Обработка персональных данных при регистрации через OAuth и уведомление Роскомнадзора
Анализ ситуации
Вы планируете обрабатывать персональные данные пользователей (логины, уникальные идентификаторы, адреса электронной почты и иные данные профилей), полученные через систему OAuth игровой платформы. Данная обработка осуществляется для целей аутентификации и улучшения пользовательского опыта.
Согласно предоставленному контексту, обработка персональных данных регулируется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
Применимые нормы законодательства
1. Обязанность уведомления Роскомнадзора
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 1)
Исключения из обязанности уведомления, предусмотренные частью 2 статьи 22, не включают обработку данных через OAuth-интеграцию для целей аутентификации и улучшения пользовательского опыта.
2. Ответственность за неуведомление
"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11, часть 10)
3. Требования к содержанию уведомления
Уведомление должно содержать следующие сведения:
- Наименование и адрес оператора
- Цель обработки персональных данных
- Описание мер по обеспечению безопасности персональных данных
- Дату начала обработки персональных данных
- Срок или условие прекращения обработки персональных данных
- Сведения о наличии или отсутствии трансграничной передачи персональных данных
- Иные сведения, предусмотренные законодательством
"При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 3.1)
Дополнительные требования compliance
Согласие на обработку персональных данных
"Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 1, пункт 1)
Меры по обеспечению безопасности
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1)
Выводы и рекомендации
-
Уведомление Роскомнадзора обязательно - ваша деятельность подпадает под общее правило, требующее уведомления до начала обработки персональных данных.
-
Подача уведомления должна осуществляться до начала обработки данных по форме, утвержденной Приказом Роскомнадзора от 28.10.2022 N 180.
-
Ответственность за неуведомление - административный штраф для юридических лиц от 100 000 до 300 000 рублей.
-
Дополнительные меры compliance:
- Получите согласие пользователей на обработку их персональных данных
- Разработайте и опубликуйте политику конфиденциальности
- Реализуйте необходимые технические и организационные меры защиты персональных данных
- Назначьте ответственного за организацию обработки персональных данных
-
Рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных, для подготовки полного пакета документов и обеспечения соответствия всем требованиям законодательства.