инструкция 25 февраля 2029 По состоянию на 25 февраля 2029

ПДн в чат-боте интернет-магазина

Чат-бот интернет-магазина собирает персональные данные с первого сообщения пользователя — имя, телефон, email, историю заказов, геолокацию. Это полноценная обработка ПДн по ст. 3 ФЗ-152.

Без отдельного согласия по ст. 9 ФЗ-152 и уведомления РКН каждый диалог — потенциальный протокол по ст. 13.11 КоАП. Штраф за обработку без согласия — 300 000–700 000 ₽ по ч. 2 ст. 13.11 (в редакции с 30.05.2025).

Если вы маркетолог и чат-бот уже работает — у вас 5 шагов, чтобы привести его в соответствие до следующей проверки РКН. →

Чат-боты в интернет-магазинах стали стандартом: они принимают заказы, отвечают на вопросы о статусе доставки, собирают обратную связь и отправляют рассылки. С точки зрения ФЗ-152 каждый из этих сценариев — самостоятельный процесс обработки ПДн со своим правовым основанием, согласием и сроком хранения. Эта инструкция разбирает пять шагов: от аудита того, что бот собирает, до настройки отзыва подписки.

Шаг 1. Какие данные собирает чат-бот и на каком основании?

Первый шаг — описать все точки сбора. Чат-бот может собирать данные явно (пользователь вводит имя и телефон) и неявно (Telegram-бот получает user_id, username, язык интерфейса; виджет на сайте — cookies сессии, IP-адрес). Все эти сведения в совокупности позволяют идентифицировать человека — значит, это ПДн по ст. 3 ФЗ-152.

Для каждого типа данных нужно определить правовое основание из ст. 6 ФЗ-152. Типичные варианты для чат-бота интернет-магазина:

Имя, телефон, адрес доставки — обработка необходима для исполнения договора купли-продажи (п. 5 ч. 1 ст. 6 ФЗ-152). Согласие не требуется, если данные используются только для выполнения заказа.
Email для рассылок, push-уведомления, история просмотров для персонализации — согласие субъекта по ст. 9 ФЗ-152. С 01.09.2025 по ФЗ-156 от 24.06.2025 оно оформляется отдельным документом, не встроенным в оферту или пользовательское соглашение.
Cookies, IP, идентификаторы устройств — по позиции РКН это ПДн, если используются для идентификации конкретного пользователя. Для обработки требуется отдельное согласие через баннер cookies (ч. 6 ст. 13.11 КоАП — нарушение влечёт штраф 50 000–100 000 ₽).
Геолокация — требует явного согласия; при использовании для маркетинговой сегментации — отдельного.

«Ст. 6 ФЗ-152 устанавливает 11 оснований обработки ПДн. Отсутствие хотя бы одного применимого основания — нарушение ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽ (в редакции с 30.05.2025).»

Зафиксируйте результаты в реестре обработки: название процесса, категория ПДн, правовое основание, цель, срок хранения. Это первичный документ для любой проверки РКН.

Чат-бот уже работает, а согласия — в оферте?

Если маркетолог не проверял правовые основания при запуске бота, компания, скорее всего, обрабатывает ПДн без надлежащего согласия. С 01.09.2025 согласие на рассылки и маркетинговую обработку — только отдельный документ (ФЗ-156). Каждый старый пункт в оферте создаёт основание для штрафа по ч. 2 ст. 13.11 до 700 000 ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Как оформить согласие на обработку ПДн через чат-бот?

Согласие по ст. 9 ФЗ-152 должно быть конкретным, информированным и сознательным. В чат-боте это реализуется по-разному в зависимости от канала.

Telegram-бот. При первом запуске (/start) бот обязан предложить пользователю ознакомиться с политикой обработки ПДн и подтвердить согласие нажатием кнопки. Инлайн-кнопка «Принять» = зафиксированное согласие с timestamp. Не принял — бот не вправе обрабатывать ПДн дальше диалога, необходимого для ответа на запрос.

Виджет на сайте. Согласие встраивается двумя слоями: общий баннер cookies (для идентификаторов устройства) и отдельный чекбокс в форме захвата контактов. Чекбокс не может быть предустановлен в положение «согласен» — это нарушение требования к добровольности по ст. 9.

Обязательные реквизиты согласия с учётом ФЗ-156:

ФИО субъекта или иной идентификатор (в боте — достаточно username + user_id).
Наименование и адрес оператора.
Цель обработки (например: «направление персонализированных предложений»).
Перечень ПДн (email, телефон, история просмотров).
Перечень действий с ПДн (сбор, хранение, передача партнёрам по программе лояльности).
Срок действия согласия или условие прекращения.
Способ отзыва согласия.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку ПДн оформляется отдельным документом — не частью договора, оферты или пользовательского соглашения. Нарушение — ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽.»

Отдельный сценарий — распространение ПДн: если бот формирует публичный профиль покупателя или передаёт данные в агрегаторы отзывов, требуется отдельное согласие по ст. 10.1 ФЗ-152. Молчание пользователя здесь не равно согласию.

Шаг 3. Cookies, GA4 и трансграничная передача — где риски для маркетолога?

Маркетолог интернет-магазина, как правило, отвечает за подключение аналитических и рекламных инструментов: Google Analytics 4, Meta Pixel, Mindbox, amoCRM. Каждый из них — потенциальная трансграничная передача ПДн.

Cookies как ПДн. РКН квалифицирует cookies как персональные данные, если они позволяют идентифицировать пользователя — в совокупности с другими данными сессии, IP или профилем. Это означает, что обработка cookies без баннера согласия нарушает ч. 1 ст. 13.11 КоАП.

GA4 и трансграничная передача. Передача данных в Google Analytics фактически означает передачу ПДн на серверы за пределами России. По ст. 12 ФЗ-152 до такой передачи в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН. США не входят в перечень стран с адекватной защитой. Неуведомление — нарушение, которое фиксируется при плановой проверке. Дополнительно — требование локализации по ч. 5 ст. 18 ФЗ-152: первичный сбор и запись ПДн граждан РФ должны происходить в базах на территории России.

Что делать с GA4: либо использовать GA4 через серверную прокси с хранением первичных данных на российском сервере, либо перейти на российские аналоги (Яндекс Метрика, Roistat), либо подать уведомление о трансграничной передаче в РКН и зафиксировать это в реестре обработки.

Программы лояльности и маркетплейсы. Если интернет-магазин работает на маркетплейсе (Wildberries, Ozon, Яндекс Маркет), вопрос о роли оператора решается через договор с платформой. По общему правилу маркетплейс — самостоятельный оператор для данных, которые он собирает напрямую. Продавец — оператор для данных своих покупателей, которые он собирает через CRM, рассылки и собственный чат-бот.

«Ст. 12 ФЗ-152 — трансграничная передача в страны без адекватной защиты требует предварительного уведомления РКН. Ч. 5 ст. 18 ФЗ-152 — локализация первичного сбора ПДн граждан РФ в базах на территории России. Нарушение локализации — ч. 8 ст. 13.11 КоАП, штраф 1 000 000–6 000 000 ₽.»

Если в интернет-магазине подключены GA4, Meta Pixel или зарубежная CRM — каждый из них требует уведомления о трансграничной передаче. Проверьте соответствие до плановой проверки РКН: аудит покажет, какие инструменты создают нарушения локализации (штраф до 6 000 000 ₽ по ч. 8 ст. 13.11).

Заказать аудит 152-ФЗ

Шаг 4. Что включить в политику конфиденциальности для чат-бота?

Политика обработки ПДн — обязательный публичный документ по ч. 2 ст. 18.1 ФЗ-152. Её отсутствие или неполнота фиксируется при проверке по ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 ₽). Для интернет-магазина с чат-ботом политика должна закрывать все каналы сбора.

Что должна содержать политика под чат-бот:

Перечень каналов сбора: сайт, Telegram-бот, WhatsApp-бот, виджет на сайте — каждый отдельно.
Категории ПДн по каждому каналу: контактные данные, транзакционные, поведенческие (история просмотров, кликстрим), технические (cookies, IP, user agent).
Цели обработки: исполнение заказа, персонализация, email-рассылки, программа лояльности, аналитика.
Правовые основания по каждой цели со ссылкой на ст. 6 и ст. 9 ФЗ-152.
Сроки хранения по каждой категории.
Перечень третьих лиц — получателей данных: платёжные системы, службы доставки, CRM-платформы, аналитические сервисы.
Трансграничная передача: страны-получатели, наличие уведомления РКН.
Порядок реализации прав субъекта: как запросить данные, отозвать согласие, потребовать удаления.

