Персональные данные в чат-ботах и мессенджерах: что нужно оформить онлайн-школе в 2026 году

Вы запустили Telegram-бота для записи на курс или сбора заявок — и решили, что раз нет отдельного сайта с формой, то и закон не касается. Это распространённое заблуждение, которое обходится онлайн-школам дорого. Роскомнадзор научился выявлять нарушения в мессенджерах, а сумма штрафов за 2025 год в сфере EdTech выросла в три раза.

Разберём конкретно: что именно нарушают школы при работе с ботами, как это исправить и что будет, если не исправить.

Когда переписка в мессенджере — это обработка персональных данных

Многие владельцы онлайн-школ думают, что «персональные данные» — это только паспортные реквизиты или ИНН. На самом деле закон трактует понятие широко.

Вот что становится персональными данными в типичном Telegram-боте онлайн-школы:

• Имя и фамилия — если пользователь вводит их в ответ на вопрос бота или они берутся из Telegram-профиля
• Номер телефона — при запросе для записи на вебинар или курс
• Email — для отправки материалов или доступа к платформе
• Тема запроса — если она идентифицирует человека (например, «проблема с платежом» + имя)
• Поведенческие данные — какие кнопки нажимал, на каком шаге остановился, когда был активен
• Технические идентификаторы — Telegram user ID и chat ID однозначно идентифицируют пользователя

Особый момент с поведенческими данными: даже если бот не спрашивает имя напрямую, он может собирать данные об активности конкретного пользователя (Telegram ID + время + действия). Это тоже ПДн, потому что данные относятся к идентифицированному лицу.

Что собирает бот	Это ПДн?	Основание
Имя из профиля Telegram	Да	Прямая идентификация физлица
Номер телефона	Да	Прямая идентификация
Telegram user ID	Да	Косвенная идентификация
Время обращения + ID	Да	Совокупность данных идентифицирует
Нажатые кнопки без ID	Нет (анонимная статистика)	Нет привязки к лицу

Telegram-бот и WhatsApp Business: чем отличаются от сайта

При этом есть несколько принципиальных отличий, которые важно понимать:

Отличие 1: Инфраструктура за рубежом

Сайт на российском хостинге — данные хранятся в России. Telegram-бот — данные обрабатываются через серверы Telegram LLC (зарегистрирована на Британских Виргинских островах, дата-центры в разных странах). WhatsApp принадлежит Meta Platforms Inc. (США). Это автоматически создаёт вопрос трансграничной передачи данных — об этом подробнее в отдельном разделе.

Отличие 2: Нет стандартного интерфейса для согласия

На сайте можно поставить чекбокс рядом с формой. В мессенджере этого механизма нет. Нужно строить согласие через логику бота: первое сообщение бота должно содержать запрос согласия с кнопками «Согласен» / «Не согласен» и ссылкой на политику. До нажатия «Согласен» бот не должен запрашивать личные данные.

Отличие 3: Сложнее с хранением подтверждения

На сайте факт согласия фиксируется в базе данных с IP-адресом, timestamp и версией текста согласия. В мессенджере нужно организовать аналогичное логирование самостоятельно — через CRM или собственную базу данных бота.

Отличие 4: WhatsApp Business и персональные данные в переписке

WhatsApp Business позволяет вести переписку через API. При этом сообщения клиентов (их вопросы, запросы, контактные данные) хранятся на серверах Meta. Это трансграничная передача в США — страну, которую РКН не признаёт «адекватной» для защиты данных. Подробнее об этом — в статье о трансграничной передаче персональных данных.

Что должно быть в боте: согласие до сбора данных

Разберём конкретно, как должен работать правильный бот с точки зрения 152-ФЗ:

Шаг 1: Стартовое сообщение до любых вопросов

Первое, что видит пользователь при запуске бота через команду /start — это не «Привет! Как вас зовут?», а информация об обработке данных. Примерный текст:

«Добро пожаловать! Для работы с ботом мне нужно собрать ваши контактные данные (имя, телефон, email). Они будут использованы только для записи на курсы и связи с вами. Ознакомьтесь с политикой обработки данных.»

После текста — кнопки: «Согласен на обработку данных» и «Не согласен (выйти)».

