Является ли служебный логин сотрудника персональными данными?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, служебный логин сотрудника может считаться персональными данными, если он позволяет прямо или косвенно идентифицировать личность. Логин — это уникальный идентификатор, связанный с конкретным работником в информационной системе. Даже если он создан в формате «user123», при наличии привязки к сотруднику (например, в базе учёта или кадровых документах) он становится персональными данными.

Когда логин — это ПДн:

- если логин содержит ФИО, инициалы или должность (например, ivanov.i, petrov.hr);
- если он привязан к учётной записи сотрудника и позволяет определить его действия в системе;
- если логин хранится в связке с другими данными (e-mail, табельный номер, база сотрудников).

Когда логин может не считаться ПДн:

- если используется полностью обезличенный формат, не связанный с личностью (например, случайный набор символов без возможности сопоставления с человеком). Но на практике такие случаи встречаются крайне редко.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — любая информация о прямо или косвенно определяемом лице.
• Ст. 6 ФЗ-152 — обработка допустима без согласия, если она необходима для исполнения трудового договора.
• Ст. 88 ТК РФ — работодатель обязан сохранять конфиденциальность данных работников.
• Ст. 19 ФЗ-152 — оператор обязан обеспечивать защиту ПДн.

Практика и позиция Роскомнадзора

Роскомнадзор в разъяснениях относит служебные идентификаторы к персональным данным, если они могут быть связаны с личностью. В проверках встречались нарушения, когда логины сотрудников публиковались в открытом доступе вместе с паролями или таблицами учёта. Это квалифицировалось как утечка ПДн.

Пример: при проверке одного вуза выяснилось, что список логинов и паролей студентов хранился в незашифрованном файле на общем сервере. Роскомнадзор признал это нарушением ФЗ-152.

Важный момент для работодателей

Логины сотрудников относятся к категории «служебных ПДн», и их необходимо защищать так же, как ФИО, паспортные данные или контактную информацию. Это особенно важно, так как утечка логина может привести к несанкционированному доступу в системы.

Рекомендации и выводы

Да, служебный логин сотрудника — это персональные данные. Чтобы их защищать правильно:

1. Учитывайте логины в составе персональных данных в локальных актах компании.
2. Не допускайте хранения логинов и паролей в открытых файлах.
3. Обеспечьте технические меры защиты (шифрование, ограничение доступа).
4. Включите порядок работы с логинами и другими служебными идентификаторами в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации разработать регламенты учёта и защиты служебных логинов, подготовить пакет документов и выстроить систему безопасности в соответствии с ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге