Регистрация через OpenID и уведомление Роскомнадзора
Анализ ситуации
Вы планируете реализовать на своем сайте регистрацию пользователей через OpenID от игровой платформы с сохранением в собственной СУБД данных аккаунтов (логины, идентификаторы и иная информация для аутентификации). Это означает, что вы будете осуществлять обработку определенных данных пользователей.
Применимые правовые нормы
Являются ли логины и идентификаторы персональными данными?
Согласно законодательству РФ, персональные данные определяются как:
"любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон "О персональных данных", статья 3)
В КоАП РФ также дается определение идентификатора:
"уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу" (Источник: КоАП РФ, статья 13.11, примечание 4)
Таким образом, логины и идентификаторы, которые позволяют идентифицировать физическое лицо, являются персональными данными.
Обязанность уведомления Роскомнадзора
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон "О персональных данных", статья 22)
Исключения из обязанности уведомления
Из представленного контекста следует, что исключениями являются:
"обработка персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон "О персональных данных", статья 22)
Поскольку вы планируете использовать СУБД для хранения данных, это означает автоматизированную обработку, и данное исключение на вас не распространяется.
Выводы и рекомендации
Основные выводы:
-
Логины и идентификаторы являются персональными данными, поскольку позволяют идентифицировать физическое лицо.
-
Вы являетесь оператором персональных данных, так как организуете и осуществляете обработку персональных данных.
-
Уведомление Роскомнадзора обязательно, поскольку вы осуществляете автоматизированную обработку персональных данных, и никакие исключения из представленного контекста на вашу ситуацию не распространяются.
Рекомендации:
-
Подайте уведомление в Роскомнадзор до начала обработки персональных данных в соответствии со статьей 22 Федерального закона "О персональных данных".
-
Обеспечьте соблюдение требований к защите персональных данных, включая получение согласия субъектов на обработку их персональных данных.
-
Учтите риски ответственности - за невыполнение обязанности по уведомлению предусмотрена административная ответственность:
"влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей" (Источник: КоАП РФ, статья 13.11, часть 10)
- Для полного понимания всех требований рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных, поскольку в представленном контексте могут отсутствовать некоторые детали регулирования.