Является ли ID пользователя в приложении персональными данными?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, идентификатор пользователя (User ID, Client ID, UID и т. п.) в приложении может считаться персональными данными, если он позволяет прямо или косвенно идентифицировать конкретное физическое лицо. Сам по себе цифровой код может быть техническим параметром, но в сочетании с другой информацией (логин, e-mail, номер телефона, профиль в системе) он превращается в средство идентификации субъекта.

Когда ID считается персональными данными:

- если ID уникален и закреплён за конкретным человеком в приложении;
- если по ID можно восстановить связь с иными данными пользователя (e-mail, номер телефона, ФИО);
- если ID используется в клиентской базе и позволяет идентифицировать покупателя или сотрудника.

Когда ID не относится к ПДн:

- если идентификатор используется исключительно в технических целях и не связан с личностью (например, временный сессионный код, не привязанный к человеку);
-если ID применяется только в обезличенной статистике и не может быть увязан с конкретным субъектом.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.
• Письмо Роскомнадзора от 27.05.2014 № 08-7234 — идентификаторы (логины, ники, UID) могут признаваться ПДн, если они позволяют определить личность.
• Ст. 6 ФЗ-152 — обработка допускается с согласия субъекта или при наличии законного основания.
• Ст. 13.11 КоАП РФ — нарушение порядка обработки ПДн влечёт штраф.

Позиция и практика Роскомнадзора

Роскомнадзор в разъяснениях подтверждает: если уникальный идентификатор в системе позволяет установить личность пользователя, он является персональными данными. Например, в мобильных приложениях, где User ID связан с профилем клиента, ID — это однозначный идентификатор субъекта.

В одной из проверок оператор ссылался на то, что использует только ID без ФИО. Однако выяснилось, что по этому ID можно было получить e-mail клиента. РКН признал ID персональными данными и указал на необходимость согласий и политики обработки.

Важный момент для компаний

Даже если ID выглядит «безопасным техническим кодом», если внутри приложения он связан с конкретным пользователем, это ПДн. Компания обязана:

• учитывать ID в реестре обрабатываемых данных;
• прописывать правила работы с ID в политике ПДн;
• при необходимости получать согласие на обработку.

Рекомендации и выводы

ID пользователя в приложении может считаться персональными данными, если по нему можно идентифицировать человека. Чтобы работать законно, компаниям нужно:

1. Определить, связаны ли используемые ID с личностью пользователей.
2. При необходимости включить ID в перечень обрабатываемых ПДн.
3. Получить согласие на обработку или закрепить другое законное основание.
4. Включить порядок работы с ID в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации провести аудит цифровых идентификаторов, определить, какие из них относятся к ПДн, и оформить корректные документы по ФЗ-152. Это позволит безопасно использовать ID и избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге