Telegram-боты, VK-формы и мессенджеры: как собирать заявки без «серых» передач персональных данных

Полный практический разбор: что изменилось в законодательстве 2025–2026 годов, чем рискует бизнес, и как выстроить легальный процесс сбора лидов через мессенджеры и соцсети.

Почему тема стала критически важной именно сейчас

Ещё два-три года назад большинство компаний спокойно собирали заявки через Telegram-ботов: пользователь вводил имя и телефон прямо в чате, данные падали в Google Таблицу или CRM — и никто особо не задумывался, является ли это нарушением закона. Роскомнадзор практически не применял санкций, а сам 152-ФЗ воспринимался как формальность.

Ситуация изменилась кардинально. В 2024–2025 годах законодатель последовательно закрывал лазейки и наращивал санкции. Пакет законов — № 420-ФЗ, № 41-ФЗ, поправки в 152-ФЗ через № 233-ФЗ и № 156-ФЗ — превратил вопрос сбора данных через мессенджеры из юридической абстракции в реальный операционный риск. Параллельно с 1 июля 2025 года Роскомнадзор запустил автоматическую проверку сайтов с использованием ИИ на наличие запрещённых виджетов и скриптов иностранных сервисов [1].

Эта статья — практическое руководство для предпринимателей, маркетологов, владельцев бизнеса и разработчиков чат-ботов: что именно изменилось, чем конкретно рискует компания, использующая Telegram-бота без должного оформления, и как перестроить процесс сбора заявок так, чтобы он был одновременно удобным для клиента и законным с точки зрения российского права.

Раздел 1. Правовой фундамент: что закон считает обработкой персональных данных

1.1 Кто такой «оператор» и когда им становится ваш бот

Согласно статье 3 Федерального закона № 152-ФЗ «О персональных данных», оператором является любое юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных [2].

Персональные данные — это любая информация, относящаяся к прямо или косвенно определяемому физическому лицу: фамилия, имя, отчество, телефон, электронная почта, адрес, дата рождения, фото и многое другое [3]. Важный нюанс: Роскомнадзор относит адрес электронной почты к персональным данным, хотя судебная практика в этом вопросе неоднородна [2].

Как только Telegram-бот запрашивает у пользователя имя, телефон или адрес и сохраняет эти сведения — компания становится оператором персональных данных. Это происходит в момент получения первого сообщения с личными сведениями [4]. Если бот только отвечает на вопросы из FAQ, не просит контакты и не идентифицирует пользователя, обязанностей оператора не возникает — но как только вы собираете данные для обратной связи или оформления заказа, требования 152-ФЗ вступают в силу в полном объёме [4].

1.2 Волна законодательных изменений 2025 года

2025 год стал переломным с точки зрения регулирования. Перечислим ключевые изменения в хронологическом порядке:

1. С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ от 30.11.2024, кратно увеличивший размеры административных штрафов за нарушения при работе с персональными данными [5].
2. С 1 июня 2025 года вступил в силу Федеральный закон № 41-ФЗ, запретивший банкам, операторам сотовой связи, государственным предприятиям, публично-правовым компаниям и некредитным финансовым организациям использовать иностранные мессенджеры (Telegram, WhatsApp и другие) для коммуникации с гражданами [6].
3. С 1 июля 2025 года вступили в силу поправки в 152-ФЗ, установившие, что первичный сбор персональных данных граждан РФ должен осуществляться на территории России: любая информация, которую пользователь вводит на сайте или в форме (имя, телефон, email), должна сначала сохраняться на российских серверах [7].
4. С 1 сентября 2025 года вступили в силу поправки (№ 233-ФЗ и № 156-ФЗ), изменившие требования к форме согласия на обработку ПДн: теперь оно должно быть оформлено строго отдельно от любого другого документа — договора, оферты, пользовательского соглашения [8].

1.3 Что считается «серой» передачей персональных данных

«Серая» схема — это любой способ передачи или сбора персональных данных, при котором:

1. Данные передаются на зарубежные серверы без уведомления Роскомнадзора о трансграничной передаче.
2. Отсутствует надлежащее согласие субъекта персональных данных.
3. Данные хранятся в иностранном сервисе (Google Таблицах, Airtable, Notion и т. д.) без соблюдения требований локализации.
4. Информация запрашивается напрямую в чате мессенджера без уведомления о политике конфиденциальности.

Когда пользователь нажимает кнопку «Написать в Telegram» на сайте и отправляет сообщение, его персональные данные (номер телефона, привязанный к аккаунту, аккаунт как таковой) уходят на серверы Telegram, расположенные за рубежом. По закону это квалифицируется как трансграничная передача данных [7]. Такая же ситуация возникает при использовании виджетов WhatsApp, форм через Google Forms и сервисов аналитики класса Google Analytics без соблюдения порядка трансграничной передачи [9].

Раздел 2. Штрафы, которые больше нельзя игнорировать

2.1 Новая шкала санкций с 30 мая 2025 года

Федеральный закон № 420-ФЗ ввёл дифференцированную шкалу штрафов, напрямую зависящую от масштаба нарушения [5]:

1. За обработку персональных данных без согласия субъекта: для юрлиц — от 150 000 до 300 000 рублей при первом нарушении, от 300 000 до 500 000 рублей при повторном [10].
2. За утечку персональных данных 1–10 тысяч записей: для юрлиц — до 5 млн рублей.
3. За утечку более 100 тысяч записей: для юрлиц — до 15 млн рублей.
4. За повторные нарушения: оборотный штраф в размере от 1% до 3% от годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей [11].
5. За неуведомление Роскомнадзора о начале обработки ПДн: для организаций — от 100 000 до 300 000 рублей [12].
6. За нарушение порядка трансграничной передачи: для организаций и ИП — от 1 до 6 млн рублей, при повторном нарушении — до 18 млн рублей [8].
7. За несвоевременное уведомление РКН об утечке (нарушение требования 24 часов): штраф от 1 до 3 млн рублей [13].

Принципиально важно: индивидуальных предпринимателей теперь приравняли в ответственности к юридическим лицам. Роскомнадзор прямо указал, что новые штрафы касаются абсолютно всех операторов — от микробизнеса до корпораций [7].

2.2 Первые прецеденты правоприменения

Практика применения санкций уже появилась. В 2025 году зафиксирован прецедент: москвичка пожаловалась в Роскомнадзор на банк. Ведомство провело проверку и установило, что сотрудник банка с корпоративного номера отправил должнику сообщение через WhatsApp. Суд признал банк виновным и оштрафовал на 200 000 рублей [14]. Этот случай примечателен: инцидент был спровоцирован одним сообщением одного сотрудника.

Помимо административных санкций, Федеральный закон № 421-ФЗ внёс изменения в Уголовный кодекс РФ, ужесточив наказания за злоупотребления при сборе и обработке персональных данных [10].

Раздел 3. Telegram-боты: как устроен правовой риск

3.1 Архитектура проблемы

Telegram-бот как инструмент сбора заявок создаёт несколько наслаивающихся правовых рисков одновременно:

1. Сервер Telegram находится за пределами России — в США и Германии [15]. Любые данные, которые пользователь вводит через бота, сначала проходят через инфраструктуру Telegram, то есть фактически происходит трансграничная передача.
2. Сквозное шифрование в облачных чатах Telegram защищает переписку от посторонних, но не даёт оператору-бизнесу никаких гарантий относительно того, где и как хранится информация на стороне сервиса [16].
3. Данные, введённые пользователем в чате, могут оседать в нескольких местах одновременно: в базе данных бота, в облаке Telegram, в CRM-системе, в Google Таблице — и каждая из этих точек хранения создаёт самостоятельный риск.

3.2 Что разрешено, а что нет с 1 июля 2025 года

Вопрос непростой, и в экспертном сообществе нет полного консенсуса. Позиции расходятся:

Одна точка зрения: для частного бизнеса (не относящегося к категории банков, госкомпаний и финансовых организаций) сбор персональных данных в Telegram не запрещён законом напрямую, но требует соблюдения требований 152-ФЗ в полном объёме — согласие, политика конфиденциальности, хранение данных в России, уведомление РКН [17].

Другая точка зрения: с 1 июля 2025 года первичный сбор ПДн через иностранные сервисы без предварительного уведомления РКН о трансграничной передаче фактически запрещён для всех операторов, а не только для специализированных организаций [7].

Есть и промежуточная позиция, которую выражают практикующие юристы: механизм правоприменения ещё не отлажен, но законодательная база уже позволяет Роскомнадзору предъявить претензии практически любому оператору, использующему Telegram для сбора данных. Бизнесу предлагается самостоятельно оценить риски [18].

Единственное, что можно утверждать твёрдо: если бот только отвечает на вопросы FAQ, не запрашивает контакты и не идентифицирует пользователя — нарушения нет. Как только начинается сбор имени, телефона или email — оператор обязан соблюдать все требования 152-ФЗ [4].

3.3 Типичные «серые» схемы и их разбор

Схема первая: бот запрашивает телефон напрямую в чате, данные падают в Google Таблицу. Риск: отсутствие согласия на обработку ПДн, хранение данных на зарубежном сервере, передача данных через инфраструктуру Telegram. Три нарушения одновременно.

Схема вторая: менеджер принимает заявки через личный аккаунт Telegram, сохраняет данные в записную книжку или в Telegram-папку. Риск: компания де-факто обрабатывает ПДн через личные устройства сотрудника без надлежащей организации защиты, отсутствует политика конфиденциальности и согласие субъекта.

Схема третья: бот отправляет собранные данные в корпоративный Telegram-чат с командой. Риск: данные клиента без его согласия передаются множеству лиц через иностранный сервис, что формально является незаконной передачей третьим лицам.

Схема четвёртая: на сайте размещена кнопка «Написать в WhatsApp/Telegram», при нажатии открывается чат. Риск: в момент перехода аккаунт пользователя и его данные уже попадают на зарубежные серверы. По мнению ряда юристов, это может квалифицироваться как трансграничная передача, организованная оператором [7].

Раздел 4. VK-формы: относительно безопасный инструмент с нюансами

4.1 Как устроены лид-формы ВКонтакте

VK-лид-формы (Lead Ads в VK Рекламе) — встроенный рекламный формат ВКонтакте, позволяющий собирать контактные данные пользователей непосредственно внутри соцсети, без перехода на внешний сайт [19]. Пользователь видит объявление, нажимает на кнопку, форма открывается с частично предзаполненными данными (имя, телефон из профиля ВКонтакте) — и в несколько кликов оставляет заявку.

Принципиальное отличие VK-форм от Telegram-ботов: инфраструктура ВКонтакте российская. Данные хранятся в России, компания ВКонтакте включена в реестры российского законодательства. Это автоматически снимает риск трансграничной передачи при условии правильно настроенного процесса [20].

4.2 Что встроено в VK-форму, а что оператор добавляет сам

VK-форма автоматически генерирует текст согласия на обработку персональных данных на основе данных компании, которые оператор вводит при настройке [21]. Это удобно, но создаёт ложное ощущение полной защищённости. На практике оператор несёт самостоятельную ответственность за:

1. Наличие политики конфиденциальности — ссылка на неё обязательна при создании формы [22].
2. Корректность целей обработки, указанных в политике.
3. Дальнейшее хранение и обработку данных, поступивших из формы: если данные выгружаются в Google Таблицу или передаются иностранной CRM — возникают те же риски, что и с Telegram.
4. Соответствие согласия новым требованиям с 1 сентября 2025 года: оно должно быть отдельным документом, а не вшитым в оферту [8].

4.3 Интеграция VK-форм с CRM: подводные камни

Данные из VK-лид-форм можно получать несколькими способами: через рекламный кабинет вручную, по email-уведомлению, через CallBack API в CRM [23]. Именно на этапе интеграции с CRM чаще всего возникают нарушения:

1. Если CRM-система иностранная (например, HubSpot или Salesforce в зарубежном облаке) — данные уходят за пределы РФ.
2. Если подрядчик, обслуживающий CRM, не подписал с вами соглашение о поручении обработки персональных данных — это нарушение ч. 3 ст. 6 152-ФЗ.
3. Если выгруженный файл с лидами лежит в общем облачном диске с широким доступом — это нарушение принципа разграничения доступа.

Раздел 5. Правильная архитектура: как собирать заявки законно

5.1 Принцип «мессенджер — только интерфейс»

Наиболее безопасный подход, который рекомендуют практикующие специалисты, — использовать мессенджер исключительно как интерфейс взаимодействия, но не как хранилище данных [24]. Схема выглядит так:

1. Бот или менеджер в Telegram/WhatsApp ведёт диалог с пользователем, квалифицирует запрос.
2. Когда нужны персональные данные, бот отправляет ссылку на защищённую форму на российском сервере.
3. Пользователь заполняет форму на сайте оператора (с корректным согласием на обработку ПДн).
4. Данные сохраняются в российской CRM или базе данных.
5. В мессенджере продолжается коммуникация, но без хранения сырых персональных данных.

Этот подход реализует один из ключевых принципов «Privacy by Design» — разделение интерфейса взаимодействия и фактической обработки данных [25].

5.2 Требования к согласию на обработку персональных данных с 2025 года

Согласие субъекта ПДн — краеугольный документ. С 1 сентября 2025 года требования к нему ужесточились: оно должно быть оформлено как отдельный документ и содержать [8]:

1. Полные ФИО субъекта персональных данных (или его представителя).
2. Адрес и паспортные данные субъекта.
3. Наименование и адрес оператора.
4. Цель обработки персональных данных.
5. Перечень персональных данных, на обработку которых даётся согласие.
6. Перечень действий с ПДн, на совершение которых даётся согласие.
7. Срок действия согласия.

