Алексей Ветров
Эксперт по защите данных IC-TECH
Если ваш бизнес использует Telegram-бот для приёма заявок (например, имя, телефон, e-mail, заказ), это считается обработкой персональных данных. Следовательно, вы обязаны:
Подать уведомление в Роскомнадзор.
В разделе «способы получения ПДн» указать: «через онлайн-формы и мессенджеры (Telegram-бот)».
В разделе «место хранения» уточнить, где фактически сохраняются данные:
если бот сохраняет информацию в CRM (например, amoCRM, Bitrix24) или базу на сервере в РФ — указать адрес дата-центра;
если данные остаются только в Telegram (зарубежные серверы) — это риск нарушения ст. 12 ФЗ-152 (локализация). В этом случае лучше настраивать интеграцию, чтобы данные сразу сохранялись в базе/CRM на территории РФ.
Указать категории субъектов — «клиенты (физические лица, оставляющие заявки через Telegram-бот)».
Цели обработки — «заключение и исполнение договоров, обратная связь с клиентами».
Меры защиты — ограничение доступа к боту и базе, пароли, антивирус, https, резервное копирование.
Подать уведомление в Роскомнадзор.
В разделе «способы получения ПДн» указать: «через онлайн-формы и мессенджеры (Telegram-бот)».
В разделе «место хранения» уточнить, где фактически сохраняются данные:
если бот сохраняет информацию в CRM (например, amoCRM, Bitrix24) или базу на сервере в РФ — указать адрес дата-центра;
если данные остаются только в Telegram (зарубежные серверы) — это риск нарушения ст. 12 ФЗ-152 (локализация). В этом случае лучше настраивать интеграцию, чтобы данные сразу сохранялись в базе/CRM на территории РФ.
Указать категории субъектов — «клиенты (физические лица, оставляющие заявки через Telegram-бот)».
Цели обработки — «заключение и исполнение договоров, обратная связь с клиентами».
Меры защиты — ограничение доступа к боту и базе, пароли, антивирус, https, резервное копирование.
Обоснование по законодательству
- ФЗ-152, ст. 22: оператор обязан уведомить Роскомнадзор о начале обработки.
- ФЗ-152, ст. 12: данные граждан РФ должны храниться на территории РФ. Telegram хранит данные за рубежом, поэтому бот нельзя использовать как единственное место хранения.
- ФЗ-152, ст. 6: обработка допускается с согласия субъекта (пользователь должен поставить «галочку» или согласиться в оферте перед использованием бота).
Пример формулировки для уведомления
«Персональные данные обрабатываются с использованием телеграм-бота, интегрированного с CRM Bitrix24 (сервер в РФ). Цели обработки — приём заявок, обратная связь с клиентами. Категории субъектов: клиенты — физические лица. Место хранения: дата-центр CRM в г. Москва. Меры защиты: ограничение доступа, пароли, двухфакторная аутентификация.»
Пример из практики
Маркетинговое агентство принимало заявки через Telegram-бота. Первоначально данные оставались только в чатах Telegram, и юристы указали на нарушение локализации. После интеграции с российской CRM (amoCRM) данные автоматически стали сохраняться в дата-центре в РФ, что позволило корректно подать уведомление.
Рекомендации и выводы
- Если используете Telegram-бота, обязательно укажите его как способ получения ПДн в уведомлении.
- Сделайте так, чтобы данные не оставались только в Telegram, а сохранялись в российской базе или CRM.
- На старте диалога в боте разместите уведомление о согласии с политикой обработки ПДн.
- Обновите пакет документов (политика, согласие), чтобы там был учтён Telegram как канал обработки.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
