🔥 Акция: -50% за подписку на долгий срок

152-ФЗ в мессенджерах: чек-лист соответствия для рассылок и чат-ботов

Дата публикации:

Как бизнесу избежать рисков и не получить штрафы.

152-ФЗ в мессенджерах: чек-лист соответствия для рассылок и чат-ботов

Мессенджеры стали главным каналом клиентских коммуникаций: WhatsApp, Telegram, VK Мессенджер и MAX используются компаниями для рассылок, обслуживания, продаж, автоматизированных чат-ботов и поддержки. Но вместе с ростом популярности растут и юридические риски.

В 2025 году Роскомнадзор усилил контроль за обработкой персональных данных, включая коммуникации внутри CPaaS-платформ и интеграции с мессенджерами. Компании, которые выстраивают массовые коммуникации, должны убедиться, что их рассылки, боты и единые центры обработки сообщений соответствуют требованиям 152-ФЗ.

В статье краткое объяснение обязательств по персональным данным, список массовых ошибок и подробный чек-лист, по которому можно быстро оценить соответствие своей системы.

Почему CPaaS и мессенджеры подпадают под действие 152-ФЗ

Закон «О персональных данных» распространяется на любую обработку информации, позволяющей идентифицировать человека.

В коммуникациях через мессенджеры компания фактически постоянно работает с персональными данными:

  • ФИО, никнейм, аватар — идентификаторы личности
  • Номер телефона, по которому осуществляется контакт
  • История переписки, содержащая сообщения, вложения, жалобы, заявки, чувствительную информацию
  • Теги, сегменты, статус подписки, которые используются для маркетинга
  • Информация о покупках и запросах, полученная через чат-бота
Что попадает под понятие персональные данные

Любая CPaaS-платформа, через которую проходит и обрабатывается этот поток данных, юридически считается: оператором персональных данных, либо порученным обработчиком, действующим по поручению компании-клиента.

Таким образом, все требования 152-ФЗ обязательны как для бизнеса, так и для используемой им CPaaS-платформы.

Основные риски при работе с мессенджерами и CPaaS

Большинство нарушений происходит не из-за злого умысла, а из-за неправильной конфигурации интеграций, хранения данных или шаблонов рассылок. Ниже ключевые зоны риска.

Рассылки без доказуемого согласия

Самая распространённая проблема. Компании запускают WhatsApp или Telegram-рассылки по клиентской базе без явного подтверждения. Если клиент пожалуется, оператор обязан предоставить подтверждение согласия, иначе получит штраф.

Неправильная форма согласия

Распространённые ошибки:

  • согласие сформулировано слишком широко,
  • формулировка не содержит информации о целях,
  • пользователь не может отозвать согласие так же просто, как дал.

Отсутствие политики хранения и уничтожения данных

Часть компаний копит переписки бесконечно — в итоге срок превышает требования законодательства. Без чётких регламентов хранения это уже нарушение.

Передача данных третьим лицам

В любом мессенджере часть данных проходит через их инфраструктуру. Компания должна:

  • уведомить об этом субъектов,
  • заключить договоры с подрядчиками,
  • убедиться, что CPaaS-платформа хранит данные на российских серверах.

Нерегламентированные логи и экспорт данных

Иногда CPaaS-платформы хранят логи отправки или содержимого сообщений за рубежом или на сторонних серверах без должной защиты.

Чат-боты, которые собирают лишнее

Если бот спрашивает паспортные данные для оформления заказа, не требующего паспорта — это нарушение принципа минимизации данных.

Штрафы за нарушение 152-ФЗ

Чек-лист соответствия 152-ФЗ для рассылок, чат-ботов и мессенджерных интеграций

Ниже полный чек-лист, который можно использовать для оценки своей CPaaS-инфраструктуры и всех связанных процессов. Он закрывает 12 ключевых требований.

1. Согласия на рассылку и коммуникации

Проверьте:

  • Получено явное согласие на получение сообщений в конкретном канале (WhatsApp, Telegram, др.)
  • Согласие оформлено отдельным пунктом, а не «под капотом» других условий
  • Есть хранение доказательств (скрин подтверждения, лог, чекбокс, время и источник)
  • Отзыв согласия реализован в 1-2 клика: через команду в боте, ссылку, форму или обращение
  • Для рекламных рассылок согласие обязательно отдельное
Согласие на рассылки и обработку персональных данных

2. Минимизация собираемых данных

Проверьте:

  • Чат-бот запрашивает только те данные, которые действительно необходимы для услуги
  • Исключены избыточные данные (паспорт, дата рождения, адрес проживания — если они не нужны)
  • В CPaaS нет автоматической выгрузки или пересылки избыточных данных между каналами
  • Настроены роли доступа так, чтобы сотрудники видели только то, что необходимо

3. Логирование, хранение и удаление данных

Проверьте:

  • Все диалоги и логи хранятся на российских серверах или в соответствии с требованиями локализации
  • Есть политика сроков хранения переписок — например, 12 или 24 месяца
  • Настроено автоматическое удаление просроченных данных
  • CPaaS фиксирует историю действий сотрудников (кто и когда открыл чат, экспортировал данные, отправил сообщение)

4. Передача данных через API и вебхуки

Проверьте:

  • Все вебхуки и API-запросы работают по HTTPS/TLS
  • У токенов и ключей есть ограниченные права
  • Нет передачи персональных данных в страны, не обеспечивающие адекватную защиту
  • Доступ к API CPaaS ограничен IP-фильтрацией или ролями
  • Данные между CRM, ERP, ботом и CPaaS передаются только в рамках заявленных целей

5. Шаблоны сообщений и сценарии чат-ботов

Проверьте:

  • В шаблонах WhatsApp/Telegram нет лишних персональных данных
  • Бот не раскрывает данные третьих лиц
  • Бот корректно реагирует на запросы типа «удалите мои данные», «что вы про меня храните?»
  • В сообщениях уточнены цели, если данные собираются впервые
  • Для массовых рассылок используются только разрешённые категории шаблонов (WhatsApp Business API)

6. Управление правами субъектов данных

Компания обязана предоставлять людям контроль над персональными данными.

Проверьте:

  • Пользователь может запросить информацию о своих данных
  • Реализована функция исправления или дополнения данных
  • Реализовано удаление данных по запросу
  • Есть механизм для обработки жалоб и обращений субъектов
  • Все действия фиксируются в CPaaS или CRM
Структурируйте свои коммуникации с клиентами и приведите их в соответствие с законами о персональных данных с Umnico Бесплатная регистрация

Массовые нарушения, которые происходят чаще всего

1. Запустили WhatsApp-рассылку без согласия — получили жалобу

Обычная ситуация: маркетолог выгружает базу телефонов из CRM и отправляет через CPaaS шаблон-уведомление. Если хотя бы один человек пожалуется, компания должна доказать факт согласия. Без логов или записей — штраф.

2. Чат-бот собирает паспортные данные без законного основания

Продавцы иногда добавляют в бота шаг с запросом паспорта «на всякий случай». Это прямое нарушение принципа минимизации данных.

3. Пересылка данных в CRM в другую страну без уведомления

Если CRM или сервер хранения переписок физически находится за рубежом, это уже потенциальное нарушение требований локализации.

4. Нет журнала отправки сообщений, невозможно доказать, что пользователь согласился

У многих компаний CPaaS-инфраструктура не фиксирует факт подписки, что делает коммуникации формально незаконными.

Как CPaaS-платформа помогает соблюдать 152-ФЗ

Правильно выбранная и настроенная CPaaS-инфраструктура значительно снижает юридические риски. Платформы, ориентированные на европейский и российский рынок, уже включают встроенные механизмы безопасности.

Почему CPaaS подпадает под 152-ФЗ

Что может давать CPaaS:

Единое хранилище диалогов и логов

Все переписки из WhatsApp, Telegram, VK, сайта, чат-ботов и CRM находятся в одном месте, что упрощает контроль над сроками хранения и удалением.

Логирование всех действий пользователей

Фиксация всех событий: отправка сообщений, экспорт данных, добавление тегов. Это позволяет доказывать факт согласия и отслеживать нарушения.

