152-ФЗ и чат-боты: как не нарваться на штраф 15 млн рублей

Что такое 152-ФЗ и почему это касается бота

Федеральный закон №152-ФЗ «О персональных данных» — это базовый документ, регулирующий, как любая компания в России может собирать, хранить и обрабатывать сведения о физических лицах. Закон работает с 2006 года, но в 2022–2024 годах его требования резко ужесточились: штрафы выросли в десятки раз, а Роскомнадзор начал точечные проверки сегмента малого бизнеса.

Многие предприниматели думают, что 152-ФЗ — это «про банки и операторов сотовой связи». Это заблуждение. Под закон попадает каждый, кто получает от клиента хоть какую-то информацию, позволяющую его идентифицировать: фамилию, телефон, email, номер автомобиля, дату рождения, адрес доставки.

Чат-бот для записи в салон красоты, для приёма заявок на ремонт квартир, для онлайн-консультаций ветклиники — всё это системы обработки персональных данных. С точки зрения закона нет разницы, лежат данные в базе банка или в Postgres вашего Telegram-бота на VPS за 500 ₽/мес.

Сколько стоит ошибка: новые штрафы 2024 года

В 2024 году Госдума приняла поправки, которые радикально изменили ответственность за нарушения в области персональных данных. Если раньше типичный штраф для ИП составлял 5–10 тысяч рублей и считался «строкой расходов», то сейчас цифры другого порядка.

За что и сколько штрафуют

Особенно болезненный пункт — оборотные штрафы. Для компании с выручкой 200 миллионов рублей в год повторная утечка может стоить 6 миллионов рублей, и это не теоретическая страшилка: за 2024 год в открытый доступ утекло около 1,5 миллиарда личных записей россиян, и Роскомнадзор реагирует жёстче, чем когда-либо.

В контексте чат-ботов риск не гипотетический. Типичный сценарий: предприниматель заказывает бота у фрилансера, тот разворачивает базу на дешёвом облачном хостинге за рубежом — Hetzner, DigitalOcean, AWS. Через год бизнес-аккаунт оказывается на проверке Роскомнадзора (например, после жалобы клиента), и выясняется, что 5 000 записей о клиентах хранились в Германии. Штраф — миллионы.

Кого штрафуют чаще

По наблюдениям юристов рынка, чаще всего под санкции попадает не крупный бизнес, у которого есть отдел compliance, а именно малые и средние компании: интернет-магазины, медцентры, фитнес-клубы, агентства недвижимости. Причина — у них есть данные клиентов, но нет ресурса на их защиту, а из заметных «маркеров» — реклама и активная клиентская база, что само по себе привлекает внимание.

Какие данные ваш бот собирает прямо сейчас

Чтобы понять, попадаете ли вы под 152-ФЗ, посмотрите на любую переписку клиента с ботом. Если в логах есть хотя бы что-то из этого списка — закон уже распространяется на вас:

• Имя, фамилия, отчество — даже только имя, если оно сопровождается контактом.
• Номер телефона, email — главные идентификаторы.
• Дата рождения — часто запрашивают салоны красоты для скидок, медцентры для медкарты.
• Адрес доставки или приезда мастера.
• Номер автомобиля — для автосервисов, шиномонтажей, мойки.
• Telegram ID / @username — это тоже идентификатор личности, даже если имя не указано.
• Фото клиента или его детей — например, при заявке на детскую фотосессию.
• Медицинская информация — описание симптомов, упоминание заболеваний, имена питомцев в ветклинике с владельцем.

Отдельная категория — специальные категории персональных данных: сведения о здоровье, расовом и национальном происхождении, политических взглядах, религии. Их сбор требует отдельного письменного согласия, и штрафы за нарушения здесь выше базовых. Если ваш бот для ветклиники спрашивает про хронические заболевания питомца — это пограничная зона, требующая отдельной проработки.

Что НЕ является персональными данными

Чтобы не паниковать сверх меры, полезно знать обратное. Не относятся к 152-ФЗ:

• Полностью обезличенная статистика («за неделю было 500 заявок»).
• Названия услуг и тарифов без привязки к конкретному клиенту.
• Анонимные обращения, где невозможно идентифицировать человека.

Но как только в логе появляется конкретный Telegram-ID рядом с конкретной услугой — это уже персональные данные, и хранить их нужно по правилам.

5 обязанностей оператора персональных данных

Если ваш бот попадает под 152-ФЗ (а он почти наверняка попадает), вам как владельцу бизнеса нужно выполнить минимум пять вещей. Это не «модные практики», а буквальные требования закона.

1. Получить согласие пользователя

Перед тем как бот сохранит имя и телефон в базу, клиент должен подтвердить согласие на обработку. На практике это означает: первое сообщение бота — приветствие со ссылкой на политику обработки и кнопкой «Согласен». Без галочки бот не должен сохранять никакие данные, кроме служебных.

Согласие должно быть конкретным, информированным и сознательным: общая фраза «соглашаюсь со всеми условиями» не подходит. В тексте должно быть указано, какие именно данные собираются, для каких целей, и сколько хранятся.

2. Опубликовать политику обработки

Это отдельный документ, размещённый в открытом доступе (на сайте). В нём перечислены: цели обработки, состав данных, способы, сроки хранения, права субъекта. У вас должна быть рабочая ссылка вида decodext.ru/privacy, на которую ссылается бот.

3. Уведомить Роскомнадзор

До начала обработки данных оператор обязан подать в Роскомнадзор уведомление через личный кабинет на сайте rkn.gov.ru. Это бесплатно и занимает 15–30 минут, но факт уведомления критичен: без него любая обработка считается незаконной.

Раньше работали исключения «для целей трудовых отношений» и подобные. С 2022 года почти все они отменены — уведомлять должен практически каждый бизнес, который собирает данные клиентов.

4. Обеспечить хранение в РФ

Базовое требование закона: первичный сбор и хранение персональных данных граждан России должны происходить в базах, физически расположенных на территории РФ. Это не запрещает потом синхронизировать их с заграничными системами, но первичная точка хранения должна быть российской.

Здесь сразу два подводных камня для чат-ботов:

• SaaS-конструкторы (некоторые западные платформы для ботов) часто работают через цепочки субпроцессоров на серверах в ЕС или США. Формально вы используете «российский сервис», фактически данные летят в Германию.
• LLM-API (OpenAI, Anthropic, Google) — все они хостятся за пределами РФ. Если вы передаёте в GPT-4 запрос клиента вместе с его именем — вы отправляете персональные данные за рубеж. Это нарушение.

5. Защищать данные от утечек

Закон требует «принимать необходимые правовые, организационные и технические меры». На практике это: шифрование соединения (HTTPS, TLS), ограничение доступа к базе, журналирование действий, регулярные бэкапы. Если случилась утечка — оператор обязан в течение 24 часов уведомить Роскомнадзор и провести расследование.

Серверы в РФ: что это значит на практике

«Серверы в РФ» звучит просто, но в реальности здесь несколько уровней, и большинство владельцев ботов не знают, на каком они находятся.

Уровень 1: где работает сам бот

Программный код бота (Node.js, Python, что угодно) развёрнут на VPS. Этот VPS должен быть физически в РФ: Selectel, Timeweb, REG.RU, Yandex Cloud, VK Cloud — все они работают. Hetzner (Германия), DigitalOcean (США), AWS-регионы за пределами РФ — нарушение.

Уровень 2: где лежит база данных

Postgres, MySQL, MongoDB, в которых хранятся имена и телефоны клиентов, — тоже на российском сервере. Если код в РФ, а БД в Германии — это всё равно нарушение.

Уровень 3: к каким внешним сервисам обращается бот

Самый частый источник проблем. Если бот для обработки запроса передаёт текст в OpenAI или Claude, и в этом тексте есть имя клиента — данные уходят за рубеж. Чтобы остаться в правовом поле, есть три пути:

• Использовать российские LLM: GigaChat от Сбера, YandexGPT от Яндекса. Оба работают на серверах в РФ.
• Обезличивать данные перед отправкой в зарубежный API: заменять имя на «клиент_123», телефон — на «телефон_сохранён».
• Брать письменное согласие на трансграничную передачу — отдельный документ, отдельная процедура, не для бытовых ботов.

