Legan Studio
Все статьи
~ 24 мин чтения

152-ФЗ для бота в MAX: чек-лист соответствия

Что должно быть в боте MAX для соответствия 152-ФЗ: согласие, политика, локализация, уведомления РКН, сроки хранения. Практический чек-лист.

  • MAX
  • 152-ФЗ
  • юр.аспекты

Любой бот в мессенджере MAX, который собирает имя, телефон, email или другие персональные данные, попадает под 152-ФЗ. Игнорировать закон опасно: проверки РКН становятся регулярнее, штрафы по обновлённой ст. 13.11 КоАП достигают 500 млн ₽ (оборотные за повторную утечку), а в реестр нарушителей попасть легко. У MAX есть существенное преимущество перед зарубежными мессенджерами — серверы платформы расположены в РФ, что снимает большую часть проблем с трансграничной передачей. Но это не освобождает оператора от полного набора обязанностей: уведомления РКН, политики обработки, согласия, локализации первичной записи, реализации прав субъекта и мер защиты по приказу ФСТЭК № 21. Разберём практический чек-лист.

Что считается персональными данными

По ст. 3 152-ФЗ персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физлицу (субъекту ПДн). Понятие нарочно широкое: даже косвенно идентифицирующие сведения (IP, cookie, идентификатор устройства) при наличии связки с другими данными становятся ПДн.

В контексте бота в MAX к ПДн относятся:

  • ФИО, дата рождения, пол;
  • номер телефона, email;
  • адрес доставки, паспортные данные;
  • сведения о здоровье (для клиник, фитнеса, страхования);
  • финансовые данные (кроме платёжных реквизитов карты — их хранит платёжный провайдер);
  • идентификаторы пользователя в MAX (user_id, chat_id, username) — относятся к косвенным ПДн;
  • IP-адрес и user-agent (особенно для Mini App);
  • история сообщений с ботом, если содержит идентифицирующую информацию;
  • геолокация, переданная пользователем.

Если бот собирает или хранит хоть один из этих типов данных — он работает с ПДн и автоматически попадает под действие 152-ФЗ со всеми обязанностями оператора.

Категории ПДн и их режимы

152-ФЗ выделяет четыре категории, каждая со своим режимом обработки:

КатегорияЧто включаетОсобый режим
Общие (ст. 3)ФИО, телефон, email, адрес, user_idСтандартное согласие, обычные меры защиты
Специальные (ст. 10)Раса, национальность, политические/религиозные взгляды, здоровье, интимная жизнь, судимостьОтдельное письменное согласие, усиленные меры защиты, шифрование
Биометрические (ст. 11)Фото лица, отпечатки, голос, образец ДНК — если используются для идентификацииОтдельное согласие, регистрация в Единой биометрической системе (ЕБС)
Общедоступные (ст. 8)ПДн из открытых источников по согласию субъектаВозможна обработка без отдельного согласия в пределах целей

Если бот фитнес-клуба собирает данные о тренировках и пульсе — это специальная категория. Если бот банка делает идентификацию по селфи — это биометрия с обязательной интеграцией с ЕБС. Большинство ботов в MAX работают только с общими ПДн, но это нужно явно подтвердить при проектировании.

Кто является оператором

По ст. 3 152-ФЗ оператор — это лицо, которое самостоятельно или совместно с другими организует и/или осуществляет обработку ПДн, а также определяет цели и состав обрабатываемых данных. Для бота в MAX:

  • Оператор — владелец бота: ИП или юрлицо, которое запустило бота для своих бизнес-целей.
  • VK Tech (платформа MAX) — НЕ оператор в смысле 152-ФЗ. Это инфраструктурный канал передачи данных. VK Tech не определяет цели обработки данных конкретного бизнеса — но является оператором собственных сервисов и подаёт свои уведомления в РКН.
  • Разработчик-подрядчик — НЕ оператор, а обработчик (ст. 6 ч. 3 152-ФЗ). Между владельцем и подрядчиком должен быть заключён договор обработки с указанием целей, объёма данных и мер защиты.

Если у бота два владельца (например, маркетплейс плюс продавец) — это совместная обработка, нужно соглашение о распределении обязанностей.

Преимущество MAX перед Telegram по 152-ФЗ

Ключевое отличие MAX от Telegram, WhatsApp и других зарубежных мессенджеров — инфраструктура VK Tech полностью локализована в РФ. Что это даёт оператору бота:

  • Не нужно отдельное уведомление о трансграничной передаче ПДн для самой передачи данных в платформу. Сообщения и медиа не покидают пределы России.
  • Снимается риск претензий по ст. 18 ч. 5 152-ФЗ в части передачи ПДн за рубеж через мессенджер — данные физически остаются в российских ДЦ.
  • Нет риска ограничений по приказу РКН № 274 от 05.08.2022 (список стран с адекватной защитой ПДн).
  • Сервис MAX подаёт собственные уведомления в РКН как российский оператор — это упрощает доказывание правомерности обработки в спорных ситуациях.

Это не освобождает оператора от подачи общего уведомления об обработке ПДн и от соблюдения локализации в собственной инфраструктуре (БД, бэкапы, логи). Если ваш бэкенд лежит в зарубежном облаке — нарушение остаётся, даже если канал MAX чист. Также при использовании зарубежных API (OpenAI, Anthropic, внешние CRM) трансграничная передача появляется на другом участке цепочки и требует отдельного уведомления.

Уведомление Роскомнадзора

По ст. 22 152-ФЗ оператор обязан до начала обработки ПДн уведомить РКН о своём намерении это делать. Уведомление подаётся:

  • через личный кабинет на портале pd.rkn.gov.ru (электронно с УКЭП руководителя/ИП);
  • либо на бумаге заказным письмом в территориальное управление РКН.

В уведомлении указываются:

  • наименование оператора, ИНН, юридический адрес;
  • цели обработки;
  • категории субъектов и ПДн;
  • перечень действий с ПДн;
  • сроки обработки и условия удаления;
  • описание мер защиты;
  • ФИО и контакты ответственного за обработку;
  • сведения о трансграничной передаче (для бота в MAX обычно отсутствует, если бэкенд в РФ).

После рассмотрения (до 30 дней) оператор вносится в Реестр операторов ПДн — публичный реестр на сайте РКН, где любой человек может проверить, законно ли работает бизнес.

Освобождения от уведомления (ст. 22 ч. 2) на бот обычно не распространяются — даже если данные собираются «исключительно для исполнения договора», для рассылок и маркетинга уведомление обязательно.

Согласие на обработку: форма и обязательные пункты

Согласие — основное правовое основание для обработки ПДн (ст. 9 152-ФЗ). Форма:

  • Письменная — обязательна для специальных категорий, биометрии, для случаев из ст. 9 ч. 4 (с особыми пунктами).
  • Электронная — допустима для общих ПДн при условии, что форма позволяет подтвердить факт согласия (нажатие кнопки + журнал в БД).
  • Конклюдентная (вытекающая из действий) — возможна для отдельных случаев, но в споре сложно доказать.

Обязательные пункты согласия (ст. 9 ч. 4):

  1. ФИО, адрес, паспорт субъекта (для бота — user_id плюс предоставленные пользователем данные).
  2. Наименование/ФИО и адрес оператора с ИНН/ОГРН/ОГРНИП и контактом для запросов.
  3. Конкретная цель обработки (не «улучшение сервиса», а «оформление заказа», «доставка», «уведомления о статусе»).
  4. Перечень обрабатываемых ПДн поименно.
  5. Перечень действий (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
  6. Срок действия согласия.
  7. Порядок отзыва.

Без любого из этих пунктов согласие признаётся ничтожным, и обработка считается незаконной.

