Перейти к содержанию
инструкция 14 февраля 2027 года По состоянию на 14 февраля 2027 года

Согласие через мессенджер

Согласие на обработку персональных данных, полученное через мессенджер, юридически признаётся действительным только при соблюдении всех реквизитов ст. 9 ФЗ-152 в редакции с 01.09.2025 и возможности однозначно идентифицировать субъекта.
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом — не в теле договора, не в политике конфиденциальности. Нарушение требований к составу согласия влечёт штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за единственный случай; повторное нарушение — до 1 500 000 ₽ по ч. 2.1.
→ Если вы юрист и проверяете, законна ли форма сбора согласий через Telegram или WhatsApp — эта инструкция даёт пошаговый порядок настройки процесса и набор документов.

Мессенджеры стали стандартным каналом взаимодействия с клиентами, партнёрами и соискателями. Операторы собирают персональные данные через чат-боты, формы в Telegram-каналах и диалоги в WhatsApp. При этом большинство компаний не задаётся вопросом: соответствует ли полученное «согласие» требованиям ст. 9 ФЗ-152? После 01.09.2025 риски стали конкретнее: согласие должно быть отдельным документом с обязательными реквизитами, а Роскомнадзор получил инструмент для проверки каждого оператора через реестр. Инструкция построена для юриста, который настраивает или проверяет процесс сбора согласий через мессенджеры.

Когда согласие через мессенджер вообще допустимо?

Согласие субъекта — лишь одно из одиннадцати оснований обработки персональных данных по ст. 6 ФЗ-152. Перед тем как выстраивать технический процесс, юрист обязан проверить: нужно ли согласие в принципе или обработка возможна на ином основании — исполнение договора (п. 5 ч. 1 ст. 6), исполнение обязанности оператора (п. 2) и других. Если согласие не требуется — любая форма его получения избыточна и не создаёт правового основания сама по себе.

Когда согласие всё же необходимо, мессенджер как канал получения не запрещён ФЗ-152. Закон устанавливает требования к содержанию и форме согласия, но не к каналу передачи. Текстовое сообщение, ответ на сообщение бота или нажатие кнопки «Согласен» в интерфейсе Telegram — технически возможные способы фиксации волеизъявления субъекта. Проблема не в канале, а в том, что большинство операторов не обеспечивают идентификацию субъекта и не сохраняют доказательства получения согласия.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие субъекта персональных данных должно быть оформлено отдельным документом; не допускается его объединение с договором, публичной офертой, политикой конфиденциальности или иным документом. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий, срок и порядок отзыва.»

Специальные категории персональных данных по ст. 10 ФЗ-152 — состояние здоровья, биометрические данные, данные о судимости и другие — требуют письменного согласия. Мессенджер не является письменной формой в гражданско-правовом смысле, если стороны не договорились об эквивалентности электронных сообщений. Это ограничение необходимо учитывать при проектировании процесса.

Согласия в мессенджерах уже используются — проверить их соответствие новым нормам?

С 01.09.2025 каждое согласие, встроенное в текст бота или оферты, создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Юристы DATUM проведут аудит действующих форм согласий, составят перечень нарушений и подготовят исправленный пакет документов под новые требования ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите правовое основание и категорию данных

До проектирования технического решения зафиксируйте в документах: какие персональные данные оператор получает через мессенджер, с какой целью и на каком основании. Это необходимо для уведомления Роскомнадзора по ст. 22 ФЗ-152 (форма по Приказу РКН №180 от 28.10.2022) и для структуры самого согласия.

Если обрабатываются только общие категории персональных данных — ФИО, телефон, адрес — согласие в форме, допускающей дистанционное подтверждение, правомерно. Если оператор планирует через мессенджер собирать данные о здоровье или биометрические данные — этот канал не подходит без дополнительной верификации личности и получения письменного согласия.

Шаг 2. Настройте идентификацию субъекта

Главная уязвимость согласия через мессенджер — невозможность доказать, что согласие дало именно то лицо, персональные данные которого будут обрабатываться. Аккаунт в Telegram или WhatsApp не является документом, удостоверяющим личность. Роскомнадзор при проверке вправе потребовать доказательства того, что согласие получено именно от субъекта, а не от третьего лица, использующего чужой номер.

Минимально достаточная идентификация — подтверждение владения номером телефона через SMS-код в момент получения согласия. Усиленная идентификация — верификация через ЕСИА (Госуслуги): в таком случае связка между аккаунтом и личностью подтверждена государственной системой. Если оператор не может обеспечить ни один из этих механизмов через мессенджер — следует перевести сбор согласий на сайт или в КЭДО.

Шаг 3. Составьте текст согласия с обязательными реквизитами по ст. 9 ФЗ-152

Согласие, отправляемое субъекту через мессенджер или отображаемое в интерфейсе бота, должно содержать все реквизиты ст. 9 ФЗ-152 в редакции с 01.09.2025. Объединение текста согласия с приветственным сообщением бота, текстом акции или описанием услуги нарушает требование об отдельном документе.

Обязательные реквизиты согласия (ст. 9 ФЗ-152)

  • Фамилия, имя, отчество субъекта персональных данных и его контактные данные
  • Наименование и адрес оператора (юридическое лицо или ИП)
  • Конкретная цель обработки персональных данных (не «в целях деятельности», а конкретно)
  • Перечень персональных данных, на обработку которых даётся согласие
  • Перечень действий с персональными данными и описание используемых методов
  • Срок действия согласия или условие его прекращения, а также порядок отзыва

Текст согласия оформляется как отдельное сообщение или экран в боте. Субъект должен явно подтвердить ознакомление: нажатием кнопки «Подтверждаю», ответным текстом «Согласен» или иным однозначным действием. Простое «прочитал» или молчание не является согласием. Если оператор использует третьих лиц для обработки данных по поручению (ст. 6 ч. 3 ФЗ-152), это также отражается в тексте согласия.

Шаг 4. Обеспечьте хранение доказательств согласия

Обязанность доказать наличие согласия лежит на операторе (ч. 3 ст. 9 ФЗ-152). При проверке Роскомнадзора или при разбирательстве по ст. 13.11 КоАП оператор должен представить конкретное согласие конкретного субъекта с датой и временем получения. Скриншот переписки — слабое доказательство: он не подтверждает неизменность и не позволяет установить, кто именно отправил сообщение.

Надлежащее хранение доказательств через мессенджер включает следующие элементы: автоматическая запись в базу данных оператора в момент подтверждения субъектом согласия; фиксация идентификатора аккаунта мессенджера, номера телефона и результата идентификации (SMS-код, ЕСИА); временная метка в UTC+3; хэш текста согласия для подтверждения его неизменности. Лог должен храниться не менее срока обработки данных плюс один год — для ответа на запрос РКН или суда.

Шаг 5. Включите согласие через мессенджер в ОРД оператора

Получение согласия через мессенджер — часть системы обработки персональных данных. Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 обязан отразить этот канал в организационно-распорядительных документах оператора. Отсутствие описания канала в политике конфиденциальности — нарушение ст. 18.1 ФЗ-152 и основание для штрафа по ч. 3 ст. 13.11 КоАП (от 30 000 до 60 000 ₽).

Минимальный состав ОРД, который необходимо обновить при внедрении сбора согласий через мессенджер: политика обработки персональных данных (добавить описание канала, целей, категорий субъектов и данных); форма согласия как отдельный документ; регламент или инструкция для сотрудника, ответственного за поддержку бота; порядок обработки запросов субъектов на отзыв согласия. Уведомление в РКН по ст. 22 ФЗ-152 также обновляется, если мессенджер вводит новые категории обрабатываемых данных или цели.

«Ст. 18.1 ФЗ-152 обязывает оператора принять политику обработки персональных данных и обеспечить к ней неограниченный доступ. Ст. 22.1 ФЗ-152 устанавливает обязанность назначить лицо, ответственное за организацию обработки ПДн; оно обеспечивает актуальность политики и документов. Ст. 22 ФЗ-152 — обязанность уведомить РКН до начала обработки; неуведомление или несвоевременное уведомление — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.»

Если юрист ведёт проект по внедрению чат-бота или мессенджер-канала и нужно собрать ОРД с нуля — пакет документов от 45 000 ₽ включает политику, форму согласия, регламент и приказ о назначении ответственного по ст. 22.1. Срок — 5 рабочих дней.

Собрать ОРД под ключ

Какие сценарии нарушений возникают на практике?

Сценарий 1. Согласие объединено с приветственным сообщением бота. Ситуация: бот при первом контакте отправляет сообщение «Нажимая "Продолжить", вы соглашаетесь на обработку персональных данных согласно нашей политике». Ссылка ведёт на страницу сайта. Пользователь нажимает кнопку меню. Это не является согласием по ст. 9 ФЗ-152 в редакции с 01.09.2025: нет отдельного документа, нет реквизитов, нет явного волеизъявления по конкретному перечню данных. Вероятный исход при проверке — протокол по ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽. Стратегия: переработать сценарий бота — вынести отдельный экран с полным текстом согласия и кнопкой явного подтверждения.

Сценарий 2. Согласие получено, но доказательства не сохранились. Ситуация: оператор переключился на новую CRM, история переписки в мессенджере не перенесена. Субъект направил жалобу в РКН о том, что его данные обрабатываются без согласия. Оператор не может представить доказательства. Вероятный исход — признание обработки незаконной по ч. 1 ст. 9 ФЗ-152, предписание об уничтожении данных, штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽. Стратегия: с момента внедрения фиксировать согласия в отдельной базе данных с резервированием; при смене CRM — мигрировать лог согласий как приоритетный массив.

Сценарий 3. Отзыв согласия через мессенджер не обработан. Ситуация: субъект написал боту «Отзываю согласие». Сотрудник прочитал сообщение через неделю, данные продолжали обрабатываться. Ст. 9 ФЗ-152 обязывает оператора прекратить обработку в течение 30 дней с момента получения отзыва. Нарушение срока — состав по ч. 5 ст. 13.11 КоАП, штраф от 50 000 до 90 000 ₽; повторно — от 300 000 до 500 000 ₽ по ч. 5.1. Стратегия: регламент обработки запросов субъектов должен включать мессенджер как канал входящих обращений; ответственный по ст. 22.1 контролирует соблюдение сроков.

Как это применяется на практике

Кейс 1. Юридическая служба торговой сети (Сибирский ФО, осень 2025) обнаружила при внутреннем аудите, что чат-бот в Telegram собирал контактные данные участников программы лояльности. Согласие было встроено в приветственное сообщение бота без отдельного документа. После 01.09.2025 это создавало риск штрафа по ч. 2 ст. 13.11 КоАП для каждого из нескольких тысяч субъектов. Юристы переработали сценарий бота: добавили отдельный экран с текстом согласия, кнопки явного подтверждения, SMS-верификацию и автоматическую запись в CRM. Политика конфиденциальности и уведомление в РКН обновлены в части описания канала. Риск штрафа устранён до начала проверки РКН.

Кейс 2. Медицинский центр (Центральный ФО, начало 2026) использовал WhatsApp для предварительной записи пациентов. Администратор запрашивал ФИО и дату рождения в переписке. Согласия не получалось — ни в какой форме. Субъект подал жалобу в РКН. По результатам проверки возбуждено дело по ч. 1 ст. 13.11 КоАП. Дополнительный риск: данные о записи к врачу могут квалифицироваться как косвенно раскрывающие сведения о состоянии здоровья (специальная категория по ст. 10 ФЗ-152), что меняет квалификацию и размер штрафа. Стратегия: для медицинских организаций сбор данных через мессенджер допустим только при наличии отдельного согласия на каждую цель обработки и механизма письменного подтверждения для специальных категорий.

