Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Учтены изменения ФЗ № 420-ФЗ от 30.11.2024 и правоприменительная практика 2025–2026 годов.
Почему ваш Telegram-бот — это уже юридический объект
В апреле 2026 года в России работает более 1,2 млн активных Telegram-ботов. Предприниматели используют их для записи клиентов, приёма заявок, обработки платежей, рассылок и техподдержки. Это удобно. Проблема в одном: примерно 90% этих ботов работают в нарушение 152-ФЗ.
Типичный сценарий: предприниматель подключает бота в понедельник, тот начинает собирать имена, телефоны и email уже во вторник. Никакого согласия на обработку данных. Никакой политики конфиденциальности. Никакого регламента работы с мессенджером. Просто бот, который «работает».
С точки зрения закона — это нарушение, за которое предусмотрен штраф до 300 000 ₽ за первичное нарушение и оборотные санкции до 500 млн ₽ при повторных инцидентах (ст. 13.11 КоАП, редакция ФЗ № 420-ФЗ от 30.11.2024).
Роскомнадзор в 2025–2026 годах активно проверяет digital-каналы — не только сайты, но и Telegram-каналы, боты и приложения. Первые предписания по ботам уже выданы.
Является ли Telegram-бот оператором персональных данных
Ответ однозначный: да, является. Но с важным уточнением.
Согласно ст. 3 Федерального закона № 152-ФЗ, оператор персональных данных — это государственный орган, муниципальный орган, юридическое лицо или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку персональных данных.
Telegram-бот сам по себе — лишь инструмент. Оператором является владелец бота: ИП, ООО или физическое лицо, в интересах которого бот работает и который определяет цели и способы обработки данных.
Вы — оператор ПДн через Telegram-бот, если бот:
- Запрашивает имя, фамилию, телефон или email пользователя
- Принимает заявки с контактными данными
- Записывает пользователей на приём, консультацию или мероприятие
- Обрабатывает платёжные данные или историю покупок
- Ведёт базу клиентов (ID пользователя + любые данные)
- Отправляет персонализированные рассылки
- Передаёт данные в CRM, таблицы или сторонние сервисы
Даже если вы не просите имя явно — Telegram user ID, username (@nickname) и дата первого сообщения уже являются персональными данными, поскольку позволяют идентифицировать конкретного человека.
Какие данные собирает Telegram-бот
Это критически важно понимать до настройки бота. Вот полная классификация:
| Источник | Данные | Категория по 152-ФЗ |
|---|---|---|
| Telegram API (автоматически) | user_id, first_name, last_name, username, language_code | Обычные ПДн |
| Команды и сообщения пользователя | Телефон, email, адрес, дата рождения | Обычные ПДн |
| Платёжный модуль Telegram Payments | Номер карты (токен), адрес доставки | Финансовые данные |
| Вебхуки и интеграции | История заказов, предпочтения | Обычные ПДн |
| Геолокация (если запрашивается) | Координаты, адрес | Обычные ПДн / геоданные |
| Документы и фото (если загружаются) | Паспортные данные, фото лица | Специальные категории / биометрия |
Важно: Telegram user_id является постоянным уникальным идентификатором пользователя в мессенджере. По данным Роскомнадзора, уникальный идентификатор, привязанный к телефонному номеру, однозначно позволяет идентифицировать личность — и является персональными данными. Даже бот без единого вопроса уже собирает ПДн через API.
