Как работать с персональными данными в чат-ботах и не нарушать закон

Ошибки в обработке пользовательской информации могут обернуться не только репутационными рисками, но и серьезными штрафами. Чтобы бизнесу и экспертам безопасно работать с чат-ботами, нужно разбираться в правилах и соблюдать закон.

Разбираемся, как защитить свой бизнес от штрафов и рисков, вместе с Ольгой Барышниковой, юристом с практикой более 17 лет и управляющим партнёром Legal in Media, приглашённым лектором в ВШЭ, ГАУГН, Moscow Digital School. 

Что такое персональные данные  

Для начала давайте разберёмся в определениях, затем обсудим штрафы, а потом поговорим о том, какие документы нужно размещать на сайте и в боте.

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Это определение даёт ст. 3 ФЗ 152-ФЗ «О персональных данных».  

Другими словами, данные, которые относятся к конкретному человеку и позволяют его идентифицировать. Если с помощью этой информации можно установить личность человека — это персональные данные.

Хотите научиться создавать чат-ботов? Пройдите бесплатный мини-курс от BotHelp.

Собирает, обрабатывает и хранит информацию оператор персональных данных. Им может быть компания или физлицо, которые ведут коммерческую деятельность, работают с поставщиками, нанимают персонал и т. д.

Оператор должен защищать данные от утечки и использовать их только для тех целей, на которые дал согласие пользователь. 

Каждый, кто работает с персональными данными, должен до начала обработки информации сообщить об этом Роскомнадзору. Об этом говорится в статье 22 Федерального закона № 152-ФЗ «О персональных данных». Уведомление в Роскомнадзор нужно подавать по форме.

Можно отправить через Госуслуги или в бумажном виде Почтой России. Ещё можно уведомить через сайт Роскомнадзора, но понадобится усиленная квалифицированная электронная подпись. 

Трансграничная передача ПДн — когда оператор передаёт персональные данные в другую страну с разрешения Роскомнадзора. 

К трансграничной передаче относится: 

• использование любых инструментов Google, иностранных облачных сервисов;
• переписка с иностранными компаниями с помощью корпоративной почты и др. 

Какие штрафы за нарушение закона с 30 мая 2025 года 

‍Штраф за обработку ПДн без оснований или если согласие взяли на одну цель, а обработка по другой цели: 

• на физлиц — от 10 000 до 15 000 рублей; 
• на должностных лиц — от 50 000 до 100 000 рублей; 
• на юрлиц — от 150 000 до 300 000 рублей. 

За неподачу уведомления или несвоевременную подачу уведомления о включении в реестр операторов Роскомнадзора:

• на физлиц от 5 000 до 10 000 рублей; 
• на должностных лиц от 30 000 до 50 000 рублей; 
• на юрлиц от 100 000 до 300 000 рублей. 

Если произошла утечка ПДн и оператор не уведомил об этом Роскомнадзор (или несвоевременно уведомил):

• на физлиц — от 50 000 до 100 000 рублей; 
• на должностных лиц — от 400 000 до 800 000 рублей; 
• на юрлиц — от 1 000 000 до 3 000 000 рублей. 

Если произошла утечка ПДн от 1000 до 10 000 субъектов и (или) от 100 000 до 1 000 000 идентификаторов*:  

• на физлиц — от 200 000 до 300 000 рублей; 
• на должностных лиц — от 300 000 до 500 000 рублей; 
• на юрлиц — от 5 000 000 до 10 000 000 рублей. 

Если произошла утечка ПДн более 100 000 субъектов и (или) более 1 000 000 идентификаторов*:  

• на физлиц — от 300 000 до 400 000 рублей; 
• на должностных лиц — от 400 000 до 600 000 рублей; 
• на юрлиц — от 10 000 000 до 15 000 000 рублей. 

Повторная утечка ПДн субъектов и (или) более 1 000 000 идентификаторов*:  

• на физлиц — от 400 000 до 600 000 рублей; 
• на должностных лиц — от 800 000 до 1 200 000 рублей; 
• на юрлиц — от 1 до 3% общей суммы выручки за календарный год, который предшествует году нарушения. 

*ИП отвечает как юрлицо. 
*Идентификатор — уникальное обозначение сведений о физлице в системе оператора ПДн, которое относится к этому лицу. 

‍Какие документы нужно разместить на сайте и в боте

Политика конфиденциальности составляется на основе закона о персональных данных. Из документа должно быть понятно, для каких целей собирается ПДн. Прописываются список ПДн, права пользователей и контакты оператора.    

‍Согласие на обработку ПДн — это право предпринимателя начать собирать, обрабатывать и хранить информацию о пользователях. Не нужно брать отдельно согласие, если ПДн нужны для заключения и исполнения договора. Например, если компания заключает договор с самозанятым на какие-либо услуги или работодатель подписывает трудовой договор с сотрудником. Не нужно брать отдельное согласие, если предприниматель собирает в бота своих клиентов, а с ними уже есть договоры. Если это новые пользователи из разных каналов, то согласие нужно.

‍Оферта — не нужна, если проводите опросы или через бота рассылаете уведомления о мероприятиях. 

‍Часто задаваемые вопросы 

Что нужно размещать в чат-ботах?

‍Если чат-бот никак не связан с сайтом, то нужно разместить в нём ссылку на политику конфиденциальности и взять согласие на сбор и обработку ПДн. Можно отправлять пользователям такое сообщение: «Продолжая пользоваться чат-ботом, вы даёте своё согласие на обработку ПДн. С политикой конфиденциальности можете ознакомиться по ссылке». Разместить документ с политикой нужно на русских облаках, например на Яндекс.Диске. Если чат-бот со сложным интерфейсом, например, имеет генеративный функционал, то нужно разместить пользовательское соглашение или ссылку на него. В соглашении указать, что можно делать в этом боте. 

‍Согласие на обработку ПДн нужно обязательно спрашивать в чат-боте или только перед оплатой?

‍Оплата в чат-боте не связана с обработкой ПДн. Если вы собираете, обрабатываете или храните данные, нужно в первом сообщении в боте взять согласие, дать ссылки на политику конфиденциальности и пользовательское соглашение.  У пользователей будет больше доверия, если вы расскажете, какие конкретно собираете данные.  

‍Можно ли отправлять данные человека (имя, аккаунт, почта и т. д.) в Google-таблицу?

Лучше работать с российскими инструментами, так как использование любых инструментов Google считается трансграничной передачей ПДн. Чтобы всё было законно, нужно получить разрешение Роскомнадзора. 

‍Нужно ли согласие на обработку ПДн, если запрашиваю только дату рождения без других данных (Ф. И. О., номер телефона и т. д.)? 

‍Если вы по дате рождения можете определить конкретное физическое лицо, то это ПДн и согласие на обработку нужно брать. Например, у вас бот для создания натальных карт. Пользователь по дате рождения генерирует анализ, и бот без привязки к конкретному лицу выдаёт ответ. В таком случае брать согласие на обработку ПДн не нужно. 

‍Коротко о главном

• Если ваш бизнес использует чат-ботов и собирает данные о пользователях, нужно соблюдать закон о персональных данных. 
• В этом случае вы должны уведомить об этом Роскомнадзор, использовать информацию пользователей только с их согласия и защищать её от утечек. 
• Google-таблицы, иностранные облака и переписки в корпоративной почте с зарубежными компаниями считаются трансграничной передачей данных. Чтобы работать законно, нужно получить разрешение Роскомнадзора.