Право и compliance 9 мин чтения

152-ФЗ для чат-ботов и мессенджеров: как собирать заявки и не нарушить закон

Если бот собирает имя и телефон — это персональные данные, и 152-ФЗ работает так же, как для сайта. Разбираю, как получить согласие в боте, где хранить данные и как сделать бота по закону.

152-ФЗчат-ботымессенджерыправо

Коротко (TL;DR)

  • Если бот собирает имя, телефон, адрес или заказы, это обработка персональных данных, и 152-ФЗ распространяется на него так же, как на сайт.
  • Перед отправкой заявки нужно получить согласие на обработку персональных данных и дать ссылку на политику обработки — «просто собирать» контакты нельзя.
  • Данные из бота должны храниться в России: на вашем сервере или в российском облаке, а не у зарубежного конструктора ботов.
  • Частые ошибки — сбор без согласия, избыточные данные, открытый доступ к базе заявок и отсутствие удаления данных по запросу.
  • Я делаю ботов для Telegram и MAX с учётом 152-ФЗ: согласие, хранение в РФ и безопасность по умолчанию.

Чат-бот в Telegram или MAX давно стал нормальным каналом для заявок: человек пишет боту, оставляет телефон, выбирает услугу, оформляет заказ. Удобно и бизнесу, и клиенту. Но за этим удобством легко забыть простую вещь: как только бот собирает контакты и заявки, он начинает обрабатывать персональные данные, а значит, попадает под 152-ФЗ. Многие владельцы ботов про это просто не думают — кажется, что закон про сайты и большие базы, а «маленький бот» не считается. Это опасное заблуждение. Ниже я разберу простыми словами, когда боту нужен 152-ФЗ, как правильно получать согласие, где хранить данные и каких ошибок избегать. Сразу важная оговорка: я не юрист, и это не юридическая консультация. Я описываю общие принципы. Конкретные формулировки и требования обязательно сверяйте с актуальной редакцией 152-ФЗ, разъяснениями регулятора (Роскомнадзора) и вашим юристом.

Коротко: да, чат-бот в Telegram или MAX подпадает под 152-ФЗ, если собирает имя, телефон, адрес или заявки, — канал значения не имеет. Перед сбором данных нужно получать согласие на обработку и давать ссылку на политику, хранить данные в России под вашим контролем, ограничивать доступ к базе и обеспечивать удаление данных по запросу. Точные требования уточняйте у юриста.

Почему боту тоже нужен 152-ФЗ

152-ФЗ — это закон о персональных данных. Он регулирует не место, где собираются данные (сайт, бумажная анкета, бот), а сам факт обработки информации о человеке. Поэтому канал значения не имеет: если вы через бота узнаёте, кто этот человек и как с ним связаться, вы обрабатываете его персональные данные, и закон работает ровно так же, как для сайта или CRM.

Логика простая. Как только бот получает имя, телефон, адрес, email, данные о заказах или иную информацию, по которой человека можно определить, начинается обработка персональных данных. Сбор, хранение, использование, передача — всё это виды обработки в смысле закона. И не важно, что технически это сообщения в мессенджере, а не форма на сайте: для закона это одно и то же.

Почему про это забывают. Бот ощущается как «переписка», а не как «база данных». Человек сам написал, сам оставил телефон — кажется, что особых обязательств не возникает. Но с точки зрения закона вы как владелец бизнеса становитесь оператором персональных данных и отвечаете за то, как эти данные собираются, хранятся и защищаются. То, что посредником выступает мессенджер, ответственности с вас не снимает.

Ещё одно частое заблуждение — что под закон попадают только большие компании. На практике размер бизнеса значения не имеет: и крупная фирма, и частный специалист, собирающий заявки через бота, обрабатывают персональные данные. Поэтому правильнее с самого начала строить бота так, будто требования к вам предъявляются по полной, а не надеяться, что «нас это не касается».