Почему Telegram — незащищённый канал и что с этим делать
Согласно требованиям 152-ФЗ и методическим рекомендациям РКН, мессенджеры (включая Telegram, WhatsApp, Viber) относятся к незащищённым каналам передачи данных. Это означает:
- Данные, передаваемые через Telegram, не соответствуют требованиям к защищённым каналам по ГОСТ Р 34.12-2015
- Сервера Telegram расположены за рубежом (ОАЭ, Нидерланды) — это трансграничная передача данных по ст. 12 152-ФЗ
- Telegram как компания не является уполномоченным обработчиком по российскому законодательству
- Шифрование MTProto не сертифицировано по требованиям ФСБ
Что обязательно включить в политику конфиденциальности для бота:
- Раздел «Использование мессенджеров» с явным указанием, что Telegram является незащищённым каналом
- Трансграничная передача — указать, что данные обрабатываются серверами Telegram Inc. (зарегистрирована в Британских Виргинских островах, серверы в ОАЭ)
- Регламент работы с мессенджером — какие данные можно передавать через бота, а какие нельзя (паспортные данные, медицинская информация — нельзя никогда)
- Срок хранения сообщений в боте и порядок их удаления
Практический пример регламента:
В разделе политики конфиденциальности пропишите:
_«При взаимодействии с нашим Telegram-ботом @yourbot передача персональных данных осуществляется через мессенджер Telegram (Telegram FZ-LLC), серверы которого расположены за пределами Российской Федерации. Telegram является незащищённым каналом связи в соответствии с требованиями российского законодательства. Просим не передавать через бота следующие категории данных: паспортные данные в полном объёме, медицинскую информацию, финансовые реквизиты в открытом виде. Для передачи конфиденциальной информации используйте защищённые каналы, указанные в разделе "Контакты".»_
Как реализовать согласие на обработку ПДн прямо в боте
Это главный практический вопрос. Закон требует явного, однозначного, информированного согласия до начала сбора данных. Для Telegram-бота это реализуется несколькими способами.
Вариант 1: Согласие через команду /start (обязательный минимум)
При первом запуске бота (команда /start) пользователь должен дать согласие до того, как бот начнёт собирать какие-либо данные.
Пример сообщения от бота при первом запуске:
Привет! Я помогаю записаться на консультацию к юристу.
Перед началом работы нам нужно ваше согласие на обработку персональных данных в соответствии с 152-ФЗ.
Нажимая «Согласен», вы подтверждаете, что ознакомились с Политикой конфиденциальности (ссылка на https://yoursite.ru/privacy) и даёте согласие на обработку введённых вами данных (имя, телефон, email) для целей записи и связи с вами.
Кнопки: [✓ Согласен] [✗ Не согласен]
Если пользователь нажимает «Не согласен» — бот должен завершить диалог с сообщением о невозможности работы без согласия. Это не нарушение — вы не обязаны предоставлять сервис без согласия на обработку данных.
Вариант 2: Инлайн-кнопки с фиксацией согласия
Более правильный с юридической точки зрения подход: использовать inline keyboard с кнопками «Принять» и «Отклонить». При нажатии «Принять» бот:
- Фиксирует timestamp согласия
- Сохраняет версию политики конфиденциальности, действовавшей на момент согласия
- Сохраняет user_id в базу данных согласий
Это создаёт доказательную базу на случай проверки РКН.
Пример логики обработчика (псевдокод):
Обработка кнопки 'consent_accept': user_id = query.from.id Сохранить в БД: user_id, consent_given=true, timestamp=сейчас, policy_version='2026-04-16', channel='telegram_bot' Ответить: 'Спасибо! Теперь расскажите, как вас зовут?'
Обработка кнопки 'consent_decline': Ответить: 'Без согласия мы не можем продолжить. Если передумаете — напишите /start'
Вариант 3: Согласие через ссылку на веб-форму
Для сложных форм согласия (несколько целей обработки, разные типы данных) — отправляйте ссылку на веб-форму с галочками. После подтверждения веб-форма передаёт статус обратно в бота.
Взаимодействие с BotFather: что указывать и чего нельзя упускать
BotFather — официальный бот Telegram для создания и настройки ботов. Ряд настроек прямо влияет на соответствие 152-ФЗ.
Обязательные настройки через BotFather
1. Описание бота (/setdescription)
В описании следует кратко упомянуть, что бот обрабатывает персональные данные и потребует согласия. Пример:
«Бот записи на консультации. При первом запуске потребуется согласие на обработку персональных данных по 152-ФЗ. Политика: yoursite.ru/privacy»
2. Команды /privacy и /delete
Настройте через /setcommands следующие команды:
- /start — Начало работы + согласие
- /privacy — Политика конфиденциальности
- /delete — Запрос на удаление моих данных
- /help — Помощь
Команда /delete — обязательная по закону. Субъект ПДн имеет право потребовать уничтожения своих данных (ст. 21 ч. 1 152-ФЗ), и бот обязан предоставить механизм для этого. Срок исполнения — 7 рабочих дней.
3. Ссылка на Privacy Policy через BotFather
С 2022 года BotFather поддерживает команду /setprivacypolicy — можно привязать прямую ссылку на политику. Это влияет на отображение информации в профиле бота и показывает пользователям ссылку на политику до запуска.
Команда: /setprivacypolicy → выбрать бота → вставить URL политики.
Хранение данных: где и как долго
Данные из Telegram-бота, как правило, хранятся в нескольких местах:
| Хранилище | Что там | Требования |
|---|---|---|
| Сервера Telegram | История сообщений | Трансграничная передача, управлять нельзя |
| Ваша база данных (БД) | Собранные данные, статусы | Локализация в РФ — обязательна |
| CRM-система | Клиентская база | Договор поручения с CRM-провайдером |
| Google/Яндекс Таблицы | Экспорт заявок | Договор поручения, для Google — трансграничная передача |
| Email-сервис (Unisender, SendPulse) | Email для рассылок | Договор поручения |
Сроки хранения должны быть прописаны в политике конфиденциальности. Типовые сроки:
- Данные для исполнения договора — срок действия договора + 3 года (общий срок исковой давности)
- Данные рассылок — до отзыва согласия
- Записи о согласии — 3 года с момента прекращения обработки
- Данные о транзакциях — 5 лет (требование налогового законодательства)
Критически важно: Хранить данные из Telegram-бота в Google Таблицах без договора поручения с Google — прямое нарушение, которое ведёт к двум нарушениям одновременно: отсутствие договора поручения и несанкционированная трансграничная передача данных.
Штрафы за нарушения при использовании Telegram-ботов
Редакция КоАП по состоянию на апрель 2026 года (ФЗ № 420-ФЗ от 30.11.2024):
| Нарушение | Штраф для юрлица | Штраф для ИП |
|---|---|---|
| Сбор ПДн без согласия через бота | 100 000 — 300 000 ₽ | 20 000 — 80 000 ₽ |
| Отсутствие политики конфиденциальности | 30 000 — 100 000 ₽ | 10 000 — 30 000 ₽ |
| Нарушение порядка трансграничной передачи | 100 000 — 300 000 ₽ | 20 000 — 80 000 ₽ |
| Отказ удалить данные по запросу субъекта | до 80 000 ₽ | до 30 000 ₽ |
| Утечка данных из бота (первичная) | 3 — 15 млн ₽ | 1 — 3 млн ₽ |
| Утечка данных (повторная) | 1–3% выручки, min 20 млн, max 500 млн ₽ | аналогично |
Повторным в 2026 году считается нарушение, совершённое в течение одного года после предыдущего.
Реальный пример 2026 года: Компания с Telegram-ботом для записи клиентов получила предписание РКН по двум пунктам — отсутствие согласия при первом контакте и хранение данных на серверах вне РФ. Суммарный штраф составил 350 000 ₽. После публичного разбора кейса несколько десятков похожих ботов были проверены в рамках плановых мероприятий.
Пошаговый план оформления Telegram-бота по 152-ФЗ
Шаг 1: Аудит существующего бота (1–2 часа)
Пройдитесь по сценариям бота и зафиксируйте:
- Какие данные запрашивает бот на каждом шаге
- Куда эти данные сохраняются
- Есть ли сейчас механизм согласия
- Куда бот передаёт данные (CRM, таблицы, email-сервисы)
Шаг 2: Разработка документов (1–3 дня)
Минимальный пакет для Telegram-бота:
- Политика конфиденциальности — опубликована на сайте по постоянному адресу, включает разделы про мессенджер как незащищённый канал, трансграничную передачу Telegram Inc., сроки хранения, порядок удаления данных по запросу
- Форма согласия на обработку ПДн — шаблон текста для кнопки /start с конкретными целями, перечнем данных и ссылкой на политику
- Регламент работы через мессенджер — какие данные допустимо запрашивать, какие нельзя, как сотрудники работают с данными из бота
Для ботов, обрабатывающих платёжные данные, нужны дополнительно:
- Договоры поручения с CRM-системой, email-сервисом, платёжным агентом
- Реестр обработки ПДн с описанием систем
Шаг 3: Обновление кода бота (несколько часов)
Изменения в логике:
- Обработчик /start → показывает сообщение с согласием и двумя кнопками
- Обработчик callback 'consent_accept' → сохраняет согласие в БД с timestamp и версией политики
- Обработчик callback 'consent_decline' → завершает диалог
- Обработчик /delete или /privacy → отправляет нужную информацию
- Middleware → проверяет наличие согласия перед любым сбором данных
Шаг 4: Настройка BotFather (30 минут)
- /setprivacypolicy → URL вашей политики
- /setcommands → добавить /privacy и /delete
- /setdescription → упомянуть обработку ПДн
Шаг 5: Уведомление РКН (30 минут)
Если бот является основным каналом сбора персональных данных и вы ещё не уведомили РКН — подайте уведомление на pd.rkn.gov.ru. Укажите в разделе «Способы сбора» в том числе мессенджеры.