Если для рекламных коммуникаций планируются рассылки — требуется отдельное согласие согласно ст. 18 Федерального закона «О рекламе» № 38-ФЗ [17].

5.3 Обязательные документы оператора

Минимальный пакет документов для легальной работы с персональными данными включает:

1. Политику оператора в отношении обработки персональных данных (политика конфиденциальности) — должна быть в открытом доступе [17].
2. Локальный нормативный акт: Положение о работе с персональными данными.
3. Приказ о назначении ответственного за организацию обработки ПДн.
4. Форму согласия на обработку персональных данных (отдельный документ с 1 сентября 2025 года).
5. При передаче данных подрядчикам — договор-поручение на обработку ПДн с каждым из них.
6. Уведомление в Роскомнадзор о начале обработки персональных данных.

На практике полный комплект документов насчитывает от 20 до 40 локальных нормативных актов в зависимости от масштаба и специфики деятельности [26].

5.4 Уведомление Роскомнадзора: обязанность, которую больше нельзя игнорировать

Согласно ч. 1 ст. 22 152-ФЗ, оператор до начала обработки ПДн обязан уведомить Роскомнадзор. Подача уведомления — основание для внесения в реестр операторов персональных данных [27]. Уведомление подаётся однократно, но при изменении состава данных, целей обработки или инфраструктуры хранения требуется корректирующее уведомление.

Способы подачи: через портал Госуслуг, через сайт Роскомнадзора или в бумажном виде. РКН обязан обработать уведомление в течение 30 дней [27]. Отсутствие записи в реестре с высокой вероятностью спровоцирует внеплановую проверку [28]. Штраф за неуведомление — до 300 000 рублей для юрлиц [12].

Раздел 6. Практический чек-лист для разных типов бизнеса

6.1 Чек-лист для Telegram-бота

1. Бот запрашивает персональные данные? Если да — компания является оператором ПДн.
2. Подано ли уведомление в Роскомнадзор? Если нет — подайте до начала обработки.
3. Разработана ли политика конфиденциальности? Ссылку на неё должен давать бот перед запросом данных.
4. Собирается ли согласие на обработку ПДн (отдельный документ, не вшитый в оферту)?
5. Где хранятся данные? База данных бота должна находиться на серверах в РФ (статья 18 152-ФЗ).
6. Если данные передаются подрядчикам (разработчику бота, CRM, колл-центру) — есть ли договор-поручение с каждым?
7. Если используется Google Таблица или иностранная CRM — направлено ли уведомление о трансграничной передаче в РКН?
8. Есть ли механизм, позволяющий пользователю отозвать согласие и потребовать удаления данных?
9. Есть ли процедура уведомления РКН об утечке в течение 24 часов?
10. Проводится ли регулярный аудит: актуальны ли уведомления, корректны ли данные о хранилищах?

6.2 Чек-лист для VK-форм

1. Указана ли ссылка на политику конфиденциальности при настройке формы?
2. Соответствует ли политика конфиденциальности новым требованиям (актуальная редакция, перечислены все цели обработки, все хранилища данных)?
3. Куда выгружаются данные из формы? Выгрузка в иностранную систему создаёт дополнительные требования.
4. Подписан ли договор-поручение с каждым подрядчиком, получающим данные из формы?
5. Если настроена интеграция через API с CRM — проверьте, где физически расположены серверы CRM.
6. Если форма используется для рекламных рассылок — есть ли отдельное согласие согласно 38-ФЗ?
7. Подан ли файл-поручение с документацией по ПДн в Роскомнадзор?

6.3 Чек-лист для любого мессенджера

1. Определите: у вас в мессенджере только диалог или также сбор и хранение данных?
2. Если данные собираются — направьте пользователя на форму на российском сервере.
3. Не запрашивайте паспортные данные, СНИЛС, данные платёжных карт напрямую в чате.
4. Если вы относитесь к категории банков, финансовых организаций или госкомпаний — с 1 июня 2025 года иностранные мессенджеры для коммуникации с клиентами запрещены [6].
5. Файлы с персональными данными при передаче подрядчикам — только в зашифрованном виде [24].
6. Никогда не отправляйте файл с данными и пароль к нему через один и тот же канал [24].

Раздел 7. Ошибки, за которые бизнес платит больше всего

7.1 Ошибка 1: «У нас маленький бизнес, нас не проверяют»

Роскомнадзор прямо указал, что новые штрафы касаются абсолютно всех операторов — от микробизнеса до корпораций. Закон не делает исключений по размеру компании: даже владелец маленького сайта-визитки или ИП, собирающий заявки через Telegram, несёт равную ответственность с крупным банком [7]. С 1 июля 2025 года РКН запустил автоматическую проверку сайтов с ИИ — теперь нарушение может быть обнаружено без выездной проверки [8].

