Обработка персональных данных в чат-ботах: ключевые моменты и рекомендации

С мая 2025 года вступают в силу новые изменения в законодательстве о персональных данных. Ошибки в обработке пользовательской информации могут обернуться не только репутационными рисками, но и серьезными штрафами. Чтобы бизнесу и экспертам безопасно работать с чат-ботами, нужно разбираться в правилах и соблюдать закон.

Чат-боты становятся неотъемлемой частью бизнеса, помогая автоматизировать коммуникацию, собирать данные и повышать уровень сервиса. Однако работа с персональными данными пользователей требует внимательного подхода, чтобы соответствовать законодательным нормам и обеспечить безопасность информации.

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Это определение даёт ст. 3 ФЗ 152-ФЗ «О персональных данных».

Если с помощью информации можно установить личность человека — это персональные данные.

Примеры персональных данных:

Имя, фамилия, отчество
Номер телефона
E-mail
Паспортные данные
Банковские реквизиты
ИНН
СНИЛС
Cookies
Ник в социальной сети

Оператор персональных данных — это компания или физическое лицо, которые собирают, обрабатывают и хранят ПДн. Это могут быть предприниматели, бизнесы, которые ведут коммерческую деятельность, нанимают персонал, работают с поставщиками и клиентами.

Оператор обязан защищать данные от утечки и использовать их только для целей, на которые дал согласие пользователь.

Вы являетесь оператором персональных данных, если:

Заключаете договоры с клиентами
Собираете формы обратной связи
Формируете клиентскую базу
Нанимаете сотрудников
Заключаете договоры с подрядчиками
Собираете аналитику на сайте (cookies)

Уведомление в Роскомнадзор

Перед началом работы с персональными данными необходимо уведомить об этом Роскомнадзор (ст. 22 ФЗ № 152-ФЗ «О персональных данных»).

Способы подачи уведомления:

Через Госуслуги
Почтой России в бумажном виде
Через сайт Роскомнадзора (нужна усиленная квалифицированная электронная подпись)

Трансграничная передача данных

Трансграничная передача ПДн — передача персональных данных в другую страну. Это возможно только с разрешения Роскомнадзора.

К трансграничной передаче относится:

Использование инструментов Google
Применение иностранных облачных сервисов
Переписка с зарубежными компаниями через корпоративную почту

Политика конфиденциальности – должна содержать цели сбора ПДн, их перечень, права пользователей и контакты оператора.
Согласие на обработку ПДн – необходимо, если данные собираются не в рамках договора.
Оферта – не требуется, если чат-бот только проводит опросы или отправляет уведомления.

– Что нужно размещать в чат-ботах?

Если чат-бот не связан с сайтом, необходимо разместить в нём ссылку на политику конфиденциальности и получить согласие на сбор данных.

Пример текста для согласия:

«Продолжая пользоваться чат-ботом, вы даёте своё согласие на обработку персональных данных. С политикой конфиденциальности можно ознакомиться по ссылке».

Если у бота сложный интерфейс (например, генеративный функционал), нужно разместить пользовательское соглашение.

– Нужно ли спрашивать согласие перед оплатой?

Оплата в чат-боте не связана с обработкой ПДн. Если бот собирает данные, согласие необходимо получить в первом сообщении, указав ссылку на политику конфиденциальности.

– Можно ли отправлять данные пользователей в Google-таблицу?

Нет, так как Google-сервисы подпадают под трансграничную передачу данных. Для их использования требуется разрешение Роскомнадзора.

– Нужно ли согласие, если запрашивается только дата рождения?

Если по дате рождения можно определить личность человека, то это персональные данные, и согласие необходимо. Если данные используются анонимно (например, для генерации натальной карты), согласие не требуется.

Если ваш бизнес использует чат-ботов и собирает персональные данные, вы обязаны: