Кто следит за чат-ботами: личная информация, Роскомнадзор и трансграничная передача данных

Даже если у вас нет бота, скорее всего вы тоже обрабатываете персональные данные. Как сообщить об этом в РКН, и что будет, если это не сделать.

Бытует мысль, что за ботами в Телеграме никто особо не следит. Мол, их тысячи, и с каждым днём становится только больше. И пока они не приносят явного вреда, всем более-менее всё равно. Даже если они не на 100% соответствуют закону.

Телеграм действительно не следит за ботами. Ну так, вполглаза. Ни с пользователя, ни с создателей чат-ботов не требуют никаких документов. Контент внутри тоже массово не контролируется. Заблокировать могут, если бот начнёт постоянно спамить. Или если кто-то из пользователей кинет жалобу.

Получается, можно завести полностью левый аккаунт и зарегистрировать левого бота, и никому дела до этого не будет? И да, и нет. Если чат-бот не несёт никакого вреда, то и интереса к его создателю не будет. А если начнётся откровенное нарушение закона и норм морали, то отреагируют быстро. Особенно тщательно следят за торговцами персональными данными (или ещё чем похуже) — такое банят очень быстро. Вместе с ботом блокируют и аккаунт, который его создал.

В отношении чат-ботов госорганы работают по запросу: поступила жалоба или заявление о правонарушении — начинается проверка. Если в процессе обнаружили состав преступления, могут выписать предписание, внести в какой-нибудь реестр иноагентов или вызвать на допрос. Либо же передать дело в суд. В суде дела могут пойти по-разному: от штрафа до уголовного наказания.

→ Роскомнадзору боты могут быть интересны, если они распространяют запрещенную информацию, например, про обход блокировок, или приводят к утечкам персональных данных.

→ ФАС интересны боты, которые нарушают закон о рекламе.

→ МВД боты интересны, если через них продают наркотики или организовывают теракты.

→ Также ботом могут заинтересоваться госорганы других стран, где живут его пользователи.

У нас на практике до суда дошло не очень много дел. В основном они происходят за рубежом. Например, в США было разбирательство с продавцом одежды и обуви Old Navy, а в Канаде судились с авиакомпанией Air Canada. В России же таких случаев сильно меньше. Самые громкие дела — блокировка GPTBot от OpenAI и онлайн-банка в Телеграм от ВТБ. Судебные дела о продаже наркотиков через ботов тоже были, хоть и не такие громкие. Например, это дело или это.

Для начала разберёмся, что это такое.

Трансграничная передача персональных данных — это передача персональных данных за границу:

Если вы пользуетесь иностранным сервисом, обрабатывающим персональные данные или храните данные на сервере, который находится за рубежом, об этом нужно сообщать Роскомнадзору. Причём сделать это нужно ещё до начала передачи данных.

При чём тут разработчики и чат-боты? У Телеграм, WhatsApp, Viber и прочих подобных мессенджеров (кроме ВКонтакте и Одноклассников) серверы находятся за границей. А это значит, чтобы не нарушать закон, нужно уведомлять РКН о передаче данных.

Если коротко, то легально передавать персональные данные через тот же Телеграмм практически невозможно. Его сервера находятся за рубежом, а хранить персональные данные граждан РФ там нельзя. Недавно Роскомнадзор в целом высказывался против передачи персональных данных в Телеграме.

Для компаний штрафы за нарушение обработки персональных — до 700 000 ₽, за повторное правонарушение — до 1 500 000 ₽ (ч. 2, 2.1 ст. 13.11 КоАП РФ).

Важно:

Если компания является малым предприятием и на момент совершения правонарушения включена в реестр МСП, то штраф назначат в размере, предусмотренном для ИП. При этом, если в статье штраф для ИП не предусмотрен, то он назначается в размере от половины минимального до половины максимального штрафа для юрлица.

Для начала напомним, что уведомление подаётся до начала передачи данных. Важный момент здесь в том, что Роскомнадзор может запретить такую передачу, поэтому уведомление и правда лучше подать заранее.

→ До подачи уведомления о передаче персональных данных вам нужно уведомить РКН о том, что вы являетесь оператором персональных данных.

→ Сообщить Роскомнадзору о трансграничной передаче данных можно электронно или на бумаге ценным письмом с описью вложения.

Для электронного уведомления нужна учётная запись на Госуслугах. Если за компанию уведомление подаёт работник, его учетная запись должна быть привязана к организации.

Если мы говорим не только про Телеграм, а про сбор и передачу персональных данных вообще, то нужно соблюсти кучу формальностей:

1. Разработать политику обработки персональных данных и разместить её так, чтобы пользователь мог с ней ознакомиться.

2. Взять у пользователя согласие на обработку персональных данных. Причём нужно указать, каких конкретно, как они будут передаваться, куда и зачем.

3. Нужно дать возможность пользователю отозвать своё согласие. Например, указать почту, куда можно отправить своё письмо.

4. Нужно зарегистрироваться как оператору персональных данных.

В рамках Телеграм-бота сделать это довольно проблематично, но можно добавить на что-то одно ссылку в описание или на сайт, который отлично справится с этим перечнем.

Помочь с подготовкой уведомления и пакета документов могут наши юристы:

Если они у вас уже разработаны, то мы проверим их на актуальность и соответствие закону. Оставить заявку можно на сайте в поле ниже или по телефону 88003337826.

А если вам понадобилась помощь в разработке чат-ботов для мессенджеров, то можете смело обращаться в BotCreators. Их боты помогают оптимизировать большинство бизнес-задач и легко интегрируются с другими крупными сервисами и платёжными системами.

За свежими новостями для предпринимателей переходите в наш Телеграм-канал ➡️ https://t.me/knopkanews. Публикуем важные новости для бизнеса и оперативно отвечаем на вопросы в комментариях.