Как получать согласие в боте MAX

Стандартный сценарий при первом контакте:

  1. Пользователь нажимает «Старт» или вводит первую команду.
  2. Бот отправляет короткое сообщение с сутью обработки и ссылку на полный текст политики (HTML на сайте оператора).
  3. Под сообщением — две inline-кнопки: «Согласен» и «Не согласен».
  4. На «Согласен» бэкенд пишет запись в таблицу consents с полями user_id, хеш версии текста SHA-256, granted_at, IP, user-agent и продолжает основной сценарий.
  5. На «Не согласен» бот переводит пользователя в гостевой режим с доступом только к статичным командам (помощь, информация, каталог).

Для критичных операций (платежи свыше определённой суммы, передача спецкатегорий, согласие на маркетинг) применяется двухфакторное подтверждение: подтверждение SMS-кодом или вторым кликом после паузы. Это снижает риск несанкционированных списаний и претензий «я не нажимал».

Согласие на ПДн и согласие на маркетинговые рассылки — два разных документа. Их нельзя принимать одной кнопкой: РКН считает такое согласие ничтожным.

Локализация ПДн по 242-ФЗ

ФЗ-242 от 21.07.2014 (ввёл в 152-ФЗ ст. 18 ч. 5) обязывает операторов обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ в базах данных, расположенных на территории РФ. Это и есть «локализация».

Для бота в MAX схема локализации работает естественно:

  1. Сообщение от пользователя приходит через MAX Bot API — внутри российской инфраструктуры VK Tech.
  2. Бэкенд бота, размещённый на хостинге в РФ (Yandex Cloud, VK Cloud, Selectel, Timeweb, Cloud.ru), получает update через webhook.
  3. Первичная запись ПДн делается в БД на российском хостинге — это закрывает требование 242-ФЗ.
  4. Дальнейшая передача за рубеж (зарубежный CRM, ML-сервисы, email-провайдеры) допустима только при наличии согласия субъекта и поданного уведомления о трансграничной передаче.

Бэкапы — тоже в РФ. Иностранные облака допустимы исключительно для производных, обезличенных или агрегированных данных.

В отличие от Telegram, где сама первичная передача через мессенджер уже трансграничная, у MAX этой проблемы нет. Это самое практичное преимущество MAX для российского бизнеса.

Хранение и удаление ПДн

По ст. 5 ч. 7 152-ФЗ ПДн обрабатываются не дольше, чем требуется для целей. После достижения цели данные подлежат удалению или обезличиванию (ст. 21 ч. 4). Срок хранения должен быть указан в политике и в согласии.

Практические сроки:

  • ПДн в активных заказах — до завершения исполнения договора;
  • ПДн для маркетинговой рассылки — до отзыва согласия;
  • ПДн для бухгалтерских целей — 5 лет (НК РФ);
  • логи и журналы — обычно 6–12 месяцев;
  • бэкапы — с автоматической ротацией и шифрованием.

В архитектуре бота нужен планировщик удалений: фоновая задача раз в сутки находит записи с истёкшим сроком и удаляет/обезличивает их с записью в журнал.

Права субъекта ПДн

Субъект имеет (ст. 14, 20, 21 152-ФЗ):

  • право на доступ к своим ПДн (получить копию того, что хранится);
  • право на исправление неточных данных;
  • право на удаление ПДн (если цели достигнуты или нет правового основания);
  • право отозвать согласие в любой момент;
  • право на информацию о третьих лицах, которым переданы данные.

Срок ответа — 10 рабочих дней (с продлением до 5 ещё). В боте MAX права реализуются через команды или меню:

  • /privacy — показать политику;
  • /my_data — выгрузить копию данных в JSON или PDF;
  • /edit_data — отредактировать ФИО/телефон/адрес;
  • /withdraw_consent — отозвать согласие;
  • /delete_account — удалить все данные.

Без этих сценариев первая же жалоба в РКН превратится в проверку с типовой претензией «не обеспечена реализация прав субъекта».

Меры защиты по приказу ФСТЭК № 21

Приказ ФСТЭК России № 21 от 18.02.2013 устанавливает технические и организационные меры защиты ПДн в информационных системах. Применительно к боту в MAX минимальный набор:

  • Сертифицированные СЗИ — антивирус, межсетевой экран, средства анализа защищённости (для УЗ-1 и УЗ-2 — обязательны сертификаты ФСТЭК).
  • Разграничение доступа — ролевая модель, отдельные учётки для администраторов и операторов, журналирование входов.
  • Шифрование при передаче — TLS 1.2+ между ботом и MAX Bot API (платформа уже обеспечивает HTTPS), TLS между бэкендом и БД, шифрование канала между микросервисами.
  • Шифрование при хранении — для специальных категорий и биометрии — обязательно (AES-256 или ГОСТ Р 34.12-2015 «Кузнечик»).
  • Журналирование действий — все операции с ПДн (просмотр, изменение, удаление) пишутся в неизменяемый журнал с timestamp, user-id оператора, действием.
  • Резервное копирование — регулярные шифрованные бэкапы с тестовым восстановлением.
  • Защита от вредоносного кода — антивирус на серверах, контроль целостности.
  • Обнаружение вторжений — IDS/IPS на периметре, мониторинг аномалий.
  • Парольная политика — длина 12+, смена раз в 90 дней, 2FA для администраторов.
  • Физическая защита — для собственных серверов; для облака — сертификаты провайдера (Yandex Cloud и VK Cloud имеют аттестаты соответствия).

Уровни защищённости УЗ-1 — УЗ-4

Уровень защищённости (УЗ) определяется по постановлению Правительства РФ № 1119 от 01.11.2012 на основе:

  • типа ПДн (общие, специальные, биометрические, общедоступные);
  • количества субъектов (до 100 000 или больше);
  • актуальности угроз (1, 2 или 3 типа).
УЗПрименимостьКлючевые меры
УЗ-4Общедоступные ПДн до 100 000 субъектов; общие ПДн сотрудников оператораБазовый набор: антивирус, разграничение доступа, журналирование
УЗ-3Общие ПДн до 100 000 субъектов с угрозами 3 типа; общие ПДн >100 000 субъектов; спецкатегории сотрудников+ межсетевой экран, контроль съёмных носителей
УЗ-2Спецкатегории до 100 000 субъектов; биометрия; общие ПДн с угрозами 2 типа+ сертифицированные СЗИ ФСТЭК, шифрование, IDS
УЗ-1Спецкатегории >100 000 субъектов; угрозы 1 типа+ криптографическая защита, аттестация ИСПДн

Большинство ботов в MAX для малого и среднего бизнеса попадают в УЗ-4 или УЗ-3. Боты для медицинских клиник, фитнес-клубов, банков — УЗ-2 и выше с обязательными сертифицированными СЗИ.

Уровень определяется самостоятельно на этапе проектирования через модель угроз (методика ФСТЭК «Базовая модель угроз», 2008) и фиксируется в локальном акте.

Спецкатегории ПДн в боте

Если бот собирает специальные категории ПДн (ст. 10 152-ФЗ) — расовая принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, судимость — действуют усиленные правила:

  • Письменное согласие с расширенным составом обязательных пунктов (ст. 10 ч. 2).
  • Запрет обработки без согласия, кроме исключений (медпомощь по жизненным показаниям, государственная статистика).
  • Усиленные меры защиты — минимум УЗ-2, обязательное шифрование при хранении, отдельный регламент доступа.
  • Расширенная политика с описанием правовых оснований именно для спецкатегорий.

Для бота медицинской клиники, который записывает на приём с указанием жалоб, или для бота психологической помощи — это полностью применимо. Здесь же надо помнить про 323-ФЗ «Об основах охраны здоровья» с врачебной тайной.

Штрафы по обновлённой ст. 13.11 КоАП

С 30.05.2025 вступила в силу новая редакция ст. 13.11 КоАП РФ (ФЗ-420 от 30.11.2024, ранее обсуждался как ФЗ-158) — штрафы значительно ужесточены, особенно за утечки. Цифры — для юридических лиц:

НарушениеНормаШтраф
Обработка без согласия в письменной формест. 13.11 ч. 1для ИП — 60 000–100 000 ₽; для юрлиц — 300 000–700 000 ₽
Обработка без согласия (общий случай)ст. 13.11 ч. 2для юрлиц — 300 000–700 000 ₽
Отсутствие политики обработки ПДнст. 13.11 ч. 3для юрлиц — 30 000–60 000 ₽
Невыполнение запроса субъектаст. 13.11 ч. 4для юрлиц — 40 000–80 000 ₽
Невыполнение требования об уточнении/удалениист. 13.11 ч. 5для юрлиц — 50 000–90 000 ₽
Несоблюдение локализации в РФст. 13.11 ч. 8для юрлиц — до 6 000 000 ₽; повторно — до 18 000 000 ₽
Утечка 1 000–10 000 субъектовст. 13.11 ч. 123 000 000–5 000 000 ₽
Утечка 10 000–100 000 субъектовст. 13.11 ч. 135 000 000–10 000 000 ₽
Утечка >100 000 субъектовст. 13.11 ч. 1410 000 000–15 000 000 ₽
Повторная утечка (оборотный)ст. 13.11 ч. 151–3% выручки за прошлый год; min 20 млн ₽, max 500 млн ₽
Неуведомление РКН об инциденте в срокст. 13.11 ч. 10–111 000 000–3 000 000 ₽

Самая болезненная позиция — оборотный штраф за повторную утечку: для бизнеса с выручкой от 700 млн ₽ один инцидент может обойтись в 20 млн ₽, а для крупного ритейла — в сотни миллионов. Дополнительно в УК РФ введена ст. 272.1 — уголовная ответственность за незаконное использование, передачу, сбор и хранение ПДн с лишением свободы до 10 лет за квалифицированные составы.

Уведомление об утечке ПДн

ФЗ-266 от 14.07.2022 ввёл обязанность оператора уведомлять РКН об инцидентах (ст. 21 ч. 6 152-ФЗ):

  • в течение 24 часов с момента обнаружения утечки или попытки несанкционированного доступа — первичное уведомление с описанием факта, предполагаемых причин, категорий и количества затронутых ПДн;
  • в течение 72 часов — детальное уведомление с результатами внутреннего расследования и списком принятых мер.

Уведомление подаётся через личный кабинет на pd.rkn.gov.ru. Для крупных утечек дополнительно нужно уведомлять субъектов (через тот же бот, email, push) и публично раскрывать факт.

В архитектуре бота должен быть регламент инцидента: ответственный за реагирование, шаблоны уведомлений, контакты ФСТЭК и НКЦКИ (если задействованы критичные информационные ресурсы), процедура изоляции и восстановления, ротация секретов (токен бота, ключи БД, доступы к облаку).

Ответственный за обработку ПДн (DPO)

По ст. 22.1 152-ФЗ оператор обязан назначить ответственного за организацию обработки ПДн. Для крупных операторов (банки, маркетплейсы, госорганы) это обязательно отдельный сотрудник с профильной квалификацией. Для малого и среднего бизнеса допустимо совмещение с другими ролями (ИТ-директор, юрист, владелец ИП).

Обязанности ответственного:

  • организация внутреннего контроля соответствия 152-ФЗ;
  • информирование сотрудников о требованиях;
  • приём и обработка обращений субъектов;
  • взаимодействие с РКН (уведомления, ответы на запросы, проверки).

Реквизиты ответственного указываются в политике обработки ПДн и в уведомлении РКН.

