152‑ФЗ · Руководство

Яндекс ID, VK ID и Сбер ID: OAuth и 152‑ФЗ

Замена Google на VK ID не снимает обязанностей оператора. Яндекс, VK и Сбер передают идентификаторы и профиль — это обработка ПДн, которую нужно описать в документах.

Что передаёт OAuth

ID, email, телефон, имя, аватар — в объёме scope приложения. Лишние права = лишний сбор.

  • Настройки в консоли Яндекс/VK/Сбер
  • Минимальный scope
  • Данные после входа в CRM

Документы

Провайдеры OAuth поименно в политике. Правовое основание. Цепочка после авторизации.

Типичные ловушки

Google убрали из кода — в политике остался. Три кнопки входа — одна строка «соцсети». Профиль уходит в маркетинг без описания.

Что входит в автоматическую проверку

  • Все активные OAuth-провайдеры перечислены в политике
  • Scope приложения минимально необходимый
  • Политика обновлена после смены провайдера
  • Цепочка OAuth → CRM описана в документах
  • Пользователь информирован до или сразу после входа

Частые вопросы

Российский OAuth не требует документов?+

Требует: провайдер обрабатывает ПДн, оператор обязан информировать субъекта и описать передачу.

Нужно ли согласие отдельно от кнопки «Войти через VK»?+

Нужно информирование и правовое основание; условия обычно принимаются при входе — важно, чтобы политика была доступна.

Что проверить в консоли разработчика?+

Список запрашиваемых scope, redirect URI, куда уходят данные после токена.

Читайте также