Логотип Пятый фактор Пятый фактор
Получить консультацию
Материал

Telegram-бот для заявок и 152-ФЗ: можно ли собирать имя, телефон, адрес — полный разбор

Опубликовано: 18.04.2026 · Обновлено: 18.04.2026 · Время чтения: 15 мин

Как бизнесу легально принимать заявки через чат-бот в Telegram, не нарушить закон о персональных данных и избежать штрафов до 500 млн рублей в 2025–2026 годах

Почему вопрос стал острым именно сейчас

Telegram-боты давно вошли в стандартный арсенал малого и среднего бизнеса: запись на приём, приём заказов, лид-форма вместо сайта. Согласно открытым данным рынка, в России работают десятки тысяч коммерческих чат-ботов — от стоматологий до строительных компаний.

Проблема в том, что большинство из них нарушают закон — не злонамеренно, а по незнанию. До 2025 года практика правоприменения была мягкой: Роскомнадзор проводил единичные проверки, штрафы оставались невысокими, и бизнес просто игнорировал требования.

В 2024–2025 годах ситуация радикально изменилась. Принято три ключевых закона и поправки к КоАП, которые в совокупности:

  • многократно увеличили штрафы за нарушения;
  • ввели запрет первичного сбора ПДн на зарубежных серверах;
  • запретили части организаций использовать Telegram для общения с клиентами;
  • обязали всех операторов уведомлять Роскомнадзор до начала обработки.

Если вы принимаете заявки через Telegram-бот и просите пользователя ввести имя, телефон или адрес — эта статья для вас.

Что такое персональные данные и являются ли имя, телефон, адрес ПДн

Согласно ст. 3 Федерального закона №152-ФЗ «О персональных данных», персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу [1].

Определение намеренно широкое. На практике это означает:

Имя (ФИО) — безусловно персональные данные. Это базовый идентификатор личности, прямо упоминаемый в законе [11].

Номер телефона — вопрос дискуссионный, но регулятор склоняется к тому, что это ПДн. Роскомнадзор относит телефонный номер к персональным данным. При этом судебная практика неоднородна: по аналогии с адресом электронной почты, один лишь номер телефона без дополнительных идентификаторов не всегда позволяет определить конкретного человека [11]. Однако на практике безопаснее считать номер телефона персональными данными — тем более что в связке с именем он однозначно становится таковыми.

Адрес — персональные данные. Закон прямо упоминает адрес в числе типичных примеров ПДн [11].

Telegram ID, username — технически это идентификаторы пользователя в конкретной системе. В связке с другими данными они также образуют персональные данные.

Важный вывод: как только ваш бот собирает хотя бы одно из полей — имя, телефон, адрес — вы работаете с персональными данными и обязаны соблюдать 152-ФЗ [1, 2].

Статус оператора ПДн: кто им становится и какие это влечёт обязанности

Кто является оператором

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки (ст. 3 152-ФЗ) [1].

На практике оператором становится практически любой бизнес: ИП с сотрудниками, ООО с клиентской базой, самозанятый с формой обратной связи [8]. Если ваш Telegram-бот принимает заявки с именем и телефоном — вы оператор ПДн, независимо от организационно-правовой формы [7].

Ключевые обязанности оператора

  1. Уведомить Роскомнадзор до начала обработки ПДн (ст. 22 152-ФЗ) [2, 8].
  2. Получить согласие пользователя на обработку его данных (ст. 9 152-ФЗ) [2].
  3. Разработать и опубликовать политику обработки персональных данных (ст. 18.1 152-ФЗ) [9].
  4. Обеспечить хранение ПДн граждан РФ на серверах, физически расположенных в России (ч. 5 ст. 18 152-ФЗ) [5, 6].
  5. Реализовать технические и организационные меры защиты данных в соответствии с Постановлением Правительства №1119 и Приказом ФСТЭК №21 [12].
  6. Обеспечить права субъекта ПДн: право на доступ к своим данным, уточнение, удаление, отзыв согласия [2].
  7. При рекламных рассылках — получить отдельное согласие в соответствии с ФЗ №38-ФЗ «О рекламе» [10].