Какие данные собирает бот

Чтобы понять, что регулируется законом, полезно разложить по полочкам, что вообще проходит через бота. Обычно это такой набор:

  • Контакты. Имя, телефон, email, иногда адрес или город. Это классические персональные данные — по ним человека можно определить и с ним связаться.
  • Заявки и заказы. Что человек заказал, на какую сумму, на какую дату, какие услуги выбрал. В связке с контактами это тоже персональные данные, относящиеся к конкретному человеку.
  • Оплаты. Факт и детали оплаты, история покупок. Сами платёжные операции обычно проходят через платёжные сервисы, но информация о том, кто и что оплатил, остаётся данными о человеке.
  • Переписка. Текст сообщений, ответы на вопросы бота, вложения. Если в переписке всплывают сведения о человеке, это тоже часть обрабатываемых данных.
  • Идентификаторы в мессенджере. Внутренний ID пользователя, username, иногда имя профиля. Сами по себе они технические, но в связке с заявкой позволяют связать действия с конкретным человеком, поэтому к ним стоит относиться как к персональным данным.

Что из этого считается персональными данными. Проще держать в голове такой ориентир: если по собранной информации можно прямо или косвенно определить конкретного человека, это персональные данные. Имя с телефоном — однозначно да. Один лишь обезличенный счётчик «кто-то нажал кнопку» — нет. Но как только технический идентификатор связывается с заявкой и контактами, вся эта связка становится персональными данными, и обращаться с ней нужно по правилам.

Отдельно стоит насторожиться, если бот вдруг начинает собирать чувствительные сведения — например, о здоровье, в медицинских или похожих нишах. К таким категориям данных закон относится строже, и здесь без консультации с юристом точно не обойтись. Общий принцип на этом этапе один: честно перечислите, что именно собирает ваш бот, и уже от этого списка стройте всё остальное.

Согласие и политика в боте

Ключевой принцип 152-ФЗ: нельзя обрабатывать персональные данные просто потому, что человек их прислал. Нужно правовое основание, и для заявок через бота обычно это согласие человека на обработку его данных. То есть человек должен осознанно согласиться, что вы собираете и используете его контакты для понятной ему цели.

Как это реализуется в боте на практике. Самый рабочий подход — попросить согласие на шаге, когда человек собирается отправить заявку или оставить контакты. Это может быть отдельная кнопка «Согласен на обработку персональных данных» или галочка-подтверждение перед отправкой формы. Рядом обязательно должна быть ссылка на политику обработки персональных данных, чтобы человек мог прочитать, на что соглашается. Важно, чтобы согласие было до сбора данных, а не постфактум, и чтобы человек реально мог с ним ознакомиться, а не нажимал вслепую.

Что обычно должно быть в политике обработки. В самом общем виде документ объясняет: кто оператор (кто собирает данные и отвечает за них), какие данные собираются, с какой целью, как они используются и хранятся, кому могут передаваться, как долго хранятся и как человек может отозвать согласие или попросить удалить свои данные. Конкретный состав и формулировки должны соответствовать актуальным требованиям закона — это та часть, где формулировки лучше готовить или проверять с юристом, а не копировать у соседа.

Почему «просто собирать» нельзя. Если бот принимает контакты и заявки без согласия и без политики, формально это обработка персональных данных без должного основания и без информирования человека. Даже если намерения у вас добрые и данные нужны только чтобы перезвонить, отсутствие согласия и политики — это нарушение требований к обработке. Поэтому шаг с согласием — не формальность «для галочки», а базовое условие, при котором бот вообще имеет право собирать заявки.

Отдельно отмечу: согласие должно быть конкретным. Нельзя один раз «на всё» собрать данные, а потом использовать их для совершенно других целей — например, человек оставил телефон для записи на услугу, а вы начали слать ему рекламные рассылки. Для рассылок обычно нужно отдельное основание и отдельное согласие. Если планируете использовать контакты ещё и для маркетинга, это стоит сразу заложить в логику бота и в текст согласия, согласовав формулировки с юристом.

Где хранить данные из бота

Когда человек оставил заявку, его данные не исчезают в воздухе — они где-то оказываются. И вот здесь у ботов есть особенность, о которой мало кто задумывается: данные могут разойтись сразу по нескольким местам.

  • Сам мессенджер. Сообщения проходят через платформу (Telegram, MAX, VK). Это инфраструктура, которой вы не управляете, и её условия — отдельный вопрос. На уровне закона важнее то, куда вы сами складываете заявки дальше.
  • Ваш сервер или CRM. Обычно бот передаёт заявки в вашу базу, таблицу или CRM-систему. Это и есть основное хранилище, за которое вы как оператор отвечаете напрямую.
  • Сторонние конструкторы ботов. Многие боты собираются на готовых платформах-конструкторах, и часть из них размещает данные на зарубежных серверах. Вот это — зона риска по требованиям к локализации персональных данных.