Уровень 4: где хранятся бэкапы

Если основной сервер в РФ, а бэкапы автоматически копируются в облако за рубежом — нарушение. Бэкапы тоже должны быть в России.

Уровень 5: где сидит платформа конструктора

Если бот собран на конструкторе (Botmother, SaleBot, BotHelp, любой другой), всё, что в нём накоплено, физически хранится на серверах платформы, а не у вас. У хорошего российского конструктора серверы в РФ. У зарубежного — нет. У некоторых российских — частично за рубежом через субпроцессоров. Перед запуском обязательно проверьте этот пункт в их политике.

Как DECODEXT строит боты в 152-ФЗ-режиме

Когда мы делаем бот под ключ, соответствие 152-ФЗ заложено в архитектуру с первого дня, а не дописывается «потом, если попросят». Вот что входит в стандартный пакет:

• VPS в РФ. Деплоим на Selectel, Timeweb, REG.RU или Yandex Cloud — на выбор клиента. Бэкапы — там же, в России.
• LLM по выбору. Базовая опция — GigaChat или YandexGPT (всё в РФ). Если клиент хочет качество западных моделей — настраиваем обезличивание данных перед отправкой в зарубежный API.
• Согласие на обработку — встроено в первый экран бота. Без подтверждения галочки бот не сохраняет данные, кроме служебных идентификаторов.
• Политика обработки — типовой документ под ваш бизнес. Размещаем на вашем сайте и ссылаемся из бота.
• Уведомление в Роскомнадзор — помогаем заполнить и подать через личный кабинет. Бесплатно, в составе сдачи проекта.
• HTTPS, шифрование БД, журналирование — стандартный технический минимум.
• Документация по 152-ФЗ — пакет на случай проверки: какие данные собираются, где хранятся, как защищены. Берёте папку и показываете Роскомнадзору.

Этот подход не делает бота дороже — это вопрос правильно выбранной архитектуры в начале, а не дорогой переделки в конце. Зато после сдачи вы спите спокойно: при проверке у вас есть и согласия, и политика, и серверы в правильной юрисдикции, и пакет документов.

Частые вопросы

У меня всего 50 клиентов в боте, неужели меня правда оштрафуют?

Базовые штрафы за отсутствие согласия и политики применяются вне зависимости от количества клиентов: 300 000 – 700 000 ₽ для юрлица. «Маленький размер базы» — не индульгенция. Роскомнадзор приходит чаще по жалобам, а недовольный клиент жалуется одинаково и на компанию с 50 контактами, и с 50 000.

Можно ли использовать ChatGPT для бота, если клиенты в России?

Напрямую — нет, потому что данные уйдут на сервера OpenAI в США. Можно либо обезличивать запрос (заменять имя и телефон на токены), либо использовать российские модели — GigaChat и YandexGPT. Второй вариант проще и юридически чище.

Что если бот хостится у Botmother или SaleBot — это уже их проблема?

Нет. Оператором персональных данных по закону являетесь вы как владелец бизнеса. Платформа — это процессор (исполнитель). Если у платформы серверы за рубежом или нет договора об обработке данных — штрафуют именно вас, потому что вы выбрали такого исполнителя.

Как Роскомнадзор узнает, что у меня бот?

Способы разные. Жалоба клиента — самый частый. Плановая проверка по отрасли. Расследование утечки, где ваша база засветилась. Анализ публичной рекламы и оферты на сайте, где упомянут бот. Скрыть факт обработки данных в современных условиях невозможно.

Я уже работаю с ботом на Hetzner полгода — что делать?

Не паниковать, но действовать. План минимум: подать уведомление в Роскомнадзор (если ещё не подано), мигрировать данные на российский VPS, опубликовать политику, добавить в бот экран согласия. Лучше сделать это сейчас по своей инициативе, чем после проверки. Мы помогаем с такими миграциями — в среднем неделя работы.