7.2 Ошибка 2: согласие, вшитое в оферту или политику конфиденциальности

До 1 сентября 2025 года это было распространённой практикой: галочка согласия объединялась с акцептом оферты. С момента вступления в силу новых поправок такой подход является прямым нарушением закона. Согласие должно быть отдельным документом; его нельзя объединять с другими [8].

7.3 Ошибка 3: хранение данных в Google Таблицах или Notion

Эти сервисы физически размещены на зарубежных серверах. Использование их для хранения персональных данных российских граждан без уведомления РКН о трансграничной передаче — нарушение. Новые требования по локализации фактически закрывают возможность работы с популярными зарубежными сервисами без специального уведомительного порядка [10].

7.4 Ошибка 4: не подписан договор с разработчиком бота

Разработчик Telegram-бота, если он имеет доступ к базе данных с персональными данными, является «обработчиком» (в терминах GDPR) или лицом, которому поручена обработка (в терминах 152-ФЗ). С ним обязательно должен быть заключён договор с указанием ответственности за защиту данных [29]. Без такого договора оператор несёт ответственность за утечку, произошедшую по вине разработчика.

7.5 Ошибка 5: отсутствие процедуры ответа на утечку

С 30 мая 2025 года при утечке оператор обязан уведомить РКН в течение 24 часов с момента обнаружения инцидента и провести расследование в течение 72 часов. За несвоевременное уведомление — штраф от 1 до 3 млн рублей. Многие компании не имеют ни технических средств обнаружения утечки, ни организационных процедур реагирования [13].

Раздел 8. Российские мессенджеры как альтернатива

8.1 Ландшафт отечественных решений в 2025–2026 годах

Регуляторное давление на иностранные мессенджеры ускорило развитие российских альтернатив. К началу 2026 года сложился следующий ландшафт:

1. MAX (ранее VK Мессенджер) — мессенджер, получивший статус «национального» в 2025 году. С сентября 2025 года предустанавливается на все продаваемые в России устройства. К концу 2025 года в нём зарегистрировались более 75 млн пользователей, а ежедневная аудитория на середину декабря 2025 года составила 46,4 млн человек [30]. По распоряжению Правительства РФ от 12 июля 2025 года № 1880-р компания «Коммуникационная платформа» (дочерняя структура холдинга VK) стала оператором многофункционального сервиса обмена информацией [31].
2. VK Teams — корпоративный мессенджер от VK, позиционируемый как прямая замена Slack и Microsoft Teams. Входит в реестр отечественного ПО. Лежит в основе АРМ ГС — автоматизированного рабочего места госслужащего [32].
3. Яндекс Мессенджер — часть экосистемы Яндекс 360, находится в реестре отечественного ПО [32].
4. eXpress — защищённый корпоративный мессенджер с сертификатом ФСТЭК, возможностью on-premise развёртывания. Используется в РЖД, Росатоме, Совете Федерации и правительстве Санкт-Петербурга [33].

8.2 Правовые преимущества российских мессенджеров для бизнеса

Использование российских мессенджеров, включённых в реестр отечественного ПО, даёт оператору ряд преимуществ:

1. Данные остаются на территории РФ — требование локализации автоматически соблюдается.
2. Не возникает риска трансграничной передачи.
3. Соответствие требованиям ФЗ № 41-ФЗ для организаций, подпадающих под его действие.
4. Ряд корпоративных мессенджеров (eXpress, VK Teams) предоставляет возможность аудита и централизованного контроля переписки, что облегчает комплаенс.

Важно понимать: российский мессенджер снимает риск трансграничной передачи, но не освобождает от других обязанностей оператора — согласие, политика конфиденциальности, уведомление РКН по-прежнему обязательны.

Раздел 9. Концепция Privacy by Design: от теории к практике

9.1 Что такое Privacy by Design применительно к сбору заявок

«Privacy by Design» — концепция, предполагающая встраивание защиты приватности в сам дизайн системы, а не добавление её «поверх» как набора ограничений. Суть концепции Privacy by Default состоит в минимизации процессов обработки ПДн: чем меньше объём данных, чем меньше способов их обработки, чем короче сроки и меньше круг вовлечённых лиц — тем безопаснее обработка для субъектов данных и самого оператора [25].

