ФЗ-152 и OAuth-авторизация: чек-лист для разработчика

Федеральный закон №152-ФЗ «О персональных данных» — главный закон, регулирующий обработку ПД в России. Если ваш сайт использует OAuth-авторизацию, вы обрабатываете персональные данные. Разбираемся, что это значит на практике.

Что считается персональными данными при OAuth?

При OAuth-авторизации через VK, Google, Telegram и другие провайдеры вы получаете от пользователя:

• Email — персональные данные (однозначно)

• Имя и фамилия — персональные данные

• Номер телефона — персональные данные

• Фото профиля (аватар) — может быть отнесено к ПД, если позволяет идентифицировать человека

• ID пользователя у провайдера — косвенные ПД (в совокупности с другими данными позволяют идентифицировать)

• IP-адрес — персональные данные (позиция Роскомнадзора)

Чек-лист ФЗ-152 для OAuth

Как Синапсия помогает с ФЗ-152

Серверы в РФ: все данные хранятся на VPS в России.

Шифрование: AES-256-GCM для всех секретов, SHA-256 для ключей и сессий.

Cookie-баннер: встроен в сайт с согласием/отклонением.

Правовые документы: политика конфиденциальности, условия использования и публичная оферта — готовые шаблоны.

Audit log: полный журнал действий пользователей — sign_in, sign_out, consent_given и т.д.

Штрафы за нарушение

С 2025 года штрафы за нарушение ФЗ-152 значительно выросли:

• Обработка ПД без согласия: от 300 000 до 700 000 ₽ (для юрлиц)

• Хранение ПД за пределами РФ: от 1 000 000 до 6 000 000 ₽

• Утечка данных: оборотные штрафы до 3% от годовой выручки