Все это — онлайн, с заботой о вас и по отличным ценам.
Как в этом случае корректно получать согласие на обработку перс
Добрый день! Вопрос о том как корректно собирать персональные данные покупателей.
Мы компания, которая продаёт свои товары через маркетплейсы. Для консультирования и оперативного решения вопросов от покупателей планируем запустить чат-бот в телеграм. Попадать в этот чат покупатели будут путём сканирования QR, который вложен в заказ. Чат-бот построен на сторонней платформе. Данные, которые мы точно собираем: Имя, username. Если у пользователя не скрыт номер телефона, то и он тоже попадает в базу.
Не могли бы вы, пожалуйста, уточнить:
1. Можем ли мы вообще консультировать покупателей через такого бота в телеграм? В новой редацкии ФЗ указано, что собирать перс. данные при помощи баз данных, находящихся за территорией РФ нельзя.
2. Как в этом случае корректно получать согласие на обработку перс. данных, учитывая нововведение, вступающее в силу с 01.09?
3. Если в дальнейшем эти данные будут использоваться для рекламных рассылок, какие действия нам необходимо произвести?
Здравствуйте!
по сути и по-новым правилам (действуют уже сейчас — сентябрь 2025):
1) Можно ли консультировать через Telegram-бота?
Консультировать — можно, но собирать/обрабатывать ПДн россиян “на зарубежных базах” теперь нельзя: с 1 июля 2025 ч. 5 ст. 18 Закона № 152-ФЗ запрещает первичный сбор и хранение ПДн граждан РФ за пределами РФ. Telegram не локализован (штрафы за это уже были), поэтому сбор имени/username/телефона “на стороне мессенджера” = риск нарушения локализации. Без безопасной схемы (см. ниже) — лучше не собирать ПДн через бота.
Что безопасно: сделать QR не на чат, а на ваш российский сайт/веб-приложение (хостинг в РФ), где вы берёте согласия и первично фиксируете ПДн в БД в РФ, а затем уже связываете обращение с чатом в Telegram (по внутреннему ID/токену), не подтягивая оттуда телефон и иные ПДн. Если всё-таки будет трансграничная передача, до начала нужно уведомить Роскомнадзор отдельной формой о ТППД.
2) Как правильно брать согласие (с 01.09.2025)?
С 1 сентября 2025 согласие на обработку ПДн обязательно отдельным документом, а не “галочка в общем соглашении”. В согласии укажите оператора, цели, перечень ПДн (имя, username, телефон), действия, срок/условия отзыва, сведения о поручении обработчикам и (при наличии) трансграничной передаче. Фиксируйте факт акцепта (дата/время, IP/идентификатор).
Практика для мессенджера: открывать Telegram WebApp/страницу (хостится в РФ) с отдельной формой согласия → только после согласия создавать тикет и связывать с чат-ID.
3) Хотим использовать данные для рекламных рассылок — что нужно?
Для рекламы по сетям связи/мессенджерам требуется отдельное заранее полученное согласие на рекламу (это другое согласие, помимо ПДн). Должна быть лёгкая отписка (STOP/«Отказаться») и хранение доказательств согласия.
Если будете массово размещать рекламу в интернете (посты/баннеры и пр.), действуют правила маркировки интернет-рекламы (ст. 18.1 Закона о рекламе и ЕРИР).
Мини-чек-лист, чтобы не попасть под штрафы
Локализуйте первичный сбор и хранение ПДн в РФ (сервер/БД в России; не тянем телефон из Telegram).
Уведомите Роскомнадзор:
о начале обработки ПДн (внесение в реестр операторов);
отдельно — о трансграничной передаче (если она всё-таки будет).
Оформляйте два согласия:
на обработку ПДн — отдельным документом (с 01.09.2025),
на получение рекламы — отдельно и по каналам (Telegram/SMS/e-mail и т. д.).
Договор с платформой бота: как с обработчиком по ст. 6 Закона № 152-ФЗ — прописать хостинг в РФ, запрет зеркалирования за рубеж, меры защиты и отчётность.
Буду рада плюсику!
Если скажете, за отдельную плату, на какой платформе крутится бот и где сейчас лежит БД, набросаю текст согласий (ПДн и рекламы) и пункты к договору с платформой/ОФД-подрядчиком, чтобы всё соответствовало 152-ФЗ и 38-ФЗ.