Сбор заявок через WhatsApp и Telegram по 152-ФЗ

12 мин
персональные данныемессенджеры152-фзwhatsapptelegram
Сбор заявок через WhatsApp и Telegram по 152-ФЗ, обложка статьи sitelaw

Заявки всё чаще приходят в WhatsApp или Telegram вместо формы на сайте: кнопка «Написать в мессенджер», QR-код на визитке, чат-бот с меню услуг. Владельцу кажется, что раз это обычная переписка без формы с галочками, то 152-ФЗ здесь ни при чём. На самом деле сбор заявок через WhatsApp и Telegram это такая же обработка персональных данных, как заполнение формы, и правила про основание и политику работают одинаково. Разберём, что именно образует состав нарушения, что не образует, и правда ли, что за мессенджер можно получить штраф.

Приём заявки в мессенджере это обработка персональных данных

Как только клиент присылает имя, номер телефона и текст заявки, а вы это читаете, сохраняете в переписке и используете, чтобы перезвонить или выставить счёт, вы обрабатываете персональные данные. Канал значения не имеет. Форма на сайте, письмо на почту, сообщение в WhatsApp, диалог с Telegram-ботом, для закона это всё сбор и обработка данных, а вы в этот момент оператор персональных данных.

Отсюда частое заблуждение в обе стороны. Одни считают, что мессенджер это личная переписка и закон её не касается. Другие, наоборот, пугаются, что сам факт использования WhatsApp или Telegram уже нарушение. Оба вывода неверны. Правильный ответ посередине: канал сам по себе законен, но у обработки данных, которые через него приходят, должны быть основание и опубликованная политика.

Вот как это выглядит на практике. Мастер маникюра принимает записи в WhatsApp: клиент пишет имя, удобное время и телефон для подтверждения. Кофейня собирает предзаказы через Telegram-бота с меню. Автосервис даёт кнопку «Записаться в мессенджере» на сайте. Во всех трёх случаях бизнес получает персональные данные и попадает под 152-ФЗ ровно так же, как если бы поставил на сайте форму.

Сбор заявок через WhatsApp и Telegram: нужно ли согласие

Здесь главная развилка, на которой путаются почти все. Согласие субъекта это не единственное законное основание обработки. Оснований несколько, и согласие лишь одно из них.

Если человек сам написал вам, чтобы записаться на услугу, заказать товар или получить расчёт, то обработка его контактов нужна, чтобы выполнить его же запрос. Закон разрешает такую обработку как необходимую для заключения или исполнения договора по инициативе самого клиента. Отдельная галочка «согласен на обработку персональных данных» в этом случае не требуется: человек обратился к вам первым и явно хочет, чтобы вы обработали его заявку. Требовать от него формальное согласие, чтобы ответить на его же сообщение, было бы странно.

Согласие в отдельной форме становится нужным, когда данные используются сверх самой услуги. Типичные примеры:

  • рассылка акций и новостей тем, кто просто оставил заявку;
  • передача контактов третьим лицам (партнёру, подрядчику по маркетингу);
  • сбор данных на будущее, не связанное с текущим обращением.

Здесь уже нужно самостоятельное, осознанное согласие под конкретную цель. Молчаливого «раз написал, значит согласен на всё» недостаточно. С 1 сентября 2025 года требования к форме согласия ужесточились: согласие оформляется отдельно от других документов и должно быть конкретным и понятным. Нельзя зашить его общим пунктом в пользовательское соглашение или оферту.

Вывод для мессенджера простой. Принимаете заявку и отвечаете по ней, основание есть и без галочки. Хотите потом слать этому человеку рекламу, нужно отдельное согласие, и это уже не только 152-ФЗ, но и закон о рекламе.

Политика обработки данных нужна в любом случае

Даже если согласие для приёма заявок не требуется, обязанность опубликовать политику обработки персональных данных остаётся. Оператор, который собирает данные через интернет, обязан разместить документ о политике и обеспечить к нему неограниченный доступ. Мессенджер-канал этой обязанности не отменяет.

