Как бизнесу легально использовать чат-боты в Телеграм в 2026 году: избегаем штрафов и увеличиваем продажи

30 мая 2025 года — день, когда изменения в законе о персональных данных заставили бизнес задуматься о том, можно ли использовать чат-боты в Телеграм для продажи товаров и услуг. Разберём, что именно изменилось в законодательстве по персональным данным, почему не нужно отказываться от мессенджеров и как правильно работать с рассылками.

Подробно о том, что относится к персональным данным и как организовать работу с ними, читайте в нашей статье «Как собирать и обрабатывать персональные данные в чат-ботах, чтобы не получить штраф».

Основные изменения — это:

• многократное увеличение штрафов за нарушение требований сбора, обработки и хранения персональных данных;
• ужесточение правил работы с биометрией;
• запрет для отдельных категорий юрлиц на использование Телеграм и WhatsApp с 1 июня 2025 года.

Организации, которым с 01.06.2025 нельзя использовать Телеграм и WhatsApp для сбора персональных данных:

• государственные и муниципальные предприятия;
• юрлица, созданные с участием государства, и если ему принадлежит больше половины уставного капитала;
• публично-правовые компании;
• банки;
• микрофинансовые организации;
• страховые компании;
• платёжные системы;
• операторы связи;
• ломбарды;
• профессиональные участники рынка ценных бумаг;
• другие некредитные финансовые организации, перечисленные в ст. 76.1 86-ФЗ.

Начальник отдела организации контрольно-надзорной деятельности РКН пояснила, что передача персональных данных от клиента бизнесу в мессенджере Телеграм не относится к трансграничной передаче, если:

• И клиент, и бизнес находятся на территории РФ.
• Получено согласие на обработку ПД.
• Сведения о клиентах хранятся на серверах в РФ.

Другими словами, вы не занимаетесь трансграничной передачей данных, когда используете сервисы с серверами в России: платформы для создания чат-ботов, CRM или CDP для сбора и хранения информации о клиентах. А на данный момент все самые популярные подобные решения на рынке — это продукты от российских разработчиков.

Используйте для сбора данных WebApp — страницу вашего сайта, которая будет открываться в Телеграм. В этом случае сбор происходит не через мессенджер, а через ваш сайт. Телеграм выполняет только функцию «мордочки» для показа страницы сайта и не видит персональной информации.

Внутри компании нужно разработать и принять такие документы:

1. Политика конфиденциальности (в 152-ФЗ этот документ называется Политика оператора в отношении обработки персональных данных). В документе нужно указать, какие сведения вы запрашиваете, цели сбора, порядок обработки персональных данных и способы защиты полученной информации.
2. Локальный нормативный акт, например, Положение о работе с персональными данными внутри компании.
3. Приказы, которые регламентируют отдельные вопросы, связанные с обработкой персональных данных. Среди них — назначение ответственного за организацию работы с данными; перечень сотрудников, которые допущены к информации; утверждение мест хранения сведений и другие.
4. Согласие на обработку персональных данных.
5. Согласие на рекламные и информационные рассылки.

Нет, нужно подготовить два документа и получить два независимых друг от друга согласия с каждым из документов. Работу с персональными данными и отправку пользователям рассылок регулируют разные законы:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
• Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе».

Кроме этого, ответственность за нарушения предусматривают разные статьи КоАП и УК, и за соблюдением законов следят разные ведомства: РКН — за 152-ФЗ, ФАС — за 38-ФЗ.

Спрашивать согласия нужно только в том случае, если вы собираете персональные данные или планируете отправлять рассылку. Скорее всего, в большинстве случаев именно это вы и планируете делать, поэтому опишем, как правильно встроить сбор в чат-бот.

В самом первом сообщении запросите согласие на рассылки, чтобы впоследствии не возвращаться к этому вопросу. Собирать согласия через время будет сложнее, нежели попросить его у активного, заинтересованного, свежего подписчика. Тем более, что аргументировать сбор согласий на первом шаге будет проще — этого требует закон, а вовсе не наше намерение заваливать подписчика ненужными ему сообщениями.

Согласие на сбор персональных данных можно собирать не сразу, а непосредственно перед тем, как вы запросите личную информацию.

Пользователь должен дать согласие добровольно и осознанно. При этом факт получения согласия необходимо зафиксировать с помощью клика по кнопке. Исходя из этого, перед запросом номера телефона или других персональных данных, чат-бот должен предложить дать согласие с Политикой конфиденциальности и с Обработкой персональных данных. Подписчик нажимает на кнопку — делает клик, автоматически записывающийся в платформе в виде специальной метки, по которой в любой момент можно отследить, когда было получено согласие.

Ещё несколько примеров сообщений для получения согласия на обработку персональных данных и рассылку.

Политика конфиденциальности должна быть доступна пользователю в любое время. Если у вас нет сайта, и сами документы размещены на Яндекс.Диске или другом подобном ресурсе, добавьте ссылки на документы в меню чат-бота.

Не всегда. Согласия нужны, если вы запрашиваете персональные данные и планируете отправлять рассылку.

В какой момент запросить согласие, не так важно. Это можно сделать как в самом начале коммуникации, так и непосредственно перед сбором данных или отправкой сообщений. Главное — это взять согласие до того, как будете отправлять рассылку или собирать персональные данные.

Нет, если менеджер отвечает на вопросы и не запрашивает данные пользователя, собирать согласия не нужно. Но если в ходе переписки менеджер попросит номер телефона или другую личную информацию, согласие понадобится. Также учитывайте, что автоматизировать сбор согласий можно только через чат-бот, но не личный аккаунт менеджера.

Причин, почему подписчик не нажал кнопку для согласия на рассылки или обработку персональных данных, может быть много, и это не всегда нежелание продолжать общение. Поэтому не стоит сразу ставить сообщения в чат-боте на стоп.

Напомните пользователю, что ждёте его согласие, и предупредите, что без этих формальностей не сможете продолжать коммуникацию. Если и после напоминания подписчик не реагирует, рекомендуем удалить его из активной базы.

Изменения в законодательстве о персональных данных установили перечень компаний, которым нельзя использовать мессенджеры, но этот список ограничен. Всем, кто не входит в список исключений, можно использовать Телеграм для общения с потенциальными и действующими клиентами.

Правила, которые нужно соблюдать при создании чат-ботов, чтобы не отвечать на вопросы РКН и ФАС:

• Наличие необходимых документов, чтобы брать согласие на обработку персональных данных и согласия на рассылку.
• Механика в чат-боте, которая позволяет пользователю дать осознанное согласие, а бизнесу — зафиксировать этот факт.
• На обработку персональных данных и рассылку нужны отдельные согласия.

Если вы не хотите связываться с трансграничной передачей, используйте WebApp для сбора данных, он полностью оградит от рисков.

Ну, а если вы намерены создать чат-бот с легальным сбором персональных данных и законной рассылкой сообщений, мы проконсультируем или сделаем всё за вас.