Услуги DATUM по теме

  • Комплект ОРД под ключ — политика, согласия, приказы, регламент отзыва, журнал учёта запросов субъектов
  • Аудит соответствия 152-ФЗ — проверка действующих форм согласий, каналов сбора данных и комплекта ОРД по 38 пунктам
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая обработку запросов субъектов через мессенджеры

Частые вопросы

1. Какие документы должны быть у оператора ПДн, который собирает согласия через мессенджер?

Минимальный состав: политика обработки персональных данных с описанием канала (мессенджер), форма согласия как отдельный документ по ст. 9 ФЗ-152, приказ о назначении ответственного по ст. 22.1 ФЗ-152, регламент обработки запросов субъектов (включая отзыв через мессенджер), уведомление РКН по ст. 22 ФЗ-152 с актуальными сведениями о канале и целях обработки. Журнал учёта согласий — технический документ, но критически важен как доказательство при проверке.

2. Как составить политику обработки персональных данных, если используется мессенджер?

Политика по ч. 2 ст. 18.1 ФЗ-152 должна содержать цели обработки, категории субъектов и данных, правовые основания, перечень действий, порядок хранения и уничтожения, а также описание каналов сбора. Мессенджер указывается как канал получения согласия и сбора данных с описанием применяемого способа идентификации субъекта (SMS-код, ЕСИА или иной). Политика публикуется в открытом доступе на сайте оператора и должна быть доступна по прямой ссылке из мессенджера до момента получения согласия.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным назначается работник оператора — физическое лицо, имеющее доступ к системам обработки ПДн и полномочия давать обязательные указания сотрудникам. Закон не устанавливает обязательных квалификационных требований, однако ч. 4 ст. 22.1 ФЗ-152 предусматривает, что оператор обеспечивает возможность получения ответственным необходимых знаний. На практике это юрист, compliance-специалист или специально уполномоченный менеджер. Для компаний без подходящего штатного специалиста допустим DPO-аутсорсинг.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон из открытых источников — допустимая точка отсчёта, но не готовый документ. Политика должна отражать реальные процессы конкретного оператора: фактические цели обработки, категории данных, применяемые технические меры, реальных подрядчиков-обработчиков. Использование универсального шаблона без адаптации создаёт расхождение между документом и фактической обработкой — это самостоятельное основание для штрафа по ч. 3 ст. 13.11 КоАП при проверке РКН.

5. Какие согласия нужно переоформить после 01.09.2025 в связи с ФЗ-156 от 24.06.2025?

ФЗ-156 не имеет обратной силы: согласия, полученные до 01.09.2025 и соответствующие требованиям закона на момент получения, переоформлять не требуется. Обязанность оформлять согласие отдельным документом (не в теле договора или политики) распространяется на все согласия, получаемые с 01.09.2025. Если оператор использует чат-бот и не обновил сценарий после этой даты — каждое новое согласие, собранное в прежнем формате, нарушает требования ст. 9 ФЗ-152 в редакции ФЗ-156.

6. Что делать, если субъект отозвал согласие прямо в чате мессенджера?

Отзыв согласия через любой канал, включая мессенджер, порождает обязанность оператора прекратить обработку персональных данных. Срок — 30 дней с момента получения отзыва (ст. 9 ФЗ-152). Факт получения отзыва необходимо зафиксировать автоматически или вручную в журнале запросов субъектов. Регламент оператора должен обеспечивать мониторинг входящих сообщений в мессенджере как канала обращений субъектов. Несоблюдение срока — штраф по ч. 5 ст. 13.11 КоАП от 50 000 до 90 000 ₽.

Итог

Согласие через мессенджер законно, если оператор обеспечил три элемента: идентификацию субъекта, отдельный документ с реквизитами по ст. 9 ФЗ-152 в редакции с 01.09.2025 и хранение доказательств волеизъявления. Технический канал сам по себе не является нарушением — нарушение возникает из-за несоблюдения содержательных и процедурных требований закона.

DATUM сопровождает операторов при внедрении мессенджер-каналов: от аудита действующего процесса и составления форм согласий до обновления ОРД и уведомления РКН. Практика по 152-ФЗ — с 2014 года в рамках сети «Ветров и партнёры».

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.