (Источник: КоАП РФ, статья 13.12, часть 6)

Также предусмотрена ответственность за разглашение информации с ограниченным доступом:

"Разглашение информации, доступ к которой ограничен федеральным законом... - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от сорока тысяч до пятидесяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от ста тысяч до двухсот тысяч рублей" (Источник: КоАП РФ, статья 13.14)

2. Гражданско-правовая ответственность

Оператор может нести ответственность за причинение вреда:

"Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 24, часть 2)

3. Риск ограничения доступа к ресурсу

В случае нарушений может быть ограничен доступ к информационному ресурсу:

"В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных"" (Источник: Федеральный закон №149-ФЗ "Об информации", статья 15.5, часть 1)

Выводы и рекомендации

1. Имя и номер телефона являются персональными данными согласно определению в Федеральном законе №152-ФЗ, даже если они хранятся в зашифрованном виде.

2. Шифрование не превращает данные в обезличенные, поскольку при наличии ключа шифрования (даже если он технически недоступен) сохраняется возможность определить субъекта данных.

3. Необходимо получить согласие пользователя на обработку его персональных данных, за исключением случаев, когда обработка осуществляется для исполнения договора с пользователем. Согласие должно соответствовать требованиям статьи 9 Федерального закона №152-ФЗ.

4. Требуется уведомить Роскомнадзор о начале обработки персональных данных, если не применяются исключения, перечисленные в статье 22 Федерального закона №152-ФЗ.

5. Обязательно соблюдение требований к защите данных, включая:

   • Разработку и внедрение организационно-распорядительной документации
   • Применение сертифицированных средств защиты информации (СКЗИ класса КС1 и выше при использовании шифрования)
   • Обеспечение конфиденциальности персональных данных

6. Рекомендуется:

   • Разработать политику в отношении обработки персональных данных
   • Заключить соглашения с обработчиками (если используются сторонние сервисы)
   • Регулярно проводить оценку соответствия требованиям законодательства
   • Обеспечить возможность пользователей отозвать согласие на обработку их данных

7. Риски включают административные штрафы, гражданско-правовую ответственность, репутационные потери и возможное ограничение доступа к приложению.

Для детальной проработки всех аспектов обработки персональных данных в вашем конкретном случае рекомендуется обратиться к адвокату, специализирующемуся в области информационного права и защиты персональных данных.