Является ли комбинация номера телефона и имени персональными данными по закону?

<h2 id="_1">Обработка имени и номера телефона для регистрации в приложении</h2> <h3 id="_2">Анализ ситуации</h3> <p>Вы обрабатываете комбинацию имени и номера телефона пользователей для целей регистрации и авторизации в приложении. Данные хранятся в зашифрованном виде, не передаются третьим лицам и недоступны для просмотра в открытой форме.</p> <h3 id="_3">Юридический анализ</h3> <h4 id="_4">Являются ли данные персональными</h4> <blockquote> <p>"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)</p> </blockquote> <p>Комбинация имени и номера телефона однозначно позволяет идентифицировать физическое лицо, поэтому такие данные являются персональными данными согласно законодательству.</p> <h4 id="_5">Требования к обработке для целей регистрации</h4> <blockquote> <p>"Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5)</p> <p>"Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)</p> </blockquote> <h4 id="_6">Обязанности оператора</h4> <blockquote> <p>"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1)</p> <p>"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)</p> </blockquote> <h4 id="_7">Требования к политике конфиденциальности</h4> <blockquote> <p>"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1)</p> </blockquote> <h4 id="_8">Достаточность шифрования как меры защиты</h4> <blockquote> <p>"Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы" (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 2)</p> </blockquote> <p>Шифрование является важной технической мерой защиты, но не единственной требуемой.</p> <h3 id="_9">Выводы и рекомендации</h3> <ol> <li> <p><strong>Комбинация имени и номера телефона является персональными данными</strong> - вы обязаны соблюдать все требования законодательства о персональных данных.</p> </li> <li> <p><strong>Требуется разработка и публикация политики конфиденциальности</strong>, которая должна содержать:<br /> - Цели обработки персональных данных<br /> - Перечень обрабатываемых данных<br /> - Способы и сроки обработки<br /> - Права субъектов персональных данных<br /> - Меры защиты данных</p> </li> <li> <p><strong>Шифрование является необходимой, но недостаточной мерой защиты</strong>. Вам необходимо:<br /> - Назначить ответственного за обработку персональных данных<br /> - Разработать локальные акты по обработке ПДн<br /> - Обеспечить организационные меры защиты<br /> - Провести оценку соответствия уровня защиты требованиям законодательства</p> </li> <li> <p><strong>Рекомендуется получить согласие пользователей</strong> на обработку их персональных данных, даже если обработка осуществляется для исполнения договора.</p> </li> <li> <p><strong>Рассмотрите вопрос об уведомлении Роскомнадзора</strong> о начале обработки персональных данных, если не подпадаете под исключения.</p> </li> </ol> <p>Для полноценного приведения деятельности в соответствие с законодательством рекомендую обратиться к адвокату, специализирующемуся в области защиты персональных данных.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>