152‑ФЗ · Руководство
Яндекс ID, VK ID и Сбер ID: OAuth и 152‑ФЗ
Замена Google на VK ID не снимает обязанностей оператора. Яндекс, VK и Сбер передают идентификаторы и профиль — это обработка ПДн, которую нужно описать в документах.
Что передаёт OAuth
ID, email, телефон, имя, аватар — в объёме scope приложения. Лишние права = лишний сбор.
- Настройки в консоли Яндекс/VK/Сбер
- Минимальный scope
- Данные после входа в CRM
Документы
Провайдеры OAuth поименно в политике. Правовое основание. Цепочка после авторизации.
Типичные ловушки
Google убрали из кода — в политике остался. Три кнопки входа — одна строка «соцсети». Профиль уходит в маркетинг без описания.
Что входит в автоматическую проверку
- Все активные OAuth-провайдеры перечислены в политике
- Scope приложения минимально необходимый
- Политика обновлена после смены провайдера
- Цепочка OAuth → CRM описана в документах
- Пользователь информирован до или сразу после входа
Частые вопросы
Российский OAuth не требует документов?+
Требует: провайдер обрабатывает ПДн, оператор обязан информировать субъекта и описать передачу.
Нужно ли согласие отдельно от кнопки «Войти через VK»?+
Нужно информирование и правовое основание; условия обычно принимаются при входе — важно, чтобы политика была доступна.
Что проверить в консоли разработчика?+
Список запрашиваемых scope, redirect URI, куда уходят данные после токена.
Читайте также