Применительно к сбору заявок через мессенджеры это означает:

1. Собирать только те данные, которые необходимы для конкретной цели. Для первого контакта достаточно имени и телефона — не нужно спрашивать дату рождения, адрес или паспортные данные.
2. Не хранить данные дольше, чем необходимо. Если заявка обработана — данные должны быть перенесены в CRM, а не храниться вечно в чате бота.
3. Разграничивать доступ. Данные клиентов не должны быть доступны всем сотрудникам без исключения.
4. Строить процесс так, чтобы сырые персональные данные не «гуляли» по каналам коммуникаций без необходимости.

9.2 Минимизация данных как конкурентное преимущество

Парадоксально, но минимизация данных — не только требование закона, но и инструмент снижения операционного риска и повышения доверия клиентов. Компания, которая собирает меньше данных, имеет меньший потенциальный ущерб от утечки и более простую систему управления соответствием (комплаенс). Это особенно актуально в свете новой шкалы штрафов, зависящей от количества «пострадавших» субъектов ПДн [5].

Раздел 10. Как мониторить, что происходит с данными внутри компании

10.1 Невидимый риск: данные, о которых никто не знает

Практика показывает: одна из главных проблем при работе с персональными данными в компании — это не столько умышленное нарушение, сколько отсутствие актуальной картины того, где и какие данные обрабатываются. Новый сотрудник создал форму обратной связи с интеграцией в иностранный сервис. Разработчик добавил поле в базу данных бота, не уведомив юридический отдел. Подрядчик настроил интеграцию, через которую данные клиентов утекают в облако за пределами РФ. Каждое из этих событий создаёт новый риск — и никто не видит его в режиме реального времени.

Именно поэтому аудит персональных данных из разового мероприятия должен превращаться в непрерывный процесс. ИТ-ландшафт меняется постоянно: появляются новые боты, новые интеграции, новые подрядчики — и каждое изменение потенциально создаёт новый источник риска [29].

10.2 Что должен включать процесс контроля

Эффективный контроль обработки персональных данных предполагает:

1. Актуальную «карту данных»: реестр всех мест хранения ПДн (базы данных, формы, CRM, мессенджеры) с указанием владельца, цели обработки и сроков хранения.
2. Мониторинг изменений: автоматическое обнаружение новых источников данных и полей в существующих системах.
3. Контроль передачи данных: отслеживание потоков ПДн между системами, в том числе к подрядчикам и за рубеж.
4. Процедуру реагирования на инциденты: готовность уведомить РКН в течение 24 часов.
5. Регулярный аудит документации: соответствие политики конфиденциальности, форм согласия и договоров-поручений актуальным требованиям закона.

Раздел 11. «Пятый фактор»: автоматическая инвентаризация и контроль персональных данных

Одна из главных операционных проблем для бизнеса, работающего с персональными данными через мессенджеры и формы, — поддерживать актуальную картину: где какие данные появились, что изменилось, какие новые риски возникли. Ручной аудит занимает недели, а итоговый результат устаревает быстрее, чем его успевают использовать.

Именно эту проблему решает on-prem платформа «Пятый фактор» — система автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почте, AD/LDAP, CRM, 1С, API. Она строит «живую карту ПДн» — актуальный реестр того, где и какие данные есть, кто их владелец и что изменилось.

Ключевая особенность платформы — архитектура «privacy by design»: система работает только с метаданными, структурой и агрегатами, не передаёт и не хранит «сырых» персональных данных. Это означает, что она сама не становится источником дополнительного риска, — и именно это делает её безопасной для внедрения в любой инфраструктуре.

Для компаний, использующих Telegram-ботов, VK-формы или корпоративные мессенджеры для сбора заявок, «Пятый фактор» позволяет:

1. Видеть, в каких системах и базах данных осели персональные данные из разных каналов сбора.
2. Обнаруживать новые поля и интеграции до того, как они превратятся в инцидент.
3. Сократить время аудита перед проверками Роскомнадзора с недель до часов.
4. Поддерживать непрерывный комплаенс вместо разовых проверок.

В условиях, когда штрафы за нарушения с ПДн измеряются миллионами рублей, а ИТ-ландшафт компании меняется быстрее, чем успевают отслеживать юристы, инструмент непрерывного контроля становится не роскошью, а операционной необходимостью.

Раздел 12. Тренды и перспективы: что будет дальше

12.1 Усиление давления на иностранные мессенджеры

10 февраля 2026 года Роскомнадзор подтвердил, что начал ограничивать работу Telegram в России [34]. Представители РКН заявили, что мессенджер «не исполняет российское законодательство». В феврале 2026 года в ведомстве сообщили, что давление на сервис будет усиливаться. Ранее, в конце 2025 года, аналогичные ограничения были введены против WhatsApp [35].

Это означает, что бизнес, полностью завязанный на Telegram-ботов для сбора заявок, несёт не только правовой, но и операционный риск: при ограничении или блокировке мессенджера весь канал привлечения лидов может отказать.

