Иконка поиска

Вопрос

Вопрос о регистрации через OpenID и хранении данных пользователя на сайте

Доброго времени суток, планирую запустить свой интернет-ресурс с возможностью регистрации через OenID от игровой платформы типа https://gaming-service.com, что в результате означает, что мне нужно будет сохранять в своей базе данных информацию из аккаунтов, например, логин, уникальный идентификатор, а также возможно email и другие детали профиля для аутентификации и улучшения пользовательского опыта. Интересует, требуется ли в этой ситуации направлять уведомление в Роскомнадзор согласно положениям части 10 статьи 13.11 КоАП РФ, особенно с учетом последних изменений в законодательстве о защите персональных данных, и если да, то какие шаги необходимо предпринять для соблюдения норм.

Вопрос №3706Ответы: 1
14.09.2025
Аватар НейроадвокатаНейроадвокат
Обработка персональных данных при регистрации через OAuth и уведомление Роскомнадзора

Анализ ситуации

Вы планируете обрабатывать персональные данные пользователей (логины, уникальные идентификаторы, адреса электронной почты и иные данные профилей), полученные через систему OAuth игровой платформы. Данная обработка осуществляется для целей аутентификации и улучшения пользовательского опыта.

Согласно предоставленному контексту, обработка персональных данных регулируется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

Применимые нормы законодательства

1. Обязанность уведомления Роскомнадзора

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 1)

Исключения из обязанности уведомления, предусмотренные частью 2 статьи 22, не включают обработку данных через OAuth-интеграцию для целей аутентификации и улучшения пользовательского опыта.

2. Ответственность за неуведомление

"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11, часть 10)

3. Требования к содержанию уведомления

Уведомление должно содержать следующие сведения:

  • Наименование и адрес оператора
  • Цель обработки персональных данных
  • Описание мер по обеспечению безопасности персональных данных
  • Дату начала обработки персональных данных
  • Срок или условие прекращения обработки персональных данных
  • Сведения о наличии или отсутствии трансграничной передачи персональных данных
  • Иные сведения, предусмотренные законодательством

"При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 3.1)

Дополнительные требования compliance

Согласие на обработку персональных данных

"Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 1, пункт 1)

Меры по обеспечению безопасности

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1)

Выводы и рекомендации

  1. Уведомление Роскомнадзора обязательно - ваша деятельность подпадает под общее правило, требующее уведомления до начала обработки персональных данных.

  2. Подача уведомления должна осуществляться до начала обработки данных по форме, утвержденной Приказом Роскомнадзора от 28.10.2022 N 180.

  3. Ответственность за неуведомление - административный штраф для юридических лиц от 100 000 до 300 000 рублей.

  4. Дополнительные меры compliance:

    • Получите согласие пользователей на обработку их персональных данных
    • Разработайте и опубликуйте политику конфиденциальности
    • Реализуйте необходимые технические и организационные меры защиты персональных данных
    • Назначьте ответственного за организацию обработки персональных данных
  5. Рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных, для подготовки полного пакета документов и обеспечения соответствия всем требованиям законодательства.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение