MAC-адрес (уникальный идентификатор сетевого устройства) может быть признан персональными данными, если он позволяет прямо или косвенно идентифицировать конкретное физическое лицо. Сам по себе MAC-адрес указывает только на устройство, но при использовании в информационных системах или сетях он часто связывается с конкретным пользователем (например, через регистрацию в Wi-Fi, учётную запись или иные данные).
Когда MAC-адрес считается ПДн:
- если он фиксируется вместе с учётными данными пользователя (логин, e-mail, телефон, ФИО);
- если используется для учёта посещений (например, в Wi-Fi сетях организаций или торговых центров);
- если позволяет идентифицировать субъекта в совокупности с другой информацией.
Когда MAC-адрес не является ПДн:
- если он используется только в технических целях без связи с человеком;
- если оператор не ведёт сопоставления между MAC-адресом и личностью пользователя.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся прямо или косвенно к определённому физическому лицу.
- Письмо Роскомнадзора от 27.05.2014 № 08-7234 — уникальные идентификаторы устройств (включая MAC-адреса) могут относиться к ПДн, если позволяют идентифицировать пользователя.
- Ст. 6 ФЗ-152 — обработка возможна только с согласия субъекта или при наличии законного основания.
- Ст. 13.11 КоАП РФ — нарушение порядка обработки ПДн влечёт штраф.
Практика и позиция Роскомнадзора
Роскомнадзор отмечает, что технические идентификаторы (в том числе MAC-адреса) следует рассматривать как персональные данные, если они используются для идентификации пользователей. Например, при подключении к публичному Wi-Fi MAC-адрес связывается с телефоном и личностью клиента, а значит, становится ПДн.
В проверках Роскомнадзора были случаи, когда организации собирали MAC-адреса посетителей для аналитики. При этом данные не обезличивались и сохранялись вместе с другой информацией. Регулятор указал, что такие действия являются обработкой ПДн и требуют выполнения всех требований ФЗ-152.
Важный момент
Если компания собирает MAC-адреса (например, через Wi-Fi сеть в офисе или торговом центре), она должна рассматривать их как ПДн, поскольку в совокупности с другими данными они позволяют установить личность.
Рекомендации и выводы
MAC-адрес может быть персональными данными, если он используется для идентификации субъекта. Чтобы работать законно, компании нужно:
- Определить, используются ли MAC-адреса для идентификации пользователей.
- При необходимости включить их в перечень обрабатываемых ПДн.
- Получать согласие или предусмотреть иное основание обработки.
- Включить правила работы с MAC-адресами в комплект документов по 152-ФЗ.
Компания ICTech поможет вашей организации провести аудит использования технических идентификаторов, определить, какие из них относятся к ПДн, и оформить корректные документы. Это позволит законно собирать MAC-адреса и избежать претензий Роскомнадзора.
