Алексей Ветров
Эксперт по защите данных IC-TECH
Логин в системе может являться персональными данными, но не всегда — это зависит от того, можно ли по нему идентифицировать конкретное физическое лицо.
Если логин содержит в себе ФИО, телефон, e-mail или другую информацию, позволяющую прямо определить пользователя (например, ivanov@company.ru, petrov1985), то такой логин считается персональными данными по ст. 3 152-ФЗ.
Если же логин является обезличенным и сам по себе не позволяет идентифицировать человека (например, user123, abc456), то он не относится к персональным данным. Но как только логин используется вместе с другой информацией (например, в базе данных есть связь логина и ФИО сотрудника), он также становится персональными данными.
Если логин содержит в себе ФИО, телефон, e-mail или другую информацию, позволяющую прямо определить пользователя (например, ivanov@company.ru, petrov1985), то такой логин считается персональными данными по ст. 3 152-ФЗ.
Если же логин является обезличенным и сам по себе не позволяет идентифицировать человека (например, user123, abc456), то он не относится к персональным данным. Но как только логин используется вместе с другой информацией (например, в базе данных есть связь логина и ФИО сотрудника), он также становится персональными данными.
Обоснование по законодательству
- 152-ФЗ «О персональных данных»:
- Ст. 3 — персональные данные — любая информация, относящаяся к определённому или определяемому физическому лицу.
- Разъяснения Роскомнадзора: уникальные идентификаторы (логин, ID, коды), которые в связке с другими сведениями позволяют идентифицировать личность, признаются персональными данными.
- Судебная практика: арбитражные суды признают логины, адреса электронной почты и иные уникальные идентификаторы персональными данными, если они используются для идентификации пользователя.
Типичные ошибки организаций
- Считают, что логины никогда не являются персональными данными и не включают их в перечень обрабатываемых ПДн.
- Публикуют логины сотрудников во внутренних документах без ограничения доступа.
- Хранят логины и связанные с ними данные без обеспечения защиты.
Особенности применения на практике
- Внутренние логины сотрудников (например, в корпоративной системе) обычно связаны с ФИО и должностью, значит, это ПДн.
- Логины клиентов на сайте или в интернет-магазине — ПДн, если их можно связать с конкретным пользователем.
- Если логин полностью обезличен и не связан с человеком, он персональными данными не является.
Рекомендации и выводы
- Рассматривайте логины как персональные данные, если они позволяют идентифицировать пользователя сами по себе или в совокупности с другой информацией.
- Включите логины в перечень обрабатываемых ПДн в локальных актах организации.
- Обеспечьте их защиту как и других ПДн (ограничение доступа, хранение, уничтожение).
- Не публикуйте логины в открытом доступе и не используйте их без необходимости вне внутренних систем.
Если вы хотите быть уверены, что ваша организация правильно классифицирует и защищает такие данные, как логины, ID и другие уникальные идентификаторы, — специалисты ICTech разработают для вас полный пакет документов по обработке персональных данных. В нём будут отражены все категории ПДн, регламенты их защиты и порядок работы с информацией, что позволит избежать штрафов и претензий Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
