инструкция 27 февраля 2027 По состоянию на 27 февраля 2027

Политика для чат-ботов

Чат-бот собирает персональные данные с момента первого сообщения — имя, телефон, запрос, IP. Политика обработки ПДн и пакет ОРД обязательны по ст. 18.1 ФЗ-152.

Отсутствие политики — штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽; нарушение порядка согласия с 01.09.2025 — до 700 000 ₽ по ч. 2 ст. 13.11 (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025).

→ Если вы юрист и готовите ОРД для компании с чат-ботом — ниже пошаговый порядок составления политики и смежных документов.

С 01.09.2025 согласие пользователя чат-бота на обработку ПДн должно быть оформлено отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: его нельзя вшить в пользовательское соглашение или скрыть в чекбоксе. Одновременно с этим ужесточилась ответственность по ст. 13.11 КоАП. Инструкция ниже описывает шесть последовательных шагов: от инвентаризации потоков данных через чат-бот до публикации политики и регистрации оператора в реестре РКН.

Шаг 1. Проведите инвентаризацию данных, которые собирает чат-бот

Прежде чем составлять политику, юрист обязан зафиксировать: какие именно данные бот запрашивает и сохраняет. Типовой набор для бота поддержки: имя, телефон, email, история переписки, IP-адрес пользователя, идентификатор мессенджера (Telegram user ID, VK ID). Если бот работает в сфере здравоохранения — добавляется диагноз или симптомы, то есть специальная категория по ст. 10 ФЗ-152. Для финансового чат-бота — доходы, данные о задолженности.

Зафиксируйте для каждой категории данных: цель сбора, правовое основание по ст. 6 ФЗ-152, срок хранения, куда данные передаются (платформа бота, CRM, служба поддержки). Этот перечень станет основой политики и уведомления РКН по ст. 22 ФЗ-152.

«Ст. 5 ФЗ-152 устанавливает принцип соответствия объёма данных заявленным целям: оператор не вправе собирать через бот больше, чем нужно для конкретной операции.»

Шаг 2. Определите правовые основания и структуру согласия

Для чат-бота, работающего вне договорных отношений (справочный бот, бот лид-генерации), основным правовым основанием по п. 1 ч. 1 ст. 6 ФЗ-152 является согласие субъекта. С 01.09.2025 это согласие — отдельный документ. Его реквизиты по ст. 9 ФЗ-152: ФИО субъекта или идентификатор (Telegram-ник), наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.

Для бота, обслуживающего покупателей интернет-магазина (статус договора уже установлен), часть данных обрабатывается по п. 5 ч. 1 ст. 6 — для исполнения договора. Согласие в этом случае нужно только на дополнительные цели (маркетинг, рассылки). Это разграничение влияет на текст политики: одна секция — для договорной обработки, другая — для согласительной.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие оформляется отдельным документом. Объединение согласия с офертой, пользовательским соглашением или политикой конфиденциальности — нарушение ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000 — 700 000 ₽.»

Согласия в чат-боте ещё не переработаны под требования с 01.09.2025?

Если юрист компании обнаружил, что чекбокс согласия встроен в пользовательское соглашение или текст бота — каждое такое взаимодействие после 01.09.2025 создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП. Срок переоформления не восстанавливается: нарушение фиксируется с первого пользователя после дедлайна. Юристы DATUM соберут пакет согласий и политику по новым требованиям ФЗ-156 под конкретный сценарий работы бота.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Составьте политику обработки персональных данных

Политика обработки ПДн — публичный документ, обязательный по ч. 2 ст. 18.1 ФЗ-152. Для бота его размещают в доступном месте: ссылка в приветственном сообщении бота, на странице сайта с виджетом, в описании бота в мессенджере. Отсутствие публичной политики — ч. 3 ст. 13.11 КоАП, штраф до 60 000 ₽.

Обязательные разделы политики для чат-бота по ч. 2 ст. 18.1 ФЗ-152:

Наименование и реквизиты оператора
Цели обработки ПДн (отдельно по каждой категории данных, собираемых ботом)
Правовые основания обработки (ст. 6 ФЗ-152 — конкретные пункты)
Категории и перечень обрабатываемых ПДн
Порядок и условия обработки: сроки хранения, уничтожение по достижении цели
Передача третьим лицам (платформа бота, облачное хранилище, CRM) — с указанием поручения и ст. 6 п. 3 ФЗ-152
Права субъекта и порядок их реализации (ст. 14–21 ФЗ-152, срок ответа — 10 рабочих дней по ст. 20)
Контакты ответственного за обработку ПДн (ст. 22.1 ФЗ-152)

Политика не заменяет согласие. Это отдельные документы с разными функциями: политика — раскрытие информации оператором, согласие — волеизъявление субъекта.

