Бот тоже собирает персональные данные: как подготовить Telegram- или VK-бота к 152-ФЗ

Может показаться, что чат-бот не попадает под 152-ФЗ о персональных данных так же очевидно, как сайт: там нет привычной формы с полями «имя», «телефон», «email» и кнопкой «отправить».

Но это иллюзия.

Когда человек запускает Telegram-бота, VK-бота или бота на другой платформе, платформа обычно получает технические данные его профиля: ID, имя, ник, сообщения и действия внутри бота. Если бот собран на платформе-конструкторе, в админке обычно видны пользователи, диалоги, ответы, теги, статусы, рассылки и доступы.

Это важно учитывать, потому что персональные данные по 152-ФЗ определяются широко: это любая информация, относящаяся к прямо или косвенно определённому или определяемому человеку. Обработка включает сбор, запись, хранение, использование, передачу и другие действия с данными.

Если бот используется для заявок, консультаций, продаж, доступа к материалам или рассылок, важно смотреть не только на мессенджер, а на весь сценарий обработки данных: что собирается, где хранится и куда передаётся.

Поэтому вопрос не только в том, просит ли бот телефон или email. Вопрос шире: какие данные появляются в боте, какие данные пользователь вводит сам и какие сервисы участвуют в их обработке.

Два главных риска в чат-боте

В большинстве ботов проблема не в том, что они собирают данные. Если бот нужен для заявки, оплаты, доступа к материалам, клуба, курса или программы, данные будут собираться. Это стандартная часть работы продукта.

Риски в другом.

Первый риск: бот собирает персональные данные, но юридический блок не встроен в сценарий. Пользователь запускает бота, оставляет контакты, отвечает на вопросы, получает рассылки или оплачивает продукт, но перед этим не видит согласия, ссылок на документы и условий обработки данных.

Второй риск: данные из бота уходят в зарубежные сервисы. Например, заявки, ответы анкет, телефоны, email, статусы оплат или данные доступа автоматически попадают в Google Таблицы, Google Forms, Notion, Airtable или другие иностранные сервисы.

По статье 18 152-ФЗ при сборе персональных данных граждан РФ оператор должен обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение таких данных с использованием баз данных на территории России.

Поэтому задача не в том, чтобы «ничего не собирать». Задача в том, чтобы собирать только нужные данные, получить согласие пользователя на старте, проверить обязанность подачи уведомления в Роскомнадзор и не отправлять персональные данные в неподходящие сервисы.

Если у вас уже есть бот или вы только планируете запуск, можно заранее заложить юридический блок в сценарий: согласие на старте, ссылки на документы, корректный сбор данных и хранение без зарубежных таблиц.

Обсудить в Телеграм Обсудить в МАКС

Узнайте: нужно ли доработать юридический блок в боте?

Ответьте на вопросы и получите предварительную рекомендацию. Результат покажет примерный уровень риска.

Просто выбирайте вариант, соответствующий вашему боту

Вопрос 1

Результат

Какие данные появляются в боте

Даже если бот не просит телефон или email, при первом контакте в платформе могут появиться технические данные пользователя: ID, имя профиля, ник, история сообщений и действий. Если эти данные сохраняются в админке и относятся к конкретному пользователю, их нужно учитывать при настройке согласий, документов и хранения данных.

Дальше бот может уже явно запрашивать и сохранять данные: имя, телефон, email, заявку, ответы в анкете, данные оплаты, доступ к продукту, статус прохождения, выбранный тариф, комментарии пользователя и другую информацию.

Отдельно стоит проверять ботов в нишах здоровья, психологии, обучения, детских проектов, клубов, сопровождения и платных программ. Там в сценариях часто появляются не только контакты, но и ответы о состоянии, целях, ограничениях, ребёнке или личной ситуации.

В боте нет привычной формы сайта, поэтому юридический блок нужно встроить в сценарий.

Рабочая схема: пользователь нажимает Start, получает приветственный экран, видит ссылки на политику обработки персональных данных и согласие, нажимает кнопку подтверждения, и только после этого бот ведёт его дальше: к меню, анкете, заявке, оплате, материалам или рассылке.

Если позже бот собирает дополнительные данные, например перед диагностикой, оплатой или подпиской на рассылку, можно добавить отдельное подтверждение под этот сценарий. Но базовый юридический блок лучше показать сразу при входе в бота.

Если бот будет отправлять рекламные или продающие рассылки, согласие на такие сообщения лучше отделить от общего согласия на обработку данных.

Если бот обрабатывает персональные данные в рамках проекта, нужно проверить обязанность оператора подать уведомление в Роскомнадзор. По статье 22 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о намерении обрабатывать персональные данные, кроме случаев, предусмотренных законом.

Зарубежные сервисы: Google Таблицы, Notion, Airtable

Проблема в том, что при сборе персональных данных граждан РФ запись, систематизация, накопление, хранение, уточнение и извлечение должны происходить с использованием баз данных на территории России. Поэтому если бот отправляет заявки, анкеты или статусы оплат в Google Таблицы, Google Forms, Notion, Airtable или другой иностранный сервис, такую связку нужно заменить или перестроить.

В таких таблицах часто оказываются имена, телефоны, email, Telegram username, ответы анкет, статусы оплат, доступы к продуктам и комментарии администратора. Если эти данные попадают в иностранный сервис, это может нарушать требование локализации персональных данных.

Чем заменить Google Таблицы

Не всегда нужно искать «такую же таблицу». Сначала стоит понять, зачем таблица использовалась.

Если таблица была базой заявок, лучше рассмотреть CRM или внутреннее хранилище платформы, на которой собран бот.

Если таблица нужна для операционного отчёта, можно не передавать туда персональные данные, а оставлять только обезличенные технические статусы: дата, продукт, этап, статус оплаты или доступа, без имени, телефона, email и подробных ответов пользователя.

Если нужна именно таблица, стоит смотреть российские офисные или корпоративные решения с хранением данных на территории РФ и возможностью управлять доступами.

Иногда лучший вариант — не переносить данные в другой сервис, а сократить сам сбор: убрать лишние вопросы, не сохранять подробные ответы там, где достаточно статуса, и не дублировать данные в нескольких местах.

Доступ к данным

Если в платформе бота, CRM или таблицах есть персональные данные, доступ к ним должны иметь только те, кому это нужно для работы проекта. Поэтому стоит проверить роли в платформе, CRM и таблицах, закрыть лишние доступы и не держать клиентские данные в общих чатах и открытых файлах.

Если бот связан с сайтом, CRM или оплатой

Бот редко работает отдельно.

Часто человек приходит с сайта, нажимает кнопку в Telegram или VK, запускает бота, проходит анкету, получает бесплатный материал, попадает в рассылку, покупает продукт и получает доступ к клубу или курсу.

В такой схеме важно смотреть не только сам бот, а цепочку: где пользователь видит согласие, какие данные вводит, куда они передаются, где хранятся и какие сервисы подключены.

Особенно внимательно нужно проверять связки: сайт, бот, CRM, оплата, рассылка, таблицы и доступы к материалам.

Как я могу помочь

Если бот уже собирает заявки, анкеты, оплаты или доступы, я помогу технически встроить юридический блок в его сценарий: согласие на старте, ссылки на документы, корректный сбор данных, хранение без зарубежных таблиц и понятную связку с CRM, оплатами или сайтом.

Если бот только планируется, этот блок лучше заложить сразу: до запуска сценариев, рассылок, оплат и интеграций. Так не придётся потом переделывать логику, переносить данные и закрывать риски уже после старта.

При необходимости отдельно посмотрю текущую или планируемую схему: где пользователь входит в бот, где появляются данные, какие сервисы подключены и что лучше заменить.

Не откладывайте проверку бота

Если хотите обезопасить себя и проект от проблем в будущем, напишите мне. Согласие, ссылки на документы, сбор данных и интеграции можно настроить уже сейчас — до запуска, рассылок или первой заявки.