Мессенджеры и персональные данные‑2025: по-человечески о 5 новых законах

Вышло сразу несколько законов о мессенджерах и персональных данных — и теперь важно понимать, что поменялось. Можно ли продавать в чатах? Как безопасно собирать данные?

Мы прочитали всё за вас, стряхнули бюрократию, как надоедливого паука, и собрали разбор без занудства. Где границы, что стоит учесть — и какие шаги помогут бизнесу работать спокойно, а не оглядываться на штрафы.

Информация в статье актуальна на 7 августа 2025 г.

Новые законы о мессенджерах 2025 — кратко

А еще о персональных данных.

Что за закон	В чем суть	Когда начинает действовать
41‑ФЗ от 01.04.2025	Запрет на передачу конфиденциальных данных (ПДн, договоры, счета) через зарубежные мессенджеры	с 1 июня 2025
420‑ФЗ от 30.11.2024 — дополнение к 152-ФЗ	Новые штрафы за утечку данных и неуведомления Роскомнадзора для граждан, должностных лиц и организаций	с 30 мая 2025
303‑ФЗ от 08.08.2024 + ПП № 1994 от 30.12.2024	Идентификация всех номеров, лимит 20 SIM/виртуальных номеров на человека	с 1 апреля 2025
233‑ФЗ от 08.08.2024	Данные россиян — на серверах в РФ, выгрузка обезличенных данных по запросу	с 1 сентября 2025
156‑ФЗ от 24.06.2025	Запускает гос‑мессенджер MAX	с 1 сентября 2025

Закон 1. 41‑ФЗ — «Секреты — только в российских чатах»

Действует с 1 июня 2025

Что поменялось

Запрещено передавать конфиденциальную информацию через иностранные мессенджеры: WhatsApp, Telegram и другие.

Под запрет попадают:

• персональные данные — ФИО, телефон, email;
• платежные документы;
• договоры, чеки, реквизиты;
• любая другая конфиденциальная информация — зависит от компании.

Наказания: штраф до 700 тыс. рублей или блокировка канала. Во втором случае речь о том, что компания получит предписание отключить передачу ПДн, а при невыполнении — принудительное отключение. Например, блокируют IP-адрес, с которого зафиксировали переписку.

На кого действует закон об иностранных мессенджерах

Не на всех. Закон распространяется на:

• госкомпании, государственные и муниципальные учреждения;
• организации с долей владения государства от 50%;
• операторов связи, банки, нацплатежные системы;
• сайты и агрегаторы с трафиком от 100 тыс. пользователей в сутки;
• владельцев страниц и сервисов, на которые заходит от 500 тыс. пользователей в сутки, если они размещают рекламу для аудитории из России.

Если вы обычная частная компания без госконтрактов и с умеренным трафиком — под закон пока не попадаете. Но лучше подготовиться заранее — если через месяц попадете в список, не придется судорожно менять процессы.

Какие мессенджеры разрешены? Всё, что входит в реестр отечественного ПО Минцифры. Например: VK Мессенджер, Пачка, МТС Линк, РОСЧАТ.

Менеджер пишет клиенту в Telegram: «Пришлите скан паспорта — сейчас оформим рассрочку». Всё в порядке, если компания не в списке тех, на кого действует 41-ФЗ.

Но всё равно не лучшая идея. Паспорт — это ПДн, а Telegram — не в реестре разрешённых мессенджеров. Сегодня это не страшно. Завтра — правила могут ужесточиться.

Что делать

Перестроить воронку

Нужны ПДн? Не просите сразу в чате. Дайте ссылку на защищённую форму сбора данных — например, в CRM или корпоративном портале. Пусть данные уходят туда, где их можно зашифровать и хранить по закону.

Исправить скрипты

Уберите фразы вроде «пришлите паспорт». Лучше так:

Чтобы отправить документы, перейдите по этой защищённой ссылке. Мы не собираем данные в мессенджере — всё обрабатывается на сервере в РФ.

Обновить регламенты

Добавьте в инструкции менеджерам:

Паспорт / ИНН / договор — только через форму. Никогда не запрашиваем напрямую в чате.

Закон 2. 420‑ФЗ — «Новые штрафы за утечку персональных данных»

Действует с 30 мая 2025

Что поменялось

Если произошла утечка персональных данных — готовьтесь платить. 420-ФЗ усилил ответственность за утечки, установленную статьей 13.11 КоАП: теперь штрафы стали выше, а причин для их назначения — больше.

Закон касается всех: компаний, ИП, физлиц, должностных лиц. Главная идея — защищайте данные пользователей или платите, причём много.

Важная связка:

• 152-ФЗ говорит, что нужно делать;
• КоАП РФ Статья 13.11 — что будет, если не сделали;
• а 420-ФЗ — вносит новые изменения.

Важное напоминание про согласие

Если вы собираете данные через формы на сайте, CRM, мессенджеры, pop-up-окна — пользователь должен явно дать согласие на их обработку. Не «по умолчанию», не «в одном чекбоксе с рассылками». А явно, отдельно и с фиксацией — когда, с какого IP, откуда.

Линейка штрафов

Ситуация	Штрафы
Утекло от 1 тыс. до 10 тыс. записей или от 10 тыс. до 100 тыс. уникальных идентификаторов*	от 100 тыс. до 5 млн рублей
Утекло от 10 тыс. до 100 тыс. записей или от 100 тыс. до 1 млн уникальных идентификаторов*	от 200 тыс. до 10 млн рублей
Утекло от 100 тыс. записей или от 1 млн уникальных идентификаторов*	от 300 тыс. до 15 млн рублей
Нет уведомления РКН о начале обработки персональных данных	от 5 тыс. до 300 тыс. рублей
Утечка + не уведомили вовремя	от 50 тыс. до 3 млн рублей

*Уникальные идентификаторы — это любые данные, по которым можно однозначно узнать пользователя, даже если там нет имени или телефона. Например: номер паспорта, ИНН, СНИЛС, ID клиента в CRM, номер банковской карты.

Формулировка из закона нужна для того, чтобы штрафы было не только за базовые учетки «ФИО+телефон». Если база утекает без имён, но с кучей ID, и по ним можно восстановить «кто есть кто» — это тоже нарушение.

Маркетолог выгрузил Excel-файл на 1500 строк: email, телефоны, имена клиентов. Отправил подрядчику — «посмотри, как сегментировать». Через сутки файл всплыл на форуме со слитыми базами. Внутри — логотип компании, доменные email-адреса и комментарии менеджеров.

Это — утечка. Базу легко идентифицировали, пользователи начали жаловаться, СМИ подхватили. В дело вступил Роскомнадзор. Штраф — до 15 млн рублей. Если в течение 24 часов после утечки вы не сообщили об инциденте в РКН, сумма может быть ещё выше.

Что делать

Уведомить Роскомнадзор о сборе данных

Сделать это можно через их сайт.

Шифровать выгрузки с ПДн

Файл с персональными данными не должен лежать открытым. Его нужно зашифровать — хотя бы через обычный архиватор.

1. Используйте 7-Zip, Keka, PeaZip или другие архиваторы с шифрованием AES-256.
2. Задайте пароль при сохранении архива — программа сама предложит;
3. Не отправляйте подрядчику файл и пароль в одном письме или чате. Например: файл по почте, пароль — в мессенджере. Это ваша зона ответственности, даже если подрядчик «свой» и давно с вами.

Если вы не знаете, как настроить шифрование — спросите вашего сисадмина, айтишника или подрядчика, который настраивал CRM, почту, телефонию. Им не сложно — вам спокойно.

Дробить выгрузки

До 999 строк с ПДн — можно выгружать без согласований, но всё равно шифруйте и передавайте отдельно от пароля. Больше 1000 записей — только с согласия тех, кто отвечает за данные: ИБ-специалист, техдир, руководитель отдела.

А что мешает потом слить всё обратно? Да ничего. Но суть не в технической защите, а в разделении доступа. Один сотрудник видит 999 строк, другой — другие 999. У каждого свой архив и пароль. Если один архив «утечет» — вы сможете понять, кто именно слил, и что именно утекло.

Новый пароль на каждую выгрузку — обязательно. Один архив — один пароль.

Добавить согласие в формы

• чекбокс «Я даю согласие на обработку персональных данных»;
• ссылка на политику конфиденциальности;
• галочка не стоит по умолчанию — пользователь должен поставить её сам, иначе форма не отправляется;
• CRM или сайт фиксирует согласие — IP, дата, время, источник.

Не объединяйте согласие на обработку ПДн с согласием на рассылки. Для рекламы в email, SMS и мессенджерах делайте второй чекбокс. Он должен быть необязательным для отправки формы.

