Общение с клиентами через WhatsApp и Telegram: что изменилось для турагентов

Проверка турагента Роскомнадзором может выявить критичные нарушения, если вы продолжаете нелегальный сбор персональных данных через мессенджеры. Новые правила использования WhatsApp и Telegram в России разделили все коммуникации на разрешенные и запрещенные. Узнайте, как продолжать общение с клиентами, не нарушая ФЗ от 27.07.2006 № 152-ФЗ и избежав штрафа до 6 млн рублей.

Подробнее о законе

С 1 июля 2025 года Роскомнадзор ограничил WhatsApp и Telegram для определенных организаций. Эти меры введены ФЗ 01.04.2025 №41-ФЗ.

Закон устанавливает прямой запрет на использование иностранных мессенджеров для предоставления информации и взаимодействия с клиентами. Однако ограничения касаются только конкретных категорий юрлиц:

1. Государственные учреждения и подведомственные организации.
2. Банк России и публично-правовые компании.
3. Банки, микрофинансовые организации, страховые компании.
4. Операторы связи.
5. Крупные маркетплейсы и агрегаторы.
6. Сайты с суточной аудиторией более 500 000 пользователей.
7. Онлайн-сервисы с базой клиентов от 100 000 человек.

Для туроператоров и турагентств, не входящих в эти категории, прямого запрета на общение через мессенджеры нет. Вы можете продолжать использовать WhatsApp и Telegram для коммуникации с клиентами, но с некоторыми ограничениями.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Мессенджер:

Telegram WA Max Viber SMS

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Когда туроператорам запрещено использовать WhatsApp и Телеграм

Помимо ФЗ №41-ФЗ, с 01 июля 2025 года вступил в силу ФЗ от 28.02.2025 №23-ФЗ. Этим законом внесены изменения в ФЗ №152-ФЗ, в том числе в ст.18 добавлена часть 5, которая означает следующее:

1. Собирать персональные данные через Телеграм или другие мессенджеры с базами не на территории РФ нельзя.
2. Помимо сбора, запрещено хранение, уточнение, изменение, извлечение ПДн граждан РФ с использованием баз, которые находятся за пределами РФ.

Это означает, что вы не можете использовать мессенджеры для:

• приема сканов паспортов, загранпаспортов или виз;
• получения анкет с персональной информацией;
• обмена любыми документами, содержащими ПДн.

Пример: клиент отправляет в чат скан загранпаспорта для оформления визы. Вы нарушаете закон, поскольку документ проходит через серверы мессенджера, находящиеся не в России. Даже если вы сразу сохраните файл на российский сервер — факт незаконной обработки уже состоялся.
Важно! Отправлять ПДн третьим лицам (например, гостиницам) с использованием иностранного ПО можно, но для этого нужно направить в Роскомнадзор уведомление о намерениях осуществлять трансграничную передачу данных.

Когда можно использовать Whats App и Telegram

Использование мессенджеров остается законным для большинства операций, не связанных с передачей конфиденциальной информации. Вы можете безопасно применять эти каналы для следующих задач:

1. Консультации и обсуждение туров: переписка о маршрутах, условиях отдыха, доступных датах.
2. Согласование организационных вопросов: обсуждение времени встреч, деталей программ, изменений в графике.
3. Информирование об акциях и новостях: рассылка общих предложений без персональных данных.
4. Работа в общих чатах: обсуждение туристических новостей и лайфхаков, где не упоминаются конкретные клиенты.

Обработка и передача персональных данных через WhatsApp или Telegram запрещена, но обычное общение не считается обработкой ПДн. Например, когда клиент спрашивает о стоимости тура в Турцию — это разрешенная коммуникация. Но если вы запрашиваете и получаете скан паспорта в этом же чате — уже нарушение закона.

Важно: переход из WhatsApp в Telegram не решает проблему — оба сервиса являются иностранными. Для работы с персональными данными используйте российские CRM-системы, защищенную почту или специализированные платформы для турбизнеса.

Как турагентам обрабатывать персональные данные

Оформите документы и назначьте ответственног

Для легальной работы с персональными данными турагентство должно разработать полный пакет локальных актов (ст.18.1 ФЗ №152-ФЗ). Обязательный пакет документов включает:

1. Политику обработки персональных данных — основной документ, публикуемый на сайте.
2. Положение об обработке и защите персональных данных — внутренний регламент для сотрудников.
3. Инструкции, регламенты, журналы, акты и другие документы.

Перечень документов зависит от нескольких факторов: объема и категорий обрабатываемых ПДн, количества сотрудников, специфики конкретного бизнеса.

Также назначьте ответственного за организацию обработки ПДн, это обязательно (п.1 ч.1 ст.18.1 ФЗ №152-ФЗ). Это может быть штатный сотрудник или третье лицо. Ответственный организует обработку данных, контролирует соблюдение законодательства и взаимодействует с Роскомнадзором.

Важно! Для индивидуальных предпринимателей действует особое правило: ИП автоматически признается ответственным за организацию обработки персональных данных.

Зарегистрируйтесь в реестре операторов

Подача уведомления об обработке персональных данных в Роскомнадзор — обязательная процедура для всех турфирм (ст.22 ФЗ№ 152-ФЗ). Это нужно сделать до начала сбора ПДн.

Направить уведомление можно несколькими способами:

1. Онлайн. Заполните документ на сайте ведомства. Подпишите через Госуслуги или с помощью настроенного плагина КриптоПро.
2. В бумажном виде. Заполните уведомление на сайте РКН, затем распечатайте, подпишите его и представьте в территориальное отделение Роскомнадзора.

