Можно ли передавать заявки из формы сайта в Telegram-бот?

Юридический разбор: что разрешено, что рискованно и как сделать всё правильно по 152-ФЗ в 2025–2026 годах

Введение: удобство против закона

Кнопка «Написать в Telegram» или пересылка заявок из формы обратной связи прямо в бота — это сотни тысяч российских сайтов. Схема популярна: форма заполнена, менеджер моментально получает уведомление в мессенджер, заявка не теряется. Никаких CRM, никаких лишних инструментов.

Но с точки зрения 152-ФЗ такая архитектура несёт в себе несколько слоёв юридических рисков, о которых большинство владельцев бизнеса не задумываются. А с 2025 года незнание закона обходится уже не в десятки, а в миллионы рублей.

Эта статья — для предпринимателей, разработчиков и маркетологов, которые хотят использовать Telegram-ботов для приёма заявок законно: без штрафов и предписаний Роскомнадзора.

Что такое «обработка персональных данных» и при чём тут форма сайта

Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу. Имя + телефон, имя + email, даже просто уникальный Telegram-аккаунт в сочетании с именем пользователя — всё это ПДн [1].

Обработка данных — не только хранение. В периметр понятия попадают: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение [2].

Когда пользователь заполняет форму на сайте и нажимает «Отправить», оператор (то есть компания-владелец сайта) начинает обрабатывать ПДн — с этого момента запускается вся цепочка обязательств по 152-ФЗ [3].

Если эти данные затем пересылаются в Telegram-бот, они проходят через серверы Telegram, расположенные за пределами России [4]. Именно здесь начинаются сложности.

Где хранит данные Telegram: суть проблемы

В политике конфиденциальности Telegram прямо указано, что данные пользователей из Европы хранятся в дата-центрах в Нидерландах. Для российских пользователей точное географическое расположение серверов компания не раскрывает [5].

Именно эта неопределённость создаёт правовую проблему. По ч. 5 ст. 18 152-ФЗ оператор обязан обеспечить первичный сбор, запись, систематизацию и хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории России [6].

Если форма с сайта передаёт данные напрямую в Telegram-бота (и они остаются только в Telegram), это означает, что первичное хранение ПДн происходит на иностранных серверах. А это прямое нарушение нормы о локализации [7].

Что изменилось с 1 июля 2025 года

Федеральным законом от 28.02.2025 № 23-ФЗ в ч. 5 ст. 18 152-ФЗ внесены поправки: теперь закон прямо запрещает использование зарубежных баз данных при первичном сборе ПДн, а не просто требует обеспечить их наличие в России [8].

При этом Роскомнадзор и Минцифры в своих разъяснениях (письма от 24.03.2025 № 08-134789 и от 12.05.2025 № П25-44929) подтвердили: ограничение касается именно этапа первичного сбора. Трансграничная передача данных, ранее законно собранных в России, по-прежнему допускается при соблюдении установленного порядка [9].

Вывод: первичный сбор данных (момент, когда пользователь нажал «Отправить») должен происходить в российской базе. Только после этого данные могут быть переданы, в том числе через Telegram.

Для кого работа с Telegram запрещена полностью

Отдельного внимания заслуживают ограничения, введённые ч. 10 ст. 10 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации». Использование иностранных информационных систем для передачи персональных данных, платёжной информации и иных конфиденциальных сведений запрещено для [10]:

• государственных и муниципальных органов;
• организаций, оказывающих государственные и муниципальные услуги;
• компаний, в уставном капитале которых доля государства превышает 50%;
• банков и иных кредитных организаций;
• некредитных финансовых организаций (страховщики, МФО и др.);
• субъектов национальной платёжной системы.

Для этих категорий Telegram-бот как канал передачи ПДн клиентов — прямое нарушение закона вне зависимости от любых настроек и уведомлений.

Если ваша компания не входит в этот список — продолжаем разбирать правомерные схемы.

Законные схемы: как передавать заявки в Telegram правильно

Схема 1 (оптимальная): форма → российская база → уведомление в Telegram

Это единственная схема, которая не создаёт рисков с локализацией.

Данные из формы сайта попадают сначала в CRM или базу данных на российском сервере (например, Битрикс24, amoCRM, 1С-интеграция с дата-центром в России). После записи в российскую базу менеджер получает уведомление в Telegram — например, «Новая заявка №12345, проверьте CRM». В само уведомление ПДн пользователя не включаются (или включаются минимально — только номер заявки).

При такой архитектуре Telegram выступает исключительно как инструмент оповещения, а не хранения данных [11].

Схема 2 (рискованная, но применимая с уведомлением): прямая передача в бот

Если данные из формы идут напрямую в Telegram-бота и хранятся в Telegram — это потенциальная трансграничная передача. Чтобы сделать её законной, необходимо [12]:

1. Убедиться, что оба участника (клиент и бизнес) находятся в РФ — это снимает один из рисков квалификации как трансграничной передачи по позиции РКН [13].
2. Подать уведомление о намерении осуществлять трансграничную передачу персональных данных в Роскомнадзор до начала передачи (ст. 12 152-ФЗ).
3. Дождаться истечения 10 рабочих дней или получить явное разрешение РКН.
4. Настроить интеграцию так, чтобы данные сохранялись в российской базе, а Telegram использовался как транзитный канал.

Позиция Роскомнадзора: нюанс о трансграничности

Начальник отдела организации контрольно-надзорной деятельности РКН публично уточняла: передача персональных данных от клиента бизнесу в мессенджере Telegram не квалифицируется как трансграничная передача, если оба — и клиент, и бизнес — находятся на территории РФ [14]. Однако это не снимает требования о первичной локализации данных.

Юристы при этом придерживаются более осторожной позиции: поскольку серверы Telegram находятся за рубежом, а данные технически проходят через них, уведомление в РКН о трансграничной передаче — разумная превентивная мера [15].

Обязательный юридический минимум для любой схемы

Независимо от выбранной технической архитектуры, компания-оператор ПДн обязана:

1. Получить согласие пользователя

На форме сайта обязательны [16]:

• чекбокс с текстом «Я даю согласие на обработку персональных данных» (незаполненный по умолчанию);
• активная ссылка на Политику конфиденциальности;
• описание целей обработки, перечня данных и действий с ними.

Нажатие кнопки «Отправить» без чекбокса не является получением согласия — это распространённая ошибка.

2. Разместить Политику конфиденциальности

Документ должен быть публично доступен, содержать сведения об операторе, целях и сроках обработки, правах субъектов и мерах защиты. Это требование ст. 18.1 152-ФЗ [17].

3. Подать уведомление в Роскомнадзор

Большинство компаний, обрабатывающих данные клиентов (в том числе потенциальных, с которыми договор ещё не заключён), обязаны подать уведомление о начале обработки ПДн (ст. 22 152-ФЗ). Уведомление подаётся через портал Роскомнадзора или Госуслуги [18].

Если при этом данные передаются через Telegram — в уведомлении указывают способ получения ПДн («через онлайн-формы и мессенджеры (Telegram-бот)») и место хранения (дата-центр CRM/базы в РФ) [19].

4. Заключить договор с разработчиком бота

Если бот создан третьей стороной, в договоре должна быть зафиксирована ответственность разработчика за безопасность обрабатываемых данных [20].

5. Обеспечить технические меры защиты

Ограничение доступа к боту и базе данных, двухфакторная аутентификация, https, резервное копирование, антивирусная защита — минимальный набор, который должен быть задокументирован [21].

6. Отдельное согласие на рекламные рассылки

Если менеджер планирует отправлять пользователям рекламные сообщения через Telegram, нужно отдельное согласие на рекламную рассылку в соответствии со ст. 18 ФЗ «О рекламе» № 38-ФЗ. Согласие на обработку ПДн это согласие на рекламу не заменяет [22].

Типичные ошибки и как их избежать

Ошибка 1: данные остаются только в Telegram

Самый распространённый сценарий. Форма → бот → переписка с менеджером в Telegram. Данные нигде больше не хранятся. Нарушение сразу трёх требований: локализации, документирования, сроков хранения.

Решение: настроить автоматическую запись в CRM или базу на российском сервере.

Ошибка 2: отсутствие чекбокса на форме

Форма с полями «Имя» и «Телефон», кнопка «Отправить» — и никакого чекбокса. Роскомнадзор выявляет такие нарушения автоматически при мониторинге сайтов.

Решение: добавить незаполненный по умолчанию чекбокс с ссылкой на Политику.

Ошибка 3: использование Google Forms или Typeform как промежуточного звена

Некоторые компании используют иностранные формы (Google Forms, Typeform и т.д.) как источник, из которого данные передаются в бот. Это двойное нарушение: и сами формы обрабатывают ПДн на иностранных серверах [23].

Решение: использовать российские конструкторы форм (Тильда с российским хостингом, Битрикс24-формы, самописные формы на российском хостинге).

Ошибка 4: не подано уведомление в РКН

Многие компании ошибочно полагают, что подпадают под исключения из ст. 22 152-ФЗ. Если компания хранит данные потенциальных клиентов (не заключивших договор) или бывших клиентов — исключение не применяется, уведомление обязательно [24].

Решение: подать уведомление через портал РКН. Это бесплатно и занимает около часа.

Ошибка 5: публичные каналы вместо приватных ботов

Пересылка заявок в публичный Telegram-канал означает, что данные клиентов могут видеть все подписчики. Это нарушение ст. 7 152-ФЗ о конфиденциальности.

Решение: использовать только приватные боты или закрытые группы с ограниченным числом администраторов.

Штрафы в 2025–2026 годах: цена ошибки

С 30 мая 2025 года вступили в силу поправки ФЗ № 420-ФЗ, многократно увеличившие штрафы за нарушение 152-ФЗ [25].

Ключевые суммы для юридических лиц:

Отсутствие уведомления об обработке ПДн (ч. 1.1 ст. 13.11 КоАП) — от 100 000 до 300 000 рублей.

Нарушение порядка трансграничной передачи — от 1 000 000 до 6 000 000 рублей. Повторное — от 6 000 000 до 18 000 000 рублей [26].

Утечка данных от 1 000 до 10 000 субъектов — от 3 000 000 до 5 000 000 рублей [27].

Утечка данных от 10 000 до 100 000 субъектов — от 5 000 000 до 10 000 000 рублей.

Повторная утечка любой категории ПДн — оборотный штраф от 1% до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей [28].

Также с декабря 2024 года действует ст. 272.1 Уголовного кодекса: незаконный сбор, хранение и распространение ПДн без согласия — уголовная ответственность до 10 лет лишения свободы при отягчающих обстоятельствах [29].

Мораторий на плановые проверки РКН сохраняется. Но мораторий на внеплановые проверки прекратился с 1 января 2025 года, а у Роскомнадзора есть инструменты автоматического мониторинга сайтов [30].

Что происходит с Telegram в России прямо сейчас

Ситуация вокруг Telegram в 2026 году неоднозначна. В феврале 2026 года Роскомнадзор объявил о «последовательных ограничениях» в отношении мессенджера — в частности, в августе 2025 года были ограничены голосовые звонки в Telegram [31]. При этом формально Telegram не числится в реестре заблокированных сайтов.

Юристы фиксируют: использование ботов как точки сбора заявок без выстроенной инфраструктуры становится всё более рискованным с каждым месяцем. Перспектива более жёстких ограничений не исключена [32].

Это дополнительный аргумент в пользу архитектуры, где Telegram — только канал уведомлений, а не основное хранилище данных.

Практический чек-лист: 10 шагов для законной интеграции

1. Убедиться, что компания не входит в «запрещённый список» (банки, госсектор и др.).
2. Добавить на форму незаполненный чекбокс согласия с ссылкой на Политику конфиденциальности.
3. Разработать и опубликовать Политику конфиденциальности с указанием всех каналов сбора данных, включая Telegram.
4. Настроить интеграцию: форма → российская CRM/база данных (первичная запись), и только потом — уведомление в Telegram.
5. Исключить хранение ПДн исключительно в Telegram; настроить автоудаление уведомлений в боте после обработки.
6. Подать уведомление в Роскомнадзор об обработке ПДн; в разделе «способы получения» указать «онлайн-формы и мессенджеры».
7. Если данные из формы идут через Telegram — подать уведомление о трансграничной передаче, не дожидаясь запросов РКН.
8. Заключить договор с разработчиком бота с условиями о защите данных.
9. Настроить технические меры защиты: 2FA для доступа к боту и CRM, https, ограничение доступа.
10. Установить и соблюдать сроки хранения ПДн; настроить процедуру удаления по истечении срока или по запросу пользователя.

Будущее: куда движется регулирование

Тренды 2025–2026 годов однозначны: регулятор последовательно ужесточает требования к локализации и трансграничной передаче. С января 2026 года интернет-сервисы, включая Telegram, обязаны хранить данные российских пользователей три года (вместо одного) и только на серверах в РФ [33].

Для бизнеса это означает одно: чем раньше выстроена правильная инфраструктура сбора и хранения данных, тем меньше рисков и затрат на её перестройку в будущем.

Заключение: можно, но с условиями

Передавать заявки из формы сайта в Telegram-бот не запрещено — при условии соблюдения требований 152-ФЗ. Ключевые из них:

• данные первично записываются в российскую базу;
• на форме есть корректное согласие;
• в РКН поданы необходимые уведомления;
• Telegram используется как канал уведомления, а не хранения ПДн.

Если эти условия не соблюдены, риски реальны и финансово болезненны. В 2026 году Роскомнадзор активно применяет все новые нормы, и волна проверок нарастает.

«Пятый фактор» помогает держать ситуацию под контролем

Одна из ключевых проблем описанного сценария — непрозрачность того, что происходит с данными после отправки формы. Данные из формы пошли в CRM? В бот? В оба канала? Где они реально хранятся? Кто имеет к ним доступ? Были ли они удалены в срок?

Для компаний, которые работают с несколькими каналами сбора ПДн (сайт, мессенджеры, CRM, 1С, email), эти вопросы без инструментов автоматизации превращаются в ручную, медленную и ненадёжную работу.

Пятый фактор — это on-premises платформа, которая автоматически обнаруживает, инвентаризирует и контролирует персональные данные в корпоративных системах: базах данных, CRM, хранилищах, почте, 1С. Платформа работает с метаданными и агрегатами — без передачи и хранения «сырых» ПДн, поэтому сама не создаёт дополнительных рисков.

Если вы подключаете Telegram-бота к CRM или базе данных, Пятый фактор поможет:

• убедиться, что новые поля с ПДн из бота зафиксированы и атрибутированы владельцу;
• отследить, не появились ли данные клиентов в неожиданных местах (неавторизованные копии, тестовые таблицы и т.д.);
• подготовить актуальную карту ПДн для уведомления РКН и прохождения проверок.

Контроль над данными — это не разовая задача, а постоянный процесс. Пятый фактор делает его управляемым.

Источники

[1] consultant.ru — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 3 — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] workspace.ru — Как собирать и обрабатывать персональные данные в чат-ботах, чтобы не получить штраф — https://workspace.ru/blog/kak-sobirat-i-obrabatyvat-personalnye-dannye-v-chat-botah-chtoby-ne-poluchit-shtraf/

[3] garant.ru — Что нужно учесть при взаимодействии с клиентами в телеграм-канале и обработке их персональных данных — https://www.garant.ru/consult/business/1803187/

[4] vc.ru — Как использовать приложения и Telegram-боты для бизнеса, не нарушая законодательства о персональных данных — https://vc.ru/legal/1887695-kak-ispolzovat-prilozheniya-i-telegram-boty-dlya-biznesa-ne-narushaya-zakonodatelstva-o-personalnyh-dannyh

[5] vc.ru — Как использовать приложения и Telegram-боты для бизнеса, не нарушая законодательства о персональных данных — https://vc.ru/legal/1887695-kak-ispolzovat-prilozheniya-i-telegram-boty-dlya-biznesa-ne-narushaya-zakonodatelstva-o-personalnyh-dannyh

[6] consultant.ru — Федеральный закон от 27.07.2006 № 152-ФЗ, ч. 5 ст. 18 — https://www.consultant.ru/document/cons_doc_LAW_61801/

[7] b-152.ru — Хранение персональных данных за границей: что разрешено, что запрещено и как соблюсти локализацию в 2025 году — https://b-152.ru/hranenie-personalnyh-dannyh-za-granicej

[8] comply.ru — Локализация и трансграничная передача персональных данных. Что изменилось с 1 июля 2025 года? — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[9] comply.ru — Локализация и трансграничная передача персональных данных. Что изменилось с 1 июля 2025 года? — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[10] lukash.partners — Персональные данные в телеграм — https://lukash.partners/article/personalnie-dannie-telegram

[11] ic-tech.ru — Как подать уведомление Роскомнадзора, если данные собираются через Telegram-бот? — https://ic-tech.ru/blog/faq/questions-rkn/kak-podat-uvedomlenie-esli-dannye-sobirayutsya-cherez-telegram-bot/

[12] textback.ru — Как собирать персональные данные в чат-ботах по закону — https://textback.ru/kak-sobirat-personalnye-dannye-v-chat-botah-i-ne-narushat-zakon/

[13] pobedaprava.ru — Уведомление о трансграничной передаче данных — https://pobedaprava.ru/pd/transgranichnaya-peredacha-dannikh/

[14] workspace.ru — Как бизнесу легально использовать чат-боты в Телеграм в 2026 году: избегаем штрафов — https://workspace.ru/blog/kak-biznesu-legalno-ispolzovat-chat-boty-v-telegram-v-2026-godu-izbegaem-shtrafov/

[15] knopka.com — Чат-боты и персональные данные: правовые аспекты — https://knopka.com/blog/category/yuridicheskie-momenty/tpost/r03xi7em01-kto-sledit-za-chat-botami-lichnaya-infor

[16] pravoved.ru — Соответствие требованиям 152-ФЗ сбора персональных данных посредством бота в мессенджере Telegram — https://pravoved.ru/question/2356915/

[17] vc.ru — Telegram-боты для бизнеса: почему удобство может обернуться штрафами и потерей репутации — https://vc.ru/legal/2240622-telegram-boty-dlya-biznesa-yuridicheskie-riski

[18] 1ps.ru — Полный гайд по 152-ФЗ об обработке персональных данных с изменениями 2025 года — https://1ps.ru/blog/dirs/2025/kak-ne-popast-na-millionyi-razbiraem-novyie-trebovaniya-po-obrabotke-personalnyix-dannyix/

[19] ic-tech.ru — Как подать уведомление Роскомнадзора, если данные собираются через Telegram-бот? — https://ic-tech.ru/blog/faq/questions-rkn/kak-podat-uvedomlenie-esli-dannye-sobirayutsya-cherez-telegram-bot/

[20] vc.ru — Telegram-боты для бизнеса: почему удобство может обернуться штрафами и потерей репутации — https://vc.ru/legal/2240622-telegram-boty-dlya-biznesa-yuridicheskie-riski

[21] ic-tech.ru — Как подать уведомление Роскомнадзора, если данные собираются через Telegram-бот? — https://ic-tech.ru/blog/faq/questions-rkn/kak-podat-uvedomlenie-esli-dannye-sobirayutsya-cherez-telegram-bot/

[22] textback.ru — Как собирать персональные данные в чат-ботах по закону — https://textback.ru/kak-sobirat-personalnye-dannye-v-chat-botah-i-ne-narushat-zakon/

[23] klerk.ru — С 1 июля 2025 Google аналитика, формы, капча, WhatsApp и Telegram на сайте — под запретом — https://www.klerk.ru/blogs/roskom24/652336/

[24] pravoved.ru — Соответствие требованиям 152-ФЗ сбора персональных данных посредством бота в мессенджере Telegram — https://pravoved.ru/question/2356915/

[25] it-pnk.ru — Увеличение штрафов за нарушение законодательства о персональных данных с 30 мая 2025 года — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[26] klerk.ru — С 1 июля 2025 Google аналитика, формы, капча, WhatsApp и Telegram на сайте — под запретом — https://www.klerk.ru/blogs/roskom24/652336/

[27] consultant.ru — Персональные данные: новые штрафы с 30 мая 2025 года — https://www.consultant.ru/legalnews/28492/

[28] b-152.ru — Закон о персональных данных 2025 — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[29] b-152.ru — Закон о персональных данных 2025 — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[30] comply.ru — Локализация и трансграничная передача персональных данных — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[31] rbc.ru — Роскомнадзор заявил о продолжении «последовательных ограничений» Telegram — https://www.rbc.ru/technology_and_media/10/02/2026/698b21a39a79473017a3cb4a

[32] legalacademy.ru — Telegram в России: как законно продолжать работу в условиях новых ограничений 2026 года — https://legalacademy.ru/sphere/post/telegram-v-rossii-kak-zakonno-prodolzhat-rabotu-v-usloviyah-novyh-ogranichenii-2026-goda

[33] it-world.ru — Трехлетняя память интернета. Во сколько обойдутся новые правила хранения данных? — https://www.it-world.ru/it-news/d81b6udii9wk8ww08c04go8oo0cgc80.html