Mini App, cookies и 242-ФЗ

Если у бота в MAX есть Mini App (WebView внутри мессенджера), к нему применяются дополнительные требования:

  • Баннер согласия на cookies — обязателен при использовании cookies для аналитики или функциональных целей. Согласие фиксируется в localStorage и в журнале.
  • Политика cookies — отдельный раздел с описанием каждого cookie (имя, цель, срок, тип).
  • Локализация хостинга Mini App — статика и API должны быть на серверах в РФ. Поскольку MAX — российская платформа, при размещении в VK Cloud вся цепочка локализована.
  • Аналитика — Яндекс.Метрика разрешена. Google Analytics формально требует трансграничной передачи и подачи уведомления, поэтому для MAX-проектов лучше использовать только российские системы аналитики (Метрика, Top.Mail.Ru).

При интеграции с MAX Login (если приложение использует данные профиля пользователя) ПДн (id, имя, фамилия, фото) приходят от платформы — это считается передачей от субъекта оператору и требует согласия.

Политика обработки ПДн

Политика — публичный документ, в котором оператор раскрывает свои подходы к обработке ПДн. По ст. 18.1 ч. 2 152-ФЗ её нужно разместить в открытом доступе (на сайте по постоянной ссылке) и упомянуть в боте.

Структура политики:

  1. Общие положения, реквизиты оператора, ответственный.
  2. Цели обработки.
  3. Категории субъектов и ПДн.
  4. Правовые основания (согласие, договор, закон).
  5. Перечень действий с ПДн.
  6. Сроки обработки и условия удаления.
  7. Меры защиты.
  8. Передача третьим лицам и трансграничная передача.
  9. Права субъектов и порядок их реализации.
  10. Порядок изменений политики.

Политика обновляется при любом изменении состава ПДн, целей или мер защиты. История версий хранится в публичном виде.

Чек-лист соответствия 152-ФЗ для бота в MAX

Минимальный набор до запуска (используйте как самопроверку):

  1. Определён оператор (ИП/юрлицо), назначен ответственный по ст. 22.1.
  2. Подано уведомление в РКН об обработке ПДн через pd.rkn.gov.ru.
  3. Проверена необходимость уведомления о трансграничной передаче (для MAX обычно не нужно, если бэкенд в РФ; нужно — при использовании зарубежных API).
  4. Политика обработки ПДн опубликована на сайте по постоянной ссылке.
  5. В боте есть /privacy со ссылкой на полную политику.
  6. Шаблон согласия содержит все 7 обязательных пунктов ст. 9 ч. 4.
  7. Согласие на ПДн и согласие на маркетинг — раздельные кнопки.
  8. Реализован /withdraw_consent и фоновая задача удаления ПДн.
  9. Реализованы /my_data и /delete_account (доступ и удаление).
  10. БД с первичной записью ПДн — на хостинге в РФ.
  11. Бэкапы шифрованные, в РФ, с тестовым восстановлением.
  12. TLS 1.2+ на всех каналах, шифрование БД для спецкатегорий.
  13. Журнал согласий (consents) с хешем версии, timestamp, IP.
  14. Журнал действий с ПДн (просмотр, изменение, удаление).
  15. Договор обработки с подрядчиками и хостингом (ст. 6 ч. 3).
  16. Определён уровень защищённости (УЗ-1 — УЗ-4) на основе модели угроз.
  17. Внедрены меры защиты по приказу ФСТЭК № 21 для соответствующего УЗ.
  18. Регламент реагирования на инциденты (24/72 часа в РКН).
  19. Регламент ответа на запросы субъекта (10 рабочих дней).
  20. Локальный акт «Об организации обработки ПДн» утверждён приказом.

Аудит соответствия

Раз в год полезен внутренний аудит соответствия 152-ФЗ:

  • инвентаризация всех мест хранения ПДн (БД, бэкапы, логи, файлы);
  • сверка фактических процессов с описанными в политике и согласии;
  • проверка журналов на полноту и неизменяемость;
  • тестирование сценариев отзыва согласия и удаления;
  • проверка договоров с подрядчиками на актуальность;
  • проверка списков доступа к админке и БД (отозвать у уволившихся).

