Все это — онлайн, с заботой о вас и по отличным ценам.
Использование с согласия пользователя его персональных данных (логин-пароль) на стороннем веб сайте
Добрый всем вечер. В течение длительного времени не могу найти специалиста, который ответит на мой вопрос.
Внимание, нужен юрист, обладающий статусом адвоката (так как вопрос подпадает под категорию возможного правонарушения), а также разбирающийся в IT сфере.
Существует некий официальный государственный сайт (далее ГС) для прохождения аккредитации определенной профессии. Есть возможность помогать людям с помощью веб-ресурса моей разработки (далее ВР) проходить данную процедуру. Прошу обратить внимание, никаких действий от имени пользователя программа делать не будет. Только получать определенную информацию через авторизацию. Для этого необходимо получать логин и пароль пользователей от ГС. Естественно, с согласия пользователей ВР (в дальнейшем необходимо будет разработать условия пользования ВР).
Вопросы:
1) Легальность мероприятия для меня как разработчика и владельца ВР. Подпадает ли это под административную или уголовную ответственность.
2) Если это легально, то можно ли хранить логин и пароль пользователя ГС в своей базе данных
3) Если нельзя хранить логин и пароль пользователя ГС, можно ли хранить токен авторизации пользователя ГС.
Готов на более подробные консультации, если необходимо, а также на дальнейшее сотрудничество.
Спасибо!
Здравствуйте
1) Легальность мероприятия для меня как разработчика и владельца ВР. Подпадает ли это под административную или уголовную ответственность.Сергей
само по себе — нет
вы же не взламываете никого, не занимаетесь подменой документов или паролей.
Тут весь вопрос в использовании логика и пароля + обработки персональных данных.
Вы тут как посредник по сути работаете.
2) Если это легально, то можно ли хранить логин и пароль пользователя ГС в своей базе данныхСергей
а вот это главная проблема и зависит это не от вас, а от использования той гос системы и ее правил.
Например все правила банкой онлайн- запрещают кому либо передавать пароль или логик- и если что то случиться от такой передачи самим пользователем- банк ответственности нести не будет.
Аналогичное указано и на гос услугах.
https://www.gosuslugi.ru/help/...При этом необходимо помнить, что безопасность определяется не только уровнем защиты портала, но и уровнем защиты рабочего места, с которого осуществляется доступ. В частности, для безопасной работы с порталом госуслуг пользователь должен следовать следующим рекомендациям:
Использовать на рабочем месте исключительно лицензионное программное обеспечение;
Устанавливать все необходимые обновления безопасности, рекомендуемые производителем программного обеспечения;
Устанавливать и регулярно обновлять лицензионное антивирусное программное обеспечение, регулярно проводить проверку на отсутствие вирусов;
Не загружать программ и данных из непроверенных источников, не посещать сайты сомнительного содержания;
Не заходить в личный кабинет портала госуслуг со случайных компьютеров, интернет-кафе либо иных недоверенных рабочих мест;Не передавать кому-либо токены для авторизации на портале, либо информацию для входа в личный кабинет, следить за сохранностью средств доступа.
поэтому ваша работа может в принципе нарушать их правила. а значит законной она не будет в любом случае.
3) Если нельзя хранить логин и пароль пользователя ГС, можно ли хранить токен авторизации пользователя ГС.Сергей
аналогично выше
если правила это нарушать не будет ( хотя я лично сильно сомневаюсь), то тут надо делать договор с этими людьми на ваши услуги, брать письменное согласие на обработку персональных данных и делать политику обработки перс. данных.
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Федеральный закон от 27.07.2006 N 152-ФЗ
«О персональных данных»