Как собирать персональные данные в чат-ботах и не нарушать закон
В этой статье расскажем, как собирать и обрабатывать персональные данные в WhatsApp и Telegram. А еще покажем примеры и разберем варианты сбора согласий на обработку данных.
Что такое персональные данные
Персональные данные (ПДн) — это любая информация, по которой можно идентифицировать человека. В российских законах нет детального списка таких данных, поэтому приходится руководствоваться сложившейся судебной практикой.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Есть разные виды персональных данных:
- Общие: имя, населенный пункт, номер телефона, электронная почта и иные.
- Специальные категории: религия, национальность или информация о судимости.
- Биометрические: сюда относятся отпечатки пальцев и группа крови.
Кроме этих видов, выделяют и другие категории персональных данных, например, использующиеся в корпоративных отношениях. Но в маркетинговой деятельности с ними работают редко, поэтому мы сосредоточимся на общих персональных данных.
К данным с особыми требованиями по защите относятся биометрические, медицинские и финансовые сведения. Работа с ними требует отдельного согласия пользователя и усиленных мер безопасности, поэтому их обычно не собирают через чат-боты.
Перед сбором данных чат-бот должен получить согласие клиента — например, через нажатие кнопки или ввод команды «Согласен». Главное — чтобы действие было явным, направленным и осознанным. Согласие нельзя проставлять автоматически, а пользователь должен понимать цели и условиях обработки данных.
Вот как согласия подписчиков собирает в чат-боте Skyeng.
Кроме понятия «персональные данные» нужно разобраться еще с тремя терминами:
- Оператор ПДн — это тот, кто устанавливает цели и способы обработки персональных данных. В контексте чат-ботов оператором обычно является владелец компании/бренда или разработчик бота.
- Субъект ПДн — тот человек, чьи данные обрабатываются.
- Обработка ПДн — это любое действие с персональными данными: сюда входят сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача и любые иные виды и форма прямого или косвенного использования.
Какие данные собирают в чат-ботах и зачем
В чат-ботах чаще всего собирают:
Сеть кофеен Green House при регистрации пользователя в программе лояльности через чат-бот просит указать:
- телефон
- имя и фамилию
- пол
- дату рождения
- электронную почту
- город проживания
Эти данные интегрируются в CDP-систему и используются для идентификации клиентов, начисления и списания бонусов, сегментации базы и отслеживания эффективности маркетинговых кампаний.
Источник: @GreenHouseClubBot
А в сети магазинов Улыбка Радуги при регистрации нового участника программы лояльности запрашивают:
- телефон
- имя
- дату рождения
- пол
Магазин сохраняет данные в своей системе. Так клиент при следующем визите в Telegram-боте увидит свой бонусный баланс и сможет использовать его для оплаты. А еще, зная дату рождения, можно планировать триггерные касания и поздравления с праздником.
Источник: @ulybkaradugibot
Какие законы и правила сбора ПДн действуют в России
Для разных стран действуют свои правила сбора и обработки персональных данных.
В Европейском Союзе установлен Общий регламент по защите данных (GDPR). В странах СНГ приняты локальные законы, которые основаны на общих принципах защиты прав субъектов данных.
В России сбор и обработка персональных данных регулируются Федеральным законом № 152-ФЗ «О персональных данных». Этот закон устанавливает основной порядок работы с ПД:
- получить согласие на обработку данных;
- определить цели обработки;
- обеспечить безопасность данных;
- раскрыть права субъектов ПД (например, право на удаление или уточнение информации) и предоставить ему предусмотренные законом сведения.
Контролирует соблюдение этого закона Роскомнадзор. А еще он собирает уведомления о начале обработки ПД. Подробнее о подаче уведомления об обработке персональных данных в ст.22 Федерального закона № 152-ФЗ.
У компаний, которые собирают и обрабатывают данные своих клиентов, появляются обязанности: защищать ПДн от несанкционированного доступа. Это значит, что все операторы ПДн должны использовать пароли и шифры для защиты ПДн, а еще контролировать, кто и как использует информацию.
Что нужно разместить на сайте и в чат-боте
Перед сбором личных данных чат-бот должен предоставить понятную и доступную информацию о какие данные и с какой целью вы собираете. Для этого нужно разместить ссылки на Политику конфиденциальности и Обработку персональных данных.
Например, бот «Твои купоны в Бургер Кинг» отправляет ссылки на оба документа перед тем, как продолжить общение с подписчиком.
Источник: @BurgerKingPromoBot
А у доставки Самокат правила розыгрыша и Политика конфиденциальности размещены в первом приветственном сообщении чат-бота.
Источник:@samokat_leto_bot
Политика конфиденциальности. Это основной документ, который должен быть доступен для пользователя. В нем нужно указать:
- Какие данные собираются.
- Цели обработки данных.
- Способы обработки данных.
- Кто является оператором данных.
- Как долго данные будут храниться.
- Какие меры защиты данных применяются.
- Права субъекта ПДн.
- Контактные данные для связи с оператором.
Команда TextBack разместила Политику конфиденциальности на сайте: https://textback.ru/privacy-policy/
В боте Fitness SHOCK NEWS ссылка на политику конфиденциальности выведена в отдельную кнопку главного меню.
Источник: @fitness_shock_bot
Согласие на обработку ПДн.
Это конкретное разрешение пользователя на обработку его данных для определенных целей. Вот что в нем должно быть:
- Наименование оператора/компании и ее реквизиты.
- Цель обработки данных (регистрация в личном кабинете, отправка рекламы).
- Список данных, которые будут обрабатываться (ФИО, email, телефон, иные личные данные).
- Срок действия согласия.
- Право на отзыв согласия и его способ.
- Согласие пользователя.
В боте бренда Zarina размещена ссылка на согласие на обработку ПДн. Подписчик может ознакомиться с документом и нажать кнопку «Согласен», если хочет пользоваться функционалом чат-бота.
Источник: @zarina_assistant_bot
Согласие на получение рекламы.
Для рекламных коммуникаций требуется отдельное согласие клиента — это требование ст. 18 Федерального закона «О рекламе» №38-ФЗ.
Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. 38-ФЗ «О рекламе»
Можно запросить согласие на отправку рекламных материалов в WhatsApp или Telegram: «Хотите получать наши акции и спецпредложения? Нажмите «Согласен», чтобы подписаться». Кнопки: [Согласен] [Нет, спасибо]
Чат-бот должен фиксировать факт получения согласия. Например, сохранять переменные с отметкой времени и действиями пользователя.
Например, бот Metro собирает согласие на отправку специальных предложений магазина через кнопки выбора.
Источник: @METROCCRUSSIA_bot
А бот от Самоката предлагает получать промокоды партнеров и для этого просит согласие на отправку акций и скидок. Клиент может согласиться или отказаться с помощью кнопок [Да] [Нет].
Источник: @samokat_leto_bot
Как получить согласие на обработку данных
Обработка ПДн возможна только с согласия пользователя. Это согласие должно быть:
- Информированным: человек понимает, какие данные собираются и зачем.
- Конкретным: указаны цели обработки, в том числе отправка уведомлений или маркетинговых рассылок.
- Добровольным: то есть пользователь может отказаться без негативных последствий.
Примеры формулировки согласия.
Бренд мясных полуфабрикатов Слово Мясника собирает согласие на обработку персональных данных и указывает, что это согласие работает для участия в акциях.
Источник: @slovo_myasnika_bot
А косметическая компания MIXIT в чат-боте объясняет, что персональные данные нужны для начисления бонусов программы лояльности. А еще MIXIT использует кнопку для сбора согласия, чтобы пользователю было легко выполнить нужное действие и поделиться своими ПДн.
Источник: @MIXIT_smart_bot
Компания Коркунов собирает персональные данные и согласие на рекламу при регистрации участников конкурса на сайте. Для этого используется DOI (Double Opt-In) — механизм двойного подтверждения с помощью чек-боксов.
Вот как это работает:
- Пользователь ставит галочку, подтверждая согласие на обработку персональных данных или получение рекламы.
