Могу ли я развернуть приложение в Azure если при регистрации требуется указать Имя, Фамилию и Email?

Question

[Pamir]

Добрый вечер. Мы разрабатываем веб приложение, для работы в котором необходимо заполнить 3 поля:
Имя, Фамилия, адрес электронной почты.

Вопрос:
1. Надо ли запрашивать разрешение на обработку ПДн, если Фамилия и Имя будут показаны другим пользователям, Имейл будет использован только для авторизации пользователя?
2. Могут ли эти данные храниться в Azure?

Спасибо!

Comments

[Ярослав Иванов]

Это что, шутка ?

[Pamir]

Ярослав Иванов: почему?

[Рюрик Ростиславич]

Конечно являются
Вы рофлите?

[Pamir]

Рюрик Ростиславич:
Имя и Фамилия не являются Пдн. т.к. не позволяют 100% идентифицировать человека.
Email отдельно тоже не является Пдн.

Вопрос является ли их связка персональными данными или нет

[Saboteur]

Pamir: Они все являются персональными данными.
Вы некорректно пользуетесь терминологией. Персональные данные бывают разные и требуют разного отношения.
Например, возможность 100% идентифицировать по ним человека просто дополнительно накладывает на вас определенные обязательства.

[Pamir]

Saboteur: Да, вы правы, я переформулирую вопрос. Спасибо.

Answer 1

[Saboteur]

Конечно являются.

Но вам следует уточнять не это, а то, что с ними делать, потому что разные комбинации персональных данных требуют разного отношения, вплоть до требования храниить их в пределах РФ.

Например, если к имени/фамилии/емайлу добавить еще и номер телефона , и не опубликована политика компании в отношении обработки персональных данных (а именно, не была установлена процедура согласия пользователя с тем, что его данные собираются и обрабатываются) - штраф.

Вам лучше проконсультироваться с юристом, либо почитать первоисточники, или уточнить у роскомнадзора.

Comments

[Pamir]

Да, я прошу прощения, я неверно сформулировал вопрос. Спасибо

Answer 2

[Ivan Bogachev]

UPD: Начали сыпаться комментарии, что я шучу и троллю.

Таки да. Ви шутите. ФЗ-152, статья 3 пункт 1:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Мое имя, фамилия и почта определенно прямо или косвенно ко мне относятся.

Как верно заметил Saboteur - вопрос только в том, что вам с ними делать, а с этим вопросом лучше проконсультироваться у юриста.

Comments

[Pamir]

Да, я прошу прощения, я неверно сформулировал вопрос. Спасибо

Answer 3

[Nwton]

Есть Privacy policy в котором сказано:
Мы не собираем, не обрабатываем, и никаким другим образом не используем персональные данные пользователей (email и Фио) если только вы не отправляете письмо на наш email (в этом случае он хранится на нашем сервере). Мы не осуществляем продажу и не предоставляем в пользование каким-либо третьим лицам любые полученные от вас персональные данные, а также не будем приобретать или иным образом получать персональные данные от любых третьих лиц.
Мы не передаем ваши персональные данные (имя и электронный адрес) другим компаниям и бизнес партнерам. Эти данные хранятся в Microsoft Azure, где мы храним все наши данные. Мы намеренно не собираем и не храним персональную информацию от лиц младше 13 лет. Если пользователю меньше 13 лет, мы не рекомендуем регистрироваться в нашем приложении и отправлять нам личные сведения. Если нам станет известно о регистрации пользователя младше 13 лет, мы незамедлительно удалим всю информацию о нем.

1) Вы собираете данные. Уже ложь в первом предложении
2) "Не передаем данные третьим лицам" содержит в себе абсолютно любых третьих лиц и нет смысла 10 раз повторять, что вы не продаете, не передаете, ни бизнес партнерам, ни кому либо
3) Откуда 13 лет? В праве существуют след. группы: 0-6, 6-14, 14-18

Советую:
1) погуглить "как составить пользовательское соглашение" и прочитать несколько инструкций
2) погуглить "пользовательское соглашение" и прочитать несколько соглашений с других проектов

Comments

[Pamir]

Мы работали с зарубежной публикой, это была адаптированная версия зарубежного privacy policy.
Спасибо за указание на ошибки.

Answer 4

[Евгений]

Если смотреть по закону:
1. Вы обрабатываете ПДн.

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2. Хранение в понятиях 152-ФЗ это тоже обработка:

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

3. Исходя из того, что хранение это обработка, вы передаете ПДн третьим лицам(Azure).

"3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона."

4. Но так как:

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Azure вам использовать нельзя.
Иначе вашему сервису грозит блокировка на территории РФ.
Это если по закону.
Если по текущей ситуации, то как минимум обязательно опубликуйте политику в отношении обработки ПДн, сделайте галочку, что данные обрабатываются с согласия . Риск, что вас за Azure, да и обработку только "Имя, Фамилию и Email" прищучат минимальный.

PS
C 1 июля повышаются штрафы за нарушение 152-ФЗ. В частности отсутсвие Политики на сайте теперь до 30к. (см. новую редакцию статьи 13.11 КоАП)