Голосовая аналитика разговоров: правовые риски
Голосовая аналитика разговоров — один из наиболее рискованных инструментов HR-департамента с точки зрения 152-ФЗ. Голос идентифицирует личность, значит это биометрия. С 30.05.2025 штрафы за нарушения в работе с биометрией кратно выросли. Инструкция описывает шесть шагов, которые HRD должен пройти до запуска или при аудите уже работающей системы речевой аналитики.
Шаг 1. Определите, является ли используемый голосовой инструмент обработкой биометрических ПДн
Не каждая запись голоса — биометрия в правовом смысле. По ст. 11 ФЗ-152 биометрическими персональными данными признаются физиологические и биологические особенности человека, на основании которых можно установить его личность. Для голоса определяющим является цель: если система хранит и анализирует голосовые характеристики для идентификации конкретного сотрудника или клиента — это биометрия.
Три признака, при наличии хотя бы одного из которых запись голоса становится биометрическими ПДн: система сопоставляет образец голоса с базой; используется для верификации личности при входе или звонке; строится индивидуальный профиль голосовых паттернов. Если же запись хранится только как аудиофайл и не используется для идентификации — это общая категория ПДн, а не биометрия. Различие принципиально: режим обработки, объём согласия и размер штрафа различаются.
Шаг 2. Проверьте наличие и состав письменных согласий работников
Если голосовая аналитика квалифицирована как обработка биометрии — работник обязан подписать отдельное письменное согласие до начала записи. После 01.09.2025 это требование ужесточено ФЗ-156: согласие на обработку ПДн больше не может быть частью трудового договора, оферты, политики конфиденциальности или любого иного документа. Это самостоятельный документ с обязательными реквизитами по ст. 9 ФЗ-152.
Обязательные реквизиты согласия на обработку биометрических ПДн в рамках голосовой аналитики: ФИО и контактные данные работника; наименование и адрес оператора; цель обработки (анализ качества обслуживания, контроль переговоров и т. д.); перечень данных (аудиозапись, голосовой слепок, расшифровка); перечень действий (запись, хранение, анализ, передача вендору); срок хранения; способ отзыва. Отдельное согласие требуется, если голосовые данные планируется передавать вендору речевой аналитики — это поручение обработки по ст. 6 ФЗ-152 с отдельным договором.
Согласия работников собраны до 01.09.2025 или включены в трудовой договор?
Если HRD использует старые формы согласий — каждый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП в размере 300 000–700 000 ₽. При обработке биометрии возможна дополнительная квалификация по ч. 16 той же статьи. Срок на устранение не установлен, но чем раньше — тем меньше охватываемый период нарушения.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Оцените правовые основания обработки по ст. 86–87 ТК РФ
Трудовой кодекс устанавливает дополнительные ограничения обработки ПДн работников. Ст. 86 ТК РФ запрещает получать персональные данные работника у третьих лиц без его ведома, обрабатывать данные в целях, не связанных с трудовыми отношениями. Ст. 87 ТК РФ обязывает оператора обеспечить хранение и использование ПДн в соответствии с внутренними документами.
Для голосовой аналитики это означает: цель записи должна быть прямо связана с трудовой функцией (контроль качества, обучение, оценка переговоров). Запись в иных целях — например, психологическое профилирование или политический мониторинг — не имеет правового основания по ТК РФ независимо от наличия согласия. Ст. 22.2 ТК РФ требует уведомить работника об электронном кадровом документообороте — если голосовая аналитика интегрирована в КЭДО, уведомление обязательно. Цель обработки нужно зафиксировать в приказе о внедрении системы и в Политике обработки ПДн компании.
Шаг 4. Проверьте договор с вендором речевой аналитики
Передача голосовых записей или их расшифровок вендору — поручение обработки ПДн по ч. 3 ст. 6 ФЗ-152. Без письменного договора поручения вендор становится самостоятельным оператором без правового основания, а ответственность за утечку с его стороны всё равно несёт компания-работодатель. Такой подход подтверждается сложившейся практикой: оператор отвечает за утечку через подрядчика.
Договор поручения должен содержать: перечень поручаемых действий; запрет передачи третьим лицам без согласования; обязательство соблюдать конфиденциальность; срок и порядок уничтожения данных после окончания договора; обязательство вендора уведомить оператора об инциденте немедленно (для соблюдения 24-часового окна по ч. 3.1 ст. 21 ФЗ-152). Если вендор расположен за рубежом — дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.
Если HRD уже использует вендора речевой аналитики без оформленного договора поручения — это нарушение ч. 3 ст. 6 ФЗ-152 прямо сейчас. При утечке со стороны вендора компании грозит штраф от 3 до 20 млн ₽ в зависимости от числа пострадавших субъектов (ч. 12–14 ст. 13.11 КоАП).
Собрать ОРД под ключШаг 5. Сформируйте пакет организационно-распорядительных документов
Голосовая аналитика требует отдельного документационного слоя поверх базового ОРД компании. Ст. 18.1 ФЗ-152 обязывает оператора принять организационные и технические меры, подтверждённые документально. Для систем речевой аналитики минимальный состав дополнительных документов включает пять позиций.
Что подготовить для голосовой аналитики
- Приказ о внедрении системы речевой аналитики с указанием цели обработки, перечня должностей, в отношении которых применяется запись, и сроков хранения
- Отдельные письменные согласия каждого работника по реквизитам ст. 9 ФЗ-152 (в редакции ФЗ-156, действует с 01.09.2025)
- Договор поручения с вендором речевой аналитики по ч. 3 ст. 6 ФЗ-152 с перечнем разрешённых действий и обязанностью уведомления об инцидентах
- Обновлённая Политика обработки ПДн с разделом о голосовой аналитике и биометрических данных (ст. 18.1 ФЗ-152)
- Регламент реагирования на инциденты с ПДн с фиксацией 24-часового и 72-часового окна по Приказу РКН №187
Если компания обрабатывает голосовые данные клиентов (операторы колл-центров, службы поддержки) — аналогичный пакет требуется и для этой категории субъектов. Уведомление в реестре РКН по ст. 22 ФЗ-152 должно отражать фактическую обработку биометрических данных — если этого нет, нужно подать корректировку через pd.rkn.gov.ru.
Шаг 6. Установите технические меры защиты под уровень защищённости
Биометрические ПДн относятся к специальным категориям. По ПП РФ №1119 это влечёт не ниже УЗ-3 при числе субъектов до 100 000, и УЗ-2 при превышении порога. Приказ ФСТЭК №21 определяет базовый набор мер: идентификация и аутентификация пользователей (ИАФ), управление доступом (УПД), регистрация событий безопасности (РСБ), антивирусная защита (АВЗ), защита носителей информации (ЗНИ).
Для голосовых данных практически значимы: шифрование хранилища аудиозаписей, разграничение доступа к файлам записей по ролям (не все HR-сотрудники должны иметь доступ), журналирование обращений к базе записей, процедура уничтожения по истечении срока хранения с составлением акта. Технические меры нужно зафиксировать в модели угроз и перечне мер защиты — это документы, которые РКН может запросить при проверке.
Типовые ситуации при использовании голосовой аналитики
Ситуация 1. Компания записывает звонки для контроля качества без отдельного согласия. Ситуация: голосовые записи хранятся в CRM, вендор анализирует их для оценки работы менеджеров. Согласие включено в трудовой договор. Доказательства: после 01.09.2025 смешанные согласия не соответствуют ст. 9 ФЗ-152 в редакции ФЗ-156. Если система идентифицирует личность по голосу — нарушение ст. 11. Вероятный исход: при проверке РКН — штраф по ч. 2 ст. 13.11 КоАП 300 000–700 000 ₽ плюс потенциально ч. 16 за нарушение требований к обработке биометрии. Стратегия: переоформить согласия отдельными документами, обновить уведомление в реестре РКН.
Ситуация 2. Вендор речевой аналитики с серверами за рубежом. Ситуация: HR-директор внедрил западный SaaS для анализа переговоров. Голосовые файлы передаются на зарубежные серверы. Договор поручения не оформлен. Доказательства: нарушение ч. 5 ст. 18 ФЗ-152 (локализация), отсутствие уведомления о трансграничной передаче по ст. 12. Вероятный исход: штраф по ч. 8 ст. 13.11 КоАП за нарушение локализации — 1 000 000–6 000 000 ₽. Стратегия: перевести хранение на российскую инфраструктуру или обеспечить локализацию первичного сбора; уведомить РКН о трансграничной передаче.
Ситуация 3. Утечка базы голосовых записей через подрядчика. Ситуация: вендор подвергся кибератаке, голосовые данные 5 000 сотрудников и клиентов оказались в открытом доступе. Доказательства: факт утечки зафиксирован. Обязанность оператора — уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152), через 72 часа — отчёт по Приказу РКН №187. Вероятный исход: при своевременном уведомлении — штраф по ч. 12 ст. 13.11 КоАП 3 000 000–5 000 000 ₽; при неуведомлении добавляется ч. 11 — ещё 1 000 000–3 000 000 ₽. Стратегия: немедленно подключить юриста к подготовке уведомления; зафиксировать момент обнаружения; запустить внутреннее расследование.