- После согласия на сайте пользователь получает дополнительное подтверждение: это может быть письмо или сообщение в чате.
Источник: https://promo.korkunov.ru/
Какие данные можно собирать, а какие — нет
Можно собирать данные, которые необходимы для выполнения конкретных задач.
Например:
- Имя и телефон для оформления заказа.
- Email для рассылки.
Запрещено собирать избыточные данные, которые не связаны с целями обработки. Например, просить указать паспортные данные для подписки на новости.
Важно учитывать, что с 2023 года в России запрещено использовать иностранные мессенджеры, к которым относятся Telegram и WhatsApp, для передачи персональных данных, платежной информации и других конфиденциальных сведений. За нарушение этого правила предусмотрены штрафы до 700 тысяч рублей.
Запрет касается:
- Государственных и муниципальных организаций.
- Банков и других финансовых учреждений (страховых компаний, микрофинансовых организаций и т.д.).
- Компаний, в которых более 50% акций принадлежит государству.
Для частных компаний, не связанных с государством, ограничений нет.
Обращаем ваше внимание, что вступление в прямые финансовые отношения с иностранными организациями, деятельность которой на территории РФ признана экстремистской, осуществляется каждым хозяйствующим субъектом на свой страх и риск.
Что делать, если раньше собирали согласия без указания мессенджеров
Если раньше вы уже собирали согласия без указания мессенджеров, теперь нужно запросить дополнительное подтверждение для WhatsApp и Telegram.
Вот пошаговый план действий:
Шаг 1. Обновить политику обработки данных
Добавьте в Политику конфиденциальности и Согласие на обработку ПДн явное упоминание мессенджеров:
- Перечислите все каналы связи: email, SMS, WhatsApp, Telegram и др.
- Укажите цели обработки данных в каждом канале: например, «отправка рекламных уведомлений в Telegram».
- Опубликуйте обновлённую версию на сайте и в чат-боте.
Шаг 2. Запросить повторное согласие
Если старая база клиентов не давала явного разрешения на коммуникацию в мессенджерах:
- Отправьте уведомление через email, SMS или личный кабинет с просьбой подтвердить обновлённые условия.
- Используйте двойное подтверждение (DOI) — например, ссылку с кнопкой «Подтвердить согласие».
- В чат-ботах добавьте сценарий повторного запроса: «Мы обновили условия обработки данных. Подтвердите, что согласны получать сообщения в этом чате? [Да] [Нет]».
Шаг 3. Добавить согласие в новые коммуникации
При первом взаимодействии в мессенджере запрашивайте явное разрешение.
Что будет, если нарушить правила работы с ПДн
За нарушение требований закона предусмотрена ответственность: административная, гражданско-правовая и даже уголовная. Кодекс об административных правонарушениях устанавливает штрафы за нарушения обработки персональных данных. За обработку данных без согласия клиента или несоблюдение требований к защите данных могут наложить штрафы на юридических лиц в размере до 5 млн. рублей. В том числе могут наложить оборотный штраф.
Что это значит: теперь размер штрафа будет зависеть от количества «потерпевших» субъектов ПДн и дохода компании и может доходить до сотен миллионов рублей для юридических лиц, в соответствии с Федеральным законом от 30.11.2024 № 420-ФЗ. Новые правила начнут действовать с мая 2025 года.
Заключение
Соблюдение законодательства о персональных данных — это обязанность бизнеса. Убедитесь, что соблюдаете все требования закона:
- Решите, какие данные необходимы для ваших целей: имя, телефон, email и т.д..
- Подайте уведомление об обработке ПД.
- Не запрашивайте лишнее.
- Запросите явное согласие пользователя и зафиксируйте факт его получения. Например, используйте кнопки с командами и логи.
- Разместите Политику конфиденциальности, чтобы пользователи могли ознакомиться с документом, где описаны цели обработки данных, их хранение и защита.
- Фиксируйте согласие и сохраняйте логи с отметкой времени и действиями человека.
Если у вас остались вопросы или нужна помощь в настройке чат-бота, напишите нам!