Telegram и WhatsApp для работы с клиентами: как не нарушить законодательство о персональных данных за трансграничную передачу данных?
Является ли использование Telegram/иных иностранных мессенджеров в работе с клиентами трансграничной передачей данных?
Ежедневная ситуация: бизнес работает с клиентами принимая входящие заявки через мессенджеры, записывает на услуги или продает товары по Telegram и WhatsApp. Клиенты, конечно, оставляют свои контакты и прочие перс. данные компаниям. Но законно ли это и есть ли риски у бизнеса? Ведь сервера мессенджеров находятся за пределами РФ, а как сельские кажется, что нарушение закона на лицо.
На данный момент у Роскомнадзора нет официальной четкой позиции по данному вопросу. Но у юристов Teiwaz Legal есть свое мнение по этому вопросу на основе глубокого анализа разъяснений и законодательства.
В 2023 году Роскомнадзор давал разъяснения (Ответ на запрос от 13.09.2023 № 08-80104) о том, что прием заявок от потенциальных клиентов и подписчиков посредством иностранных мессенджеров будет являться нарушением закона.
«Сбор персональных данных клиентов компании с использованием баз данных, находящихся за пределами РФ, будет являться нарушением требований законодательства РФ в области персональных данных.
Персональные данные клиентов, содержащиеся в сообщениях клиентов, направленных ими в адрес компании через иностранные мессенджеры, включенные в Перечень ч. 10 ст. 10 Федерального закона № 149-ФЗ (Telegram, WhatsApp*, Viber, Skype, Discord, Snapchat, Microsoft Teams, Threema, WeChat) не должны приниматься в обработку и должны быть уничтожены компанией».
01.06.2025 г. вступил в силу закон Федеральный закон от 01.04.2025 №41-ФЗ «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации» (далее - 41-ФЗ), положения которого устанавливают запрет любые на электронные коммуникации посредством Telegram, WhatsApp* и других иностранных мессенджеров (сюда входят и рассылка клиентам рекламы и акций, а также отправка клиенту уведомлений по договору и пр.) с гражданами РФ.
Закон 41-ФЗ прямо указывает, что запрет распространяется только на стратегически важные организации и инфраструктуры, чья деятельность критична для государства, а именно:
- Государственные ведомства: Минюст, Минцифры, Минэкономразвития и др.
- Компании с госкапиталом: РЖД, Ростелеком, Аэрофлот и др.
- Банковский сектор: Сбер, Альфа-Банк, ВТБ и др.
- Страхование и ипотека: ВСК, Дом.РФ, РЕСО-Гарантия и др.
- Операторы платежной инфраструктуры: СПК «Мир», ЦБ РФ и др.
- Связь: Теле2, МТС и др.
- Цифровые площадки: Яндекс Маркет, Ozon, HeadHunter и др.
- Социальные сети: ВКонтакте, Одноклассники и др.
Наличие согласия со стороны клиента, уведомление в РКН о трансграничной передаче данных не освобождает вышеперечисленных лиц от ответственности за нарушение установленного запрета.
Если компания входит в вышеуказанные категории, то использовать иностранные сервисы для коммуникации с клиентами теперь запрещено в принципе.
01.07.2025 г. вступили в силу обновленные положения п. 5 ст.18 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 г. (далее - 152-ФЗ) которые уже коснулись всех без исключения.
Был введен запрет на определённые виды обработки персональных данных граждан РФ посредством иностранных мессенджеров/сервисов.
«При сборе персональных данных, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются» (ч.5 ст.18 152-ФЗ).
Раньше уведомление РКН о трансграничной передаче данных легализовало передачу данных после сбора. Теперь первичная фиксация персональных данных должна происходить ТОЛЬКО на серверах в РФ.
Сбор данных через чат-боты Telegram/иностранных мессенджеров с последующем сохранением в российскую CRM (аккумулирование на серверах РФ) — нарушение, так как первичная фиксация происходит за рубежом. По сути, этот закон полностью запрещает спрашивать в чат-ботах телефон, эл. почту и прочее.
Подчеркнем, что формулировка статьи подразумевает запрет только перечисленных операций и только при сборе персональных данных. То есть операции, не относящиеся к шагу сбора данных, например, использование персональных данных или их передача под полный запрет не попадают.
Выше представленные нововведения прямо не запрещают гражданам и субъектам малого и среднего бизнеса использовать мессенджеры для общения и коммуникаций, но сохраняется высокий риск получения штрафных санкций за некорректную трансграничную передачу персональных данных и утечку персональных данных (в случае выявления такого факта).
Нельзя забывать о том, что трансграничная передача уже собранных и хранящихся в РФ данных за границу допустима только при:
· Предварительном уведомлении Роскомнадзора;
· При получении согласия субъекта персональных данных на трансграничную передачу;
· Наличии договора с получателем, гарантирующего защиту персональных данных (ст. 12 152-ФЗ).
На данный момент все сервера Телеграм, к примеру, иностранные и представительства в РФ нет. Следовательно, если строго следовать букве закона, то нужно получать разрешение на трансграничную передачу данных при пользовании данным сервисом, так как имеет место непосредственная обработка персональных данных пользователей при функционировании мессенджера для электронных коммуникаций с клиентами.
Однако правовая неопределенность относительно того, является ли такая электронная коммуникация посредством иностранных мессенджеров трансграничной передачей ПД существует.
В официальном ответе на запрос от 26.06.2025 г. Роскомнадзор дал разъяснения о том, что Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» прямо не устанавливает ограничений на использование тех или иных программных средств при обработке персональных данных, однако прямого ответа на вопрос является ли использование Telegram /иных иностранных мессенджеров в работе предприятия трансграничной передачей данных - не дал.
В официальном ответе на запрос от 27 июня 2025 г. Министерство цифрового развития, связи и массовых коммуникаций РФ пояснило, что направление информации, содержащей персональные данные, посредством иностранных мессенджеров пользователям, находящимся на территории РФ, НЕ БУДЕТ являться трансграничной передачей. Вот такие выводы.
Если тема персональных данных интересна - пишите комментарии и подписывайтесь. Больше правовых разборов и юридических новостей для бизнеса публикуем в нашем TG-канале "Внутрянка Teiwaz Legal" https://t.me/urist_business
Авторы статьи: Ксения Шутилова (юрист Teiwaz Legal) и Мария Стрельчик (налоговый консультант, лучший юрист в сфере инфобизнеса 24/25 по версии всероссийской премии для экспертов в онлайн-сфере Freedom Expert Awards, основатель юридической фирмы Teiwaz Legal)