Суть 152-ФЗ и позиция регулятора при проверках в том, чтобы обработка персональных данных соответствовала целям, ради которых эта ПДн были переданы пользователем.
С точки зрения 152-ФЗ, пользователь дал согласие на обработку своих ПДн для предоставления ему услуг по работе с социальной сетью при регистрации и согласии с Пользовательским соглашением.
Вам он согласия на обработку ПДн не давал.
Для того чтобы вам на законных основаниях обрабатывать ПДн есть ограниченный перечень условий обработки описанный в статье 6 152-ФЗ.:
1. согласие субъекта
2. выполнение международных договоров
3. в целях правосудие
4. исполнение полномочий федеральных органов
5. выполнение договора с субъектом
6. защита жизни субъекта
7. законные интересы оператора
8. профессиональная деятельность СМИ и т.д.
9. статистические исследования
10. обработка общедоступных данных
11. обработка данных подлежащих обязательному опубликованию
Здесь некоторые ошибочно считают, что пользователь зарегистрировавшись в социальной сети сделал свои данные общедоступные. Но это не так.
Во-первых, как делаются данные общедоступными описано в статье 8 152-ФЗ:
В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Вконтакте не берет письменного согласия пользователей, и указывает в целях сбора и обработки ПДн, не организацию общедоступности, а предоставлению пользователю услуг соцсети.
Таким образом у вас нет законных оснований обрабатывать
персональные данные полученные из соцсети.
Персональные я выделил специально, так как если вы будете это у себя в проекте использовать только логин пользователя, то можно будет обосновать, что это не персональные данные, а обезличенные и по ним
невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных