Считается ли ID клиента в базе персональными данными?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Сам по себе внутренний ID (идентификатор) клиента, присвоенный системой, не является персональными данными. Но если этот ID связан или может быть связан с конкретным человеком (например, через ФИО, телефон, e-mail, паспортные данные в базе), он уже будет считаться персональными данными в составе такой связки.

Когда ID не является ПДн:

• если идентификатор не позволяет установить личность субъекта сам по себе;
• если база не содержит сопоставления ID с реальными данными человека (например, анонимные учётные записи для тестирования).

Когда ID признаётся ПДн:

• если ID используется для доступа к информации, где есть персональные данные (например, ФИО, контакты, документы клиента);
• если через ID можно однозначно связать запись с конкретным человеком;
• если оператор хранит таблицу соответствия ID ↔ персональные данные.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определяемому лицу.
• Если ID сам по себе не идентифицирует личность, он не ПДн. Но если он является ключом к связке с человеком, то это косвенный идентификатор, который по закону подпадает под понятие ПДн.

Практика и позиция Роскомнадзора

Роскомнадзор в разъяснениях указывает: технические идентификаторы (ID, логины, коды) сами по себе могут не быть персональными данными. Однако если их можно связать с конкретным субъектом, это уже подпадает под ФЗ-152.

Пример: в CRM-системе ID клиента связан с его паспортными данными. Такая связка считается обработкой ПДн.
Другой случай: в тестовой базе ID используются без какой-либо информации о человеке. Роскомнадзор не относит такие данные к персональным.

Важный момент для организаций

Организации часто недооценивают значение внутренних идентификаторов. Если ID в базе связан с персональными данными, он подлежит защите наравне с другими ПДн.

Рекомендации и выводы

ID клиента в базе может быть как нейтральным, так и персональными данными — всё зависит от того, можно ли по нему идентифицировать личность. Чтобы соответствовать ФЗ-152:

1. Анализируйте базы: если ID связан с ПДн, включайте его в зону защиты.
2. Ограничивайте доступ к связке ID ↔ персональные данные.
3. Отражайте порядок работы с идентификаторами в локальных актах.
4. Включите ID в перечень обрабатываемых ПДн, если через него можно выйти на личность клиента.

Компания ICTech поможет вашей организации провести аудит баз данных, определить, какие идентификаторы относятся к ПДн, и подготовить полный комплект документов по ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге