Как оформить передачу персональных данных при авторизации на сайте через Госуслуги?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Авторизация пользователей через портал Госуслуг (ЕСИА) означает, что ваша организация получает от системы подтверждённые данные гражданина. Это полноценная обработка ПДн, которая требует соблюдения требований ФЗ-152 и правильного оформления передачи данных.

Что необходимо учитывать при работе с ЕСИА

1. Передача ПДн осуществляется через интеграцию с государственной информационной системой (ЕСИА), что само по себе является законным основанием.
2. В момент входа пользователь соглашается на передачу своих данных стороннему оператору (вашей организации). Это согласие фиксируется технически в ЕСИА.
3. Ваша организация обязана:
   • уведомить пользователя о целях обработки его данных;
   • включить в политику обработки ПДн отдельный раздел про авторизацию через ЕСИА;
   • обеспечить защиту получаемых данных и ограничить доступ к ним.

Обоснование по законодательству

• Ст. 6 ФЗ-152 — обработка допустима с согласия субъекта или при наличии законного основания. Авторизация через ЕСИА — это именно согласие.
• Ст. 18.1 ФЗ-152 — оператор обязан публиковать сведения о политике обработки ПДн, включая источники получения данных.
• Постановление Правительства РФ № 977 от 28.11.2011 — устанавливает правила использования ЕСИА для идентификации пользователей.
• Федеральный закон № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» — закрепляет порядок передачи данных через ЕСИА.

Практика применения и требования Роскомнадзора

Роскомнадзор при проверках сайтов с авторизацией через Госуслуги проверяет, указана ли эта интеграция в политике по ПДн и фиксируется ли факт согласия пользователя в ЕСИА. Важно, чтобы оператор дополнительно не собирал лишние данные, которые не нужны для целей авторизации. Также рекомендуется вести журнал входов через ЕСИА с датой, временем и перечнем полученных атрибутов.

Что важно предусмотреть

• Политика ПДн должна прямо содержать упоминание о том, что авторизация возможна через ЕСИА.
• В договоре с пользователем (оферте или пользовательском соглашении) желательно закрепить, что доступ к сервисам возможен через Госуслуги, а данные используются строго в заявленных целях.
• Должен быть регламент хранения и удаления данных, полученных от ЕСИА.

Вывод

Передача персональных данных через авторизацию Госуслуг законна, но оператор обязан оформить её документально: отразить в политике ПДн, уведомить субъектов о целях обработки и обеспечить защиту данных.

Компания ICTech поможет вашей организации корректно оформить документы для работы с ЕСИА, включить соответствующие положения в политику ПДн и подготовить регламенты хранения, чтобы пройти проверку Роскомнадзора без рисков.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге