Legan Studio
Все статьи
~ 22 мин чтения

Юр. аспекты Telegram-ботов в РФ: 152-ФЗ и оферта

Разбираем юридические требования к Telegram-ботам в РФ: 152-ФЗ о ПДн, оферта, трансграничная передача и реестр операторов. Что обязательно сделать.

  • Telegram
  • 152-ФЗ
  • юр.аспекты
  • бизнес

Telegram-бот, который собирает имя, телефон или email пользователя, по российскому праву уже является оператором персональных данных. Это влечёт обязанности по 152-ФЗ, 149-ФЗ, 242-ФЗ, 38-ФЗ «О рекламе» и закону о защите прав потребителей. Игнорировать их — значит рисковать штрафами до 500 млн ₽ (оборотные за повторную утечку), блокировкой канала и судебными исками. Ниже — полный разбор: что такое ПДн, кто оператор, как уведомить РКН, как локализовать данные при работе с Telegram, как организовать согласие в боте, какие меры защиты обязательны и какие штрафы грозят за нарушения по обновлённой ст. 13.11 КоАП.

Что считается персональными данными

По ст. 3 152-ФЗ персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физлицу (субъекту ПДн). Понятие нарочно широкое: даже косвенно идентифицирующие сведения (IP-адрес, cookie, идентификатор устройства) при наличии связки с другими данными становятся ПДн.

В контексте Telegram-бота к ПДн относятся:

  • ФИО, дата рождения, пол;
  • номер телефона, email;
  • адрес доставки, паспортные данные;
  • сведения о здоровье (для клиник, фитнеса, страхования);
  • финансовые данные (за исключением платёжных реквизитов карты — их хранит платёжный провайдер);
  • Telegram username, chat_id, user_id — практика ФСТЭК и РКН относит их к косвенным ПДн;
  • IP-адрес и user-agent;
  • история сообщений с ботом (если содержит идентифицирующую информацию);
  • геолокация, переданная пользователем через request_location.

Если бот собирает или хранит хоть один из этих типов данных — он работает с ПДн и автоматически попадает под действие 152-ФЗ со всеми обязанностями оператора.

Категории ПДн и их режимы

152-ФЗ выделяет четыре категории, каждая со своим режимом обработки:

КатегорияЧто включаетОсобый режим
Общие (ст. 3)ФИО, телефон, email, адрес, user_idСтандартное согласие, обычные меры защиты
Специальные (ст. 10)Раса, национальность, политические/религиозные взгляды, здоровье, интимная жизнь, судимостьОтдельное письменное согласие, усиленные меры защиты, шифрование
Биометрические (ст. 11)Фото лица, отпечатки, голос, образец ДНК — если используются для идентификацииОтдельное согласие, регистрация в Единой биометрической системе (ЕБС)
Общедоступные (ст. 8)ПДн из открытых источников (по согласию субъекта)Возможна обработка без согласия в пределах целей

Если бот фитнес-клуба собирает данные о тренировках и пульсе — это специальная категория. Если бот банка делает идентификацию по селфи — это биометрия с обязательной интеграцией с ЕБС. Большинство Telegram-ботов работают только с общими ПДн, но это нужно явно подтвердить при проектировании.

Кто является оператором

По ст. 3 152-ФЗ оператор — это лицо, которое самостоятельно или совместно с другими организует и/или осуществляет обработку ПДн, а также определяет цели и состав обрабатываемых данных. Для Telegram-бота это означает:

  • Оператор — владелец бота: ИП или юрлицо, которое запустило бота для своих бизнес-целей.
  • Telegram — НЕ оператор в смысле российского права. Это инфраструктурный канал передачи данных. Telegram сам по себе не определяет цели обработки данных конкретного бота.
  • Разработчик-подрядчик — НЕ оператор, а обработчик (по ст. 6 ч. 3 152-ФЗ). Между владельцем и подрядчиком должен быть заключён договор обработки с указанием целей, объёма данных и мер защиты.

Если у бота два владельца (например, маркетплейс плюс продавец) — это совместная обработка, и нужно соглашение о распределении обязанностей. Один из них назначается ответственным за коммуникацию с субъектами и РКН.

Уведомление Роскомнадзора

По ст. 22 152-ФЗ оператор обязан до начала обработки ПДн уведомить РКН о своём намерении это делать. Уведомление подаётся:

  • через личный кабинет на портале pd.rkn.gov.ru (электронно с УКЭП руководителя/ИП);
  • либо на бумаге заказным письмом в территориальное управление РКН.

В уведомлении указывается: наименование оператора, ИНН, юр. адрес, цели обработки, категории субъектов и ПДн, перечень действий, срок обработки, описание мер защиты, ответственный за обработку, сведения о трансграничной передаче. После рассмотрения (до 30 дней) оператор вносится в Реестр операторов ПДн — публичный реестр на сайте РКН, где любой человек может проверить, законно ли работает бизнес.

Освобождения от уведомления (ст. 22 ч. 2) на бот обычно не распространяются — даже если данные собираются «исключительно для исполнения договора», для рассылок и маркетинга уведомление обязательно.

Уведомление о трансграничной передаче

Telegram хранит сообщения и медиа на серверах за пределами РФ. С точки зрения 152-ФЗ это трансграничная передача персональных данных. После изменений 2022–2023 годов (266-ФЗ от 14.07.2022, вступил в силу с 01.03.2023) режим трансграничной передачи ужесточён:

  • оператор обязан подать отдельное уведомление о трансграничной передаче в РКН — до начала такой передачи;
  • РКН вправе запретить или ограничить передачу в страны, не обеспечивающие адекватной защиты ПДн;
  • список стран с адекватной защитой утверждён приказом РКН № 274 от 05.08.2022, вне его — особый режим;
  • в политике обработки ПДн нужно указать страну и оператора-получателя.

Для бота это означает: если вы передаёте в Telegram ФИО, телефон, адрес или другие ПДн пользователя — формально уже есть трансграничная передача, и уведомление обязательно. Игнорирование — типовая претензия при проверках.

Согласие на обработку: форма и обязательные пункты

Согласие — основное правовое основание для обработки ПДн (ст. 9 152-ФЗ). Форма:

  • Письменная — обязательна для специальных категорий, биометрии, для случаев из ст. 9 ч. 4 (с особыми пунктами).
  • Электронная — допустима для общих ПДн при условии, что форма позволяет подтвердить факт согласия (нажатие кнопки + журнал в БД).
  • Конклюдентная (вытекающая из действий) — возможна для отдельных случаев, но в споре сложно доказать.

Обязательные пункты согласия (ст. 9 ч. 4):

  1. ФИО, адрес, паспорт субъекта (для бота — user_id плюс предоставленные пользователем данные).
  2. Наименование/ФИО и адрес оператора (с ИНН/ОГРН/ОГРНИП и контактом для запросов).
  3. Конкретная цель обработки (не «улучшение сервиса», а «оформление заказа», «доставка», «уведомления о статусе»).
  4. Перечень обрабатываемых ПДн поименно.
  5. Перечень действий (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
  6. Срок действия согласия.
  7. Порядок отзыва.

Без любого из этих пунктов согласие признаётся ничтожным, и обработка считается незаконной.

Как получать согласие в Telegram-боте

Стандартный сценарий при первом контакте:

  1. Пользователь нажимает /start.
  2. Бот отправляет короткое сообщение с сутью обработки и ссылку на полный текст политики (HTML на сайте оператора).
  3. Под сообщением — две inline-кнопки: «Согласен» и «Не согласен».
  4. На «Согласен» бэкенд пишет запись в таблицу consents (user_id, хеш версии текста SHA-256, granted_at, IP, user-agent) и продолжает основной сценарий.
  5. На «Не согласен» бот переводит пользователя в гостевой режим с доступом только к статичным командам (/help, /about, каталог).

Для критичных операций (платежи свыше определённой суммы, передача спецкатегорий, согласие на маркетинг) применяется двухфакторное подтверждение: подтверждение SMS-кодом или вторым кликом после паузы. Это снижает риск несанкционированных списаний и претензий «я не нажимал».

Согласие на ПДн и согласие на маркетинговые рассылки — два разных документа. Их нельзя принимать одной кнопкой: РКН считает такое согласие ничтожным.

Локализация ПДн по 242-ФЗ

ФЗ-242 от 21.07.2014 (ввёл в 152-ФЗ ст. 18 ч. 5) обязывает операторов обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ в базах данных, расположенных на территории РФ. Это и есть «локализация».

Что считается обработкой по ст. 3 п. 3 152-ФЗ — ровно эти действия плюс использование, передача, обезличивание, блокирование, удаление, уничтожение.

Для Telegram-бота схема локализации работает так:

  1. Сообщение от пользователя приходит в Telegram Bot API.
  2. Бэкенд бота, размещённый на хостинге в РФ (Yandex Cloud, VK Cloud, Selectel, Timeweb), получает update через webhook или long polling.
  3. Первичная запись ПДн делается в БД на российском хостинге — это закрывает требование 242-ФЗ.
  4. Дальнейшая передача за рубеж (в Telegram при ответе пользователю, в зарубежный CRM, в email-сервис) допустима только при наличии согласия субъекта на трансграничную передачу и поданного уведомления в РКН.

Бэкапы — тоже в РФ. Иностранные облака допустимы исключительно для производных, обезличенных или агрегированных данных.

Хранение и удаление ПДн

По ст. 5 ч. 7 152-ФЗ ПДн обрабатываются не дольше, чем требуется для целей. После достижения цели данные подлежат удалению или обезличиванию (ст. 21 ч. 4). Срок хранения должен быть указан в политике и в согласии.

Практические сроки:

  • ПДн в активных заказах — до завершения исполнения договора;
  • ПДн для маркетинговой рассылки — до отзыва согласия;
  • ПДн для бухгалтерских целей — 5 лет (НК РФ);
  • логи и журналы — обычно 6–12 месяцев;
  • бэкапы — с автоматической ротацией и шифрованием.

В архитектуре бота нужен планировщик удалений: фоновая задача раз в сутки находит записи с истёкшим сроком и удаляет/обезличивает их с записью в журнал.

Права субъекта ПДн

Субъект имеет (ст. 14, 20, 21 152-ФЗ):

  • право на доступ к своим ПДн (получить копию того, что хранится);
  • право на исправление неточных данных;
  • право на удаление ПДн (если цели достигнуты или нет правового основания);
  • право отозвать согласие в любой момент;
  • право на информацию о третьих лицах, которым переданы данные.

Срок ответа — 10 рабочих дней (с продлением до 5 ещё). В Telegram-боте права реализуются через команды или меню:

  • /privacy — показать политику;
  • /my_data — выгрузить копию данных в JSON или PDF;
  • /edit_data — отредактировать ФИО/телефон/адрес;
  • /withdraw_consent — отозвать согласие;
  • /delete_account — удалить все данные.

Без этих сценариев первая же жалоба в РКН превратится в проверку с типовой претензией «не обеспечена реализация прав субъекта».

Меры защиты по приказу ФСТЭК № 21

Приказ ФСТЭК России № 21 от 18.02.2013 устанавливает технические и организационные меры защиты ПДн в информационных системах. Применительно к Telegram-боту минимальный набор:

  • Сертифицированные СЗИ — антивирус, межсетевой экран, средства анализа защищённости (для УЗ-1 и УЗ-2 — обязательны сертификаты ФСТЭК).
  • Разграничение доступа — ролевая модель, отдельные учётки для администраторов и операторов, журналирование входов.
  • Шифрование при передаче — TLS 1.2+ между ботом и Telegram (HTTPS уже обеспечивает Telegram), TLS между бэкендом и БД, шифрование канала между микросервисами.
  • Шифрование при хранении — для специальных категорий и биометрии — обязательно (AES-256 или ГОСТ Р 34.12-2015 «Кузнечик»).
  • Журналирование действий — все операции с ПДн (просмотр, изменение, удаление) пишутся в неизменяемый журнал с timestamp, user-id оператора, действием.
  • Резервное копирование — регулярные шифрованные бэкапы с тестовым восстановлением.
  • Защита от вредоносного кода — антивирус на серверах, контроль целостности.
  • Обнаружение вторжений — IDS/IPS на периметре, мониторинг аномалий.
  • Парольная политика — длина 12+, смена раз в 90 дней, 2FA для администраторов.
  • Физическая защита — для собственных серверов; для облака — сертификаты провайдера (Yandex Cloud имеет аттестат соответствия).

Уровни защищённости УЗ-1 — УЗ-4

Уровень защищённости (УЗ) определяется по постановлению Правительства РФ № 1119 от 01.11.2012 на основе:

  • типа ПДн (общие, специальные, биометрические, общедоступные);
  • количества субъектов (до 100 000 или больше);
  • актуальности угроз (1, 2 или 3 типа).
УЗПрименимостьКлючевые меры
УЗ-4Общедоступные ПДн до 100 000 субъектов; общие ПДн сотрудников оператораБазовый набор: антивирус, разграничение доступа, журналирование
УЗ-3Общие ПДн до 100 000 субъектов с угрозами 3 типа; общие ПДн >100 000 субъектов; спецкатегории сотрудников+ межсетевой экран, контроль съёмных носителей
УЗ-2Спецкатегории до 100 000 субъектов; биометрия; общие ПДн с угрозами 2 типа+ сертифицированные СЗИ ФСТЭК, шифрование, IDS
УЗ-1Спецкатегории >100 000 субъектов; угрозы 1 типа+ криптографическая защита, аттестация ИСПДн

Большинство Telegram-ботов малого и среднего бизнеса попадают в УЗ-4 или УЗ-3. Боты для медицинских клиник, фитнес-клубов, банков — УЗ-2 и выше с обязательными сертифицированными СЗИ.

Уровень определяется самостоятельно на этапе проектирования через модель угроз (методика ФСТЭК «Базовая модель угроз», 2008) и фиксируется в локальном акте.

Оценка воздействия на защиту ПДн (DPIA)

DPIA — Data Protection Impact Assessment — формально по 152-ФЗ не обязательна (это требование GDPR), но РКН рекомендует её проводить для систем с высоким риском. DPIA полезна для бота, если:

  • обрабатываются специальные категории или биометрия;
  • объём аудитории превышает 100 000 субъектов;
  • используются автоматизированные решения с правовыми последствиями (скоринг, отказ в услуге);
  • идёт трансграничная передача в страны без адекватной защиты.

Структура DPIA: описание обработки, оценка необходимости и пропорциональности, идентификация рисков для субъектов, меры по их снижению. Документ должен быть готов к предъявлению по запросу РКН.

Штрафы по обновлённой ст. 13.11 КоАП

С 30.05.2025 вступила в силу новая редакция ст. 13.11 КоАП РФ (ФЗ-420 от 30.11.2024) — штрафы значительно ужесточены, особенно за утечки. Цифры — для юридических лиц:

НарушениеНормаШтраф
Обработка без согласия в письменной формест. 13.11 ч. 1для ИП — 60 000–100 000 ₽; для юрлиц — 300 000–700 000 ₽
Обработка без согласия (общий случай)ст. 13.11 ч. 2для юрлиц — 300 000–700 000 ₽
Отсутствие политики обработки ПДнст. 13.11 ч. 3для юрлиц — 30 000–60 000 ₽
Невыполнение запроса субъектаст. 13.11 ч. 4для юрлиц — 40 000–80 000 ₽
Невыполнение требования об уточнении/удалениист. 13.11 ч. 5для юрлиц — 50 000–90 000 ₽
Несоблюдение локализации в РФст. 13.11 ч. 8для юрлиц — до 6 000 000 ₽; повторно — до 18 000 000 ₽
Утечка 1 000–10 000 субъектовст. 13.11 ч. 123 000 000–5 000 000 ₽
Утечка 10 000–100 000 субъектовст. 13.11 ч. 135 000 000–10 000 000 ₽
Утечка >100 000 субъектовст. 13.11 ч. 1410 000 000–15 000 000 ₽
Повторная утечка (оборотный)ст. 13.11 ч. 151–3% выручки за прошлый год; min 20 млн ₽, max 500 млн ₽
Неуведомление РКН об инциденте в срокст. 13.11 ч. 10–111 000 000–3 000 000 ₽

Самая болезненная позиция — оборотный штраф за повторную утечку: для бизнеса с выручкой от 700 млн ₽ один инцидент может обойтись в 20 млн ₽, а для крупного ритейла — в сотни миллионов.

Уведомление об утечке ПДн

ФЗ-266 от 14.07.2022 ввёл обязанность оператора уведомлять РКН об инцидентах (ст. 21 ч. 6 152-ФЗ):

  • в течение 24 часов с момента обнаружения утечки или попытки несанкционированного доступа — первичное уведомление с описанием факта, предполагаемых причин, категорий и количества затронутых ПДн;
  • в течение 72 часов — детальное уведомление с результатами внутреннего расследования и списком принятых мер.

Уведомление подаётся через личный кабинет на pd.rkn.gov.ru. Для крупных утечек дополнительно нужно уведомлять субъектов (через тот же бот, email, push) и публично раскрывать факт.

В архитектуре бота должен быть регламент инцидента: ответственный за реагирование, шаблоны уведомлений, контакты ФСТЭК и НКЦКИ (если задействованы критичные информационные ресурсы), процедура изоляции и восстановления.

Ответственный за обработку ПДн (DPO)

По ст. 22.1 152-ФЗ оператор обязан назначить ответственного за организацию обработки ПДн. Для крупных операторов (банки, маркетплейсы, госорганы) это обязательно отдельный сотрудник с профильной квалификацией. Для малого и среднего бизнеса допустимо совмещение с другими ролями (ИТ-директор, юрист, владелец ИП).

Обязанности ответственного:

  • организация внутреннего контроля соответствия 152-ФЗ;
  • информирование сотрудников о требованиях;
  • приём и обработка обращений субъектов;
  • взаимодействие с РКН (уведомления, ответы на запросы, проверки).

Реквизиты ответственного указываются в политике обработки ПДн.

Mini App, cookies и 242-ФЗ

Если у бота есть Telegram Mini App (WebView внутри Telegram), к нему применяются дополнительные требования:

  • Баннер согласия на cookies — обязателен при использовании cookies для аналитики или функциональных целей. Согласие фиксируется в localStorage и в журнале.
  • Политика cookies — отдельный раздел с описанием каждого cookie (имя, цель, срок, тип).
  • Локализация хостинга Mini App — статика и API должны быть на серверах в РФ.
  • Аналитика — Яндекс.Метрика разрешена; Google Analytics формально требует трансграничной передачи и подачи уведомления в РКН.

При интеграции с Telegram Login Widget ПДн (id, first_name, last_name, username, photo_url) приходят от Telegram — это считается передачей от субъекта оператору и требует согласия.

Политика обработки ПДн

Политика — публичный документ, в котором оператор раскрывает свои подходы к обработке ПДн. По ст. 18.1 ч. 2 152-ФЗ её нужно разместить в открытом доступе (на сайте по постоянной ссылке) и упомянуть в боте.

Структура политики:

  1. Общие положения, реквизиты оператора, ответственный.
  2. Цели обработки.
  3. Категории субъектов и ПДн.
  4. Правовые основания (согласие, договор, закон).
  5. Перечень действий с ПДн.
  6. Сроки обработки и условия удаления.
  7. Меры защиты.
  8. Передача третьим лицам и трансграничная передача.
  9. Права субъектов и порядок их реализации.
  10. Порядок изменений политики.

Политика обновляется при любом изменении состава ПДн, целей или мер защиты. История версий хранится в публичном виде.

Чек-лист соответствия 152-ФЗ для Telegram-бота

Минимальный набор до запуска (используйте как самопроверку):

  1. Определён оператор (ИП/юрлицо), назначен ответственный по ст. 22.1.
  2. Подано уведомление в РКН об обработке ПДн через pd.rkn.gov.ru.
  3. Подано уведомление о трансграничной передаче (при работе с Telegram — обязательно).
  4. Политика обработки ПДн опубликована на сайте по постоянной ссылке.
  5. В боте есть /privacy со ссылкой на полную политику.
  6. Шаблон согласия содержит все 7 обязательных пунктов ст. 9 ч. 4.
  7. Согласие на ПДн и согласие на маркетинг — раздельные кнопки.
  8. Реализован /withdraw_consent и фоновая задача удаления ПДн.
  9. Реализованы /my_data и /delete_account (доступ и удаление).
  10. БД с первичной записью ПДн — на хостинге в РФ.
  11. Бэкапы шифрованные, в РФ, с тестовым восстановлением.
  12. TLS 1.2+ на всех каналах, шифрование БД для спецкатегорий.
  13. Журнал согласий (consents) с хешем версии, timestamp, IP.
  14. Журнал действий с ПДн (просмотр, изменение, удаление).
  15. Договор обработки с подрядчиками и хостингом (ст. 6 ч. 3).
  16. Определён уровень защищённости (УЗ-1 — УЗ-4) на основе модели угроз.
  17. Внедрены меры защиты по приказу ФСТЭК № 21 для соответствующего УЗ.
  18. Регламент реагирования на инциденты (24/72 часа в РКН).
  19. Регламент ответа на запросы субъекта (10 рабочих дней).
  20. Локальный акт «Об организации обработки ПДн» утверждён приказом.

Аудит соответствия

Раз в год полезен внутренний аудит соответствия 152-ФЗ:

  • инвентаризация всех мест хранения ПДн (БД, бэкапы, логи, файлы);
  • сверка фактических процессов с описанными в политике и согласии;
  • проверка журналов на полноту и неизменяемость;
  • тестирование сценариев отзыва согласия и удаления;
  • проверка договоров с подрядчиками на актуальность.

Для крупных операторов раз в 1–3 года проводится внешний аудит аккредитованным консультантом или лицензиатом ФСТЭК — с выдачей заключения, которое предъявляется при проверках РКН.

Шаблон согласия (короткий)

Пример формулировки для inline-сообщения в боте:

Я, пользователь Telegram-бота @example_bot, идентифицируемый user_id, даю ИП Иванову И. И. (ИНН 770000000000) согласие на обработку моих ПДн: ФИО, телефон, email, адрес доставки, user_id, история сообщений с ботом, IP-адрес. Цели: оформление и доставка заказа, идентификация, сервисные уведомления. Действия: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача (Telegram и платёжному провайдеру), обезличивание, удаление. Срок: до отзыва согласия командой /withdraw_consent. С политикой обработки ознакомлен: ссылка.

Полный текст хранится на сайте, в боте — короткая версия плюс ссылка.

Итого

Telegram-бот, собирающий ПДн граждан РФ, — это оператор по 152-ФЗ со всеми обязанностями: уведомление РКН (общее и о трансграничной передаче), политика обработки, согласие с 7 обязательными пунктами, локализация первичной записи на серверах в РФ, реализация прав субъекта (доступ, удаление, отзыв), меры защиты по приказу ФСТЭК № 21 в зависимости от УЗ, регламент инцидентов с уведомлением в 24/72 часа. Штрафы по обновлённой ст. 13.11 КоАП доходят до 18 млн ₽ за нарушение локализации и до 500 млн ₽ за повторную утечку (оборотный). Минимальный пакет — 20 пунктов из чек-листа выше — закрывает 90% типовых претензий и блокирует крупные штрафы.

Частые вопросы

Что считается персональными данными в Telegram-боте?

По ст. 3 152-ФЗ ПДн — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физлицу. В Telegram-боте к ПДн относятся: ФИО, дата рождения, номер телефона, email, адрес доставки, паспортные данные, сведения о здоровье, финансовые данные (за исключением платёжных реквизитов карты), Telegram username и user_id, IP-адрес, история сообщений с ботом, геолокация. Если бот собирает или хранит хоть один из этих типов данных — он работает с ПДн и автоматически становится оператором по 152-ФЗ со всеми обязанностями: уведомление РКН, политика, согласие, локализация в РФ, меры защиты.

Кто является оператором ПДн при работе Telegram-бота?

По ст. 3 152-ФЗ оператор — это лицо, которое определяет цели и состав обрабатываемых ПДн. Для бота оператор — владелец (ИП или юрлицо), который запустил бота для своих бизнес-целей. Telegram сам по себе НЕ является оператором — это инфраструктурный канал передачи. Разработчик-подрядчик — НЕ оператор, а обработчик по ст. 6 ч. 3 152-ФЗ; между ним и владельцем должен быть заключён договор обработки с указанием целей, объёма данных и мер защиты. Если у бота два владельца (маркетплейс плюс продавец) — это совместная обработка с соглашением о распределении обязанностей.

Зачем подавать уведомление в Роскомнадзор и как это сделать?

По ст. 22 152-ФЗ оператор обязан до начала обработки ПДн уведомить РКН. Уведомление подаётся через личный кабинет на pd.rkn.gov.ru с УКЭП руководителя/ИП либо на бумаге заказным письмом. В уведомлении указывается наименование оператора, ИНН, юр. адрес, цели обработки, категории субъектов и ПДн, перечень действий, срок обработки, описание мер защиты, ответственный, сведения о трансграничной передаче. После рассмотрения (до 30 дней) оператор вносится в публичный реестр на сайте РКН. Освобождения от уведомления на бот обычно не распространяются — даже для исполнения договора уведомление обязательно.

Нужно ли уведомление о трансграничной передаче для бота в Telegram?

Да, обязательно. Telegram хранит данные на серверах за пределами РФ, и любая передача ПДн пользователя в бота через Telegram — это трансграничная передача. После 266-ФЗ от 14.07.2022 (вступил в силу с 01.03.2023) режим ужесточён: оператор подаёт отдельное уведомление о трансграничной передаче в РКН до начала такой передачи; РКН вправе запретить или ограничить передачу в страны без адекватной защиты ПДн; список таких стран утверждён приказом РКН № 274 от 05.08.2022. В политике обработки нужно указать страну и оператора-получателя. Игнорирование — типовая претензия при проверках.

Как организовать локализацию ПДн на серверах в РФ при работе с Telegram?

ФЗ-242 (через ст. 18 ч. 5 152-ФЗ) обязывает запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ делать в БД на территории РФ. Схема для бота: сообщение от пользователя приходит в Telegram Bot API; бэкенд на хостинге в РФ (Yandex Cloud, VK Cloud, Selectel, Timeweb) получает update через webhook или long polling; первичная запись ПДн делается в БД на российском хостинге — это закрывает 242-ФЗ; дальнейшая передача за рубеж (в Telegram при ответе, в зарубежный CRM) допустима только при наличии согласия на трансграничную передачу и поданного уведомления. Бэкапы тоже в РФ.

Какие меры защиты ПДн обязательны по приказу ФСТЭК № 21?

Минимальный набор: сертифицированные СЗИ (для УЗ-1 и УЗ-2 — обязательны сертификаты ФСТЭК); разграничение доступа с ролевой моделью и журналированием входов; шифрование при передаче (TLS 1.2+); шифрование при хранении для специальных категорий и биометрии (AES-256 или ГОСТ Кузнечик); журналирование действий с ПДн в неизменяемый журнал; резервное копирование с тестовым восстановлением; антивирус и контроль целостности; IDS/IPS на периметре; парольная политика с 2FA для администраторов; физическая защита или сертификаты облачного провайдера. Уровень защищённости (УЗ-1 — УЗ-4) определяется по постановлению Правительства № 1119 на основе типа ПДн, количества субъектов и актуальных угроз.

Какие штрафы грозят владельцу Telegram-бота за нарушения 152-ФЗ?

По обновлённой ст. 13.11 КоАП (с 30.05.2025 после ФЗ-420 от 30.11.2024) для юрлиц: обработка без согласия — 300 000–700 000 ₽; отсутствие политики — 30 000–60 000 ₽; несоблюдение локализации в РФ — до 6 млн ₽, повторно до 18 млн ₽; утечка 1 000–10 000 субъектов — 3–5 млн ₽; утечка 10 000–100 000 субъектов — 5–10 млн ₽; утечка более 100 000 субъектов — 10–15 млн ₽; повторная утечка (оборотный штраф) — 1–3% выручки за прошлый год, минимум 20 млн ₽, максимум 500 млн ₽; неуведомление РКН об инциденте в установленный срок — 1–3 млн ₽. Уведомление об инциденте — в течение 24 часов первичное и 72 часов детальное.

Похожие статьи