Соответствует ли Telegram GDPR? Руководство CRM-оператора по данным, хранению и законодательству ЕС

Если ваша команда ведёт клиентские разговоры в Telegram и кто-то из этих клиентов живёт в Европейском союзе, вы являетесь контролёром данных согласно Общему регламенту по защите данных (GDPR). То, что Telegram — мессенджер, а не CRM, не меняет классификации. Каждое имя контакта, номер телефона, расшифровка чата и тег, которые вы храните, — это персональные данные, и применимая правовая база — та же самая, с которой ваша платформа email-маркетинга имеет дело с 2018 года.

Именно здесь большинство операторов застывают. Регламент длинный, надзорные органы незнакомы, а публичные рекомендации написаны для отраслей со специальными юридическими отделами. Практический вопрос — «что мне нужно делать иначе, если я использую личный аккаунт Telegram внутри рабочего пространства?» — по сути не имеет специального ответа в открытом интернете. Эта статья и есть этот ответ, написанный для основателей, руководителей поддержки и revenue ops, а не для юристов. Ничто из этого не является юридической консультацией, но это операционная позиция, которая, как мы видели, работает у прошедших аудит GDPR команд на Entergram.

Авторитетные источники по всему тексту: сам регламент находится на GDPR.eu, официальные рекомендации Европейского совета по защите данных покрывают серые зоны, а NIST SP 800-53 — стандарт, который большинство команд безопасности используют для сопоставления контролей. Когда аудитор просит вас сослаться на источник, ссылайтесь на эти три.

GDPR требует, чтобы каждая операция обработки — хранение контакта, отправка рассылки, проставление тега чату — опиралась на одно из шести правовых оснований. Для использования Telegram CRM важны три из них: согласие, договор и законные интересы.

Согласие — самое чистое основание для рассылок и маркетинга. Оно должно быть «свободно данным, конкретным, информированным и недвусмысленным», что означает: кнопка /start в вашем боте — это не согласие, а опт-ин в вашей форме регистрации — да. Тег на чате — мы используем «consent-marketing-ГГГГ-ММ-ДД» — фиксирует основание с отметкой времени, чтобы при аудите вы могли предъявить момент опт-ина.

Договор покрывает разговоры, которые вы ведёте с существующими клиентами об услуге, за которую они платят. Чат поддержки о подписке не требует отдельного согласия. Вы исполняете договор; обработка необходима для него. Это основание покрывает большинство флоу тикетинга и customer success.

Законные интересы — самое неправильно понимаемое основание. Оно покрывает поиск клиентов, внутреннюю аналитику и предотвращение мошенничества — то, что можно обосновать как необходимое для ведения бизнеса там, где субъект данных разумно ожидал бы обработки. Вам всё равно нужно сбалансировать ваш интерес против прав субъекта, задокументировать тест на баланс и уважать любое возражение. Проставление чату тега «outreach-lead-source-web» и хранение его девяносто дней для отслеживания воронки — классический случай законного интереса; хранение того же чата пять лет, потому что «вдруг пригодится», — нет.

GDPR не устанавливает фиксированный срок хранения. Он требует, чтобы персональные данные не хранились дольше, чем необходимо для цели, ради которой они были собраны. Операционный перевод: определите цель, определите срок, запишите его и удаляйте по графику.

Рабочие настройки по умолчанию, которые хорошо проходят аудит для B2B Telegram CRM: чаты активных клиентов — на срок действия договора плюс один год (чтобы покрыть гарантийные и налоговые обязательства), чаты закрытых лидов — двенадцать месяцев, чаты с маркетинговым согласием — пока согласие активно, чаты спам/злоупотребления — тридцать дней. Это отправные точки — ваш собственный регулятор и отрасль могут требовать иных сроков, особенно в финансах, здравоохранении и образовании.

Практическое требование — чтобы вы действительно могли удалять. Entergram предоставляет экспорт и удаление данных на уровне рабочего пространства и на уровне отдельного чата. Содержимое каждого сообщения зашифровано сквозным шифрованием и хранится только на серверах Telegram — Entergram никогда не видит открытый текст сообщения — поэтому слой CRM, который мы удаляем, — это метаданные, теги, заметки и структурированные поля. Архитектура шифрования и есть причина, по которой мы можем делать сильные заявления об удалении: нет вторичной копии разговора, которую нужно забыть. Наша страница безопасности подробно это раскрывает.

Согласно статье 15 регламента, любой субъект данных может спросить вас, какие персональные данные вы о нём храните. У вас есть один месяц на ответ. Игнорирование запроса — один из самых дешёвых способов заработать штраф. Хороший ответ — вопрос знания того, из каких систем нужно выгрузить данные.

Для Telegram CRM это означает: метаданные чата контакта, все применённые теги, все значения пользовательских столбцов, все внутренние комментарии, всю историю тикетов, любые рассылки, которые он получил, и любые аналитические события, привязанные к его чату. CSV-экспорт Entergram покрывает каждый из этих пунктов. Наведите фильтр на ID чата субъекта, экспортируйте, проверьте на наличие того, что раскрыло бы третьих лиц, и отправьте. Мы видели, как команды делают сквозные ответы на запросы доступа менее чем за двадцать минут с помощью этого процесса.

Аналог удаления (статья 17, право на стирание) — это одно действие в Entergram: удалить чат из рабочего пространства. История сообщений Telegram на самом устройстве отдельна, регулируется собственной политикой конфиденциальности Telegram, и субъект может удалить свою сторону в приложении Telegram. Не обещайте удалить то, что вы не контролируете.

Если вы команда, использующая Entergram для управления клиентскими разговорами, вы контролёр, а Entergram — обработчик. Эти отношения регулируются Соглашением об обработке данных (DPA) — у вас должно быть оно в наличии, подписанное, прежде чем вы сохраните хоть один контакт из ЕС в рабочем пространстве. Наше доступно по запросу; большинство конкурирующих инструментов Telegram вообще его не предлагают, что само по себе является сигналом о комплаенсе.

DPA обязывает нас выполнять конкретный список обязательств: обрабатывать данные только по вашим задокументированным инструкциям, поддерживать конфиденциальность, внедрять соответствующие технические и организационные меры, помогать с обязанностями по доступу субъекта и уведомлению о нарушениях, а также обеспечивать прозрачность по субобработчикам. Каждый пункт этого списка сопоставляется с конкретной частью архитектуры Entergram — зашифрованные сессии, выделенные IP на каждый аккаунт, зашифрованное хранилище для учётных данных, серверные журналы аудита и задокументированные субобработчики для хостинга и email.

После Schrems II передача персональных данных за пределы Европейской экономической зоны требует дополнительных гарантий, обычно Стандартных договорных положений плюс оценки воздействия передачи. Для использования Telegram CRM практический вопрос: где размещены данные вашего рабочего пространства и файлы сессий?

Entergram эксплуатирует инфраструктуру, размещённую в ЕС, для рабочих пространств с резидентами ЕС. Если вы команда из ЕС или у вас есть клиенты из ЕС, вы можете запросить резидентность данных только в ЕС для вашего рабочего пространства, и мы подключим вас в регионе ЕС с первого дня. Сами файлы сессий — зашифрованное состояние, позволяющее Entergram подключать ваш аккаунт Telegram, — зашифрованы с помощью AES-256-GCM и хранятся в регионе ЕС, когда рабочее пространство ограничено ЕС. Рекомендации EDPB по передачам — основной источник, если ваша команда безопасности спросит.

Когда аудитор приходит на проверку готовности к ISO 27001 или SOC 2, вопросы по Telegram CRM всегда одни и те же пять. Кто может видеть конкретный чат? Как защищены учётные данные сессий? Как хранятся пароли? Что происходит, когда сотрудник уходит? Как вы обнаруживаете несанкционированный доступ?

Краткие ответы по Entergram: граница приватности рабочего пространства означает, что каждый пользователь видит только чаты с аккаунтов, которые он лично подключил, даже внутри общего рабочего пространства. Файлы сессий зашифрованы при хранении с помощью AES-256-GCM с ключами, которые не восстанавливаются поддержкой. Аутентификация использует стандартный OAuth с поддержкой 2FA. Офбординг — это одно действие в рабочем пространстве, которое отзывает места и доступ к сессиям. Журналы аудита покрывают каждое действие места, рассылку, экспорт и удаление и хранятся в соответствии с настроенным вами окном.

Этот набор контролей соответствует большинству требований умеренного базового уровня NIST SP 800-53. Если вашему аудитору нужна таблица сопоставления контролей, наша команда безопасности подготовит её по NDA.

«Соответствует ли ваше использование Telegram требованиям GDPR?» Да, когда у вас есть правовое основание для каждой операции обработки, задокументированный график хранения, DPA с вашим CRM-вендором, процесс ответа на запрос доступа, который вы можете выполнить менее чем за месяц, резидентность данных в ЕС для субъектов из ЕС и архитектура рабочего пространства, которая обеспечивает границы доступа. Это реальный ответ. Entergram спроектирован так, чтобы каждая из этих частей была инфраструктурой, а не функцией, которую вам приходится собирать самостоятельно, — поэтому регулируемые команды, ведущие рассылки, тикетинг и продажи через личные аккаунты Telegram, могут делать это без кризиса в юридическом отделе.