Банк оштрафовали за WhatsApp: как передавать персональные данные и не нарушить закон
Содержание статьи
В апреле 2025 года один из российских банков привлекли к ответственности за использование иностранного мессенджера при передаче персональных данных (ПДн) клиента. С соответствующей жалобой в Роскомнадзор обратилась жительница Москвы, пояснив, что сотрудник финансового учреждения отправил ей с корпоративного номера сообщение через WhatsAPP, хотя законом это запрещено.
В итоге банк признали виновным и оштрафовали на 200 000 рублей по ст. 13.11.2 КоАП РФ. Это создало прецедент: сейчас любая компания, работающая с ПДн, рискует получить штраф, если использует запрещенные мессенджеры. Разберемся, как передавать ПДн законно и избежать санкций.
Кому нельзя использовать иностранные мессенджеры
Госучреждениям, муниципальным службам, госкомпаниям, страховым организациям, банкам и другим финансовым учреждениям запрещено использовать иностранные мессенджеры и чат-системы для:
- обмена документами (включая платежные);
- передачи персональных данных граждан РФ;
- отправки сообщений.
Организациям необходимо перевести коммуникацию с клиентами на разрешенные российские аналоги мессенджеров, адаптировав свои системы под требования ФЗ от 01.04.2025 №41-ФЗ и ФЗ от 27.07.2006 N 149-ФЗ.
Какие мессенджеры и другое ПО нельзя использовать для обработки ПДн
Полный перечень запрещенных мессенджеров и другого ПО утвержден Роскомнадзором. Использование иностранных сервисов для передачи ПДн или отправки иных сообщений может привести к штрафам — как в случае с банком, который отправил данные должника через WhatsApp.
Какое именно ПО запрещено, помимо WhatsApp:
- Почтовые сервисы. Gmail, Outlook, Yahoo Mail и ProtonMail автоматически попадают под запрет. Их инфраструктура физически расположена за рубежом, что нарушает требование о локализации хранения и обработки ПДн. Даже если письмо содержит всего лишь ФИО и телефон клиента, его пересылка через эти сервисы может стать основанием для штрафа.
- Мессенджеры. Telegram, WhatsApp, Viber, Discord, Snapchat, Skype и Signal также не подходят для работы с персональными данными. Проблема не только в их иностранной юрисдикции, но и в архитектуре: сквозное шифрование, хотя и защищает переписку, полностью выводит данные из-под вашего контроля. Вы не можете гарантировать, где и как будет храниться отправленная информация.
- Облачные хранилища. Dropbox, Google Drive и iCloud входят в зону риска по той же причине — их серверы расположены за границей. Даже если файл с ПДн загружен “в личное облако”, фактически данные попадают на иностранные сервера, что прямо противоречит требованиям ФЗ №152-ФЗ.
Важно: запрет касается не только очевидных случаев вроде пересылки сканов паспортов. Даже отправка списка клиентов с их телефонами или email-адресами может быть расценена как нарушение. Дополнительно вы должны использовать зашифрованные каналы связи для защиты ПДн от утечек, оформить согласия на обработку ПДн (если это обязательно по закону), вести журнал учета передачи данных — он может потребоваться для проверки Роскомнадзором.
Кроме того, понадобится согласие на передачу персональных данных, если отдаете какие-либо работы на аутсорсинг: например, бухгалтерию или кадровый документооборот, охрана предприятия (ч. 3 ст. 6 ФЗ №152-ФЗ). Обязательно должна быть и Политика в отношении обработки ПДн — ее необходимо разместить на сайте и информационном стенде компании.
Важно! На каждую передачу оформляется отдельное согласие. В нем должны быть четко указаны цели обработки ПДн третьим лицом. Кроме того, понадобятся полные сведения об организации, которая будет обрабатывать их: наименование, адрес, ИНН, ОГРН и т.д. — так, чтобы человек мог понять, какой именно компании передаются его данные.
Нарушение этих правил грозит не только штрафами (до 700 000 рублей для юрлиц), но и потерей доверия клиентов. Самостоятельно уследить за всеми требованиями сложно — ошибка в выборе сервиса или отсутствие нужных документов могут обернуться проверками и санкциями. Юристы помогут настроить легальную работу с ПДн и избежать рисков.
