Договор-оферта и согласие на ПДн для бота в MAX

Любой бот, через который продаются услуги или товары, де-факто заключает договор с пользователем. Если этот договор не оформлен публичной офертой и согласием — обе стороны не защищены, а бизнес рискует претензиями от Роспотребнадзора, налоговой и Роскомнадзора. Ниже — нормативная база, шаблоны формулировок, сценарии получения и отзыва согласия, чек-лист для проверки и таблица штрафов.

Юридическая база

Бот в MAX, который собирает данные пользователей и продаёт услуги, попадает под несколько профильных законов одновременно. Применительно к боту они работают так:

• 152-ФЗ «О персональных данных» — основной закон. Регулирует сбор, хранение, передачу любых ПДн пользователя (имя, телефон, email, user_id MAX, история сообщений, IP). Обязывает иметь политику обработки ПДн, согласие, уведомление в РКН.
• 149-ФЗ «Об информации, информационных технологиях и защите информации» — регулирует размещение информации в интернете, ответственность владельца сервиса, локализацию данных граждан РФ на территории РФ (ст. 18 ч. 5 152-ФЗ дублирует это требование).
• ГК РФ ст. 437–438 — оферта и акцепт. Ст. 437 определяет публичную оферту; ст. 438 говорит, что акцепт может быть совершён конклюдентным действием (нажатие кнопки «Купить», оплата).
• ЗоЗПП (Закон РФ № 2300-1 «О защите прав потребителей») — требования к информации о товаре/услуге, право на возврат (ст. 26.1 — дистанционные продажи, 7 дней), порядок претензий.
• 38-ФЗ «О рекламе» — рассылки и маркетинг. Ст. 18 запрещает рекламу без предварительного согласия абонента; с 2022 года вся интернет-реклама маркируется через ОРД и попадает в ЕРИР.
• 54-ФЗ «О применении ККТ» — если бот принимает оплату, то на каждую транзакцию обязателен фискальный чек (онлайн-касса или агрегатор с ОФД). Чек должен уйти на email/телефон покупателя.
• 115-ФЗ «О противодействии легализации (отмыванию) доходов» — для платежей выше определённого порога (600 000 ₽) и при подозрительных операциях; чаще касается провайдера платежей, но владелец бота должен корректно передавать данные плательщика.

Что такое оферта в боте

Публичная оферта (ст. 437 ГК РФ) — это договор, который компания предлагает любому, кто захочет принять его условия. Принять оферту в боте — это акцепт (ст. 438 ГК РФ): пользователь нажимает кнопку «Принимаю условия», оплачивает или иным образом подтверждает согласие.

Акцепт может быть конклюдентным — оплата уже считается согласием. Но для защиты лучше иметь явное подтверждение и хранить факт акцепта в БД с привязкой к версии текста.

Обязательные разделы оферты

В договоре-оферте должны быть:

1. Стороны: наименование исполнителя (с ИНН/ОГРН/ОГРНИП), реквизиты, контакты.
2. Предмет договора: что именно компания обязуется предоставить (услугу, товар, доступ к контенту).
3. Цена и порядок оплаты: тарифы, способы оплаты, моменты оплаты, валюта.
4. Сроки и порядок оказания: за какое время выполняется заказ, как осуществляется доставка.
5. Права и обязанности сторон: что должна каждая сторона.
6. Ответственность: ограничения, неустойки, форс-мажор.
7. Возврат и обмен: согласно ЗоЗПП — 7 дней для дистанционных продаж непродовольственных товаров (ст. 26.1).
8. Порядок изменения оферты: обычно «в одностороннем порядке с уведомлением за N дней через бот».
9. Реквизиты для претензий: адрес, email, срок ответа (по ЗоЗПП — 10 дней).

Без этих пунктов оферта формально есть, но защищает плохо.

Структура текста согласия на обработку ПДн (по пунктам)

Состав согласия задан ст. 9 ч. 4 152-ФЗ. Без любого из обязательных пунктов согласие признаётся ничтожным, и Роскомнадзор считает обработку незаконной. Ниже — обязательные пункты и пример формулировки для бота в MAX, где идентификатором субъекта выступает user_id.

1. Идентификация субъекта (ФИО, адрес, паспорт)

Для бота, где пользователь не передаёт паспорт, идентификация описывается через стабильный идентификатор мессенджера:

Субъект персональных данных — пользователь мессенджера MAX, идентифицируемый уникальным числовым идентификатором user_id, переданным платформой MAX в момент взаимодействия с ботом. Дополнительно субъект может предоставить ФИО, контактные данные и иные сведения, необходимые для оказания услуги.

2. Наименование и адрес оператора

Оператор: ИП Иванов Иван Иванович, ИНН 770000000000, ОГРНИП 300000000000000, адрес: 101000, г. Москва, ул. Ивановская, д. 1, контакт для запросов субъектов: privacy@example.ru.

3. Цель обработки — конкретная, не «для улучшения сервиса» (это формулировка не пройдёт):

Цели обработки: оформление заказа на услугу X, идентификация пользователя при повторных обращениях, отправка сервисных уведомлений о статусе заказа, маркетинговые рассылки (только при отдельном согласии).

4. Перечень ПДн — поименно, без обобщений:

Обрабатываемые персональные данные: фамилия, имя, отчество; номер мобильного телефона; адрес электронной почты; адрес доставки; user_id MAX; история сообщений с ботом; IP-адрес; дата и время взаимодействий.

5. Перечень действий с ПДн — формулировка из ст. 3 п. 3 152-ФЗ:

Действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Способы обработки — автоматизированный и без использования средств автоматизации.

6. Срок действия согласия и порядок отзыва

Согласие действует с момента нажатия кнопки «Согласен» в боте и до момента отзыва. Отзыв осуществляется через команду /withdraw_consent в боте либо письменным заявлением на адрес оператора. Срок реакции на отзыв — не более 30 дней (ст. 21 152-ФЗ).

7. Подпись субъекта — для бота это программный акцепт:

Подтверждением согласия признаётся нажатие кнопки «Согласен» в интерфейсе бота. Факт согласия фиксируется в журнале оператора с указанием user_id, версии текста согласия (хеш SHA-256), даты и времени, IP-адреса. Это соответствует требованиям ч. 1 ст. 9 152-ФЗ к форме, позволяющей подтвердить факт согласия.

Сценарий получения согласия в боте

Стандартный флоу при первом контакте пользователя с ботом:

1. Пользователь нажимает /start или открывает бот по ссылке.
2. Бот отправляет приветствие и короткий текст: «Для работы с ботом необходимо согласие на обработку персональных данных. Полный текст: [ссылка на политику]. Краткая суть: мы храним ваше имя, телефон и историю заказов, чтобы оформлять услуги и присылать уведомления».
3. Под сообщением — две inline-кнопки: «Согласен» и «Не согласен».
4. На «Согласен» бэкенд пишет запись в таблицу consents и продолжает сценарий.
5. На «Не согласен» бэкенд переводит пользователя в гостевой режим (см. ниже).

Минимальная схема таблицы consents:

create table consents (
  id            bigserial primary key,
  user_id       bigint not null,
  document_kind text not null,           -- 'pdn' | 'offer' | 'marketing'
  document_hash char(64) not null,       -- sha256 от текста версии
  document_url  text not null,           -- ссылка на хранимый документ
  granted_at    timestamptz not null default now(),
  ip            inet,
  user_agent    text,
  source        text not null default 'max-bot',
  withdrawn_at  timestamptz,             -- null пока согласие активно
  withdraw_reason text
);

create index on consents (user_id, document_kind, withdrawn_at);

При споре с РКН эта таблица — основное доказательство законности обработки.

Сценарий отзыва согласия

Право на отзыв — императивная норма (ч. 2 ст. 9 152-ФЗ), её нельзя ограничить договором. UX-сценарий:

1. Пользователь вызывает команду /withdraw_consent или жмёт кнопку «Отозвать согласие» в меню профиля.
2. Бот показывает предупреждение: «После отзыва мы прекратим обработку ваших данных. Активные заказы будут завершены, история удалена в течение 30 дней. Продолжить?» — кнопки «Да, отозвать» / «Отмена».
3. На подтверждении в consents ставится withdrawn_at = now(). Запускается фоновая задача на удаление/обезличивание ПДн.
4. Пользователь получает подтверждение и переводится в read-only / гостевой режим.

Срок реакции на отзыв — не более 30 дней (ч. 5 ст. 21 152-ФЗ). Если данные нужны для исполнения уже заключённого договора (например, оплаченный, но не доставленный заказ) — обработка продолжается до исполнения, но об этом нужно явно сообщить пользователю.

Не забудьте отдельный сценарий для запросов субъекта по ст. 14 152-ФЗ: получение копии своих данных, уточнение, блокирование. Срок ответа — 10 рабочих дней с возможностью продления ещё на 5.

Что делать при отказе пользователя дать согласие

Без согласия обрабатывать ПДн нельзя, но это не значит, что бот должен молчать. Решение — гостевой режим:

• Доступны статичные информационные команды (/help, /about, /contacts, /faq).
• Доступен публичный каталог услуг без оформления заказа.
• Недоступны: оформление заказа, сохранение профиля, уведомления, привязка к существующему аккаунту.
• Бот периодически (не назойливо) напоминает: «Чтобы оформить заказ, нужно согласие на обработку данных».

Технически в гостевом режиме бэкенд не пишет user_id в постоянное хранилище — только in-memory счётчик rate-limit и анонимные метрики (без идентификаторов).

Согласие на ПДн отдельно от оферты

Согласие на обработку ПДн — отдельный документ от оферты (требование Минцифры и сложившейся практики РКН). Нельзя «спрятать» согласие в общий текст или принимать одной кнопкой для обоих документов — такое согласие признаётся ничтожным.

Правильно — две раздельные кнопки или последовательное согласование: сначала ПДн, потом (при оформлении первой покупки) — оферта.

Договор-оферта в боте

Оферта нужна, когда бот:

• продаёт товары или услуги (включая цифровые);
• оформляет подписку;
• предоставляет платный доступ к контенту или функциям;
• собирает предоплату/задаток.

Акцепт оферты в боте — конклюдентное действие (ст. 438 ч. 3 ГК РФ): нажатие кнопки «Купить» или факт оплаты. В момент акцепта в БД пишется отдельная запись в consents с document_kind = 'offer' и хешем версии оферты, действовавшей на этот момент.

Обязательные разделы оферты — см. список выше. Дополнительно для бота:

• ссылка на полный текст оферты (HTML на сайте студии или клиента);
• дата последней редакции и версия;
• порядок уведомления об изменении (обычно — push-сообщение в бот за 7–14 дней до вступления изменений в силу).

Спец-категории ПДн

К специальным категориям ст. 10 152-ФЗ относит данные о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Биометрия выделена отдельно ст. 11.

К боту это применимо, если он:

• работает в медицине (запись на приём, симптомы, диагнозы);
• собирает биометрию (голосовые команды для идентификации, селфи для верификации);
• сегментирует аудиторию по политическим/религиозным взглядам;
• работает с фитнес-данными (косвенно — состояние здоровья).

Усиленные требования:

• отдельное письменное согласие на каждую спец-категорию (отдельная кнопка/диалог, не общий чек-бокс);
• хранение в зашифрованном виде (AES-256 или ГОСТ);
• журналирование доступа: кто, когда, к каким записям обращался;
• ограниченный круг лиц с доступом, оформленных приказом по организации;
• для биометрии — обязательная регистрация в Единой биометрической системе (ЕБС).

Обработка ПДн несовершеннолетних

Согласие несовершеннолетнего до 14 лет даёт законный представитель (ч. 6 ст. 9 152-ФЗ). С 14 до 18 — сам подросток с согласия родителей в письменной форме для значимых операций.

Для бота это означает:

• при регистрации спросить дату рождения / возрастную категорию (16+ / 18+);
• если пользователь указывает возраст до 18 — переводить в режим, требующий согласия представителя (например, отдельная ссылка для родителя с QR-кодом);
• не показывать рекламу, нарушающую 38-ФЗ ст. 6 (алкоголь, азартные игры, финансовые услуги несовершеннолетним).

UX-проверка возраста — это самодекларация (юридически достаточная для большинства случаев) плюс косвенные сигналы (анализ поведения, обращение к школьной тематике).

Маркетинговые рассылки и 38-ФЗ

Рассылка рекламы по списку пользователей бота — это распространение рекламы по сетям электросвязи (ст. 18 38-ФЗ). Для законной рассылки нужно:

• отдельное согласие на рекламу — нельзя получить его одной кнопкой вместе с согласием на обработку ПДн;
• отписка одним кликом в каждом сообщении (кнопка «Отписаться» под промо-сообщением);
• маркировка рекламы — с 1 сентября 2022 любая интернет-реклама проходит через оператора рекламных данных (ОРД), получает токен (erid) и попадает в Единый реестр интернет-рекламы (ЕРИР);
• в самом сообщении — пометка «Реклама», erid и юридический идентификатор рекламодателя (наименование/ИНН).

Шаблон промо-сообщения в боте:

Реклама. ИП Иванов И.И., ИНН 770000000000. erid: 2VtzqxXXXXX

Скидка 20% на курс «Бот для бизнеса» до конца недели. Подробнее

[Отписаться от рассылки]

Без erid и пометки — штраф по ст. 14.3 КоАП (от 100 000 ₽ для юрлиц) и риск блокировки рассылок РКН.

Чек-лист для проверки РКН

Минимальный набор документов и процедур, который нужно иметь до запуска бота:

1. Уведомление в РКН о намерении обрабатывать ПДн (форма на pd.rkn.gov.ru). Подаётся до начала обработки.
2. Уведомление о трансграничной передаче ПДн (если бот отдаёт данные за рубеж — например, использует зарубежный CRM или email-сервис). С 1 марта 2023 — обязательно по ст. 12 152-ФЗ.
3. Политика обработки ПДн — публично размещена на сайте по постоянной ссылке, упомянута в боте.
4. Политика в боте — короткая версия + ссылка на полную (см. сценарий выше).
5. Шаблон согласия — текст, который пользователь принимает кнопкой; версионирование через git/хеш.
6. Журнал согласий — таблица consents с timestamp, версией, IP.
7. Журнал отзывов согласий — withdrawn_at в той же таблице + лог удалений ПДн.
8. Договор с обработчиком (ст. 6 ч. 3 152-ФЗ) — если данные передаются третьим лицам (хостинг, CRM, email-сервис, аналитика, OFD-провайдер).
9. Договор с хостинг-провайдером с указанием локализации серверов на территории РФ (ст. 18 ч. 5 152-ФЗ).
10. Регламент реагирования на запросы субъекта — кто и в какой срок отвечает на запрос о копии данных, об уточнении, об отзыве согласия.
11. Регламент уведомления об инциденте — порядок уведомления РКН в течение 24 часов с момента обнаружения утечки и в течение 72 часов с детализацией последствий (ст. 21 ч. 6 152-ФЗ).
12. Локальный акт «Об организации обработки ПДн» — приказ руководителя, перечень мер защиты, ответственный за обработку.
13. Назначение ответственного за организацию обработки ПДн (ст. 22.1 152-ФЗ) — приказом, с реквизитами в политике.

Типовые ошибки и штрафы

Размеры штрафов 2026 года по КоАП РФ (часть статей ужесточена 420-ФЗ от 30.11.2024). Цифры — для юридических лиц, если не указано иное:

Самая чувствительная позиция — оборотный штраф за повторную утечку. Для бизнеса с выручкой от 700 млн ₽ это уже потенциально 20 млн ₽ за один инцидент.

Технический сценарий акцепта в боте

Полная последовательность:

1. Пользователь начинает целевой сценарий (оформление заказа, регистрация).
2. Бот отправляет сообщение: «Перед продолжением ознакомьтесь с офертой [ссылка] и политикой обработки данных [ссылка]».
3. Внизу сообщения две inline-кнопки: «Принимаю» и «Отказаться».
4. При нажатии «Принимаю» в Postgres пишется запись: user_id, document_kind, document_hash (SHA-256 текста), granted_at, ip, user_agent.
5. Бот переходит к следующему шагу.

Если пользователь отказался — сценарий прерывается с понятным объяснением. Без акцепта продолжать нельзя.

Версионирование документов

Оферта и политика будут меняться. Чтобы при споре можно было предъявить тот текст, на который пользователь согласился, нужно:

• Хранить полную историю версий оферты в БД или в репозитории с тегами.
• При записи акцепта сохранять хеш версии (SHA-256), на которую пользователь согласился.
• При обновлении существенных условий — повторно запросить согласие у активной аудитории.
• В тексте оферты указать дату последней редакции и номер версии.

Идеально — версионируем как код, через git, плюс отдельная страница с историей изменений.

Кейсы, когда оферта в боте критична

Особенно важно правильно оформить договор в нишах:

• Платные подписки — без оферты сложно отстаивать списания при споре.
• Курсы и обучение — спорные ситуации с возвратом и качеством контента.
• Услуги «под клиента» — массаж, ремонт, ИТ-услуги — там часты претензии.
• Маркетплейсы и UGC — нужны отдельные пункты по правилам пользователей.
• B2B-продажи — даже если контракт подписывается отдельно, оферта в боте закрывает мелкие транзакции.