Принцип локализации. 152-ФЗ предъявляет требования к тому, чтобы персональные данные россиян хранились в базах, расположенных на территории России. Если ваш бот и его база заявок физически находятся за рубежом — например, на зарубежном конструкторе или иностранном хостинге, — это создаёт прямой риск несоответствия требованиям закона. У меня про локализацию данных есть отдельный разбор, и здесь повторю главное: размещение данных в РФ — не «приятная опция», а требование, которое лучше выполнять с самого начала.

Что делать на практике. Безопасный вариант — хранить заявки на своём сервере или в российском облаке, у российского хостинг-провайдера, под вашим контролем. Если используете CRM или сервис, проверяйте, где он физически держит данные. С зарубежными конструкторами ботов нужно быть особенно осторожным: они удобны для быстрого старта, но вы не всегда контролируете, где и как лежат собранные контакты, и это может стать проблемой именно с точки зрения локализации. Когда я делаю бота, я сразу проектирую хранение так, чтобы заявки оседали в России и под вашим контролем, а не «где-то на чужой платформе».

Как сделать бота по закону

Собрать всё вместе помогает простой чек-лист. Это не юридический документ, а практический ориентир, по которому удобно проверять бота. Конкретику всё равно сверяйте с актуальным законом и юристом, но направление такое:

  • Согласие и политика. Перед сбором контактов бот получает согласие на обработку персональных данных и даёт ссылку на политику обработки. Человек видит, на что соглашается, до того как отправит данные.
  • Хранение в РФ. Заявки складываются на сервер или в облако, расположенное в России, под вашим контролем. Зарубежные конструкторы и хостинги — с осторожностью и проверкой, где лежат данные.
  • Разграничение доступа. К базе заявок имеют доступ только те, кому это нужно по работе, по паролям и с понятными правами. Не «ссылка на таблицу, которую знают все».
  • Минимизация данных. Бот спрашивает только то, что реально нужно для задачи. Чем меньше лишних данных вы собираете, тем меньше рисков и ответственности.
  • Безопасность. Защищённое соединение, ограниченный и защищённый доступ к серверу и базе, резервные копии. Цель — чтобы данные не утекли и не потерялись.
  • Удаление по запросу. Должен быть понятный способ удалить данные человека и дать ему отозвать согласие. Это право человека, и его нужно технически и организационно обеспечить.

Роль разработчика. Часть пунктов из этого списка — про технику: как устроено хранение, доступ, безопасность, как реализованы шаги согласия и удаления. Это зона ответственности того, кто делает бота. Но юридическая часть — тексты согласия и политики, оценка, какие основания нужны под ваши цели, — это к юристу. Хороший результат получается на стыке: разработчик технически закрывает требования, юрист проверяет формулировки и основания. Я отвечаю за техническую сторону и честно говорю, где нужно подключить юриста, а не делаю вид, что «настроил бота и закон автоматически соблюдён».

Частые ошибки

Большинство проблем с ботами — это не злой умысел, а недосмотр. Вот самые типичные ошибки, которые я вижу:

  • Сбор без согласия и политики. Бот сразу просит телефон и имя, а про согласие и политику обработки никто не подумал. Самая распространённая и самая базовая ошибка.
  • Хранение данных за рубежом. Бот собран на зарубежном конструкторе или данные лежат на иностранном хостинге. Удобно для старта, но создаёт риск по требованиям к локализации.
  • Избыточные данные. Бот спрашивает лишнее «на всякий случай» — паспортные данные, дату рождения, адрес там, где это не нужно для услуги. Чем больше собрано, тем выше риск и ответственность.
  • Открытый доступ к базе заявок. Заявки падают в общую таблицу или чат, ссылку на которые знает половина команды и подрядчиков. Это прямая дорога к утечке.
  • Нет удаления данных. Человек хочет, чтобы его данные удалили или отозвать согласие, а механизма для этого нет. Заявки копятся годами без срока и без возможности их убрать.

Объединяет эти ошибки одно: бота запускают «чтобы быстрее собирать заявки», а вопросы согласия, хранения и безопасности откладывают на потом. На практике «потом» обычно не наступает, пока не возникнет проблема. Гораздо дешевле заложить правильную логику сразу при создании бота, чем переделывать всё под давлением жалобы или проверки.

