30 мая 2025 года — день, когда изменения в законе о персональных данных заставили бизнес задуматься о том, можно ли использовать чат-боты в Телеграм для продажи товаров и услуг. Разберём, что именно изменилось в законодательстве по персональным данным, почему не нужно отказываться от мессенджеров и как правильно работать с рассылками. А еще мы подготовили примеры документов для работы с персональными данными и рассылками. Примеры сможете забрать по ссылке, которую увидите ниже в этой статье.
Спойлер: работа, включая сбор персональных данных, в мессенджерах НЕ ЗАПРЕЩЕНА*. РКН и ФАС не придут, если соблюдать простые правила при создании чат-ботов.
*Если вы не из особого списка сфер деятельности, которые мы перечислим ниже.
Подробно о том, что относится к персональным данным и как организовать работу с ними, читайте в нашей статье «Как собирать и обрабатывать персональные данные в чат-ботах, чтобы не получить штраф».
Что изменилось в законодательстве о персональных данных
Основные изменения — это:
- многократное увеличение штрафов за нарушение требований сбора, обработки и хранения персональных данных;
- ужесточение правил работы с биометрией;
- запрет для отдельных категорий юрлиц на использование Телеграм и WhatsApp с 1 июня 2025 года.
Организации, которым с 01.06.2025 нельзя использовать Телеграм и WhatsApp для сбора персональных данных:
- государственные и муниципальные предприятия;
- юрлица, созданные с участием государства, и если ему принадлежит больше половины уставного капитала;
- публично-правовые компании;
- банки;
- микрофинансовые организации;
- страховые компании;
- платёжные системы;
- операторы связи;
- ломбарды;
- профессиональные участники рынка ценных бумаг;
- другие некредитные финансовые организации, перечисленные в ст. 76.1 86-ФЗ.
Если вы не работаете ни в одной из перечисленных сфер, можете спокойно собирать персональные данные в чат-ботах в Телеграм. Нужно лишь выполнять определённые требования, о которых расскажем дальше.
Относится ли сбор персональных данных в Телеграм к трансграничной передаче?
Начальник отдела организации контрольно-надзорной деятельности РКН пояснила, что передача персональных данных от клиента бизнесу в мессенджере Телеграм не относится к трансграничной передаче, если:
- И клиент, и бизнес находятся на территории РФ.
- Получено согласие на обработку ПД.
- Сведения о клиентах хранятся на серверах в РФ.
Другими словами, вы не занимаетесь трансграничной передачей данных, когда используете сервисы с серверами в России: платформы для создания чат-ботов, CRM или CDP для сбора и хранения информации о клиентах. А на данный момент все самые популярные подобные решения на рынке — это продукты от российских разработчиков.
Более того, имеем в виду, что сама по себе трансграничная передача данных не запрещена, и не стоит её бояться как огня. Если таковая происходит в ваших процессах, вам необходимо подать уведомление в РКН и… продолжать собирать данные. Это законно.
Что делать, если юристы против сбора данных в Телеграм?
Используйте для сбора данных WebApp — страницу вашего сайта, которая будет открываться в Телеграм. В этом случае сбор происходит не через мессенджер, а через ваш сайт. Телеграм выполняет только функцию «мордочки» для показа страницы сайта и не видит персональной информации.
Усложнённый пример использования WebApp
Если нужно проверить, регистрировался ли раньше пользователь, например, в программе лояльности, мы интегрируем CDP с мессенджер-платформой.
Данные из WebApp поступают в CDP, где происходит проверка наличия регистрации. Результаты из CDP в обезличенном виде уходят в мессенджер-платформу. В ней мы видим, что у пользователя с конкретным ID есть регистрация в программе лояльности, и у него накоплено Х баллов.
Какие документы должны быть в компании для работы с персональными данными и рассылками?
Внутри компании нужно разработать и принять такие документы:
- Политика конфиденциальности (в 152-ФЗ этот документ называется Политика оператора в отношении обработки персональных данных). В документе нужно указать, какие сведения вы запрашиваете, цели сбора, порядок обработки персональных данных и способы защиты полученной информации.
- Локальный нормативный акт, например, Положение о работе с персональными данными внутри компании.
- Приказы, которые регламентируют отдельные вопросы, связанные с обработкой персональных данных. Среди них — назначение ответственного за организацию работы с данными; перечень сотрудников, которые допущены к информации; утверждение мест хранения сведений и другие.
- Согласие на обработку персональных данных.
- Согласие на рекламные и информационные рассылки.
Примеры Политики конфиденциальности, Согласия на обработку персональных данных и Согласия на рассылку вы можете получить в нашем Телеграм-боте.
Достаточно ли одного согласия на обработку персональных данных и рассылку?
Нет, нужно подготовить два документа и получить два независимых друг от друга согласия с каждым из документов. Работу с персональными данными и отправку пользователям рассылок регулируют разные законы:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе».
Кроме этого, ответственность за нарушения предусматривают разные статьи КоАП и УК, и за соблюдением законов следят разные ведомства: РКН — за 152-ФЗ, ФАС — за 38-ФЗ.
Как правильно собирать согласия в чат-боте
Спрашивать согласия нужно только в том случае, если вы собираете персональные данные или планируете отправлять рассылку. Скорее всего, в большинстве случаев именно это вы и планируете делать, поэтому опишем, как правильно встроить сбор в чат-бот.
В самом первом сообщении запросите согласие на рассылки, чтобы впоследствии не возвращаться к этому вопросу. Собирать согласия через время будет сложнее, нежели попросить его у активного, заинтересованного, свежего подписчика. Тем более, что аргументировать сбор согласий на первом шаге будет проще — этого требует закон, а вовсе не наше намерение заваливать подписчика ненужными ему сообщениями.
Согласие на сбор персональных данных можно собирать не сразу, а непосредственно перед тем, как вы запросите личную информацию.
Пользователь должен дать согласие добровольно и осознанно. При этом факт получения согласия необходимо зафиксировать с помощью клика по кнопке. Исходя из этого, перед запросом номера телефона или других персональных данных, чат-бот должен предложить дать согласие с Политикой конфиденциальности и с Обработкой персональных данных. Подписчик нажимает на кнопку — делает клик, автоматически записывающийся в платформе в виде специальной метки, по которой в любой момент можно отследить, когда было получено согласие.
Ещё несколько примеров сообщений для получения согласия на обработку персональных данных и рассылку.
Планируете запустить чат-бот, который будет решать задачи вашего бизнеса? Оставьте заявку на консультацию на нашем сайте. Мы свяжемся с вами и расскажем, с чего начать.
Политика конфиденциальности должна быть доступна пользователю в любое время. Если у вас нет сайта, и сами документы размещены на Яндекс.Диске или другом подобном ресурсе, добавьте ссылки на документы в меню чат-бота.
Всегда ли нужно собирать согласия?
Не всегда. Согласия нужны, если вы запрашиваете персональные данные и планируете отправлять рассылку.
В какой момент запросить согласие, не так важно. Это можно сделать как в самом начале коммуникации, так и непосредственно перед сбором данных или отправкой сообщений. Главное — это взять согласие до того, как будете отправлять рассылку или собирать персональные данные.
Нужно ли согласие, если менеджер будет общаться с подписчиком через Телеграм?
Нет, если менеджер отвечает на вопросы и не запрашивает данные пользователя, собирать согласия не нужно. Но если в ходе переписки менеджер попросит номер телефона или другую личную информацию, согласие понадобится. Также учитывайте, что автоматизировать сбор согласий можно только через чат-бот, но не личный аккаунт менеджера.
Что делать, если пользователь не нажал кнопку в сообщении с согласием?
Причин, почему подписчик не нажал кнопку для согласия на рассылки или обработку персональных данных, может быть много, и это не всегда нежелание продолжать общение. Поэтому не стоит сразу ставить сообщения в чат-боте на стоп.
Напомните пользователю, что ждёте его согласие, и предупредите, что без этих формальностей не сможете продолжать коммуникацию. Если и после напоминания подписчик не реагирует, рекомендуем удалить его из активной базы.
Выводы
Изменения в законодательстве о персональных данных установили перечень компаний, которым нельзя использовать мессенджеры, но этот список ограничен. Всем, кто не входит в список исключений, можно использовать Телеграм для общения с потенциальными и действующими клиентами.
Правила, которые нужно соблюдать при создании чат-ботов, чтобы не отвечать на вопросы РКН и ФАС:
- Наличие необходимых документов, чтобы брать согласие на обработку персональных данных и согласия на рассылку.
- Механика в чат-боте, которая позволяет пользователю дать осознанное согласие, а бизнесу — зафиксировать этот факт.
- На обработку персональных данных и рассылку нужны отдельные согласия.
Если вы не хотите связываться с трансграничной передачей, используйте WebApp для сбора данных, он полностью оградит от рисков.
Ну, а если вы намерены создать чат-бот с легальным сбором персональных данных и законной рассылкой сообщений, мы проконсультируем или сделаем всё за вас.
Немного о нас. Мы — агентство мессенджер-маркетинга Townsend с опытом работы в мессенджерах и чат-ботах с 2018 года.
Среди наших клиентов: «Банк Точка», «ИЛЬ ДЕ БОТЭ», «Циан», Rostic’s/KFC, «Яндекс Практикум», SkillFactory, «1С Фитнес», GULLIVER и еще +230 компаний.
Чем можем быть полезны:
- Разрабатываем «под ключ» маркетинговые воронки/чат-боты в WhatsApp, Телеграм, ВКонтакте и Авито.
- Запускаем продающие рассылки в WhatsApp и Телеграм.
- Интегрируем мессенджеры с бизнес-процессами в CRM и СDP.
- Создаём сервисные чат-боты для техподдержки, а также мини-версии приложений в Телеграм и WhatsApp.
- Внедряем в мессенджеры AI-агентов для продаж, консультаций, обучения.
- Проводим аудиты чат-ботов и консультируем по вопросам маркетинга в мессенджерах.