В этих случаях оферта — не формальность, а реальный инструмент защиты.

Что не нужно

• Запрашивать акцепт несколько раз подряд. Один раз — на старте; повторно — только при существенных изменениях.
• Включать в оферту маркетинговые формулировки. Договор — это юридический документ, не лендинг.
• Скрывать ссылки мелким шрифтом или под спойлером. Это легко обжалуется.
• Заставлять принимать оферту перед каждой покупкой. Один раз — навсегда (до изменений).
• Принимать одной кнопкой согласие на ПДн и оферту. Это два разных документа, акцепты должны быть раздельными.
• Отправлять рекламу без отдельного согласия и без erid. Это два независимых нарушения по 152-ФЗ и 38-ФЗ.

Итого

Оферта и согласие на ПДн в боте MAX — это два отдельных документа с явным акцептом через кнопки и фиксацией версии в БД. Нормативная база: 152-ФЗ (ПДн), ГК РФ ст. 437–438 (оферта/акцепт), ЗоЗПП (возвраты), 38-ФЗ (рассылки), 54-ФЗ (фискализация). Минимум: предмет, цена, сроки, ответственность, возврат, контакты для претензий — в оферте; конкретные ПДн, цели, сроки, право на отзыв — в согласии. Версионируем как код, ведём журнал согласий и отзывов, имеем регламент реакции на инциденты в 24 часа, маркируем рекламу через ОРД. Это снимает 90% юридических рисков и блокирует крупные штрафы по обновлённой ст. 13.11 КоАП.

Частые вопросы

Что такое договор-оферта в боте MAX и зачем она нужна?+

Публичная оферта — это договор, который компания предлагает любому, кто захочет принять его условия. Принять оферту в боте — это акцепт: пользователь нажимает кнопку «Принимаю условия», оплачивает или иным образом подтверждает согласие. С точки зрения ГК РФ ст. 437–438 акцепт может быть конклюдентным (через действие — оплата уже считается согласием). Но для защиты лучше иметь явное подтверждение и хранить факт акцепта в БД. Без оферты бизнес рискует претензиями от Роспотребнадзора и налоговой, а пользователь не защищён.

Какие пункты обязательны в оферте бота MAX?+

Девять обязательных разделов. Стороны: наименование исполнителя (с ИНН/ОГРН/ОГРНИП), реквизиты, контакты. Предмет договора: что именно компания обязуется предоставить. Цена и порядок оплаты: тарифы, способы, момент оплаты, валюта. Сроки и порядок оказания. Права и обязанности сторон. Ответственность: ограничения, неустойки, форс-мажор. Возврат и обмен по ст. 26.1 ЗоЗПП — 7 дней для дистанционных продаж непродовольственных товаров. Порядок изменения оферты с уведомлением. Реквизиты для претензий: адрес, email, срок ответа 10 дней.

Чем отличается согласие на ПДн от оферты в боте?+

Это два разных документа. Согласие на ПДн — отдельный документ по ст. 9 152-ФЗ, в котором перечислены конкретные ПДн (имя, телефон, адрес, user_id), указаны цели обработки (выполнение заказа, рассылка уведомлений), назван срок обработки и условия удаления, описано право пользователя отозвать согласие в любой момент. Согласие должно быть отдельным от оферты — нельзя «спрятать» его в общий текст и нельзя принимать одной кнопкой с офертой, иначе оно считается ничтожным. Оферта — про условия сделки, согласие — про обработку персональных данных.

Как должен выглядеть шаблон согласия на ПДн для бота?+

Семь обязательных пунктов по ст. 9 ч. 4 152-ФЗ. Идентификация субъекта (для бота — user_id MAX плюс предоставленные пользователем ФИО и контакты). Наименование и адрес оператора с ИНН/ОГРНИП и контактом для запросов. Конкретные цели обработки (не «улучшение сервиса», а «оформление заказа», «отправка уведомлений»). Перечень ПДн поименно. Перечень действий из ст. 3: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Срок действия и порядок отзыва. Подпись — для бота это нажатие кнопки «Согласен» с фиксацией user_id, хеша версии, timestamp и IP в журнале.

