Считается ли комбинация номера телефона и имени персональными данными по закону о защите данных?

<h2 id="_1">Обработка имени и номера телефона пользователя в мобильном приложении</h2> <h3 id="_2">Анализ ситуации</h3> <p>Вы описываете ситуацию, когда пользователь при регистрации в мобильном приложении указывает своё имя и номер телефона. Номер телефона используется исключительно для входа (аутентификации), хранится в зашифрованном формате, не передаётся третьим лицам, и даже администраторы не имеют доступа к номерам в открытом виде.</p> <h3 id="_3">Юридическая квалификация данных</h3> <h4 id="1">1. Являются ли имя и номер телефона персональными данными?</h4> <p>Согласно Федеральному закону №152-ФЗ "О персональных данных", персональные данные определяются как:</p> <blockquote> <p>"любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 3)</p> </blockquote> <p>Сочетание имени и номера телефона однозначно позволяет идентифицировать конкретное физическое лицо. Номер телефона, особенно в связке с именем, является уникальным идентификатором, который прямо или косвенно указывает на конкретного человека. Следовательно, <strong>это персональные данные</strong>.</p> <h4 id="2">2. Влияет ли шифрование на статус данных как персональных?</h4> <p>Шифрование является мерой защиты персональных данных, но не меняет их юридическую природу. Закон определяет понятие "обезличивание персональных данных":</p> <blockquote> <p>"обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 3)</p> </blockquote> <p>В вашем случае наличие ключа шифрования (даже если он технически недоступен администраторам) означает, что существует "дополнительная информация", с помощью которой можно восстановить связь данных с субъектом. Поэтому <strong>зашифрованные данные не считаются обезличенными</strong>.</p> <h4 id="3">3. Применяется ли законодательство о персональных данных?</h4> <p>Да, применяется в полном объёме. Обработка персональных данных включает:</p> <blockquote> <p>"любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение..." (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 3)</p> </blockquote> <p>Сбор и хранение имени и номера телефона пользователя подпадает под это определение обработки. Организация, осуществляющая эти действия, является оператором персональных данных.</p> <h3 id="_4">Требования к обработке</h3> <h4 id="1_1">1. Правовое основание для обработки</h4> <p>Обработка персональных данных допускается только при наличии законных оснований. Для сценария мобильного приложения наиболее вероятными основаниями являются:</p> <blockquote> <p>"обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 6, часть 1, пункт 1)</p> </blockquote> <p>Или:</p> <blockquote> <p>"обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных..." (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 6, часть 1, пункт 5)</p> </blockquote> <h4 id="2_1">2. Требования к согласию</h4> <p>Если вы основываете обработку на согласии, оно должно соответствовать требованиям:</p> <blockquote> <p>"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 9, часть 1)</p> </blockquote> <p>Согласие должно включать в том числе:<br /> - цель обработки персональных данных<br /> - перечень персональных данных, на обработку которых дается согласие<br /> - перечень действий с персональными данными<br /> - срок, в течение которого действует согласие (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 9, часть 4)</p> <h4 id="3_1">3. Уведомление Роскомнадзора</h4> <p>Оператор обязан уведомить уполномоченный орган (Роскомнадзор) о начале обработки персональных данных, за исключением случаев, предусмотренных законом:</p> <blockquote> <p>"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 22, часть 1)</p> </blockquote> <p>Для мобильного приложения, обрабатывающего персональные данные пользователей, уведомление, как правило, требуется.</p> <h3 id="_5">Требования к защите данных</h3> <h4 id="1_2">1. Общие обязанности оператора</h4> <p>Оператор обязан принимать меры по обеспечению безопасности персональных данных:</p> <blockquote> <p>"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 19, часть 1)</p> </blockquote> <h4 id="2_2">2. Применение шифрования (криптографической защиты)</h4> <p>Использование средств криптографической защиты информации (СКЗИ) регулируется специальными требованиями. В частности, для обеспечения 4 уровня защищенности необходимо:</p> <blockquote> <p>"использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз" (Источник: Приказ ФСБ России №378, пункт 5)</p> </blockquote> <p>При использовании СКЗИ должны применяться средства класса КС1 и выше:</p> <blockquote> <p>"использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше" (Источник: Приказ ФСБ России №378, пункт 9)</p> </blockquote> <h3 id="_6">Риски и ответственность</h3> <h4 id="1_3">1. Административная ответственность</h4> <p>Нарушение требований к защите информации влечет административную ответственность:</p> <blockquote> <p>"Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации... - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей" (Источник: КоАП РФ, статья 13.12, часть 6)</p> </blockquote> <p>Также предусмотрена ответственность за разглашение информации с ограниченным доступом:</p> <blockquote> <p>"Разглашение информации, доступ к которой ограничен федеральным законом... - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от сорока тысяч до пятидесяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от ста тысяч до двухсот тысяч рублей" (Источник: КоАП РФ, статья 13.14)</p> </blockquote> <h4 id="2-">2. Гражданско-правовая ответственность</h4> <p>Оператор может нести ответственность за причинение вреда:</p> <blockquote> <p>"Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации" (Источник: Федеральный закон №152-ФЗ "О персональных данных", статья 24, часть 2)</p> </blockquote> <h4 id="3_2">3. Риск ограничения доступа к ресурсу</h4> <p>В случае нарушений может быть ограничен доступ к информационному ресурсу:</p> <blockquote> <p>"В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных"" (Источник: Федеральный закон №149-ФЗ "Об информации", статья 15.5, часть 1)</p> </blockquote> <h3 id="_7">Выводы и рекомендации</h3> <ol> <li> <p><strong>Имя и номер телефона являются персональными данными</strong> согласно определению в Федеральном законе №152-ФЗ, даже если они хранятся в зашифрованном виде.</p> </li> <li> <p><strong>Шифрование не превращает данные в обезличенные</strong>, поскольку при наличии ключа шифрования (даже если он технически недоступен) сохраняется возможность определить субъекта данных.</p> </li> <li> <p><strong>Необходимо получить согласие пользователя</strong> на обработку его персональных данных, за исключением случаев, когда обработка осуществляется для исполнения договора с пользователем. Согласие должно соответствовать требованиям статьи 9 Федерального закона №152-ФЗ.</p> </li> <li> <p><strong>Требуется уведомить Роскомнадзор</strong> о начале обработки персональных данных, если не применяются исключения, перечисленные в статье 22 Федерального закона №152-ФЗ.</p> </li> <li> <p><strong>Обязательно соблюдение требований к защите данных</strong>, включая:<br /> - Разработку и внедрение организационно-распорядительной документации<br /> - Применение сертифицированных средств защиты информации (СКЗИ класса КС1 и выше при использовании шифрования)<br /> - Обеспечение конфиденциальности персональных данных</p> </li> <li> <p><strong>Рекомендуется</strong>:<br /> - Разработать политику в отношении обработки персональных данных<br /> - Заключить соглашения с обработчиками (если используются сторонние сервисы)<br /> - Регулярно проводить оценку соответствия требованиям законодательства<br /> - Обеспечить возможность пользователей отозвать согласие на обработку их данных</p> </li> <li> <p><strong>Риски</strong> включают административные штрафы, гражданско-правовую ответственность, репутационные потери и возможное ограничение доступа к приложению.</p> </li> </ol> <p>Для детальной проработки всех аспектов обработки персональных данных в вашем конкретном случае рекомендуется обратиться к адвокату, специализирующемуся в области информационного права и защиты персональных данных.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>