справочник 21 января 2027 По состоянию на 21 января 2027

Голос как биометрические ПДн: запись разговоров

Голос человека — биометрические персональные данные по ст. 11 ФЗ-152. Запись разговора без согласия субъекта нарушает закон и влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

С 30.05.2025 за повторное нарушение — штраф 1–1,5 млн ₽ по ч. 2.1; за утечку биометрии — 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП в редакции ФЗ-420.

→ Если вы юрист и проверяете правомерность записи звонков в колл-центре или CRM — этот справочник даст точные нормы и практические ориентиры.

Запись телефонных переговоров — стандартная практика колл-центров, банков, страховщиков и интернет-магазинов. Однако после ФЗ-420 от 30.11.2024 цена ошибки резко выросла: голос квалифицируется как биометрия, а значит, требует отдельного согласия по ст. 11 ФЗ-152 и специального режима хранения. Ниже — систематизированный разбор терминов, оснований и рисков.

Что такое голос как биометрические ПДн по ст. 11 ФЗ-152?

Биометрические персональные данные — физиологические и биологические особенности человека, позволяющие установить его личность (ст. 11 ФЗ-152). Голос (запись речи) прямо включён законом в эту категорию наряду с изображением лица, отпечатками пальцев, рисунком радужки и ДНК.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только при наличии письменного согласия субъекта, за исключением случаев, прямо предусмотренных федеральным законом.»

Ключевое условие: голос признаётся биометрическими ПДн, когда запись используется именно для идентификации личности — верификации абонента, голосового доступа в систему, аутентификации в банке. Если запись ведётся исключительно для контроля качества обслуживания без идентификации — РКН в ряде разъяснений квалифицирует её как обычные ПДн (не биометрию). На практике граница размыта, поэтому юристу безопаснее исходить из режима биометрии.

Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Голосовая запись, содержащая имя или иные идентификаторы, под это определение подпадает в любом случае.

Каковы правовые основания для записи голоса: что допускает ст. 6 ФЗ-152?

Обработка ПДн допустима при наличии одного из оснований ст. 6 ФЗ-152. Для записи голоса в коммерческой деятельности актуальны следующие:

Согласие субъекта (п. 1 ст. 6, ст. 9 ФЗ-152). Универсальное основание. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025) и не может быть встроено в договор или политику конфиденциальности. Для биометрии — только письменное согласие по ст. 11.
Исполнение договора с субъектом (п. 5 ст. 6). Применимо, если запись прямо предусмотрена договором и необходима для его исполнения. Само по себе не освобождает от требования письменного согласия на биометрию.
Законный интерес оператора (п. 7 ст. 6). Возможен для общих ПДн, но для биометрии исключения ст. 11 его не охватывают — согласие обязательно.
Специальные федеральные законы. Запись переговоров операторами связи регулируется ФЗ «О связи»; кредитные организации вправе вести запись в рамках 115-ФЗ (антиотмывочный контроль). В этих случаях письменное согласие на биометрию не требуется — обработка допустима на основании закона (ч. 2 ст. 11 ФЗ-152).

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 — согласие на обработку ПДн оформляется отдельным документом; объединение с текстом договора или оферты не допускается.»

Есть сомнения в правомерности записи звонков в вашей компании?

Если вы юрист и проверяете комплаенс по голосовой биометрии — правильное основание обработки определяет разницу между штрафом 700 тыс. ₽ и отсутствием нарушения. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как принципы ст. 5 ФЗ-152 ограничивают запись и хранение голоса?

Семь принципов ст. 5 ФЗ-152 применяются к голосовым записям так же, как к любым другим ПДн:

Конкретность цели. Цель записи должна быть определена до начала обработки — «контроль качества» и «идентификация клиента» — разные цели с разными правовыми основаниями. Объединять их в одно согласие нельзя.
Минимизация данных. Записывать следует только то, что необходимо для заявленной цели. Хранение полных аудиофайлов годами при цели «контроль качества 30-дневной операции» нарушает этот принцип.
Срок хранения. Голосовые записи должны уничтожаться или обезличиваться по достижении цели. Бессрочное хранение без правового основания — нарушение ст. 5 и триггер для проверки РКН.
Недопустимость объединения баз. База голосовых записей для идентификации не может объединяться с CRM-базой клиентов, если цели обработки несовместимы.

Оператор персональных данных по ст. 3 ФЗ-152 — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие обработку ПДн. Компания, ведущая запись звонков, является оператором и несёт полную ответственность по ФЗ-152 вне зависимости от того, кто фактически хранит записи — собственный сервер или облако подрядчика.

Что проверить юристу при аудите записи голоса

Есть ли отдельное письменное согласие на запись голоса как биометрии (ст. 11 ФЗ-152) — или запись используется только для контроля качества без идентификации
Соответствует ли согласие требованиям ст. 9 в редакции с 01.09.2025: отдельный документ, все обязательные реквизиты, способ отзыва
Определены ли цель, срок хранения и порядок уничтожения голосовых записей во внутренних документах
Уведомлён ли РКН об обработке биометрических ПДн (ст. 22 ФЗ-152)
Оформлено ли поручение обработки, если записи хранит подрядчик (п. 3 ст. 6 ФЗ-152)

Какие штрафы грозят за нарушения при записи голоса: ст. 13.11 КоАП с 30.05.2025?

После вступления в силу ФЗ-420 от 30.11.2024 (с 30.05.2025) санкции за нарушения в сфере биометрии существенно выросли.