На практике это значит вот что. Если кнопка «Написать в WhatsApp» или ссылка на Telegram-бота стоит на вашем сайте, политика должна быть опубликована на сайте и доступна с той же страницы, откуда человек уходит в мессенджер. Если сайта нет вовсе, а заявки идут только через мессенджер, у оператора всё равно должна быть политика, к которой субъект может получить доступ, например по ссылке в описании бота или в первом автосообщении.

Политика это не формальность ради галочки. Это документ, где вы называете, какие данные собираете, зачем, на каком основании и как долго храните. Что должно быть внутри, подробно разобрано в материале о содержании политики конфиденциальности.

Где заканчивается приём заявки и начинается передача за рубеж

Теперь самый тонкий вопрос, вокруг которого больше всего страхов. WhatsApp и Telegram работают на серверах за пределами России. Значит ли это, что, принимая заявку, вы автоматически нарушаете правило о хранении данных россиян в РФ и совершаете трансграничную передачу?

Нет, не автоматически. Здесь важно различать направление потока данных.

Когда клиент сам пишет вам в мессенджер, данные текут внутрь, к вам. Вы их принимаете, а не передаёте за рубеж. Закон о трансграничной передаче регулирует ситуацию, когда оператор сам отправляет персональные данные за границу. Приём входящего сообщения от клиента, который добровольно вам написал, это получение данных, а не их вывоз оператором вовне. Сам факт «клиент написал мне в WhatsApp» состава по трансграничной передаче или локализации у вас как оператора не образует.

Состав появляется в другой ситуации: когда вы сами берёте клиентскую базу и выгружаете её в зарубежную инфраструктуру для хранения и систематизации. Например, копируете имена и телефоны заявок в облачную таблицу на зарубежных серверах и ведёте там основную базу клиентов. Вот тогда уже персональные данные россиян записываются и хранятся в базе за пределами РФ, а это прямое пересечение с требованием о локализации. Разница не в том, где стоит сервер, а в том, что именно и в какую сторону вы передаёте.

Проще говоря: получить сообщение в мессенджере это одно, а сложить всю базу клиентов в иностранное облако это совсем другое. Первое само по себе безопасно, второе требует внимания. Про второй сценарий, когда база клиентов уезжает в зарубежные таблицы и облака, сделаем отдельный разбор.

Законен ли WhatsApp и что с Telegram

Отдельный миф: якобы WhatsApp в России запрещён и работать через него нельзя. Это неверно.

Запрет по решению суда касается социальных сетей Facebook и Instagram: их владелец, компания Meta, признана экстремистской организацией, её деятельность в России запрещена. Здесь важна точность. Мессенджер WhatsApp этим же судебным решением был прямо исключён из запрета, потому что у него нет функции публичного распространения контента. Использовать WhatsApp для приёма заявок законом не запрещено.

Два практических следствия из статуса Meta:

  • если вы где-то в текстах или контактах упоминаете саму Meta, Facebook или Instagram, при упоминании нужна маркировка о том, что организация признана экстремистской и её деятельность в России запрещена;
  • Instagram и Facebook как рабочий канал для приёма заявок использовать не стоит, а WhatsApp можно.

Обратите внимание: статус Meta установлен решением суда, а не законом о персональных данных. Это судебный факт, и подавать его как «запрет по 152-ФЗ» неверно.

С Telegram ситуация проще: его деятельность в России не запрещена, приём заявок через Telegram-бота или личный аккаунт законен. Серверы Telegram распределены за пределами России, поэтому к нему применимы те же рассуждения про приём и передачу: входящее сообщение от клиента это приём, а не вывоз данных оператором. Утверждать, что данные Telegram где-то локализованы в России, мы не будем, публично подтверждённой информации об этом нет. Для владельца бизнеса вывод тот же, что и с WhatsApp: канал законен, а обязанности по основанию и политике никуда не деваются.