Уведомление рассмотрят в течение 30 календарных дней. По результатам вас внесут в открытый реестр операторов.

Подайте уведомление о намерении осуществлять трансграничную передачу

Трансграничная передача персональных данных — распространенная практика в туризме при бронировании отелей и оформлении виз. Но перед этим нужно отправить в Роскомнадзор соответствующее уведомление (ст.12 ФЗ №152-ФЗ).

Что важно учитывать:

1. Для государств-участников Конвенции Совета Европы о защите персональных данных передача возможна сразу после уведомления. Перечень стран, обеспечивающих адекватную защиту, утвержден Приказом Роскомнадзора от 05.08.2022 №128. Для передачи в другие страны нужно подождать 10 рабочих дней. Если РКН не запретит и не ограничит передачу, данные можно отправлять.
2. Турфирмы обязаны получать от иностранных контрагентов сведения о мерах защиты данных и условиях прекращения их обработки. Эти документы предоставляются по запросу Роскомнадзора в течение 10 рабочих дней.

При нарушении требований трансграничная передача может быть ограничена или запрещена. В таком случае оператор обязан обеспечить уничтожение ранее переданных данных иностранными получателями.

Защитите персональные данные

Организация защиты персональных данных в туристической отрасли требует комплексного подхода — технические и организационные меры равнозначно важны для соблюдения ФЗ № 152-ФЗ.

Технические меры защиты обязательно должны включать:

1. Шифрование каналов связи: использование TLS-протоколов при передаче данных.
2. Защиту серверов и рабочих станций: антивирусное ПО, межсетевые экраны, регулярное обновление.
3. Контроль доступа: система логинов и паролей, разграничение прав сотрудников.
4. Резервное копирование: регулярное сохранение данных на защищенных носителях.
5. SSL-сертификаты: обязательное шифрование данных на сайте при вводе клиентской информации.

Организационно-правовые меры заключаются в:

1. Разработке локальных актов: положения о защите ПДн, регламентов доступа, инструкций, журналов и т.д.
2. Обучении сотрудников: регулярном инструктаже по работе с ПДн.
3. Назначении ответственного — сотрудника, контролирующего соблюдение требований закона.
4. Заключении соглашений: договоров с сотрудниками о неразглашении; соглашений с третьими лицами, которым поручена обработка.
5. Аудите и мониторинге: регулярной проверке систем защиты и процедур обработки данных.

Пример: при передаче скана паспорта используйте шифрованное соединение (HTTPS), сохраняйте файл в защищенной директории с ограниченным доступом, а доступ к базе данных предоставляйте только уполномоченным сотрудникам по индивидуальным паролям.

Важно! Конкретные меры защиты определяются оператором самостоятельно с учетом типа угроз ПДн и уровня защищенности. Ориентироваться следует на требования Постановления Правительства РФ от 01.11.2012 №1119.

Используйте российское ПО и сервисы для сбора ПДн

Это обязательно, чтобы не нарушать положения ч.5 ст.18 ФЗ №152-ФЗ. Рассмотрим самые распространенные российские решения для турбизнеса:

1. CRM-системы — «Мегаплан», «Битрикс24», «1С-Битрикс CRM».
2. Сервисы для онлайн-форм — «JCat», «Тильда», «1С-Битрикс: Веб-формы».
3. Почтовые сервисы — «Яндекс 360», «Mail.ru для бизнеса», «Ростелеком Почта».
4. Сервисы для рассылок — «Unisender», «Sendsay», «С-Статистика».
5. Телефония — «Манго Телеком», «Зебра Телеком», «Ростелеком».

Штрафы для турагентов за нарушения

Нарушения в области обработки персональных данных регулируются ст.13.11 КоАП РФ. С 2025 года штрафы значительно ужесточились, особенно за масштабные утечки информации.

Основные виды нарушений и размеры штрафов:

1. Обработка данных без законных оснований — до 300 000 рублей для юридических лиц.
2. Отсутствие Политики обработки ПДн на сайте — до 60 000 рублей для организаций.
3. Использование иностранных баз данных — от 1 до 6 млн рублей для юрлиц.
4. Повторное использование иностранных баз данных для сбора ПДн — от 6 до 18 млн рублей.
5. Неуведомление Роскомнадзора об обработке ПДн — до 300 000 рублей.
6. Неуведомление об утечке данных — от 1 до 3 млн рублей.

Штрафы за масштабные утечки персональных данных:

1. Утечка данных 1 000-10 000 клиентов — до 5 млн рублей.
2. Утечка данных 10 000-100 000 клиентов — до 10 млн рублей.
3. Утечка данных свыше 100 000 клиентов — до 15 млн рублей.
4. Утечка специальных категорий данных — до 15 млн рублей.
5. Утечка биометрических данных — до 20 млн рублей.

За повторную утечку штраф увеличивается — до 3% годовой выручки компании, но не менее 20 млн рублей. Для индивидуальных предпринимателей действуют штрафы как для юридических лиц.

Заключение

С 1 июля 2025 года сбор персональных данных через Телеграм, WhatsApp и другие иностранные мессенджеры прямо запрещен ФЗ № 152-ФЗ. Легальное общение в мессенджерах допустимо только для консультаций и обсуждения туров, но передача сканов паспортов, анкет и любой иной конфиденциальной информации должна осуществляться через защищенные российские сервисы. Соблюдение этого правила защитит ваш бизнес от штрафов, достигающих 6 млн рублей, и сохранит доверие клиентов.