Запись голоса для идентификации без письменного согласия — ч. 2 ст. 13.11 КоАП: штраф для юрлица 300 000–700 000 ₽. Повторно — ч. 2.1: 1 000 000–1 500 000 ₽.
Нарушение требований к обработке биометрии (ст. 11 ФЗ-152) — ч. 16 ст. 13.11 КоАП: точный диапазон для юрлиц верифицировать по КонсультантПлюс перед применением; повторное нарушение — ч. 18 (оборотный штраф до 500 млн ₽).
Утечка биометрических ПДн — ч. 17 ст. 13.11 КоАП: 15 000 000–20 000 000 ₽.
Неуведомление РКН об утечке в 24 часа — ч. 11 ст. 13.11 КоАП: 1 000 000–3 000 000 ₽.
Запись голоса без идентификационной цели — обычные ПДн: при нарушении условий обработки — ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

«Ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024) — незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн. По ч. 5 (тяжкие последствия) — лишение свободы до 10 лет.»

Если вы юрист и в компании есть колл-центр или голосовая идентификация — проверьте наличие письменных согласий до проверки РКН. С 30.05.2025 штраф за первое нарушение по ч. 2 ст. 13.11 достигает 700 000 ₽, за повторное — 1,5 млн ₽.

Заказать аудит 152-ФЗ

Типовые ситуации: как применяются нормы на практике

Ситуация 1. Колл-центр записывает звонки «для контроля качества». Компания не квалифицирует записи как биометрию и не получает письменных согласий. РКН при проверке устанавливает, что записи также используются для верификации клиентов при повторных обращениях. Квалификация меняется на обработку биометрии без согласия — ч. 2 ст. 13.11 КоАП. Стратегия: разграничить цели документально; если идентификация не ведётся — зафиксировать это в регламенте и политике; если ведётся — оформить отдельные письменные согласия по ст. 11 ФЗ-152.

Ситуация 2. Банк использует голосовую идентификацию клиентов. Кредитная организация вправе обрабатывать биометрию в рамках 115-ФЗ и ФЗ «О банках и банковской деятельности» без отдельного согласия на основании ч. 2 ст. 11 ФЗ-152. Однако хранение голосовых шаблонов вне ЕБС и отсутствие уведомления РКН по ст. 22 остаются самостоятельными рисками. Исход при проверке: предписание об устранении + штраф по ч. 10 ст. 13.11 за неуведомление (100 000–300 000 ₽).

Ситуация 3. Подрядчик потерял базу голосовых записей. Оператор несёт ответственность за утечку через подрядчика вне зависимости от наличия договора поручения. Утечка голосовой биометрии — ч. 17 ст. 13.11 КоАП: 15–20 млн ₽ для юрлица. Дополнительно — ч. 11 за неуведомление РКН в 24 часа. Стратегия: при заключении договора с подрядчиком проверить наличие поручения обработки по п. 3 ст. 6 ФЗ-152 и требований к защите данных.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правомерности обработки голоса и биометрии
Комплект ОРД под ключ — согласия, регламенты, политика для колл-центра
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Всегда ли запись голоса является биометрическими ПДн?

Нет. Голос признаётся биометрическими ПДн по ст. 11 ФЗ-152, когда запись применяется для идентификации личности — верификации, аутентификации, голосового доступа. Если запись ведётся исключительно для контроля качества и не используется для установления личности, РКН в ряде случаев квалифицирует её как обычные ПДн. Граница размыта: безопаснее исходить из режима биометрии и получать письменное согласие по ст. 11.

2. На основании чего можно обрабатывать голос без письменного согласия?

Исключения из требования письменного согласия на биометрию перечислены в ч. 2 ст. 11 ФЗ-152: обработка в связи с осуществлением правосудия, обеспечение государственной безопасности, оперативно-розыскная деятельность, а также случаи, прямо предусмотренные федеральными законами — например, 115-ФЗ для банков. Коммерческий колл-центр под эти исключения не подпадает: письменное согласие обязательно.

3. Что грозит за утечку голосовых записей по ст. 13.11 КоАП с 30.05.2025?

Утечка биометрических ПДн (включая голосовые записи, применяемые для идентификации) — ч. 17 ст. 13.11 КоАП: штраф для юрлица 15 000 000–20 000 000 ₽. Дополнительно — ч. 11: 1 000 000–3 000 000 ₽ за неуведомление РКН в течение 24 часов с момента обнаружения инцидента (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187). При повторной утечке биометрии — оборотный штраф по ч. 18: до 500 млн ₽.

4. Нужно ли уведомлять РКН об обработке голоса?

Да. Оператор, обрабатывающий ПДн (в том числе голосовые записи), обязан уведомить РКН о намерении осуществлять обработку до её начала (ст. 22 ФЗ-152). В уведомлении указывается категория ПДн — для биометрии это отдельная строка. Неуведомление — ч. 10 ст. 13.11 КоАП: штраф 100 000–300 000 ₽. Форма уведомления — Приказ РКН №180 от 28.10.2022, подача через pd.rkn.gov.ru.

Итог

Голос как биометрические ПДн требует отдельного письменного согласия по ст. 11 ФЗ-152, если запись используется для идентификации личности. С 30.05.2025 нарушения в этой сфере влекут штрафы до 20 млн ₽ за утечку биометрии и до 1,5 млн ₽ за повторное отсутствие согласия. Юристу при проверке комплаенса важно разграничить цели записи документально и проверить актуальность форм согласий после 01.09.2025.

Практика DATUM по защите биометрических ПДн охватывает аудит колл-центров, разработку согласий по ст. 11 ФЗ-152 и сопровождение проверок РКН по биометрии.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.