Типичные ошибки владельцев Telegram-ботов
Ошибка 1: «Telegram — это мессенджер, а не сайт, закон на него не распространяется»
Это распространённое заблуждение. 152-ФЗ регулирует обработку персональных данных независимо от канала — сайт, приложение, бот, CRM или бумажная анкета. Если данные собираются — закон применяется.
Ошибка 2: «Я разместил ссылку на политику в описании канала — этого достаточно»
Недостаточно. Требуется активное согласие — действие пользователя, подтверждающее ознакомление с политикой. Пассивное размещение ссылки не создаёт юридически значимого согласия.
Ошибка 3: «Бот работает через сторонний сервис (ManyChat, Botpress) — ответственность у них»
Ответственность перед РКН несёт оператор — то есть вы. Сторонние платформы для создания ботов — обработчики по вашему поручению, с ними нужно заключать договор поручения на обработку ПДн. Если у ManyChat или аналогичного сервиса нет подходящего DPA для российских требований — это ваша проблема, не их.
Ошибка 4: «Телефон написал пользователь — значит, он сам согласился»
Нет. Факт того, что пользователь сам написал телефон в чате, не является юридически значимым согласием по ст. 9 152-ФЗ. Согласие должно быть явным, конкретным, информированным. «Человек написал телефон» — это не согласие на хранение, передачу в CRM и использование для рассылок.
Ошибка 5: «Данные хранятся у Telegram, а не у меня»
Даже если вы не делаете отдельной базы — вы получаете и читаете данные через API. Это уже обработка. Плюс большинство ботов сохраняют данные в собственной базе данных для работы логики. Ссылаться на Telegram как на единственное хранилище нельзя.
Ошибка 6: «У меня маленький бот, 200 пользователей — кому я нужен»
РКН принимает жалобы от пользователей в режиме онлайн. Один недовольный клиент, знающий о 152-ФЗ, может инициировать проверку. Масштаб бота не влияет на применяемые штрафы — в КоАП нет исключений для «маленьких операторов».
Сравнение вариантов приведения бота в порядок
| Вариант | Стоимость | Срок | Что получаете | Риски |
|---|---|---|---|---|
| Шаблоны из интернета | 0 ₽ | 2–5 дней | Общие документы без учёта специфики бота и мессенджера | Высокий: не отражает реальную обработку |
| Консультация юриста (разово) | 10 000 – 30 000 ₽ | 3–10 дней | Документы под конкретную ситуацию | Средний: нужно самому описать все сценарии |
| Юридическое сопровождение | 50 000 – 200 000 ₽ | 2–4 недели | Полный комплект + аудит технической части | Низкий, но долго и дорого |
| ПараДок (автоматически) | 4 990 – 20 990 ₽ | до 1 часа | Пакет документов под ваш бизнес с учётом типа бота и данных | Минимальный: контроль качества ≥ 88/100 |
ПараДок анализирует вашу специфику (тип бота, используемые данные, наличие мессенджера как канала) и генерирует документы с конкретными формулировками — не универсальные шаблоны.
Часто задаваемые вопросы
Q: Нужна ли отдельная политика конфиденциальности для бота или достаточно общей политики сайта? Отдельный документ не обязателен. Достаточно добавить раздел «Обработка данных через мессенджеры» в существующую политику конфиденциальности. Главное — там должны быть конкретные формулировки про Telegram как незащищённый канал, трансграничную передачу и сроки хранения.
Q: Что делать, если бот уже работает без согласия — надо перезапускать? Да, необходимо обновить логику бота: добавить запрос согласия при следующем сеансе уже существующих пользователей. Технически это решается через проверку в middleware — если согласие не зафиксировано, перенаправлять на сообщение с согласием независимо от текущего шага диалога.