Частые вопросы

Нужен ли 152-ФЗ боту в Telegram или MAX? Если бот собирает персональные данные — имя, телефон, заявки, — то да, требования закона распространяются на него так же, как на сайт. Канал (Telegram, MAX, VK) значения не имеет: важен сам факт обработки данных о человеке. Конкретные обязанности уточняйте с юристом, но исходить стоит из того, что закон применяется.

Как получить согласие на обработку данных в боте? Самый практичный способ — попросить подтверждение перед отправкой заявки: отдельная кнопка или галочка «Согласен на обработку персональных данных» и рядом ссылка на политику обработки. Главное — чтобы согласие было до сбора данных и человек реально мог ознакомиться с тем, на что соглашается. Формулировки лучше готовить с юристом.

Где хранить данные из бота? Безопасный вариант — на сервере или в российском облаке под вашим контролем, у российского провайдера. Это помогает выполнять требования к локализации персональных данных. Если используете CRM или сторонний сервис, проверяйте, где он физически держит данные.

Можно ли использовать зарубежный конструктор ботов? Технически — да, но это зона риска. Многие зарубежные конструкторы размещают данные на иностранных серверах, что противоречит требованиям к локализации. Если хотите спокойствия с точки зрения закона, лучше выбрать решение с хранением данных в России и под вашим контролем. Окончательную оценку рисков стоит делать с юристом.

Кто отвечает за 152-ФЗ — владелец бизнеса или разработчик? За соблюдение требований к обработке персональных данных отвечает оператор, то есть бизнес, который собирает и использует данные. Разработчик отвечает за техническую сторону — как реализованы согласие, хранение, доступ и безопасность. Это командная работа: бизнес определяет цели и подключает юриста, разработчик закрывает технику. Перекладывать всё на исполнителя бота не получится — ответственность оператора остаётся за владельцем.

С чего начать, если бот уже работает без всего этого? Сначала честно выпишите, какие данные бот собирает и где они хранятся. Затем добавьте шаг согласия и политику обработки, перенесите хранение в Россию под ваш контроль, ограничьте доступ к базе и предусмотрите удаление данных. Параллельно покажите формулировки согласия и политики юристу. Лучше навести порядок планомерно, чем тянуть до жалобы или проверки.

Коротко о главном

Чат-бот, который собирает имя, телефон, адрес и заявки, обрабатывает персональные данные — а значит, на него распространяется 152-ФЗ так же, как на сайт. Это не зависит от мессенджера и от размера бизнеса. Чтобы собирать заявки и не нарушать закон, нужно получать согласие на обработку данных и давать ссылку на политику обработки перед сбором контактов, хранить данные в России под вашим контролем, разграничивать доступ, не собирать лишнего, обеспечивать безопасность и удаление данных по запросу. Самые частые ошибки — сбор без согласия, хранение на зарубежных конструкторах, избыточные данные и открытая база заявок. Я делаю ботов для Telegram и MAX с учётом этих требований: согласие и политика на входе, хранение в РФ, разграниченный доступ и безопасность по умолчанию, — и подсказываю, где подключить юриста. Подробнее о согласии на обработку персональных данных и о локализации данных у меня есть отдельные разборы. И ещё раз важная оговорка: это не юридическая консультация — конкретные формулировки и обязанности обязательно сверяйте с актуальной редакцией 152-ФЗ, разъяснениями Роскомнадзора и вашим юристом.

Услуги по теме

Что я делаю под ключ

  • Чат-боты Telegram/MAX
  • Онлайн-запись и напоминания
  • Приём заявок и оплат
  • CRM и автоматизация процессов
  • Поддержка и сопровождение
Написать в Telegram

Бесплатно: чек-лист «Готов ли ваш бизнес к 152-ФЗ»

12 пунктов, которые проверяют готовность за час: данные, согласия, уведомление в РКН, локализация, защита. Отметьте, что уже сделано, и увидите дыры, за которые сейчас штрафуют.

Готовы обсудить вашу задачу?

Бесплатная консультация — разберём, как внедрить это в вашем бизнесе под ключ. Без форм, пишите напрямую.

Готовые решения под ключ 449 готовых IT-решений для бизнеса Автоматизация, боты, AI, 152-ФЗ и платформы · бесплатная консультация Смотреть каталог