Шаг 2: Что должен содержать текст согласия

Согласно ст. 9 ФЗ No 152 (проверено: май 2026), согласие должно включать:

• Кто обрабатывает данные (наименование и ИНН вашей организации или ИП)
• Цель обработки (запись на курсы, информирование об услугах, отправка материалов)
• Перечень данных (имя, телефон, email — только те, что реально собираете)
• Срок обработки или условие её прекращения
• Ссылка на полную политику обработки персональных данных

Если бот используется для маркетинговых рассылок (анонсы вебинаров, акции) — нужно отдельное согласие на рассылку. Вшивать его в общее согласие нельзя, это типичное нарушение при сборе согласий.

Шаг 3: Ссылка на политику обработки ПДн

Текст согласия должен содержать активную ссылку на политику обработки персональных данных на вашем сайте. Если сайта нет — политику нужно разместить хотя бы на отдельной странице. Политику без ссылки на неё из бота РКН не засчитает. Подробнее о том, что должно быть в политике обработки ПДн, читайте в отдельной статье.

Шаг 4: Логирование согласия

Факт согласия нужно зафиксировать: Telegram ID пользователя, дата и время, версия текста согласия, которую он принял. Это делается на стороне вашего бота — через базу данных или CRM.

Трансграничная передача: Telegram LLC и Meta — иностранные компании

Это одна из самых недооцениваемых проблем при работе с мессенджерами. Разберём, как это работает на практике.

Telegram LLC: юрисдикция и серверы

Telegram LLC зарегистрирована на Британских Виргинских островах. Дата-центры расположены в нескольких странах, в том числе в ЕС. Ни Британские Виргинские острова, ни большинство стран расположения серверов не входят в список «адекватных» стран по российскому законодательству.

Что это означает на практике: когда ваш пользователь пишет в бот своё имя и телефон, эти данные передаются через инфраструктуру Telegram LLC. Вы как оператор данных обязаны перед этим уведомить РКН о трансграничной передаче.

Meta (WhatsApp Business API): отдельный риск

Meta Platforms Inc. — американская компания. США в российском реестре «адекватных» стран отсутствуют. Использование WhatsApp Business API (через который онлайн-школы часто автоматизируют коммуникации) требует отдельного уведомления РКН о трансграничной передаче в США.

Как оформить уведомление о трансграничной передаче

По ст. 12 ФЗ No 152 (проверено: май 2026) до начала трансграничной передачи оператор должен:

1. Убедиться, что иностранное государство обеспечивает адекватную защиту (или оценить риски, если нет)
2. Направить уведомление в РКН через портал pd.rkn.gov.ru
3. Получить разрешение (для неадекватных стран — проходит процедура оценки)
4. Зафиксировать это в политике обработки персональных данных

Подробный разбор процедуры трансграничной передачи — в статье как оформить трансграничную передачу данных.

Сервис	Юрисдикция	Статус для РКН	Что делать
Telegram	Британские Виргинские острова	Неадекватная защита	Уведомить РКН, пройти оценку
WhatsApp (Meta)	США	Неадекватная защита	Уведомить РКН, пройти оценку
ВКонтакте API	Россия	Не трансграничная передача	Стандартные требования 152-ФЗ
AmoCRM (российский сервер)	Россия	Не трансграничная передача	Договор поручения обработки

Чеклист: как привести Telegram-бота к соответствию 152-ФЗ

Что проверить дополнительно для WhatsApp Business

Для WhatsApp Business API потребуется также:

• Отдельное уведомление в РКН о передаче данных Meta Platforms Inc.
• Оценка целесообразности и рисков такой передачи
• Явное указание в политике ПДн и в согласии, что данные передаются в WhatsApp/Meta

Если вы используете WhatsApp Business через российского агрегатора (они работают как посредники), уточните у них, где физически хранятся данные. Часть агрегаторов использует собственную инфраструктуру в России, что упрощает ситуацию.

Минимальный вариант для малого EdTech

Если у вас небольшая онлайн-школа и ресурсов на полноценную доработку мало, начните с главного: добавьте стартовый экран с согласием и ссылкой на политику. Это закрывает самый частый и самый дорогой штраф — за обработку данных без согласия субъекта.