Что подготовить для чат-бота

Реестр обработки ПДн: канал — категория — основание — цель — срок хранения.
Отдельные согласия по ст. 9 ФЗ-152 для рассылок, персонализации, передачи партнёрам.
Баннер cookies с возможностью отказа от нерекламных категорий.
Актуальная политика конфиденциальности, закрывающая все каналы чат-бота.
Уведомление РКН о трансграничной передаче (если используются GA4, зарубежные CRM).

Политика публикуется на сайте в открытом доступе — как правило, в подвале. На неё должна вести ссылка из каждого экрана согласия в чат-боте. Отсутствие ссылки в боте при наличии политики на сайте не снимает нарушение: субъект должен иметь реальную возможность ознакомиться с документом до дачи согласия.

Шаг 5. Как настроить отзыв подписки и обработку запросов субъекта?

Субъект вправе в любой момент отозвать согласие на обработку ПДн (ст. 9 ФЗ-152). Для чат-бота это означает два практических требования: механизм отзыва должен быть доступен внутри бота, и компания обязана выполнить отзыв в разумный срок.

Механизм отзыва в Telegram-боте: команда /unsubscribe или кнопка «Отписаться» в меню должна инициировать прекращение маркетинговых рассылок и удаление или обезличивание данных, собранных для этой цели. Остановка рассылок — немедленно; удаление данных — в срок, предусмотренный политикой (как правило, 30 дней с учётом технических процессов).

Запросы субъекта по ст. 20 ФЗ-152: запрос на предоставление информации об обработке — ответ в течение 10 рабочих дней (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Запрос поступает через любой канал: форму на сайте, email, письмо в бот. Для интернет-магазина критично: если запрос пришёл в чат-бот, он должен быть зафиксирован и передан ответственному за обработку ПДн.

Требование уничтожения по ст. 21 ФЗ-152: если субъект потребовал прекратить обработку или удалить ПДн — оператор обязан это сделать в установленный срок. Невыполнение — ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽. Повторное нарушение — ч. 5.1, штраф 300 000–500 000 ₽.

«Ст. 20 ФЗ-152: срок ответа на запрос субъекта — 10 рабочих дней с даты обращения, с возможностью продления на 5 рабочих дней. Ст. 9 ФЗ-152: отзыв согласия не влечёт негативных последствий для субъекта. Оператор обязан прекратить обработку после получения отзыва.»

Типичные сценарии нарушений в чат-ботах интернет-магазинов

Сценарий 1. Интернет-магазин запустил Telegram-бот для приёма заказов. Бот при первом запуске не показывает согласие на обработку ПДн и не ссылается на политику. Пользователь вводит имя, адрес и телефон. Ситуация: обработка без правового основания в части маркетинговых данных. При проверке РКН — протокол по ч. 2 ст. 13.11, штраф 300 000–700 000 ₽. Стратегия: немедленно внедрить экран согласия при первом запуске с инлайн-кнопкой и ссылкой на политику.

Сценарий 2. Маркетолог подключил к сайту GA4 и Meta Pixel для отслеживания конверсий. Баннер cookies на сайте есть, но не разделяет категории (аналитические и рекламные cookies объединены в одну группу согласия). Передача данных в Google и Meta — трансграничная. Уведомление в РКН не подавалось. Ситуация: нарушение ст. 12 ФЗ-152 и ч. 5 ст. 18 в части локализации. Риск — ч. 8 ст. 13.11 КоАП, штраф 1 000 000–6 000 000 ₽. Стратегия: разделить категории cookies в баннере, подать уведомление о трансграничной передаче в РКН, рассмотреть серверную прокси для GA4.

Сценарий 3. Интернет-магазин работает на маркетплейсе, одновременно ведёт собственный Telegram-бот для программы лояльности. В боте — рассылка акций на email и push. Согласие на рассылку встроено в пользовательское соглашение маркетплейса. После 01.09.2025 такое согласие не соответствует требованиям ФЗ-156: оно не является отдельным документом. Ситуация: каждая рассылка без действительного согласия — потенциальное нарушение ч. 2 ст. 13.11. Стратегия: собрать новые согласия через бот с явным акцептом, обновить политику, разграничить роли оператора между магазином и маркетплейсом.