Для крупных операторов раз в 1–3 года проводится внешний аудит аккредитованным консультантом или лицензиатом ФСТЭК — с выдачей заключения, которое предъявляется при проверках РКН. Для медицины, финансов и операторов критической информационной инфраструктуры аудит нередко обязателен по отраслевым требованиям.

Шаблон согласия (короткий)

Пример формулировки для inline-сообщения в боте MAX:

Я, пользователь бота @example_bot в мессенджере MAX, идентифицируемый user_id, даю ИП Иванову И. И. (ИНН 770000000000) согласие на обработку моих ПДн: ФИО, телефон, email, адрес доставки, user_id, история сообщений с ботом, IP-адрес. Цели: оформление и доставка заказа, идентификация, сервисные уведомления. Действия: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача (платёжному провайдеру и службе доставки), обезличивание, удаление. Срок: до отзыва согласия командой /withdraw_consent. С политикой обработки ознакомлен: ссылка.

Полный текст хранится на сайте, в боте — короткая версия плюс ссылка. Версия текста хешируется (SHA-256) и сохраняется вместе с фактом согласия — это защищает оператора в споре о формулировке.

Итого

Бот в MAX, собирающий ПДн граждан РФ, — это оператор по 152-ФЗ со всеми обязанностями: уведомление РКН, политика обработки, согласие с 7 обязательными пунктами, локализация первичной записи на серверах в РФ, реализация прав субъекта (доступ, удаление, отзыв), меры защиты по приказу ФСТЭК № 21 в зависимости от УЗ, регламент инцидентов с уведомлением в 24/72 часа. Главное преимущество MAX перед зарубежными мессенджерами — серверы в РФ, поэтому отдельное уведомление о трансграничной передаче для самой передачи в платформу не требуется. Но это не отменяет общего пакета требований и контроля над собственной инфраструктурой. Штрафы по обновлённой ст. 13.11 КоАП доходят до 18 млн ₽ за нарушение локализации и до 500 млн ₽ за повторную утечку (оборотный). Минимальный пакет из 20 пунктов чек-листа выше закрывает 90% типовых претензий и блокирует крупные штрафы.

Частые вопросы

Когда бот в MAX подпадает под 152-ФЗ?

Как только бот собирает любые данные, по которым можно идентифицировать человека: ФИО, телефон, email, адрес, дату рождения, геолокацию, IP, фото лица, голос, номера документов, данные о здоровье или доходах. Сюда же относятся идентификаторы пользователя в MAX (user_id, chat_id, username) — практика РКН относит их к косвенным ПДн при наличии связки с другими данными. Если бот хотя бы спрашивает имя и телефон — компания уже становится оператором ПДн со всеми обязанностями: уведомление РКН, политика, согласие, локализация в РФ, меры защиты по приказу ФСТЭК № 21. Игнорирование — штрафы по ст. 13.11 КоАП и попадание в реестр нарушителей.

В чём преимущество MAX перед Telegram с точки зрения 152-ФЗ?

Главное отличие — инфраструктура VK Tech полностью локализована в РФ. Это значит: не нужно отдельное уведомление о трансграничной передаче ПДн для самой передачи данных в платформу (сообщения и медиа не покидают пределы России); снимается риск претензий по ст. 18 ч. 5 152-ФЗ в части передачи через мессенджер; нет риска ограничений по приказу РКН № 274 от 05.08.2022 о странах с адекватной защитой; сервис MAX подаёт собственные уведомления как российский оператор. Это не освобождает от подачи общего уведомления об обработке ПДн и от соблюдения локализации в собственной инфраструктуре. Если бэкенд лежит в зарубежном облаке — нарушение остаётся, даже если канал MAX чист.

Кто является оператором ПДн при работе бота в MAX?