Чем это грозит: составы и штрафы

Штрафы возникают за нарушение правил обработки. Сам по себе мессенджер под них не подводит. Пройдём по составам, без запугивания.

Обработка персональных данных без законного основания. Если вы собираете данные там, где основания нет, это отдельный состав. Для юридических лиц предусмотрен штраф от 150 000 до 300 000 рублей. Напомним: при приёме заявки по инициативе клиента основание, как правило, есть, поэтому этот состав бьёт скорее по ситуациям, когда вы используете данные не по назначению.

Отсутствие или недоступность политики обработки данных. Если оператор собирает данные через интернет, но политики нет либо к ней нет свободного доступа, для юридических лиц предусмотрен штраф от 30 000 до 60 000 рублей.

Нарушение правила о хранении данных россиян в РФ. Это самый серьёзный состав, но он относится к сценарию, когда оператор сам ведёт первичную базу за рубежом. Для юридических лиц штраф здесь измеряется миллионами, от 1 000 000 до 6 000 000 рублей. К обычному приёму заявок в мессенджере этот состав не применяется, он про выгрузку базы в иностранное облако.

Что нарушеноСостав КоАПШтраф для юрлица
Обработка без основаниячасть 1 статьи 13.11от 150 000 до 300 000 рублей
Нет политики или к ней нет доступачасть 3 статьи 13.11от 30 000 до 60 000 рублей
База россиян хранится за рубежомчасть 8 статьи 13.11от 1 000 000 до 6 000 000 рублей

Это вилка по КоАП, а не юридическое заключение. Конкретный размер определяет орган с учётом обстоятельств, а для граждан, должностных лиц, самозанятых и ИП суммы отличаются от указанных здесь для юрлиц. Разные составы не складываются: один состав это одно нарушение на оператора, и количество мессенджеров или сервисов его не умножает.

Как проверить сбор заявок через мессенджеры на сайте

Самопроверку удобно вести глазами проверяющего. Пройдите по этому списку:

  1. Откройте свой сайт и найдите все кнопки и ссылки, ведущие в WhatsApp и Telegram, а также встроенные чат-виджеты.
  2. Проверьте, опубликована ли на сайте политика обработки персональных данных и открывается ли она по ссылке без регистрации.
  3. Убедитесь, что рядом с кнопкой мессенджера или в подвале есть ссылка на политику, а не только сама кнопка.
  4. Проверьте, для чего вы реально используете полученные контакты. Только для ответа по заявке или ещё и для рассылок. Если для рассылок, нужно отдельное согласие.
  5. Проверьте, где физически хранится ваша база клиентов. Если это зарубежное облако или таблица на иностранных серверах, это отдельный риск, разбирайтесь с локализацией.

Пройти сайт по этому чек-листу глазами реально, но на многостраничном сайте с несколькими формами и виджетами легко пропустить страницу, где кнопка мессенджера стоит без ссылки на политику. Увидеть все формы и внешние виджеты сразу проще автоматической проверкой. На странице проверки сайта по 152-ФЗ сканер находит формы, кнопки мессенджеров и внешние сервисы и показывает, где рядом со сбором данных не хватает согласия или ссылки на политику. Индивидуальные случаи это не заменит, но покажет, с какой страницы начинать.

Как привести в порядок

Если проверка нашла пробелы, порядок действий такой.

Опубликуйте политику обработки персональных данных и дайте на неё ссылку. Ссылка должна стоять в подвале сайта и рядом с точками сбора данных, включая кнопки мессенджеров. Если заявки идут только через бота, добавьте ссылку на политику в его описание или первое автосообщение.

Разделите два сценария использования контактов. Для приёма и обработки заявки по запросу клиента отдельное согласие не нужно. Для рассылок, акций и передачи данных партнёрам оформите отдельное согласие под конкретную цель, отдельным понятным действием. Прятать его пунктом в оферте нельзя.