Как назначить ответственного по ст. 22.1 ФЗ-152 для чат-бота?

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 — обязательная должность для любого оператора-юрлица. Назначается приказом руководителя. В контексте чат-бота этот сотрудник отвечает за: контроль корректности работы бота со сбором данных, реагирование на запросы субъектов, поступающие через канал бота, и взаимодействие с РКН при проверке.

Требования к квалификации ответственного установлены ч. 4 ст. 22.1: он должен знать законодательство о ПДн. На практике — это юрист, DPO или специально обученный сотрудник. Контактные данные ответственного публикуются в политике обработки ПДн и направляются в РКН вместе с уведомлением по ст. 22.

«Ст. 22.1 ФЗ-152: отсутствие назначенного ответственного — нарушение, которое фиксируется при проверке РКН. Ответственный должен быть указан в политике и в уведомлении по Приказу РКН №180 от 28.10.2022.»

Если в компании нет подходящего сотрудника — функцию ответственного можно передать на аутсорсинг. DPO-аутсорсинг по ст. 22.1 ФЗ-152 формально реализуется через договор поручения обработки или договор об оказании услуг с соответствующим объёмом полномочий.

Шаг 5. Подайте уведомление в Роскомнадзор по ст. 22 ФЗ-152

До начала обработки ПДн через чат-бот оператор обязан уведомить РКН по ст. 22 ФЗ-152. Форма уведомления — Приказ РКН №180 от 28.10.2022. Подача через личный кабинет pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр операторов — 30 дней с момента подачи уведомления.

В уведомлении указываются: цели обработки (должны совпадать с политикой), правовые основания, категории субъектов и ПДн, описание мер защиты по ст. 19 ФЗ-152, сведения о трансграничной передаче (если платформа бота зарубежная — Telegram, WhatsApp, облако AWS). Неподача уведомления — ч. 10 ст. 13.11 КоАП, штраф для юрлица 100 000 — 300 000 ₽.

Отдельный вопрос — трансграничная передача. Если бот работает через зарубежную платформу (Telegram хранит данные на серверах за рубежом), оператор должен оценить необходимость уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. Перечень стран с адекватным уровнем защиты — в актуальном приказе РКН (точный номер уточняйте перед подачей).

Если юрист ведёт проект внедрения чат-бота и нужно подать уведомление в РКН до запуска — срок включения в реестр составляет 30 дней. Запуск бота без уведомления при первой же жалобе пользователя или плановой проверке РКН приводит к штрафу по ч. 10 ст. 13.11 КоАП. Юристы DATUM подготовят уведомление и сопроводят постановку на учёт.

Заказать аудит 152-ФЗ

Шаг 6. Соберите полный пакет ОРД по чат-боту

Политика и уведомление — два из нескольких десятков документов, которые проверяет РКН. Для оператора с чат-ботом полный пакет ОРД включает:

Что подготовить для чат-бота

Политика обработки персональных данных (публичная, на сайте и в боте) — ст. 18.1 ФЗ-152
Форма отдельного согласия пользователя с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156
Приказ о назначении ответственного за обработку ПДн — ст. 22.1 ФЗ-152
Договор-поручение с платформой чат-бота (если платформа обрабатывает данные) — п. 3 ст. 6 ФЗ-152
Уведомление о намерении обрабатывать ПДн, поданное в РКН — ст. 22, Приказ РКН №180

Помимо этого — внутренние регламенты: порядок ответа на запросы субъектов (срок 10 рабочих дней по ст. 20 ФЗ-152), регламент реагирования на инциденты (24 часа на первичное уведомление РКН по ч. 3.1 ст. 21), журнал учёта обращений. Если бот собирает биометрические данные (голос, изображение лица) — дополнительно нужно письменное согласие по ст. 11 ФЗ-152.

Типовые ситуации: как применяется политика для чат-бота на практике

Ситуация 1. Юрист торговой сети (Центральный ФО, осень 2025) проводил аудит перед проверкой РКН и обнаружил, что чат-бот для заявок на доставку хранит согласие пользователя в тексте оферты — единым документом. После 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП. По итогам аудита были подготовлены: отдельная форма согласия для бота, обновлённая политика с разделом о трансграничной передаче данных на платформу бота, договор-поручение с агрегатором. Компания прошла проверку без предписаний.