Что можно использовать для работы с ПДн
Если вам нужно передавать или хранить персональные данные клиентов и сотрудников, важно выбирать сервисы, которые соответствуют требованиям законодательства. Мы проанализировали актуальные решения, которые:
- работают в российской юрисдикции;
- гарантируют хранение данных только на территории РФ;
- поддерживают современное шифрование (TLS и другие защищенные протоколы);
- позволяют безопасно работать с документами, содержащими ПДн.
Так, для обмена мгновенными сообщениями подходит VK-мессенджер, Сбер-чат, TenChat. Если нужна полноценная CRM-система, можно внедрить Битрикс24 или amoCRM с интеграцией ВК. Для массовых уведомлений используйте SMS, email, push, для поддержки клиентов — боты Вконтакте, чаты в приложениях. Для организации личных кабинетов обязательны автономные клиентские зоны с шифрованием.
Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»
Сделаем заключение на соблюдение требований Роскомнадзора
Запишитесь на бесплатный аудит
Заполните форму и мы свяжемся с вами
Что делать бизнесу
После штрафа за передачу персональных данных через WhatsApp многие компании задумались о пересмотре своих процессов. Вот пошаговые рекомендации, как привести работу с ПДн в соответствие с законом и избежать крупных штрафов:
- Проведите аудит текущих процессов:
- Выявите все каналы, через которые передаются ПДн: почта, мессенджеры, облачные хранилища, CRM.
- Проверьте, где физически расположены серверы используемых сервисов.
- Определите, какие данные и кому передаются (например, бухгалтерия на аутсорсе или маркетинговый подрядчик).
- Замените запрещенные сервисы на российские аналоги:
- Для переписки: VK Мессенджер, СберЧат, TenChat (не WhatsApp/Telegram).
- Для почты: Яндекс 360 для бизнеса, VK WorkSpace (не Gmail/Outlook).
- Для хранения файлов: Яндекс Облако, МойОфис.Облако (не Google Drive/Dropbox).
- Для документооборота: СБИС, Битрикс24.
- Организуйте процессы правильно с юридической точки зрения:
- Получайте согласия на обработку ПДн, если передаете данные третьим лицам.
- Заключайте договоры с подрядчиками, где пропишите их обязанности по защите ПДн.
- Ведите журнал передачи данных — он понадобится при проверке Роскомнадзора.
- Оформите необходимый пакет документов для работы с персональными данными — их количество может достигать 60 в зависимости от специфики вашей компании.
- Обучите сотрудников:
- Запретите использование личных мессенджеров для рабочих переписок.
- Внедрите регламенты по работе с ПДн и проводите регулярные инструктажи, осведомляйте сотрудников об актуальных изменениях законодательства по ПДн.
- Назначьте ответственного за обработку ПДн.
- Подготовьтесь к проверкам.
- Держите под рукой:
- политику обработки ПДн;
- положение об обработке данных;
- доказательства хранения данных в России (договоры с сервисами);
- журналы передачи данных и согласия клиентов;
- иные документы, подтверждающие соблюдение ФЗ №152-ФЗ.
- Держите под рукой:
Важно: даже если вы перешли на российские сервисы, ошибки в документах или процессах могут привести к штрафу. Если сомневаетесь в правильности организации работы с ПДн — обратитесь к юристам.
Получить бесплатную консультацию по регистрации в Роскомнадзоре или подготовке документов для работы с персональными данными
Заключение
Прецедент привлечением банка к ответственности за WhatsApp наглядно показал: работа с персональными данными требует строгого соблюдения ФЗ №152-ФЗ. Переход на российские сервисы — лишь первый шаг. Чтобы полностью обезопасить бизнес, необходимо пересмотреть все процессы: от выбора мессенджеров до оформления документов. Помните: ошибки при передаче персональных данных для обработки третьими лицами грозят не только крупными штрафами, но и репутационными потерями. Если сомневаетесь в правильности организации процессов, доверьте эту задачу юристам. Они помогут настроить легальную работу с персональными данными и минимизировать риски при проверках РКН.
Остались вопросы?
Наш менеджер вас проконсультирует
Наши ключевые услуги
Вам может быть интересно
Подобрать пакет документов
