Вопрос о необходимости уведомления Роскомнадзора при хранении данных пользователей с регистрацией через OpenID

<h2 id="openid">Регистрация через OpenID и уведомление Роскомнадзора</h2> <h3 id="_1">Анализ ситуации</h3> <p>Вы планируете реализовать на своем сайте регистрацию пользователей через OpenID от игровой платформы с сохранением в собственной СУБД данных аккаунтов (логины, идентификаторы и иная информация для аутентификации). Это означает, что вы будете осуществлять обработку определенных данных пользователей.</p> <h3 id="_2">Применимые правовые нормы</h3> <h4 id="_3">Являются ли логины и идентификаторы персональными данными?</h4> <p>Согласно законодательству РФ, персональные данные определяются как:</p> <blockquote> <p>"любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон "О персональных данных", статья 3)</p> </blockquote> <p>В КоАП РФ также дается определение идентификатора:</p> <blockquote> <p>"уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу" (Источник: КоАП РФ, статья 13.11, примечание 4)</p> </blockquote> <p>Таким образом, логины и идентификаторы, которые позволяют идентифицировать физическое лицо, являются персональными данными.</p> <h4 id="_4">Обязанность уведомления Роскомнадзора</h4> <blockquote> <p>"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон "О персональных данных", статья 22)</p> </blockquote> <h4 id="_5">Исключения из обязанности уведомления</h4> <p>Из представленного контекста следует, что исключениями являются:</p> <blockquote> <p>"обработка персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон "О персональных данных", статья 22)</p> </blockquote> <p>Поскольку вы планируете использовать СУБД для хранения данных, это означает автоматизированную обработку, и данное исключение на вас не распространяется.</p> <h3 id="_6">Выводы и рекомендации</h3> <h4 id="_7">Основные выводы:</h4> <ol> <li> <p><strong>Логины и идентификаторы являются персональными данными</strong>, поскольку позволяют идентифицировать физическое лицо.</p> </li> <li> <p><strong>Вы являетесь оператором персональных данных</strong>, так как организуете и осуществляете обработку персональных данных.</p> </li> <li> <p><strong>Уведомление Роскомнадзора обязательно</strong>, поскольку вы осуществляете автоматизированную обработку персональных данных, и никакие исключения из представленного контекста на вашу ситуацию не распространяются.</p> </li> </ol> <h4 id="_8">Рекомендации:</h4> <ol> <li> <p><strong>Подайте уведомление в Роскомнадзор</strong> до начала обработки персональных данных в соответствии со статьей 22 Федерального закона "О персональных данных".</p> </li> <li> <p><strong>Обеспечьте соблюдение требований</strong> к защите персональных данных, включая получение согласия субъектов на обработку их персональных данных.</p> </li> <li> <p><strong>Учтите риски ответственности</strong> - за невыполнение обязанности по уведомлению предусмотрена административная ответственность:</p> <blockquote> <p>"влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей" (Источник: КоАП РФ, статья 13.11, часть 10)</p> </blockquote> </li> <li> <p>Для полного понимания всех требований рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных, поскольку в представленном контексте могут отсутствовать некоторые детали регулирования.</p> </li> </ol> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>