Кейс 2. В деле медицинской клиники (Приволжский ФО, начало 2026) чат-бот для записи на приём собирал жалобы и симптомы пациентов. При проверке РКН установил, что данные относятся к специальной категории по ст. 10 ФЗ-152 (состояние здоровья), а в политике они не были выделены как спецкатегория — отсутствовало отдельное основание для их обработки. Протокол по ч. 1 ст. 13.11 КоАП. Штраф составил сотни тысяч рублей. После инцидента политика и согласие были переработаны с явным указанием специальной категории и основания по п. 4 ч. 2 ст. 10 ФЗ-152.

Ситуация 3. Компания-разработчик SaaS запустила демо-бот для лидогенерации без уведомления РКН. Пользователь подал жалобу, РКН возбудил дело по ч. 10 ст. 13.11 КоАП (неуведомление о намерении обрабатывать ПДн). Штраф для юрлица — в диапазоне 100 000 — 300 000 ₽ в редакции с 30.05.2025. Уведомление было подано уже в процессе рассмотрения дела, что суд учёл как смягчающее обстоятельство по ст. 4.2 КоАП.

Частые вопросы

1. Какие документы должны быть у оператора ПДн, использующего чат-бот?

Минимальный пакет: политика обработки ПДн (публичная, ст. 18.1 ФЗ-152), отдельное согласие пользователя по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, приказ о назначении ответственного (ст. 22.1 ФЗ-152), договор-поручение с платформой бота (п. 3 ст. 6 ФЗ-152), уведомление в РКН (ст. 22, Приказ РКН №180). Если бот собирает спецкатегории или биометрию — дополнительные согласия по ст. 10 и ст. 11 ФЗ-152.

2. Как составить политику обработки ПДн для чат-бота?

Политика должна отражать фактические потоки данных конкретного бота. Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: реквизиты оператора, цели и правовые основания по каждой категории данных, сроки хранения, порядок передачи третьим лицам, права субъекта и контакты ответственного. Шаблон из интернета не учитывает специфику платформы бота, трансграничную передачу и категории данных — его необходимо адаптировать.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ответственным назначается штатный сотрудник с пониманием законодательства о ПДн — юрист, офицер по защите данных или специально обученный менеджер. Назначение оформляется приказом. Если подходящего сотрудника нет, функцию можно передать на аутсорсинг через договор. Контактные данные ответственного публикуются в политике и подаются в РКН.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон можно взять за основу, но не использовать без адаптации. Типовые шаблоны не учитывают: конкретные категории данных, собираемые вашим ботом, платформу и её юрисдикцию (Telegram, WhatsApp, облако), наличие спецкатегорий, фактические сроки хранения, актуальные требования ФЗ-156 от 24.06.2025. Применение неадаптированного шаблона при проверке РКН не освобождает от ответственности по ч. 3 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025 по ФЗ-156?

С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом и не может объединяться с офертой, пользовательским соглашением или политикой конфиденциальности. Обязательные реквизиты согласия по ст. 9 ФЗ-152: идентификатор субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок и способ отзыва. Ранее полученные согласия обратной силы не имеют — их переоформлять не требуется, но новые взаимодействия с 01.09.2025 должны фиксировать согласие по новым правилам.

6. Нужно ли уведомлять РКН, если чат-бот работает только внутри компании (для сотрудников)?

Уведомление в РКН по ст. 22 ФЗ-152 требуется при обработке ПДн в случаях, не подпадающих под исключения ч. 2 ст. 22. Исключение для внутреннего кадрового учёта действует, если бот обрабатывает данные только штатных сотрудников для целей трудового договора. Если бот собирает данные шире (кандидаты, подрядчики, клиенты) или передаёт данные сторонним платформам — уведомление обязательно.

Итог

Политика для чат-бота — не формальность, а обязательный документ, который формирует правовое основание для каждого сбора данных через бот. После 01.09.2025 к ней добавилось требование об отдельном согласии по ФЗ-156, а ответственность по ст. 13.11 КоАП выросла кратно с введением новых частей по ФЗ-420 от 30.11.2024. Пакет ОРД для бота включает минимум пять документов; отсутствие любого из них при проверке РКН даёт основание для протокола.

Практика DATUM охватывает полный цикл подготовки ОРД для операторов с чат-ботами: от инвентаризации потоков данных до сопровождения уведомления в РКН и проверки корректности согласий после 01.09.2025.

Услуги DATUM по теме

Комплект ОРД под ключ — полный пакет документов для оператора ПДн
Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 пунктов
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия по ст. 9 ФЗ-152 в редакции ФЗ-156, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

27 февраля 2027 года