Q: Telegram хранит историю сообщений — как выполнить право на удаление? Вы обязаны удалить данные из своих баз данных и систем. Историю сообщений в Telegram вы удалить не можете — это вне вашего контроля. Об этом ограничении нужно прямо написать в политике конфиденциальности: «данные в истории мессенджера удаляются пользователем самостоятельно через функции Telegram». Это честная и корректная позиция.
Q: Нужно ли уведомлять РКН отдельно для бота? Бот — это канал сбора данных, а не отдельный оператор. Если вы уже подавали уведомление об операторстве для вашей компании/ИП — достаточно обновить его, добавив мессенджеры как способ сбора данных. Если уведомление не подавалось — нужно подать.
Q: Платёжный модуль Telegram (Telegram Payments) — нужны ли дополнительные документы? Да. Telegram Payments передаёт платёжные данные через провайдеров (Stripe, ЮKassa, Сбер). Для каждого провайдера нужен договор поручения на обработку ПДн. Кроме того, платёжные данные относятся к повышенной категории и требуют отдельного указания в политике конфиденциальности.
Q: Можно ли запрашивать паспортные данные через Telegram-бота? Технически можно, но крайне не рекомендуется. Telegram — незащищённый канал, и передача паспортных данных через него нарушает требования к защите данных. Если паспортные данные необходимы (например, для оформления договора), используйте защищённую веб-форму с шифрованием или очный формат.
Q: Что если бот работает в нескольких мессенджерах (Telegram + WhatsApp + ВКонтакте)? Каждый канал — отдельный источник данных. В политике конфиденциальности нужно описать все используемые мессенджеры с указанием, что все они являются незащищёнными каналами. Для WhatsApp (Meta) добавляется передача данных в компанию, признанную в России нежелательной организацией — это отдельный юридический вопрос, требующий консультации.
Q: Сколько времени занимает приведение бота в порядок с нуля? При использовании автоматизированного сервиса для документов — 1–2 часа на документы и ещё 2–4 часа на изменение кода бота. Итого: один рабочий день для разработчика + один час для оформления документов.
Итоги
Telegram-бот — полноценный инструмент сбора персональных данных, на который распространяется 152-ФЗ в полном объёме. Особенность именно в том, что мессенджер добавляет дополнительный слой требований: регламент незащищённого канала, трансграничная передача, ограничения на категории данных.
Хорошая новость: привести бота в порядок технически несложно. Большинство изменений — это несколько строк кода для обработчика /start и набор документов под вашу специфику.
Чеклист для Telegram-бота по 152-ФЗ:
- [ ] Механизм согласия реализован при первом запуске (/start) с двумя кнопками
- [ ] Согласие фиксируется в базе данных с timestamp и версией политики
- [ ] Политика конфиденциальности опубликована на сайте и содержит раздел про мессенджер
- [ ] В политике описана трансграничная передача данных через Telegram Inc.
- [ ] В политике указан регламент: какие данные допустимо передавать через бота
- [ ] Настроены команды /privacy и /delete в BotFather
- [ ] /setprivacypolicy заполнен ссылкой на политику
- [ ] Реализован обработчик /delete с ответом и реальным удалением данных из БД в течение 7 рабочих дней
- [ ] Данные бота хранятся в базе данных на серверах в РФ
- [ ] С CRM-системой и другими получателями данных подписан договор поручения
- [ ] Уведомление в РКН подано, мессенджеры указаны как канал сбора данных
Стоимость игнорирования — от 100 000 до 500 000 000 ₽. Стоимость соответствия — один рабочий день и несколько тысяч рублей на документы.
Нужны готовые документы для вашего бота — без шаблонной воды? Запустите бесплатный аудит и получите персональный пакет →
Статья актуальна на апрель 2026 года. Нормативная база: ФЗ № 152-ФЗ «О персональных данных» (ред. 01.03.2023), ФЗ № 420-ФЗ от 30.11.2024 (оборотные штрафы), КоАП ст. 13.11 (ред. 30.05.2025), Методические рекомендации РКН по мессенджерам. Ссылки: pd.rkn.gov.ru, pd.rkn.gov.ru/incidents.