Телеграм-бот и закон: почему ваши заявки с сайта «улетают» за границу
Многие владельцы бизнеса и маркетологи используют связку «Сайт → Вебхук/Скрипт → Телеграм-бот» для оперативного получения заявок. Казалось бы, данные просто пересылаются в мессенджер. Но с точки зрения Роскомнадзора и закона № 152-ФЗ «О персональных данных», вы только что совершили серьезное правонарушение.
Почему это нельзя делать «просто так»?
Основная проблема кроется в определении трансграничной передачи данных (ст. 12 152-ФЗ).
- Зарубежная инфраструктура: Телеграм — это иностранный сервис. Его серверы находятся за пределами Российской Федерации (в ОАЭ, Германии и других странах).
- Факт передачи: Как только скрипт вашего сайта отправляет данные на серверы Телеграм (через API), происходит пересечение государственной границы цифровыми данными.
- Отсутствие контроля: Вы, как оператор персональных данных, передаете сведения о гражданине РФ иностранному юридическому лицу, не имея с ним прямого договора и не обеспечив должную защиту.
Важно: С 2025-2026 года требования к локализации данных ужесточились. Первичный сбор и хранение данных обязаны происходить на территории РФ. Если заявка сначала попадает в Telegram, а только потом (или вовсе нет) в вашу базу данных в России — это прямое нарушение ст. 18 п. 5 152-ФЗ.
Какие штрафы грозят в 2026 году?
Законодательство в области персональных данных стало крайне жестким. Ошибки теперь стоят не копейки, а миллионы.
| Нарушение | Штраф для юрлиц |
| Неуведомление Роскомнадзора о трансграничной передаче данных | от 100 000 до 300 000 руб. |
| Нарушение правил локализации (сбор данных сразу на иностранный сервер) | от 1 000 000 до 6 000 000 руб. |
| Повторное нарушение локализации | от 6 000 000 до 18 000 000 руб. |
| Обработка данных без согласия или с неверными целями | от 300 000 до 700 000 руб. |
| Утечка данных (если бот взломан или данные перехвачены) | от 3 000 000 до 15 000 000 руб. |
Список «смертных грехов» маркетолога:
- У вас на сайте нет политики обработки персональных данных.
- В политике не указано, что данные передаются в Телеграм (иностранному оператору).
- Вы не подали специальное уведомление в Роскомнадзор о начале трансграничной передачи данных.
- Данные уходят в Телеграм раньше, чем записываются в российскую базу данных (CRM или таблицу).
«А если очень хочется, то как?» (Законный путь)
Если Телеграм-бот жизненно необходим для работы отдела продаж, нужно выполнить цепочку действий, чтобы не стать спонсором государственного бюджета:
1. Первичная локализация (Сначала Россия, потом мир)
Схема должна быть такой: Сайт → Сервер в РФ (База данных/CRM) → Телеграм.
Данные сначала должны «приземлиться» на российском сервере, зафиксироваться в реестре, и только после этого уведомление о новой заявке может быть отправлено в бот.
2. Уведомление Роскомнадзора
Если очень все таки хочется отправлять эти данные, то вы обязаны подать уведомление о трансграничной передаче данных через личный кабинет на сайте РКН. В нем нужно указать страны, куда передаются данные (для Telegram это часто ОАЭ или страны ЕС). До момента подачи уведомления отправлять данные запрещено.
3. Правильное согласие на сайте
Кнопка «Отправить» должна сопровождаться текстом: «Нажимая на кнопку, вы даете согласие на обработку персональных данных и их трансграничную передачу». Ссылка должна вести на обновленную политику, где четко прописано: кому, зачем и в какую страну уходят данные.
4. Обезличивание (Лучший способ)
Не отправляйте в Телеграм имя, фамилию и полный телефон. Настройте бота так, чтобы он присылал сообщение:
«Поступила новая заявка №145. Посмотреть подробности в CRM: [ссылка]»
В этом случае в мессенджер не уходят персональные данные, и вы выходите из-под удара статьи о трансграничной передаче. Использование Телеграм-ботов для передачи «сырых» данных с сайта без подготовки — это огромный юридический риск. Либо переходите на систему уведомлений без личных данных клиента, либо приводите документы в порядок до того, как к вам постучится инспектор.