Настроить cookie-уведомление

Если используете Яндекс.Метрику, Google, пиксели, формы — баннер на сайте обязателен.

Закон 3. 303‑ФЗ + ПП 1994 — «Каждому номеру — хозяин»

Действует с 1 апреля 2025

Что поменялось

С 1 апреля 2025 года за каждым телефонным номером — мобильным, городским или виртуальным — должен быть закреплен конкретный пользователь. Это правило касается всех:

• SIM-карт;
• виртуальных номеров, в том числе для мессенджеров;
• городских номеров и номеров для подмены — например, в коллтрекинге.

У оператора связи должно быть:

• ФИО и паспортные данные владельца номера,
• подтверждение через Госуслуги, если это корпоративный номер.

Также введён лимит — не больше 20 номеров на одно физлицо. Если номер не привязан — оператор обязан заблокировать его без предупреждения.

Почему это важно для бизнеса

У многих компаний десятки или сотни номеров на менеджеров в мессенджерах, колл-центр и отдел контроля качества или тестирования.

Если эти номера остались после уволенных сотрудников, оформлены «на кого попало» или не обновлены через Госуслуги — вы рискуете потерять связь с клиентами без объяснений.

Колл-центр использует 50 виртуальных номеров, все оформлены на ИП Иванова. Половина операторов уволилась год назад, но номера остались активными.

Оператор связи получает запрос → проверяет номера → один из них не подтверждён через Госуслуги → блокирует его сразу, без предупреждения.

Формально у ИП уже превышен лимит — 50 номеров вместо разрешённых 20 на одно лицо. Пока проверяют не всех подряд, но если попадёте под аудит — будет не до шуток.

Что делать

Собрать список всех номеров

Все, которыми пользуются или пользовались ранее сотрудники: SIM, виртуальные, в CRM, телефонии, мессенджерах.

Сверить номера с фактическим штатом

Кто уволился — номер должен быть отключён или перепривязан.

Раздавать номера персонально

Сотрудник получает номер → авторизуется через Госуслуги → номер закрепляется за ним. Базово это можно сделать вручную, а со временем настроить HR-бот.

Нужен тестовый номер? Оформите его на ответственного сотрудника и явно пометьте в системе как тестовый. Если использовать для массовой связи — он тоже должен быть идентифицирован.

Не оставляйте номер «висеть» после увольнения. Срок жизни — максимум несколько дней. Лучше: автоматическая деактивация по событию увольнения.

Закон 4. 233‑ФЗ — «Данные россиян — только в РФ»

Действует с 1 сентября 2025

Что поменялось

Если вы обрабатываете персональные данные граждан РФ — храните их на серверах в России. Точка.

Не «где угодно, но с шифрованием». Не «в Европе, но на надёжном сервере».

Теперь по закону персональные данные россиян должны быть физически расположены на серверах в РФ.

Это касается:

• базы клиентов с ФИО, телефонами, email и историей переписки;
• журналов активности в CRM;
• аналитики, которая собирает идентификаторы, IP, поведение на сайте.

Даже если вы используете облачные сервисы, платите за CRM или подключаете мессенджеры — важно понимать, где именно физически находятся серверы.

Второе важное требование: выгрузка обезличенных данных. Если поступит официальный запрос от государства — например, от Минцифры — бизнес должен предоставить обезличенные данные. Агрегированные, без конкретных ФИО, но с возможностью анализа. Например: сколько людей пользуются вашим сервисом, из каких регионов, с каким поведением.

Закон усилил и уточнил нормы 152-ФЗ. Хранение — только в РФ, обезличенные данные — по запросу, ответственность — понятнее и строже.

Стартап использует зарубежную CRM, вся база клиентов хранится на сервере в Германии. Или даже просто все данные клиентов в Google-таблицах. По новому закону — это уже нарушение, если в этих данных есть ФИО, email, номер телефона и другие признаки ПДн.

Что делать

Для начала — что делать, если у вас бизнес, а не DevOps-отдел? Не нужно вникать в терминологию типа «rsync» и «S3-хранилища». Вам нужно задать своим IT-подрядчикам или техдиректору два простых вопроса.

1. Где физически лежат данные, которые вы собираете: из CRM, таблиц, отправленных форм, аналитики сайта?
2. Есть ли там персональные данные клиентов?

Если данные хранятся за рубежом, и среди них есть ПДн — пора мигрировать.