Безопасные вебхуки и API-интеграции

Корректно настроенная CPaaS использует HTTPS, IP-фильтрацию и токены с минимальными правами.

Контроль доступа сотрудников и ролевая модель

Сотрудники видят только нужные чаты. Исключается доступ к избыточным данным.

Гибкая маршрутизация и минимизация данных

Передаются только те данные, которые нужны для выполнения сценария, например, номер телефона и текст обращения, без скрытых вложений или метаданных.

Управление согласиями и отписками

Некоторые CPaaS-платформы позволяют автоматически фиксировать согласия, строить сегменты только по «подписанным пользователям» и хранить логи подтверждений.

Таким образом, CPaaS-платформа при правильной настройке полностью вписывается в требования 152-ФЗ и помогает компаниям снизить риски незаконных коммуникаций.

Самые частые вопросы про 152-ФЗ в мессенджерах

Несмотря на то что требования 152-ФЗ формально понятны, на практике компании чаще всего сталкиваются с нюансами, связанными с мессенджерами, чат-ботами и CPaaS-интеграциями. Чтобы снять распространённые сомнения, мы собрали ответы на ключевые вопросы, которые чаще всего задают юристы, маркетологи и разработчики.

1. Нужно ли отдельное согласие именно на WhatsApp-рассылку?

Да. Согласие должно быть дано на конкретный канал: «согласен получать сообщения в WhatsApp».

Запрос согласия на получение рассылки через WhatsApp

2. Можно ли считать факт переписки согласиями на рассылку?

Начало диалога — это согласие на обработку данных для ответа, но не на маркетинг.

3. Хватает ли кнопки «Start» в Telegram-боте как доказательства согласия?

Да, если бот показывает текст согласия перед нажатием Start и сохраняет логи.

4. Можно ли хранить переписку больше 1 года?

Да, если в политике указаны сроки и это оправдано целями обработки. Но бесконечное хранение запрещено.

5. Кто отвечает за сохранность данных — платформа или компания?

Оба: компания как оператор, CPaaS — как порученный обработчик. Ответственность распределяется по договору.

Универсальный чек-лист из 15 пунктов

Чтобы проверить соответствие 152-ФЗ, отметьте следующие пункты:

✔️ Оформлено доказуемое согласие на коммуникации и рассылки

✔️ Есть отдельное согласие на маркетинговые сообщения

✔️ Реализован лёгкий отзыв согласия

✔️ Чат-боты собирают только необходимые данные

✔️ Доступ сотрудников ограничен ролевой моделью

✔️ Данные хранятся на российских серверах

✔️ Есть политика хранения и удаления данных

✔️ Настроено автоматическое удаление просроченных записей

✔️ Все сообщения и действия логируются

✔️ Защищённые API и вебхуки (HTTPS, токены, IP-фильтр)

✔️ Нет передачи данных в страны без достаточной защиты

✔️ Шаблоны сообщений не содержат избыточных данных

✔️ Бот умеет обрабатывать запросы на удаление данных

✔️ Все интеграции документированы и описаны в политике

✔️ CPaaS-платформа обеспечивает контроль событий, экспортов, действий и доступов

Что в итоге?

В 2025 году соблюдение 152-ФЗ в мессенджерах — это не сложность, а вопрос правильной настройки процессов. Большинство рисков возникает не из-за самих WhatsApp, Telegram или CPaaS-платформ, а из-за отсутствия согласий, нерегламентированного хранения сообщений или неочевидных технических настроек.

При корректной организации — от фиксирования согласий до настройки API, логирования действий и минимизации собираемых данных — коммуникации в мессенджерах становятся полностью законными и безопасными. Современные CPaaS-решения способны взять на себя значительную часть требований закона, снижая нагрузку на команды и минимизируя юридические риски.

Используйте чек-лист как базовый инструмент аудита. Он помогает быстро увидеть слабые места, закрыть требования закона и выстроить систему, которой можно доверять.

Автор статьи:

blogpost author

Дарья Шестакова

Дипломированный эксперт по маркетингу и развитию бизнеса

fist shake

Получайте новости Umnico на почту!

Рекомендации и актуальная информация в самую первую очередь

Подписаться