Что изменилось в 2025 году: три волны изменений

Волна первая: ФЗ №420-ФЗ от 30.11.2024 — многократный рост штрафов (с 30 мая 2025)

Федеральный закон от 30.11.2024 №420-ФЗ существенно пересмотрел санкции в ст. 13.11 КоАП РФ. С 30 мая 2025 года за нарушения при обработке персональных данных действуют следующие штрафы [8, 13, 14]:

За неуведомление Роскомнадзора об обработке ПДн:

  • для физических лиц — от 5 000 до 10 000 рублей;
  • для должностных лиц — от 30 000 до 50 000 рублей;
  • для ИП и юридических лиц — от 100 000 до 300 000 рублей.

За утечку данных:

  • при затронутых 1 000–10 000 субъектов — от 3 до 5 млн рублей для организации;
  • при 10 000–100 000 субъектов — от 5 до 10 млн рублей;
  • при свыше 100 000 субъектов или при утечке биометрии — от 15 до 20 млн рублей.

За повторную утечку — оборотный штраф от 1% до 3% годовой выручки, не менее 25 млн и не более 500 млн рублей [15].

Роскомнадзор уже начал массовые проверки, в том числе в автоматическом режиме [8].

Волна вторая: ФЗ №41-ФЗ от 01.04.2025 — запрет Telegram для части бизнеса (с 1 июня 2025)

Закон направлен на борьбу с телефонным и интернет-мошенничеством. С 1 июня 2025 года использование иностранных мессенджеров, включая Telegram и WhatsApp, для общения с клиентами-физическими лицами запрещено следующим организациям [7]:

  • государственные органы и муниципальные структуры;
  • юридические лица, созданные с участием государства (доля участия >50%);
  • публично-правовые компании;
  • банки, кредитные и некредитные финансовые организации;
  • операторы сотовой связи;
  • крупные маркетплейсы и агрегаторы объявлений;
  • владельцы социальных сетей с российской аудиторией.

Запрет касается любого общения с клиентами: уведомлений о доставке, ответов на обращения, рекламных рассылок [7].

Если ваша организация не входит в этот список — использование Telegram-бота для приёма заявок остаётся законным при соблюдении требований 152-ФЗ [3].

Интересная деталь: по разъяснению Роскомнадзора (ответ начальника отдела надзорной деятельности Татьяны Халчевой), предоставление персональной информации посредством Telegram-бота не является «информированием» в контексте ФЗ №41-ФЗ [4]. Однако практика правоприменения ещё формируется, и юридическая неопределённость сохраняется.

Волна третья: ФЗ №23-ФЗ от 28.02.2025 — запрет первичного сбора ПДн на зарубежных серверах (с 1 июля 2025)

Это наиболее технически значимое изменение для операторов Telegram-ботов. С 1 июля 2025 года вступила в силу новая редакция ч. 5 ст. 18 152-ФЗ [5, 6]:

Запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ при их сборе не допускаются с использованием баз данных, находящихся за пределами территории России.

Что это означает на практике: Telegram — иностранный мессенджер, его серверы находятся за рубежом. Если данные пользователя остаются только в Telegram (в чате с ботом) и нигде более не сохраняются — это нарушение ч. 5 ст. 18 152-ФЗ.

Законная схема работы следующая:

  1. Пользователь вводит имя, телефон, адрес в чат-боте.
  2. Бот немедленно сохраняет эти данные в базу данных или CRM, физически расположенную на сервере в России.
  3. После этого допускается трансграничная передача (если необходима), при соблюдении ст. 12 152-ФЗ.

Ключевое правило: первая запись должна происходить в базе данных на территории РФ. Только после этого — трансграничная передача при соблюдении требований [5, 6].

Пошаговое руководство: как легально настроить Telegram-бот для приёма заявок

Шаг 1. Уведомить Роскомнадзор до начала обработки

До старта сбора данных через бота необходимо подать уведомление в Роскомнадзор об обработке персональных данных (ст. 22 152-ФЗ) [2]. Уведомление подаётся через:

  • портал Госуслуг;
  • сайт Роскомнадзора (pd.rkn.gov.ru);
  • в бумажном виде.

В уведомлении нужно указать:

  • наименование и адрес оператора;
  • цели обработки ПДн;
  • категории субъектов (клиенты-физические лица);
  • перечень обрабатываемых данных;
  • способ получения: «через онлайн-формы и мессенджеры (Telegram-бот)»;
  • место хранения: адрес дата-центра или CRM в РФ;
  • меры защиты.

Работа без поданного уведомления с 30 мая 2025 года влечёт штраф до 300 000 рублей [8].

Шаг 2. Подготовить пакет документов

Минимально необходимый пакет документов [9, 3]:

  1. Политика оператора в отношении обработки персональных данных (политика конфиденциальности). В ней указываются: перечень собираемых данных, цели обработки, способы защиты, порядок реализации прав субъектов.
  2. Согласие на обработку персональных данных. Это отдельный документ, содержащий: наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, порядок его отзыва.
  3. Согласие на рекламные рассылки (если планируются). Это третий самостоятельный документ, требуемый ст. 18 ФЗ №38-ФЗ «О рекламе» [10].
  4. Локальный нормативный акт (положение об обработке ПДн внутри компании).
  5. Приказ о назначении ответственного за организацию обработки персональных данных.

Важно: политика конфиденциальности и согласие на обработку — два разных документа. Наличие первого не заменяет второго [9].

Шаг 3. Встроить согласие в сценарий бота

Согласие должно быть явным, активным и зафиксированным. Требования с 1 сентября 2025 года [3, 9]:

  • нельзя вшивать согласие в другие документы или условия;
  • нельзя использовать «галочки по умолчанию»;
  • пользователь должен совершить активное действие — нажать кнопку или отправить сообщение.

Типичная реализация в Telegram-боте:

  1. При старте бота — сообщение с текстом согласия или активной ссылкой на него.
  2. Кнопки «Принимаю» / «Не принимаю».
  3. Факт нажатия и временная метка фиксируются в базе данных.
  4. Только после подтверждения — запрос имени, телефона, адреса.

Таким образом фиксируется факт получения согласия с точностью до секунды [3].

Шаг 4. Настроить хранение данных на серверах в РФ

Telegram-бот сам по себе не хранит данные — они остаются в переписке на серверах Telegram (за рубежом). Чтобы соответствовать ч. 5 ст. 18 152-ФЗ, необходимо настроить автоматическую выгрузку данных в российское хранилище сразу при их поступлении [5, 6, 7]:

  • CRM-система с сервером в России (amoCRM, Битрикс24 на российском хостинге, отечественные решения);
  • собственная база данных на VPS/VDS в российском дата-центре;
  • отечественные облачные решения (VK Cloud, Яндекс.Облако, Selectel).

Пример корректной записи в уведомление РКН: «Персональные данные обрабатываются с использованием Telegram-бота, интегрированного с CRM Bitrix24 (сервер в РФ). Место хранения: дата-центр в г. Москва» [7].

Резервные копии и DR-копии также должны храниться только на отечественных серверах [5].

Шаг 5. Реализовать технические меры защиты

Оператор обязан обеспечить безопасность данных согласно Постановлению Правительства №1119 и Приказу ФСТЭК №21 [12]. Для типичного Telegram-бота, собирающего имя/телефон/адрес (категория «иные ПДн», небольшое количество субъектов, угрозы 3-го типа), как правило, устанавливается 4-й или 3-й уровень защищённости (УЗ4/УЗ3) — минимальный.

Базовые технические меры для такого уровня:

  • ограничение доступа к базе данных по ролям;
  • двухфакторная аутентификация для администраторов;
  • регулярное обновление ПО бота и сервера;
  • антивирусная защита;
  • журналирование событий доступа к данным;
  • физическая безопасность серверного помещения.

Шаг 6. Обеспечить права субъектов ПДн

Пользователь вправе в любой момент [2]:

  • получить информацию об обрабатываемых данных;
  • потребовать их уточнения или удаления;
  • отозвать согласие на обработку.

В боте или в политике конфиденциальности должны быть указаны контакты для обращений: email или физический адрес оператора.

