152-ФЗ в digital-маркетинге 2026: как собирать и хранить данные клиентов законно

С 2023 года штрафы по 152-ФЗ «О персональных данных» выросли в 10 раз — до 6 000 000 ₽ за повторные нарушения. Telegram ID, имя пользователя, номер телефона — всё это персональные данные, и их сбор без правильно оформленного согласия нарушает закон. Это руководство поможет digital-маркетологам и владельцам Telegram-ботов работать в рамках закона.

Что является персональными данными в Telegram-маркетинге

По ст. 3 ФЗ-152, персональные данные — «любая информация, относящаяся к прямо или косвенно определённому физическому лицу». Применительно к Telegram и digital-маркетингу это:

  • Telegram user_id — уникальный идентификатор аккаунта, ПД по разъяснению Роскомнадзора
  • Telegram username (@nick) — однозначно идентифицирует человека, ПД
  • Номер телефона — всегда ПД
  • Имя и фамилия в профиле Telegram — ПД
  • Email-адрес — ПД
  • История покупок/заказов привязанная к лицу — ПД
  • IP-адрес в совокупности с другими данными — ПД

Что НЕ является ПД: анонимизированная статистика (сколько человек нажало кнопку), обобщённые данные без привязки к личности, публичная информация из открытых каналов (без идентификации автора).

⚠️ Важно: С 1 марта 2023 года Роскомнадзор признал Telegram user_id персональными данными. Хранение user_id в CRM без согласия — нарушение 152-ФЗ.

Как правильно оформить согласие на обработку ПД

Согласие на обработку ПД по ст. 9 ФЗ-152 должно быть:

  • Конкретным — указаны конкретные цели обработки
  • Информированным — пользователь понимает, что именно собирается и зачем
  • Сознательным — не по умолчанию, не «галочка уже стоит»
  • Отзываемым — возможность отозвать согласие в любой момент

Минимальный текст согласия для Telegram-бота:

«Используя этого бота, вы соглашаетесь на обработку ваших персональных данных (имя, Telegram ID, номер телефона) в целях оказания услуг и информирования об акциях. Оператор данных: [название ООО/ИП], ИНН [xxx]. Отозвать согласие: /delete_data. Подробнее: [ссылка на политику конфиденциальности]»

Что должна содержать политика конфиденциальности:

  1. Перечень собираемых данных
  2. Цели обработки (маркетинг, оказание услуг, техподдержка)
  3. Срок хранения (или критерии его определения)
  4. Передача третьим лицам (если есть — кому и зачем)
  5. Контакты оператора (юридическое название, адрес, email)
  6. Порядок отзыва согласия и удаления данных
🤖 Решение для Telegram: Чат-бот Contez включает готовый блок согласия на ПД в приветственном сообщении, хранит логи с временными метками, реализует команду /delete_data для удаления данных пользователя. Соответствие 152-ФЗ из коробки.

Реестр операторов ПД: нужна ли регистрация

По ст. 22 ФЗ-152, организации обязаны уведомить Роскомнадзор о начале обработки ПД — до начала обработки. Исключений мало: освобождены от уведомления только организации, обрабатывающие ПД исключительно для выполнения трудового договора и только сотрудников.

Если ваш бот собирает данные клиентов — регистрация обязательна.

Как подать уведомление: через сайт РКН (rkn.gov.ru), раздел «Подача уведомления». Срок регистрации — обычно 30 дней. После регистрации — номер в реестре операторов ПД, который рекомендуется указывать в политике конфиденциальности.

Штраф за работу без уведомления: до 300 000 ₽ (ст. 13.11 КоАП). Плюс — РКН может инициировать проверку всей деятельности по ПД.

Хранение, передача и удаление персональных данных

Где можно хранить ПД российских пользователей: только на серверах в России (ст. 18.1 ФЗ-152, «закон о локализации»). Использование иностранных облаков (AWS, Google Cloud) без «зеркала» в РФ — нарушение. Допустимые варианты: Яндекс.Облако, Selectel, российские VPS-провайдеры.

Передача третьим лицам: разрешена только с отдельного согласия или по поручению (договор поручения на обработку ПД). Например, передача данных в CRM-систему — нужен договор поручения с провайдером CRM.

Сроки хранения: не дольше, чем нужно для заявленных целей. После достижения цели — удалить. При отзыве согласия — удалить в течение 30 дней.

Право на удаление: пользователь вправе потребовать удаления своих данных. Должна быть техническая возможность удалить всё: из CRM, из Telegram-бота, из резервных копий (в течение 30 дней).

Штрафы за нарушение 152-ФЗ в 2025–2026 году

С 2025 года штрафы по 152-ФЗ существенно выросли. Актуальная таблица:

НарушениеЮрлицоИП
Обработка без уведомления РКНдо 300 000 ₽до 100 000 ₽
Обработка без согласиядо 300 000 ₽до 100 000 ₽
Нарушение локализации (хранение за рубежом)до 6 000 000 ₽до 2 000 000 ₽
Утечка данных (до 1000 субъектов)до 3 000 000 ₽до 1 000 000 ₽
Утечка данных (более 100 000 субъектов)до 15 000 000 ₽

Плюс — при систематических нарушениях РКН блокирует сайт/сервис до устранения.

Частые вопросы

Нужно ли согласие на ПД, если бот только отвечает на вопросы?

Даже если бот просто отвечает на вопросы, он обрабатывает Telegram user_id — это ПД. Минимально необходимо: уведомление пользователя о факте обработки и указание оператора. Полное согласие — если хранить данные в CRM или слать рекламу.

Можно ли хранить данные клиентов в Google Sheets?

Технически это нарушение требования локализации — Google Sheets хранит данные на серверах вне РФ. На практике малому бизнесу РКН не проверяет Google Sheets, но при утечке ответственность будет максимальной. Безопасная альтернатива — отечественные CRM или Яндекс.Диск.

Как пользователь может потребовать удаления данных?

Предоставьте команду /delete_data или кнопку «Удалить мои данные» в настройках бота. При её использовании — удалите все ПД пользователя из всех систем в течение 30 дней. Зафиксируйте факт удаления с датой — это важно при проверке.