12.2 Расширение автоматического контроля

С 1 июля 2025 года Роскомнадзор запустил систему автоматической проверки сайтов с использованием ИИ. Система анализирует наличие документов, внешних подключений, передачу данных за границу и регистрацию оператора в реестре [8]. Это означает переход от реактивного правоприменения к проактивному: нарушение может быть обнаружено без жалобы пользователя или выездной проверки.

12.3 Рост требований к документации

По информации из открытых источников, Министерство цифрового развития РФ прорабатывает законопроект, ужесточающий требования к сбору и обработке персональных данных клиентов бизнесом, направленный против практики сбора избыточной информации «про запас» [35]. С 2028 года компании могут быть обязаны передавать сведения об обработке персональных данных в ЕСИА. Это говорит о том, что требования будут только возрастать.

Заключение: что делать прямо сейчас

Ситуация с персональными данными в мессенджерах и формах перестала быть теоретической проблемой — она стала практическим операционным и финансовым риском с конкретными размерами штрафов. При этом ни Telegram-бот, ни VK-форма сами по себе не являются нарушением. Нарушением является то, как они настроены, и то, что происходит с данными дальше.

Три главных вывода:

Первый: проведите инвентаризацию. Составьте список всех точек, в которых ваша компания собирает персональные данные — сайт, боты, формы, CRM, мессенджеры. Для каждой точки определите, где хранятся данные и кто имеет к ним доступ.

Второй: устраните очевидные пробелы. Проверьте наличие и актуальность политики конфиденциальности, форм согласия (с учётом требований с 1 сентября 2025 года), уведомления в Роскомнадзор, договоров с подрядчиками. Если данные хранятся на иностранных серверах без уведомления о трансграничной передаче — это приоритет для исправления.

Третий: выстройте процесс, а не разовую проверку. Законодательство меняется, ИТ-ландшафт меняется, новые точки сбора данных появляются постоянно. Комплаенс с 152-ФЗ — это не проект с дедлайном, а непрерывный операционный процесс.

Источники

[1] Клерк. «Обработка персональных данных: новые требования с 01.07.2025 и 01.09.2025» — https://www.klerk.ru/blogs/fedresurs/658225/

[2] Гарант.ру. «Взаимодействие с клиентами в Telegram-канале и обработка персональных данных» — https://www.garant.ru/consult/business/1803187/

[3] Workspace.ru. «Как бизнесу легально использовать чат-боты в Telegram в 2026 году» — https://workspace.ru/blog/kak-biznesu-legalno-ispolzovat-chat-boty-v-telegram-v-2026-godu-izbegaem-shtrafov/

[4] Хабр. «Можно ли бизнесу вести каналы, общаться с клиентами и делать чат-ботов в Telegram?» — https://habr.com/ru/articles/946282/

[5] КонсультантПлюс. «С 30 мая 2025 года значительно ужесточена ответственность за нарушения в области персональных данных» — https://www.consultant.ru/document/cons_doc_LAW_490308/

[6] Jivo. «Закон о запрете иностранных мессенджеров в России: кому и что запрещено с 1 июня 2025» — https://www.jivo.ru/blog/tutorials-jivo/zapret-inostrannyh-messendzherov.html

[7] Клерк. «Новые ограничения для иностранных мессенджеров и софта: что грозит владельцам сайтов» — https://www.klerk.ru/blogs/roskom24/654884/

[8] Клерк. «Обработка персональных данных: новые требования с 01.07.2025 и 01.09.2025» — https://www.klerk.ru/blogs/fedresurs/658225/

[9] enkod. «Закон о персональных данных. Что нужно знать CRM-маркетологу об использовании Telegram, WhatsApp и Google Analytics» — https://enkod.io/blog/zakon-o-personalnyh-dannyh-chto-nuzhno-znat-crm-marketologu-ob-ispolzovanii-telegram-whatsapp-i-google-analytics/

[10] Business.ru. «152-ФЗ о персональных данных в 2025–2026 годах» — https://www.business.ru/article/5705-152-fz-o-personalnyh-dannyh-gg

[11] RTM Group. «Изменения в законе о персональных данных с 2025 года: новые штрафы за утечки» — https://rtmtech.ru/articles/novye-shtrafy-za-utechki-pdn/

[12] Клерк. «Регистрация в РКН и уведомление Роскомнадзора в 2026 году» — https://www.klerk.ru/blogs/roskom24/674479/

[13] Tilda Education. «152 ФЗ: что сделать на сайте, чтобы избежать штрафов» — https://tilda.education/articles-personal-data-law

