Является ли использование иностранных мессенджеров в работе с клиентами трансграничной передачей данных?
Многие компании на постоянной основе общаются с клиентами через мессенджеры: принимают заявки, консультируют, отправляют уведомления, записывают на услуги. Любое взаимодействие с клиентом, которое подразумевает как минимум получение и/или хранение его данных (телефон, адрес e-mail и др.), считается обработкой персональных данных.
Можно ли считать подобную практику безопасной и соответствующей законодательству с учетом того, что большинство популярных мессенджеров таких как Telegram и WhatsApp*, имеют сервера за пределами России? По мнению ряда экспертов, это создает условия для возможной незаконной трансграничной передачи данных.
Официальная позиция Роскомнадзора по данной проблематике пока отсутствует, поэтому проведём самостоятельный разбор вопроса, опираясь на глубокий анализ действующих норм и разъяснений уполномоченных ведомств.
В 2023 году Роскомнадзор давал разъяснения (Ответ на запрос от 13.09.2023 № 08-80104) о том, что прием заявок от потенциальных клиентов и подписчиков посредством иностранных мессенджеров будет являться нарушением закона.
«Сбор персональных данных клиентов компании с использованием баз данных, находящихся за пределами РФ, будет являться нарушением требований законодательства РФ в области персональных данных.
Персональные данные клиентов, содержащиеся в сообщениях клиентов, направленных ими в адрес компании через иностранные мессенджеры, включенные в Перечень ч. 10 ст. 10 Федерального закона № 149-ФЗ (Telegram, WhatsApp*, Viber, Skype, Discord, Snapchat, Microsoft Teams, Threema, WeChat), не должны приниматься в обработку и должны быть уничтожены компанией».
01.06.2025г. вступил в силу Федеральный закон от 01.04.2025 №41-ФЗ «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации» (далее – Закон 41-ФЗ), положения которого устанавливают запрет на любые электронные коммуникации посредством Telegram, WhatsApp* и других иностранных мессенджеров (сюда входит рассылка рекламы, направление уведомлений в рамках договорных отношений и др.) с гражданами РФ.
Закон 41-ФЗ прямо указывает, что запрет распространяется только на стратегически важные организации и инфраструктуры, чья деятельность критична для государства, а именно:
• Государственные ведомства: Минюст, Минцифры, Минэкономразвития и др.
• Компании с госкапиталом: РЖД, Ростелеком, Аэрофлот и др.
• Банковский сектор: Сбер, Альфа-Банк, ВТБ и др.
• Страхование и ипотека: ВСК, Дом.РФ, РЕСО-Гарантия и др.
• Операторы платежной инфраструктуры: СПК «Мир», ЦБ РФ и др.
• Операторы связи: Теле2, МТС и др.
• Цифровые площадки: Яндекс Маркет, Ozon, HeadHunter и др.
• Социальные сети: ВКонтакте, Одноклассники и др.
Наличие согласия со стороны клиента или уведомление в РКН о трансграничной передаче данных не освобождает вышеперечисленных лиц от ответственности за нарушение установленного запрета.
Если компания входит в вышеуказанные категории, то использовать иностранные сервисы для коммуникации с клиентами теперь запрещено в принципе.
01.07.2025г. вступили в силу обновленные положения п. 5 ст.18 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 г. (далее – Закон 152-ФЗ), которые уже коснулись всех без исключения.
Так был введен запрет на определённые виды обработки персональных данных граждан РФ посредством иностранных мессенджеров/сервисов.
«При сборе персональных данных, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются» (ч.5 ст.18 152-ФЗ).
Раньше уведомление РКН о трансграничной передаче данных легализовало передачу данных после сбора. Теперь первичная фиксация персональных данных должна происходить ТОЛЬКО на серверах, расположенных в пределах РФ.
По сути, этот закон полностью запрещает сбор персональных данных через автоматизированные чат-боты Telegram/иностранные сервисы с последующим сохранением в российскую базу данных (аккумулирование на серверах РФ), поскольку первичная фиксация происходит за рубежом.
Подчеркнем, что формулировка статьи подразумевает запрет только перечисленных операций и только при сборе персональных данных. То есть операции, не относящиеся к шагу сбора данных, например, использование персональных данных или их передача под полный запрет не попадают.
Вышепредставленные нововведения прямо не запрещают гражданам и субъектам малого и среднего бизнеса использовать мессенджеры для общения и коммуникаций, но сохраняется высокий риск получения штрафных санкций за некорректную трансграничную передачу или утечку персональных данных (в случае выявления такого факта).
Нельзя забывать о том, что трансграничная передача уже собранных и хранящихся в РФ данных за границу допустима только при:
• Предварительном уведомлении Роскомнадзора;
• При получении согласия субъекта персональных данных на трансграничную передачу;
• Наличии договора с получателем, гарантирующего защиту персональных данных (ст. 12 Закона 152-ФЗ).
На данный момент все сервера Telegram находятся за границей, и иностранного представительства в РФ нет. Следовательно, если строго следовать букве закона, то нужно получать разрешение в РКН на трансграничную передачу данных при пользовании данным мессенджером, так как имеет место непосредственная обработка персональных данных при использовании мессенджера для электронных коммуникаций с клиентами.
Однако правовая неопределенность относительно того, является ли такая электронная коммуникация посредством иностранных мессенджеров трансграничной передачей персональных данных, существует.
В официальном ответе на запрос от 26.06.2025г. Роскомнадзор дал разъяснения о том, что Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» прямо не устанавливает ограничений на использование тех или иных программных средств при обработке персональных данных, однако прямого ответа на вопрос является ли использование Telegram/иных иностранных мессенджеров в работе предприятия трансграничной передачей данных не дал.
В официальном ответе на запрос от 27 июня 2025 г. Министерство цифрового развития, связи и массовых коммуникаций РФ пояснило, что направление информации, содержащей персональные данные, посредством иностранных мессенджеров пользователям, находящимся на территории РФ, НЕ БУДЕТ являться трансграничной передачей.
Таким образом, на сегодняшний день сбор персональных данных граждан РФ через иностранные боты официально запрещен. Любые электронные коммуникации, в том числе обработка персональных данных посредством иностранных мессенджеров для стратегически важных организаций, перечисленных в законе, официально запрещены. Вопрос является ли использование Telegram и иных иностранных мессенджеров в работе с клиентами трансграничной передачей данных со всеми вытекающими последствиями остается открытым.
Оценивая последние тенденции изменений законодательства, рекомендуем уже сейчас готовиться к тому, что от использования иностранных мессенджеров придется отказаться в пользу российских аналогов: eXpress (Ростелеком), ВК мессенджер, MAX, Яндекс мессенджер, Компас и другие. Самое главное, чтобы мессенджер входил в реестр российского ПО (https://reestr.digital.gov.ru/).
*Принадлежит корпорации Meta (ее деятельность признана в России экстремистской и запрещена).
С уважением, автор журнала, Мария Стрельчик – основатель Teiwaz Legal, юрист, налоговый консультант.
Больше полезного материала от Марии:
ТГ: «Внутрянка Teiwaz Legal»: https://t.me/urist_business/?erid=2Vtzqv6mHUk
ВК: https://vk.com/teiwaz_legal
Реклама. ИП Стрельчик Мария Андреевна. ИНН 450163236365. Erid:2Vtzqv6mHUk