Являются ли номер телефона и имя вместе персональными данными по закону о защите данных?

<h2 id="_1">Обработка имени и номера телефона пользователей в мобильном приложении</h2> <h3 id="_2">Анализ ситуации</h3> <p>Вы собираете при регистрации имя пользователя и номер телефона, используете эти данные исключительно для входа и авторизации, храните в зашифрованном виде и не передаете третьим лицам.</p> <h3 id="_3">Правовая квалификация данных</h3> <blockquote> <p>"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)</p> </blockquote> <p>Комбинация имени и номера телефона однозначно позволяет идентифицировать конкретное физическое лицо, поэтому такие данные являются персональными данными согласно законодательству.</p> <h3 id="_4">Требования к обработке персональных данных</h3> <h4 id="_5">Получение согласия</h4> <blockquote> <p>"Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)</p> </blockquote> <p>Поскольку использование данных для авторизации не подпадает под исключения, перечисленные в статье 6 (например, исполнение договора, где пользователь является стороной), вам необходимо получать согласие на обработку персональных данных.</p> <h4 id="_6">Требования к согласию</h4> <blockquote> <p>"Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)</p> </blockquote> <h4 id="_7">Уведомление Роскомнадзора</h4> <blockquote> <p>"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)</p> </blockquote> <p>Ваша деятельность не подпадает под исключения из уведомления, поэтому вы обязаны направить уведомление в Роскомнадзор.</p> <h3 id="_8">Меры защиты персональных данных</h3> <h4 id="_9">Общие требования</h4> <blockquote> <p>"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)</p> </blockquote> <p>Шифрование данных и ограничение доступа соответствуют требованиям закона о принятии технических мер защиты.</p> <h4 id="_10">Конкретные требования к защите</h4> <blockquote> <p>"Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений...; б) обеспечение сохранности носителей персональных данных; в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным... необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки соответствия..." (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 13)</p> </blockquote> <h3 id="_11">Правовой статус оператора</h3> <blockquote> <p>"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)</p> </blockquote> <p>Даже если вы как владелец не имеете доступа к данным, вы все равно являетесь оператором персональных данных, поскольку определяете цели и состав обрабатываемых данных.</p> <h3 id="_12">Выводы и рекомендации</h3> <ol> <li> <p><strong>Имя и номер телефона являются персональными данными</strong> - они позволяют идентифицировать физическое лицо.</p> </li> <li> <p><strong>Требуется получение согласия</strong> - необходимо разработать и внедрить механизм получения явного, информированного согласия пользователей на обработку их персональных данных.</p> </li> <li> <p><strong>Обязательно уведомление Роскомнадзора</strong> - необходимо направить уведомление до начала обработки данных.</p> </li> <li> <p><strong>Меры защиты должны быть документально оформлены</strong> - шифрование является правильным подходом, но необходимо:<br /> - Разработать и утвердить политику обработки персональных данных<br /> - Назначить ответственного за обработку персональных данных<br /> - Документально оформить применяемые меры защиты<br /> - Провести оценку соответствия средств защиты информации</p> </li> <li> <p><strong>Ответственность сохраняется</strong> - даже при ограничении доступа к данным вы остаетесь оператором и несете ответственность за соблюдение требований законодательства.</p> </li> </ol> <p>Рекомендую обратиться к адвокату, специализирующемуся в области защиты персональных данных, для разработки полного пакета документов и процедур, соответствующих требованиям законодательства.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>