Каждый чат-бот, который спрашивает у клиента имя, номер телефона или email, работает с персональными данными. А значит, подпадает под действие Федерального закона No 152-ФЗ «О персональных данных». Штрафы за нарушения выросли в 2025 году: для юридических лиц — от 100 000 до 18 000 000₽, а для повторных нарушений — до 500 000 000₽ или 3% от выручки.
При этом соблюдать закон не так сложно, как кажется. Достаточно выполнить несколько обязательных шагов при разработке бота — и вы будете защищены. В этой статье мы разберём, какие данные считаются персональными, как правильно получать согласие, где и как хранить данные, и что делать в случае утечки.
Мы не юристы, и эта статья не заменяет юридическую консультацию. Но мы разрабатываем ботов, которые работают с данными клиентов, и знаем практическую сторону вопроса.
Какие данные собирает чат-бот и что из них «персональные»
Персональные данные — это любая информация, относящаяся к определённому лицу. ФИО, номер телефона, email, дата рождения, адрес — очевидно. Но персональными данными являются также: Telegram username и user ID, история обращений, записи на услуги, предпочтения клиента. Даже связка «имя + телефон» — это персональные данные.
Что не является персональными данными в контексте бота: анонимная статистика использования (сколько раз нажали кнопку), обезличенные данные (без привязки к конкретному человеку), публично доступная информация из профиля Telegram (если пользователь сам открыл её для всех).
Практический момент: Telegram user ID — это персональные данные, потому что по нему можно идентифицировать конкретного человека. Это значит, что даже самый простой бот, который просто логирует user ID обращений, уже обрабатывает персональные данные.
Как правильно получать согласие
Согласие должно быть явным, информированным и добровольным. На практике это означает: перед тем как бот начнёт собирать данные, он должен показать пользователю информацию о том, какие данные собираются, зачем, как обрабатываются и кто является оператором. Пользователь должен нажать кнопку «Согласен» — молчание или продолжение диалога не считается согласием.
Формулировка согласия должна содержать: наименование оператора (ваша компания), цель обработки (запись на услуги, отправка уведомлений), перечень данных (имя, телефон, Telegram ID), срок хранения, права субъекта (отзыв согласия, удаление данных). Ссылка на полную политику конфиденциальности — обязательна.
Лучшая практика — двухэтапное согласие. При первом запуске бота пользователь видит краткое описание и кнопку «Принимаю». При сборе чувствительных данных (телефон, email) — дополнительное подтверждение. Бот должен предоставлять команду для отзыва согласия и удаления данных (например, /delete_my_data).
Хранение и защита данных
Данные должны храниться на серверах в России — это требование 152-ФЗ. Если ваш бот работает на сервере в Европе или США — вы нарушаете закон. Используйте российские хостинги (Yandex Cloud, VK Cloud, Selectel, VDS.sh) или собственные серверы в России. Убедитесь, что бэкапы тоже хранятся на территории РФ.
Минимизация данных — собирайте только то, что действительно нужно для работы бота. Если для записи достаточно имени и телефона — не спрашивайте дату рождения, адрес и паспортные данные. Чем меньше данных вы храните, тем меньше рисков при утечке и проще соответствовать закону.
Техническая защита: шифрование данных при хранении (PostgreSQL с шифрованием, зашифрованные бэкапы), защищённое соединение (SSL/TLS), разграничение доступа (к базе данных имеют доступ только необходимые сервисы), логирование доступа, регулярное обновление ПО. Для малого бизнеса достаточно базовых мер — главное, чтобы они были.
Уведомление Роскомнадзора и действия при утечке
Уведомление Роскомнадзора — обязательный шаг для операторов персональных данных. Вы должны подать уведомление до начала обработки данных. Это бесплатно и делается через портал pd.rkn.gov.ru. В уведомлении указывается: какие данные обрабатываете, на каком основании, кому передаёте, как защищаете. Несложно, но обязательно.
Что делать при утечке данных. С 2025 года действует обязанность уведомить Роскомнадзор об утечке в течение 24 часов и предоставить результаты расследования в течение 72 часов. Практические шаги: немедленно устранить уязвимость, зафиксировать объём утечки, уведомить РКН, уведомить пострадавших пользователей. Наличие плана реагирования — обязательно.
Отзыв согласия: пользователь имеет право в любой момент отозвать согласие и потребовать удаления своих данных. Бот должен предоставить эту возможность — например, команда /delete или кнопка «Удалить мои данные». После отзыва согласия вы обязаны прекратить обработку и удалить данные в течение 30 дней (или ранее, если это не противоречит другим законам).
Заключение
Соблюдение 152-ФЗ при работе с чат-ботом — это не бюрократический кошмар, а набор понятных шагов: получите явное согласие, храните данные в России, защитите техническими мерами, уведомите Роскомнадзор. Эти меры интегрируются в процесс разработки бота и не увеличивают стоимость существенно.
Мы разрабатываем ботов с учётом требований 152-ФЗ «из коробки»: согласие, политика конфиденциальности, хранение в России, удаление данных по запросу. Оставьте заявку на бесплатную консультацию — мы расскажем, как ваш бот будет соответствовать закону без компромиссов в удобстве.
Читайте также
Решения для отраслей
Готовы автоматизировать бизнес?
Заполните короткий опрос — получите персональный разбор и примеры ботов для вашей задачи
Оставить заявку