По ст. 3 152-ФЗ оператор — это лицо, которое определяет цели и состав обрабатываемых ПДн. Для бота оператор — владелец (ИП или юрлицо), запустивший бота для своих бизнес-целей. VK Tech (платформа MAX) НЕ является оператором ваших ПДн — это инфраструктурный канал передачи; платформа подаёт собственные уведомления как оператор своих сервисов. Разработчик-подрядчик — НЕ оператор, а обработчик по ст. 6 ч. 3 152-ФЗ; между ним и владельцем должен быть заключён договор обработки с указанием целей, объёма данных и мер защиты. Если у бота два владельца (маркетплейс плюс продавец) — это совместная обработка с соглашением о распределении обязанностей.

Как правильно получить согласие на обработку ПДн в боте MAX?

Согласие должно быть получено до начала обработки — то есть до того, как бот сохранил телефон или имя. Технически: при первом контакте бот показывает короткое сообщение с сутью обработки и ссылкой на полную политику, под ним две inline-кнопки «Согласен/Не согласен». На «Согласен» бэкенд пишет запись в таблицу consents с полями user_id, хеш версии текста SHA-256, granted_at, IP, user-agent. Хеш версии нужен, чтобы при споре показать точную формулировку на момент согласия. Согласие на ПДн и согласие на маркетинг — два разных документа, нельзя принимать одной кнопкой. Для критичных операций — двухфакторное подтверждение SMS-кодом или вторым кликом после паузы.

Где должны храниться данные пользователей бота MAX?

Первичный сбор и хранение ПДн граждан РФ должны происходить на территории России — это требование ФЗ-242 (ст. 18 ч. 5 152-ФЗ). Серверы с PostgreSQL и резервные копии размещаются у российских провайдеров: Yandex Cloud, VK Cloud, Selectel, Timeweb, Cloud.ru. Платформа MAX уже работает с серверами в РФ, поэтому первичная передача через мессенджер не требует отдельного уведомления о трансграничной передаче. Но инфраструктуру под ваш бэкенд выбираете вы — она должна быть локализована. При использовании зарубежных сервисов (внешние API типа OpenAI, ML-сервисы, email-провайдеры) нужно либо обезличивать данные, либо подавать уведомление РКН о трансграничной передаче. Бэкапы — тоже в РФ.

Какие штрафы грозят владельцу бота MAX за нарушения 152-ФЗ в 2025-2026?

По обновлённой ст. 13.11 КоАП (с 30.05.2025 после ФЗ-420 от 30.11.2024) для юрлиц: обработка без согласия — 300 000–700 000 ₽; отсутствие политики — 30 000–60 000 ₽; несоблюдение локализации в РФ — до 6 млн ₽, повторно до 18 млн ₽; утечка 1 000–10 000 субъектов — 3–5 млн ₽; утечка 10 000–100 000 субъектов — 5–10 млн ₽; утечка более 100 000 субъектов — 10–15 млн ₽; повторная утечка (оборотный штраф) — 1–3% выручки за прошлый год, минимум 20 млн ₽, максимум 500 млн ₽; неуведомление РКН об инциденте в срок — 1–3 млн ₽. Дополнительно введена ст. 272.1 УК РФ — уголовная ответственность за незаконное использование, передачу, сбор и хранение ПДн с лишением свободы до 10 лет за квалифицированные составы.

Что делать при утечке ПДн из бота в MAX?

По ст. 21 ч. 6 152-ФЗ оператор обязан уведомить РКН в течение 24 часов с момента обнаружения утечки или попытки несанкционированного доступа — первичное уведомление с описанием факта, предполагаемых причин, категорий и количества затронутых ПДн. В течение 72 часов — детальное уведомление с результатами внутреннего расследования и списком принятых мер. Уведомление подаётся через личный кабинет на pd.rkn.gov.ru. Для крупных утечек дополнительно уведомляются субъекты (через тот же бот, email, push) и публично раскрывается факт. Параллельно — изоляция инцидента, ротация всех секретов (токен бота, ключи БД, доступы к облаку), привлечение НКЦКИ при критичной инфраструктуре, фиксация хронологии для расследования. Неуведомление в срок — штраф 1–3 млн ₽ для юрлиц.

Похожие статьи