Как технически зафиксировать акцепт в боте MAX?+

Стандартный путь из 5 шагов. Пользователь начинает целевой сценарий. Бот отправляет сообщение: «Перед продолжением ознакомьтесь с офертой [ссылка] и политикой обработки данных [ссылка]». Внизу две inline-кнопки: «Принимаю» и «Отказаться». При нажатии «Принимаю» в PostgreSQL пишется запись в таблицу consents: user_id, document_kind (pdn/offer/marketing), document_hash (SHA-256 текста версии), granted_at, ip, user_agent. Бот переходит к следующему шагу. Если пользователь отказался — сценарий прерывается. Хранение хеша версии критично: при споре можно предъявить тот текст, на который пользователь согласился.

Как пользователю отозвать согласие на обработку ПДн в боте?+

Право на отзыв — императивная норма ч. 2 ст. 9 152-ФЗ, его нельзя ограничить договором. UX-сценарий. Пользователь вызывает команду /withdraw_consent или жмёт кнопку «Отозвать согласие» в меню. Бот показывает предупреждение: «После отзыва прекратим обработку, активные заказы будут завершены, история удалена в течение 30 дней». На подтверждении в consents ставится withdrawn_at, запускается фоновое удаление/обезличивание ПДн. Пользователь переводится в read-only режим. Срок реакции на отзыв — не более 30 дней по ч. 5 ст. 21 152-ФЗ. Если данные нужны для исполнения уже заключённого договора — обработка продолжается до исполнения, но об этом нужно явно сообщить.

Как обновлять оферту бота, если пользователи уже её приняли?+

Через версионирование документов как кода. Хранить полную историю версий оферты в git с тегами. При записи акцепта сохранять хеш SHA-256 версии, на которую пользователь согласился. При обновлении существенных условий — повторно запросить согласие у активной аудитории через всплывающее сообщение. В тексте оферты указать дату последней редакции и отдельную страницу с историей изменений. Без этого при споре невозможно доказать, какие условия действовали на момент покупки.

Какие штрафы грозят за нарушения 152-ФЗ при работе бота в 2026 году?+

По обновлённой ст. 13.11 КоАП. Обработка без согласия — для юрлиц 300 000 – 700 000 ₽ (ч. 2). Отсутствие политики обработки ПДн на сайте — 30 000 – 60 000 ₽ (ч. 3). Невыполнение запроса субъекта — до 90 000 ₽ (ч. 4–5). Нарушение локализации хранения в РФ — до 6 млн ₽, повторно до 18 млн ₽ (ч. 8). Утечка ПДн от 100 000 субъектов — 10–15 млн ₽ (ч. 14). Повторная утечка — оборотный штраф 1–3% выручки, минимум 20 млн ₽, максимум 500 млн ₽ (ч. 15). Неуведомление РКН об инциденте в 24 часа — до 3 млн ₽ (ч. 10–11). Реклама без erid — 200 000 – 500 000 ₽ по ст. 14.3 КоАП.

Что должно быть в чек-листе для проверки РКН по боту?+

Минимум 13 пунктов. Уведомление в РКН о намерении обрабатывать ПДн до начала обработки. Уведомление о трансграничной передаче, если применимо. Политика обработки ПДн на сайте по постоянной ссылке. Краткая политика в боте плюс ссылка на полную. Шаблон согласия с версионированием. Журнал согласий (таблица consents с timestamp, хешем, IP). Журнал отзывов и удалений. Договор с обработчиком при передаче третьим лицам. Договор с хостингом с локализацией в РФ. Регламент реагирования на запросы субъекта. Регламент уведомления РКН об инциденте — 24 часа на первичное и 72 часа на детальное. Локальный акт «Об организации обработки ПДн». Приказ о назначении ответственного по ст. 22.1 152-ФЗ.

В каких боях бизнеса оферта в MAX особенно критична?+

Несколько ниш с повышенным риском. Платные подписки — без оферты сложно отстаивать списания при споре с банком и Роспотребнадзором. Курсы и обучение — спорные ситуации с возвратом и качеством контента. Услуги «под клиента» (массаж, ремонт, ИТ-услуги) — частые претензии по качеству. Маркетплейсы и UGC — нужны отдельные пункты по правилам пользователей и модерации контента. B2B-продажи — даже если контракт подписывается отдельно, оферта в боте закрывает мелкие транзакции и подписки. В этих случаях оферта — не формальность, а реальный инструмент защиты.