Штрафы за нарушения: сколько реально грозит онлайн-школе

Разберём конкретные статьи и суммы, которые касаются нарушений при работе с мессенджерами:

Нарушение	Статья КоАП	Штраф для ИП	Штраф для ООО
Сбор ПДн без согласия (нет стартового экрана)	ч. 2 ст. 13.11	20 000 — 300 000 руб.	100 000 — 700 000 руб.
Нет политики ПДн или она недоступна	ч. 3 ст. 13.11	10 000 — 30 000 руб.	30 000 — 60 000 руб.
Трансграничная передача без уведомления РКН	ч. 9 ст. 13.11	100 000 — 300 000 руб.	100 000 — 300 000 руб.
Не подавали уведомление в РКН об операторе	ч. 1 ст. 13.11	10 000 — 30 000 руб.	100 000 — 300 000 руб.
Не отреагировали на запрос субъекта об удалении	ч. 5 ст. 13.11	10 000 — 100 000 руб.	60 000 — 300 000 руб.

Важный момент: нарушения могут складываться. Если в одной проверке выявят несколько нарушений — штрафы суммируются. Школа без политики ПДн, без согласия в боте и без уведомления о трансграничной передаче может получить сразу три штрафа.

Как РКН выявляет нарушения в мессенджерах

РКН использует несколько механизмов:

• Жалобы от пользователей — самый частый источник. Пользователь написал в бот, потом пожаловался, что его данные использовались без согласия
• Плановые проверки операторов — при наличии уведомления в реестре РКН проводит периодические проверки
• Внеплановые проверки — по обращениям субъектов ПДн или прокуратуры
• Мониторинг маркетинговых рассылок — если ваш бот рассылает сообщения пользователям без их согласия, это может попасть в поле зрения ФАС и РКН одновременно

Для EdTech отдельный риск — недобросовестная конкуренция. Конкурент может подать жалобу на вашу школу в РКН, если заметит, что бот работает без согласий. Это не теоретический, а вполне реальный сценарий.

Проверьте статус вашей организации и формы сбора данных через раздел FAQ или тарифы ЭдПрав для индивидуальной консультации.

Часто задаваемые вопросы

Нужно ли регистрировать Telegram-бота в РКН отдельно от уведомления об операторе ПДн?

Нет, отдельной регистрации бота не нужно. Вы подаёте общее уведомление в РКН о том, что являетесь оператором персональных данных (ст. 22 ФЗ No 152, проверено: май 2026), и в нём указываете все каналы сбора данных, включая Telegram-бота. Если у вас уже есть уведомление, но бот появился позже — нужно подать изменение в реестр, добавив новый канал сбора.

Что делать, если бот уже работает без согласия — как исправить ситуацию задним числом?

Задним числом согласие получить нельзя, но можно минимизировать риски. Добавьте стартовый экран с согласием — с этого момента обработка данных новых пользователей будет законной. Для уже собранных данных — если у вас нет записи о согласии, юридически надёжнее всего уведомить существующих пользователей через бот о политике обработки данных и предложить им либо подтвердить согласие, либо потребовать удаление.

Можно ли использовать Telegram-бот для маркетинговых рассылок?

Да, но нужно отдельное согласие на получение рекламных сообщений. По ст. 18 ФЗ No 38 (проверено: май 2026) рекламная рассылка требует явного согласия получателя. Это отдельная кнопка или сообщение от общего согласия на обработку данных — нельзя объединять их в одно. Подробнее о том, как правильно собрать согласие на рассылку, в статье о чекбоксах и согласиях на сайте.

Является ли использование GetBot, BotFather или других конструкторов ботов нарушением?

Само по себе нет. Проблема не в инструменте создания бота, а в том, как настроен сбор данных. Если вы используете конструктор ботов — проверьте, где хранятся данные (серверы конструктора должны быть в России или нужен договор поручения), и добавьте стартовый экран с согласием через настройки.

Не хотите разбираться сами?

ЭдПрав проверит ваш Telegram-бот и документы по персональным данным. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.

Попробовать бесплатно ->

Статья подготовлена на основе актуального законодательства РФ на май 2026 года. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.