Что именно и как указывать в согласии: обязательные элементы

Согласно ст. 9 152-ФЗ, в документе согласия на обработку ПДн обязательно указываются [1, 9, 20]:

  1. Наименование или ФИО оператора, его адрес (ИНН, ОГРН для юрлиц).
  2. Цель (или цели) обработки персональных данных.
  3. Перечень персональных данных, на обработку которых даётся согласие (имя, телефон, адрес — каждый вид отдельно).
  4. Перечень действий с ПДн (сбор, хранение, использование, передача и т.д.).
  5. Срок, в течение которого действует согласие, или условие его прекращения.
  6. Порядок отзыва согласия.
  7. Наличие или отсутствие трансграничной передачи данных.

Пример корректной формулировки открывающей части согласия: «Настоящим, действуя свободно, своей волей и в своём интересе, выражаю согласие [наименование оператора] на обработку моих персональных данных при использовании чат-бота в мессенджере Telegram» [20].

Типичные ошибки операторов Telegram-ботов

Практика показывает, что бизнес допускает одни и те же нарушения [9, 24, 23]:

  1. Нет ссылки на политику конфиденциальности в сообщении бота, запрашивающем данные. Политика должна быть доступна именно в момент запроса.
  2. Согласие «встроено» в текст оферты или пользовательского соглашения. С 1 сентября 2025 года это прямо запрещено — согласие должно быть отдельным документом.
  3. Данные хранятся только в чате Telegram (на зарубежных серверах) и не выгружаются в российскую базу. Нарушение ч. 5 ст. 18 152-ФЗ.
  4. Нет уведомления в Роскомнадзор. Самая распространённая и легко обнаруживаемая ошибка — РКН проводит автоматический мониторинг.
  5. Одно согласие закрывает и обработку ПДн, и маркетинговые рассылки. Это разные правовые основания и разные документы [10].
  6. Нет контакта для отзыва согласия. Пользователь должен знать, куда обратиться.
  7. Запрашиваются избыточные данные. Принцип минимизации: запрашивайте только те данные, которые действительно нужны для заявленной цели.

Особые ситуации: когда Telegram-бот под запретом

Организации под ФЗ №41-ФЗ

Если вы работаете в банке, страховой компании, операторе связи, госструктуре или организации с долей государства >50% — использование Telegram-бота для общения с клиентами запрещено с 1 июня 2025 года [7]. Нарушение грозит административной ответственностью и блокировкой аккаунтов организации.

Альтернативы: российские мессенджеры (MAX, eXpress, VK Мессенджер), собственные мобильные приложения, SMS-уведомления, email.

Чат-бот как информационный инструмент без сбора ПДн

Если бот только отвечает на вопросы FAQ, предоставляет расписание или каталог и не запрашивает персональных данных — требования 152-ФЗ к нему не применяются в части обработки ПДн [3]. Однако как только появляется хотя бы одно поле с именем или телефоном — вы становитесь оператором.

Что делать, если вы уже собираете данные и ещё не уведомили РКН

Роскомнадзор советует: если пропустили срок, всё равно отправьте уведомление. После регистрации вас внесут в реестр операторов [12]. Штраф за несвоевременное уведомление всё равно может быть выписан, но его наличие в реестре снижает риски дальнейших санкций.

Параллельно с подачей уведомления рекомендуется:

  • ввести в бот механизм получения согласия;
  • опубликовать политику конфиденциальности (можно на сайте компании и дать ссылку в боте);
  • настроить выгрузку данных в российскую базу;
  • разработать внутренние документы (положение, приказы).

Взгляд в будущее: тренды регулирования

Правоприменительная практика продолжает ужесточаться. Несколько устойчивых трендов:

Во-первых, регуляторная активность нарастает. В апреле 2025 года один из банков был оштрафован на 200 000 рублей за использование WhatsApp при передаче персональных данных клиента [7]. Это сигнал: РКН перешёл от предупреждений к реальным санкциям.

Во-вторых, диджитальный суверенитет как стратегия. Запрет иностранных мессенджеров для части организаций, требование локализации данных, продвижение MAX как российской альтернативы — всё это части единой политики. Эксперты ожидают, что в 2026 году ограничения могут распространиться на более широкий круг организаций [4].

В-третьих, ИИ-инструменты под прицелом. Использование зарубежных облачных ИИ-сервисов для обработки данных клиентов может нарушать требования локализации, если данные обрабатываются на серверах за пределами РФ [5].