[14] Контур.Толк. «Запрет Роскомнадзора на использование иностранных мессенджеров в России» — https://kontur.ru/talk/spravka/44920-pravda_chto_v_rossii_zapretili_inostr_messendzhery

[15] TAdviser. «Telegram в России» — https://www.tadviser.ru/index.php/Статья:Telegram_в_России

[16] roskom.online. «Иностранные мессенджеры под запретом: как бизнесу легально работать с персональными данными» — https://roskom.online/articles/kak-peredavat-personalnye-dannye-i-ne-narushit-zakon/

[17] TextBack. «Как собирать персональные данные в чат-ботах по закону» — https://textback.ru/kak-sobirat-personalnye-dannye-v-chat-botah-i-ne-narushit-zakon/

[18] Главбух. «Законная передача персональных данных третьим лицам: изменения, согласие, правила» — https://www.glavbukh.ru/art/391429-peredacha-personalnyh-dannyh-tretim-litsam-izmeneniya-v-2025-godu-novye-pravila

[19] Elama. «Настройка лид-формы в VK Рекламе» — https://elama.ru/blog/zapuskaem-kampaniyu-s-lid-formoy-vo-vkontakte-poshagovoe-rukovodstvo/

[20] Callibri. «Форма сбора заявок ВК: как настроить рекламу с лид-формой» — https://callibri.ru/blog/kak-nastroit-formu-sbora-zayavok-vk

[21] VK Реклама / Справка. «Настройка лид-формы в VK Рекламе» — https://elama.ru/blog/zapuskaem-kampaniyu-s-lid-formoy-vo-vkontakte-poshagovoe-rukovodstvo/

[22] SMMplanner. «Форма сбора заявок в ВК: как создать, настроить и запустить» — https://smmplanner.com/blog/forma-dlia-sbora-zaiavok-v-vk-kak-sozdat-nastroit-i-opublikovat/

[23] Calltouch. «Форма сбора заявок ВК: как создать, настроить и запустить» — https://www.calltouch.ru/blog/kak-nastroit-i-zapustit-formu-dlya-sbora-lidov-vkontakte/

[24] Wazzup. «Что важно бизнесу в законах о мессенджерах и ПДн в 2025» — https://wazzup24.ru/blog/messendzhery-i-personalnyedannye-2025-po-chelovecheski-o-5-novyh-zakonah/

[25] РАНХиГС. ЦДТО. «Способы обеспечения приватности. Privacy by Design» — https://cdto.ranepa.ru/reports/ethics/2021/4-1-sposoby-obespecheniya-privatnosti

[26] Клерк (Центр безопасности данных). «Как оператору персональных данных зарегистрироваться в Роскомнадзоре в 2026 году» — https://www.klerk.ru/blogs/data-sec/675055/

[27] БУХ.1С. «Как заполнить и подать уведомление в Роскомнадзор в 2025 году» — https://buh.ru/articles/uvedomlenie-v-roskomnadzor-kto-i-zachem-obyazan-sdavat-kak-pravilno-oformit-i-kakie-oshibki-mozhno-d.html

[28] Klerk. «Регистрация в РКН и уведомление Роскомнадзора в 2026 году: требования для бизнеса» — https://www.klerk.ru/blogs/roskom24/674479/

[29] vc.ru. «Telegram-боты для бизнеса: почему удобство может обернуться штрафами и потерей репутации» — https://vc.ru/legal/2240622-telegram-boty-dlya-biznesa-yuridicheskie-riski

[30] Lenta.ru. «Чем заменить WhatsApp и Telegram: 11 аналогов для общения и корпоративной связи» — https://lenta.ru/articles/2025/12/25/chem-zamenit-whatsapp-i-telegram/

[31] Клерк. «Персональные данные с 1 сентября 2025 года: согласие, соцсети и чат-боты» — https://www.klerk.ru/user/2037110/659750/

[32] PPT.ru. «Российские аналоги Telegram в 2026 году» — https://ppt.ru/soft/rossiyskie-analogi-telegram

[33] Мвидео Блог. «Чем заменить WhatsApp и Telegram: мессенджеры для работы и общения» — https://www.mvideo.ru/blog/podborki/luchshie-analogi-telegram-messendzhery-dlya-raboty-i-obshheniya

[34] РБК. «Российские и зарубежные альтернативы на случай полной блокировки Telegram» — https://www.rbc.ru/spb_sz/freenews/698c53f29a7947953b5434fb

[35] Главбух. «Законная передача персональных данных третьим лицам» — https://www.glavbukh.ru/art/391429-peredacha-personalnyh-dannyh-tretim-litsam-izmeneniya-v-2025-godu-novye-pravila