Обработка персональных данных при аутентификации через OpenID и уведомление Роскомнадзора
Анализ ситуации
Вы планируете использовать аутентификацию пользователей через OpenID игровой платформы, при которой в ваших системах сохраняются логины, идентификаторы и иная информация для аутентификации. Обработка осуществляется автоматически.
Являются ли данные персональными?
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Логины и идентификаторы пользователей, передаваемые через OpenID, позволяют идентифицировать конкретное физическое лицо, особенно в сочетании с другими данными игровой платформы. Следовательно, они являются персональными данными согласно российскому законодательству.
Обработка персональных данных
"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Сбор и хранение логинов и идентификаторов пользователей представляет собой обработку персональных данных.
Обязанность уведомления Роскомнадзора
Общее правило
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)
Исключения из обязанности уведомления
"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработку персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)
Выводы и рекомендации
-
Логины и идентификаторы являются персональными данными, поскольку позволяют идентифицировать физическое лицо.
-
Обработка осуществляется автоматически, что исключает применение исключения для неавтоматизированной обработки.
-
Уведомление Роскомнадзора требуется, поскольку:
- Вы обрабатываете персональные данные
- Обработка осуществляется с использованием средств автоматизации
- Не подпадает под исключения, предусмотренные статьей 22 закона
-
Рекомендации:
- Подготовьте и направьте уведомление в Роскомнадзор до начала обработки данных
- Убедитесь в наличии правового основания для обработки (скорее всего, согласие пользователя)
- Разработайте политику обработки персональных данных
- Обеспечьте соответствие требованиям к защите персональных данных
Учитывая сложность законодательства о персональных данных и потенциальную административную ответственность за нарушения, рекомендую обратиться к адвокату, специализирующемуся в области информационного права, для подготовки полного пакета документов и консультации по всем аспектам обработки персональных данных.