Практический чек-лист для Telegram-бота

Перед запуском бота убедитесь, что выполнены следующие пункты:

  1. Подано уведомление в Роскомнадзор (статус проверен на pd.rkn.gov.ru).
  2. Разработана политика конфиденциальности и опубликована с возможностью доступа из бота.
  3. В сценарии бота встроено отдельное активное согласие на обработку ПДн (кнопка, фиксация факта и времени).
  4. Если планируются рассылки — есть отдельное согласие на рекламные коммуникации.
  5. Данные из бота автоматически сохраняются в базу/CRM на российском сервере.
  6. Настроена техническая защита: контроль доступа, аутентификация, журналирование.
  7. Есть контакт для отзыва согласия и реализации прав субъектов.
  8. Если вы банк, оператор связи или госструктура — Telegram-бот для общения с клиентами запрещён.
  9. Определён уровень защищённости ИСПДн и реализованы меры по ПП №1119.
  10. Назначен ответственный за организацию обработки ПДн.

Платформа «Пятый фактор»: контроль персональных данных в корпоративной среде

Если вы уже наладили легальный сбор ПДн через Telegram-бот, следующий вопрос — что происходит с данными дальше: в CRM, базах данных, 1С, почте, облачных хранилищах. Именно здесь скрываются наибольшие риски: данные копируются, попадают в новые системы, меняются структуры таблиц — и компания теряет актуальную картину того, где именно хранятся персональные данные клиентов.

Платформа «Пятый фактор» решает эту задачу: она автоматически обнаруживает, инвентаризирует и контролирует персональные данные во всех корпоративных системах — БД, хранилищах, почте, CRM, 1С, AD/LDAP. Ключевая особенность — работа с метаданными и агрегатами без доступа к «сырым» значениям ПДн, поэтому платформа сама не становится источником риска.

Для компаний, активно использующих чат-боты и автоматизированный сбор заявок, это особенно актуально: данные из бота поступают в CRM, оттуда могут попадать в аналитические системы, экспортироваться в Excel, передаваться подрядчикам. «Пятый фактор» даёт живую «карту ПДн» — где, какие данные есть, кто владелец, что изменилось. Это позволяет заметить новые риски (новые поля, интеграции, источники) до того, как они превратятся в инцидент.

Подробнее: 5factor.ru

Заключение

Telegram-бот для приёма заявок — законный инструмент для большинства российских компаний. Однако требования к его легальной эксплуатации в 2025–2026 годах существенно выросли:

  • вы автоматически становитесь оператором ПДн при первом запросе имени или телефона;
  • уведомление в Роскомнадзор обязательно до начала работы;
  • данные должны первично сохраняться на серверах в РФ;
  • согласие должно быть явным, активным и отдельным от политики конфиденциальности;
  • для государственных структур и финансовых организаций Telegram запрещён полностью.

Игнорирование этих требований несёт реальные финансовые риски: от 300 000 рублей за отсутствие уведомления до 500 млн рублей за повторную утечку данных.

Источники

[1] garant.ru — Консультация: ФИО и телефон в Telegram-канале и 152-ФЗ — https://www.garant.ru/consult/business/1803187/

[2] pravoved.ru — Соответствие 152-ФЗ при сборе ПДн через Telegram-бот — https://pravoved.ru/question/2356915/

[3] habr.com — Можно ли бизнесу вести чат-ботов в Telegram — https://habr.com/ru/articles/946282/

[4] comnews.ru — Разъяснения РКН по ФЗ №41-ФЗ и Telegram-ботам — https://www.comnews.ru/content/242678/2025-12-02/2025-w49/1007/ne-skhoditsya-zakonu-tovarisch-roskomnadzor

[5] b1.ru — Новые правила локализации персональных данных граждан РФ — https://b1.ru/insights/law-messenger/localization-of-personal-data-of-russian-citizens-6-march-2025/

[6] b-152.ru — Хранение персональных данных за границей: что разрешено — https://b-152.ru/hranenie-personalnyh-dannyh-za-granicej

[7] workspace.ru — Как бизнесу легально использовать чат-боты в Telegram в 2026 году — https://workspace.ru/blog/kak-biznesu-legalno-ispolzovat-chat-boty-v-telegram-v-2026-godu-izbegaem-shtrafov/

[8] business.ru — 152-ФЗ о персональных данных в 2025–2026 годах — https://www.business.ru/article/5705-152-fz-o-personalnyh-dannyh-gg

[9] vc.ru — Сбор персональных данных через чат-бот — https://vc.ru/legal/1598826-sbor-personalnyh-dannyh-cherez-chat-bot

[10] textback.ru — Как собирать персональные данные в чат-ботах по закону — https://textback.ru/kak-sobirat-personalnye-dannye-v-chat-botah-i-ne-narushat-zakon/

[11] garant.ru — Является ли телефон персональными данными — https://www.garant.ru/consult/business/1803187/

[12] harant.ru — Сбор ПДн в Telegram-боте: соответствие 152-ФЗ — https://harant.ru/questions/q-78397/

[13] kontur-extern.ru — Кто и когда должен уведомить Роскомнадзор — https://www.kontur-extern.ru/info/25487-kto_i_kogda_dolzhen_uvedomit_roskomnadzor_ob_obrabotke_personalnyx_dannyx

[14] pravovest-audit.ru — Ответственность за неподачу уведомления в РКН — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/otvetstvennost-za-nepodachu-uvedomleniya-v-roskomnadzor-ob-obrabotke-personalnykh/

[15] consultant.ru — Новые штрафы за утечку персональных данных — https://www.consultant.ru/legalnews/27142/

[16] tochka.com — Закон о персональных данных 152-ФЗ: кому подавать уведомление — https://tochka.com/knowledge/buhgalteriya/zakon-o-personalnyh-dannyh-152-fz-komu-neobhodimo-podavat-uvedomlenie-v-rkn/

[17] ic-tech.ru — Как подать уведомление РКН при сборе данных через Telegram-бот — https://ic-tech.ru/blog/faq/questions-rkn/kak-podat-uvedomlenie-esli-dannye-sobirayutsya-cherez-telegram-bot/

[18] comply.ru — Локализация и трансграничная передача ПДн с 1 июля 2025 — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[19] mindbox.ru — Запрет иностранных мессенджеров: кому запретят консультации — https://mindbox.ru/journal/experts/zapret-messendzherov/

[20] endoexpert.ru — Пример согласия на обработку ПДн в Telegram-боте — https://endoexpert.ru/servisy-i-faq/soglasie-chatbot/

[21] workspace.ru — Как собирать ПДн в чат-ботах: типичные ошибки — https://workspace.ru/blog/kak-sobirat-i-obrabatyvat-personalnye-dannye-v-chat-botah-chtoby-ne-poluchit-shtraf/

[22] kt-team.ru — Новые правила обработки ПДн в 2025 году — https://www.kt-team.ru/blog/personal-data-processing-2025-avoid-fines

[23] mosdigitals.ru — Запрет иностранных мессенджеров: актуальные ограничения 2026 года — https://mosdigitals.ru/blog/zapret-na-ispolzovanie-inostrannyh-messendzherov-aktualnye-ogranicheniya-2026-goda-i-otvetstvennost-biznesa

[24] selectel.ru — ИСПДн и уровни защищённости персональных данных — https://selectel.ru/blog/personal-info-is/

Быстрые вопросы и ответы

Можно ли собирать имя и телефон через Telegram-бот?

Да, но необходимо соблюдать 152-ФЗ.

Что такое персональные данные?

Это информация, относящаяся к определённому физическому лицу.

Какие штрафы за нарушение 152-ФЗ?

Штрафы могут достигать 500 млн рублей.

Кто является оператором персональных данных?

Любое лицо или организация, обрабатывающая ПДн.

Что делать, если бот собирает данные?

Уведомить Роскомнадзор и получить согласие пользователя.

Нужна консультация по вашему контуру?
Покажем, где появляются персональные данные и какие риски требуют внимания в первую очередь.
Получить консультацию Все материалы
Файлы cookie

Мы используем обязательные технические cookie, чтобы сайт работал корректно. Аналитика включается только при вашем согласии и может быть отключена позже в любой момент. Подробнее — в политике cookie и настройках cookie.