Как это выглядит на практике

Кейс 1. Интернет-магазин одежды (Центральный ФО, осень 2025) получил предписание РКН по итогам внеплановой проверки, инициированной жалобой пользователя. Бот собирал email и историю заказов для персонализированных рассылок без отдельного согласия. Компания оспорила штраф по ч. 2 ст. 13.11 в арбитражном суде, предоставив доказательства, что бот находился в тестовой эксплуатации и данные не передавались третьим лицам. Суд снизил размер штрафа до нижней границы диапазона, применив смягчающие обстоятельства по ст. 4.1 КоАП.

Кейс 2. Федеральный ретейлер (Северо-Западный ФО, начало 2026) самостоятельно провёл аудит после публикации о штрафах по ФЗ-420. Обнаружил: GA4 настроен без серверной прокси, cookies-баннер не разделяет категории, уведомление о трансграничной передаче в РКН не подавалось. Юристы DATUM подготовили уведомление о трансграничной передаче, собрали пакет ОРД и внедрили раздельное согласие на cookies. Внеплановая проверка РКН через три месяца нарушений не выявила. — Конкретный номер дела и точная дата менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка чат-бота, cookies, согласий и трансграничной передачи по 38-пунктовому чек-листу.
Комплект ОРД под ключ — политика конфиденциальности, согласия, регламент работы с запросами субъектов.
Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП.

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookies в совокупности с другими данными (IP, история сессий, профиль пользователя) позволяют идентифицировать конкретного человека. Это означает, что обработка cookies подпадает под требования ФЗ-152: необходимо правовое основание по ст. 6, уведомление в реестре операторов и согласие через баннер. Отсутствие баннера cookies — нарушение, квалифицируемое по ч. 1 ст. 13.11 КоАП.

2. Можно ли использовать GA4 после ограничений?

Технически — да, но с соблюдением требований локализации и трансграничной передачи. Для использования GA4 без нарушений необходимо: настроить серверную прокси с первичным хранением данных на российском сервере, подать уведомление о трансграничной передаче в РКН по ст. 12 ФЗ-152, отразить это в политике конфиденциальности и реестре обработки. Без этих шагов GA4 создаёт нарушение ч. 5 ст. 18 ФЗ-152 (локализация), штраф по ч. 8 ст. 13.11 КоАП — 1 000 000–6 000 000 ₽.

3. Кто оператор: маркетплейс или продавец?

Роль определяется по фактическому контролю над данными и целям обработки. Маркетплейс — самостоятельный оператор для данных, которые он собирает напрямую (регистрация, оплата, отзывы). Продавец — оператор для данных, которые он собирает через свои инструменты: чат-бот, CRM, рассылки, программа лояльности. Если продавец передаёт данные покупателей в собственный бот вне маркетплейса — это отдельный процесс обработки со своим правовым основанием и согласием. Отношения оформляются договором поручения обработки по п. 3 ст. 6 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Обработка cookies без согласия пользователя при возможности их использования для идентификации квалифицируется как обработка ПДн без надлежащего правового основания. По ч. 1 ст. 13.11 КоАП (в редакции с 30.05.2025) штраф для юрлица составляет 150 000–300 000 ₽. При повторном нарушении — ч. 1.1 ст. 13.11, штраф 300 000–500 000 ₽. Дополнительно возможно предписание об устранении и плановое включение в реестр операторов с повышенным риском.

5. Как оформить отзыв подписки?

Механизм отзыва должен быть доступен в том же канале, где пользователь давал согласие. Для Telegram-бота: команда /unsubscribe или кнопка в меню, после нажатия — немедленное прекращение рассылок и уведомление пользователя. Данные, собранные исключительно для рассылки, подлежат удалению или обезличиванию в срок, указанный в политике. Сохранение транзакционных данных (история заказов) допустимо на основании ст. 6 ФЗ-152 для исполнения договора — отдельное согласие здесь не требуется.

Итог

Чат-бот интернет-магазина — не маркетинговый инструмент, а полноценная информационная система обработки ПДн. Каждый сценарий взаимодействия: сбор заказа, рассылка, аналитика, передача в CRM — требует отдельного правового основания, надлежащего согласия и фиксации в реестре обработки. С 01.09.2025 согласие на маркетинговую обработку — только отдельный документ; cookies — ПДн с требованием баннера; GA4 без серверной прокси — нарушение локализации.

Юристы DATUM специализируются на ПДн в e-commerce: политики конфиденциальности, cookies-баннеры, согласия для чат-ботов, уведомления о трансграничной передаче и сопровождение проверок РКН.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

25 февраля 2029 года