1. Переехать на CRM и сервисы, которые работают на российских серверах. Если в зарубежном сервисе можно настроить согласие на трансграничную передачу — им можно пользоваться. С Google Analytics, например, так и делают.
2. Обновить политику обработки ПДн — указать, что всё хранится и обрабатывается в РФ.
3. При необходимости — подготовить выгрузку обезличенных данных: сводную аналитику, без имён и телефонов.

Закон 5. 156‑ФЗ — «MAX — это не замена WhatsApp»

Действует с 1 сентября 2025

Что поменялось

Государство запускает собственный мессенджер MAX — в планах встроить в Госуслуги и использовать для уведомлений, госрассылок и отдельных рабочих коммуникаций в госсекторе.

Это не запрет на WhatsApp, Telegram или другие мессенджеры. Обязателен ли MAX для бизнеса? Нет.

Для частных компаний и предпринимателей ничего не меняется. Вы можете продолжать продавать и переписываться в привычных мессенджерах — никаких требований «обязательного перехода» не было.

Некоторые государственные структуры — школы, МФЦ, ведомства — переносят служебные чаты и коммуникации в MAX. Но это касается внутреннего общения внутри системы госсектора, а не бизнеса. Личные чаты и каналы продаж никто принудительно не переводит.

Что делать

Продолжать использовать привычные мессенджеры

На данный момент ни один закон не запрещает продавать через WhatsApp или Telegram, если вы соблюдаете правила обработки ПДн.

Просто наблюдать

Вы всегда можете протестировать мессенджер — даже как пользователь, а не продавец. Узнать, как работает новый сервис, будет в любом случае полезно.

Wazzup — сервис, который помогает бизнесу продавать клиентам в переписках. Мы следим за рынком и поддерживаем те мессенджеры, которыми пользуются клиенты. Следите за блогом и Telegram-каналом.

Что важно сделать по каждому закону — быстро и без паники

Закон	Влияет ли на частный бизнес	Что сделать в первую очередь
41‑ФЗ Запрет на передачу ПДн через зарубежные мессенджеры	Влияет не напрямую, но лучше перестраховаться	Обновите скрипты и регламенты: — не просите ПДн в чате; — добавьте ссылки на защищённую форму
420‑ФЗ Штрафы за утечки	Да, для всех	Проверьте, есть ли уведомление в РКН Настройте шифрование выгрузок и cookie-баннер
303‑ФЗ + ПП 1994 Идентификация номеров	Да, особенно если используете SIM, виртуальные номера	Проверьте, какие номера и за кем закреплены в компании Привяжите к Госуслугам или отключите лишние
233‑ФЗ Данные — только в РФ	Да, если используете зарубежные сервисы	Узнайте, где физически хранятся данные Мигрируйте в РФ, если нужно, или используйте трансграничную передачу
156‑ФЗ Запуск мессенджера MAX	Нет — сейчас только для госсектора	Можно не переживать. MAX необязателен

Чтобы и продавали, и не нарушали — обсудите с командой, что поменялось. Законы сами себя не прочитают, но мы уже разобрали главное — берите и делитесь. Со всеми, а не только с ТОП-менеджерами.

Wazzup и 152-ФЗ: что важно знать

Мы не просто пишем, как соответствовать требованиям закона, — мы сами в них живём. За весь бизнес клиентов не отвечаем, но за свои процессы — да. Поэтому делаем всё, чтобы и у нас, и у клиентов было спокойно и по закону.

Wazzup — это транспорт между мессенджером и CRM. Мы не храним лишнего, шифруем важное, собираем согласия пользователей, обрабатываем и храним данные на территории РФ — как и положено. Всё это прописано в нашей политике по обработке данных.

Доступы к информации ограничены: у каждого клиента — свой логин и пароль, каждое действие — в логе. Никакие «третьи лица» не получат данные без согласия пользователя.

Wazzup зарегистрирован как оператор персональных данных и включен в реестр отечественного ПО.

Мы внимательно следим за изменениями и заранее готовим нужные обновления. Если закон требует что-то изменить — адаптируемся и подсказываем клиентам, как это сделать. Без юридических дебрей и лишней бюрократии. Всё, чтобы бизнес продолжал зарабатывать.

Итог: законы обновились — вы тоже обновитесь

Никакой драмы. Просто еще один повод навести порядок в воронках, номерах и базах. А клиенты как писали, так и будут писать в мессенджеры — и покупать тоже.