Проверьте, где живёт основная база клиентов. Если контакты заявок вы переносите в зарубежную облачную таблицу и ведёте её как основную базу, это тот самый серьёзный риск. Первичное хранение базы данных россиян следует держать на серверах в России, а зарубежные сервисы использовать с учётом требований о трансграничной передаче.

Не удаляйте канал в панике. WhatsApp и Telegram законны, проблема не в них, а в отсутствии основания, политики или в неправильном месте хранения базы. В порядок приводится обвязка вокруг канала, сам канал трогать не нужно.

Частые вопросы

Нужен ли чекбокс согласия, если я принимаю заявки только через WhatsApp? Для приёма и обработки заявки, которую клиент прислал сам, отдельное согласие обычно не требуется: основанием служит исполнение или заключение договора по инициативе клиента. Согласие понадобится, если вы захотите использовать его контакты для рассылок или передать третьим лицам.

Правда ли, что за использование WhatsApp можно получить штраф по 152-ФЗ? За сам факт использования WhatsApp нет. Штрафы предусмотрены за обработку данных без основания, за отсутствие политики и за хранение базы россиян за рубежом. Если эти правила соблюдены, канал претензий не вызывает.

WhatsApp ведь принадлежит Meta, значит он запрещён? Нет. Запрет касается Facebook и Instagram, деятельность Meta в России запрещена. Мессенджер WhatsApp судебным решением был прямо исключён из запрета, и его использование законно.

Нужна ли политика, если сайта нет и заявки идут только в Telegram-бот? Да. Обязанность оператора опубликовать политику и обеспечить к ней доступ не зависит от наличия сайта. Дайте ссылку на политику в описании бота или в первом автосообщении.

Считается ли приём сообщения из Telegram трансграничной передачей данных? Сам по себе нет. Входящее сообщение от клиента это приём данных, а не их вывоз оператором за рубеж. Вопрос о трансграничной передаче и локализации возникает, когда вы сами загружаете базу клиентов в зарубежную инфраструктуру.

Коротко

Сбор заявок через WhatsApp и Telegram это обработка персональных данных, и правила 152-ФЗ работают так же, как для формы на сайте. Для приёма заявки по инициативе клиента отдельное согласие обычно не нужно, основанием служит исполнение договора, но политику обработки данных опубликовать обязательно. Приём входящего сообщения не равен трансграничной передаче: состав по локализации возникает, только если вы сами ведёте базу клиентов в зарубежном облаке. WhatsApp и Telegram законны, миф про их запрет неверен, запрет касается Facebook и Instagram. Проверить, есть ли политика и как настроены кнопки мессенджеров и формы, можно вручную по чек-листу или автоматической проверкой сайта.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, пункт 5 части 1 статьи 6, обработка персональных данных допускается без отдельного согласия, если она необходима для исполнения договора, стороной которого является субъект, либо для заключения договора по его инициативе.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 9, согласие субъекта на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным; требуется, когда данные используются сверх исполнения услуги.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 18.1, оператор, собирающий персональные данные через интернет, обязан опубликовать документ о политике обработки персональных данных и обеспечить к нему неограниченный доступ.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 12, трансграничная передача персональных данных оператором за рубеж допускается с соблюдением условий и уведомительного режима Роскомнадзора.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 5 статьи 18, запись, систематизация и хранение персональных данных граждан РФ должны вестись с использованием баз данных на территории РФ.
  • КоАП РФ, часть 1 статьи 13.11, обработка персональных данных без правового основания; влечёт штраф, для юридических лиц от 150 000 до 300 000 рублей.
  • КоАП РФ, часть 3 статьи 13.11, неопубликование или необеспечение доступа к политике обработки персональных данных; влечёт штраф, для юридических лиц от 30 000 до 60 000 рублей.
  • КоАП РФ, часть 8 статьи 13.11, необеспечение хранения персональных данных граждан РФ в базах данных на территории РФ; влечёт штраф, для юридических лиц от 1 000 000 до 6 000 000 рублей.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также