Как это работает на практике
Кейс 1. Транспортная компания (Уральский ФО, осень 2025). HR-директор внедрил систему анализа переговоров водителей-диспетчеров. Согласия были собраны в 2023 году как часть дополнительного соглашения к трудовому договору. После 01.09.2025 при плановой самопроверке выяснилось, что формат не соответствует ФЗ-156. Компания провела аудит, переоформила 214 согласий отдельными документами, обновила уведомление в реестре РКН. До проверки регулятора устранение завершено — санкций удалось избежать.
Кейс 2. Колл-центр (Центральный ФО, начало 2026). Утечка записей переговоров клиентов через уязвимость в SaaS-платформе вендора. Более 8 000 субъектов затронуто. Первичное уведомление РКН подано через 21 час с момента обнаружения, отчёт — через 68 часов. Суд квалифицировал нарушение по ч. 13 ст. 13.11 КоАП. При рассмотрении дела учтено своевременное уведомление и отсутствие повторности. Штраф составил сумму в нижней части диапазона по ч. 13. Договор поручения с вендором отсутствовал — это обстоятельство суд расценил как отягчающее.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка голосовой аналитики по чек-листу из 38 пунктов
- Комплект ОРД под ключ — согласия, приказы, договор поручения, политика для HR
- DPO-аутсорсинг — ответственный за обработку по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025 в составе трудового договора или иного документа, для новых правоотношений не соответствуют ст. 9 ФЗ-152 в редакции ФЗ-156. Обратной силы поправки не имеют — ранее подписанные документы формально не аннулированы. Однако при проверке РКН их содержание будет оцениваться на предмет соответствия обязательным реквизитам. Если реквизиты не полные или согласие совмещено с другим документом — риск штрафа по ч. 2 ст. 13.11 КоАП реален. Безопаснее переоформить согласия в актуальном формате.
2. Какие данные нельзя спрашивать в анкете при приёме на работу?
Ст. 86 ТК РФ запрещает получать ПДн работника, не связанные с его трудовой функцией. В анкете недопустимы вопросы о политических взглядах, религии, состоянии здоровья (за исключением медосмотров по требованию закона), национальности, интимной жизни — это специальные категории по ст. 10 ФЗ-152, обработка которых по общему правилу запрещена. Нарушение квалифицируется по ч. 1 ст. 13.11 КоАП — штраф до 300 000 ₽.
3. Можно ли вести видеонаблюдение в офисе?
Видеонаблюдение в офисе допустимо при выполнении трёх условий: работники уведомлены о ведении съёмки (ст. 86 ТК РФ, принцип прозрачности по ст. 5 ФЗ-152); цель — контроль рабочего процесса, охрана; данные не передаются третьим лицам без основания. Если изображение лица используется для идентификации личности (биометрическая СКУД), требуется отдельное письменное согласие по ст. 11 ФЗ-152. Скрытое видеонаблюдение без уведомления работников — нарушение ТК РФ и ФЗ-152 одновременно.
4. Сколько хранить согласия после увольнения?
Согласие на обработку ПДн работника — часть личного дела. По типовым срокам хранения кадровых документов личные дела хранятся 75 лет. Согласие как отдельный документ должно храниться не менее срока, в течение которого оператор обязан подтвердить правомерность обработки. На практике — не менее трёх лет после прекращения обработки (исковая давность). Уничтожение согласия до истечения этого срока лишает оператора доказательной базы при споре с субъектом или РКН.
5. Кто является оператором при использовании КЭДО?
При использовании КЭДО оператором персональных данных работников остаётся работодатель — он определяет цели и состав обрабатываемых данных (ст. 3 ФЗ-152). Платформа КЭДО выступает лицом, осуществляющим обработку по поручению, — с ней необходимо заключить договор поручения по ч. 3 ст. 6 ФЗ-152. Если платформа предоставляет вендор и серверы расположены за рубежом — дополнительно требуется соблюдение требований о локализации (ч. 5 ст. 18 ФЗ-152) и уведомление о трансграничной передаче при необходимости.
6. Что делать, если 24 часа на уведомление об утечке уже прошли?
Если 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152 истёк — подать уведомление в РКН нужно немедленно. Просрочка фиксируется как нарушение ч. 11 ст. 13.11 КоАП (штраф 1 000 000–3 000 000 ₽), однако последующие действия — подача отчёта в 72-часовое окно, сотрудничество с регулятором, устранение нарушений — влияют на размер итогового штрафа и возможность применения смягчающих обстоятельств по ст. 4.1 КоАП. Промедление только увеличивает охватываемый период нарушения.
Итог
Голосовая аналитика разговоров требует от HRD последовательного прохождения шести шагов: квалификация данных, проверка согласий, оценка оснований по ТК РФ, оформление договора с вендором, подготовка ОРД и реализация технических мер по ПП РФ №1119 и Приказу ФСТЭК №21. Каждый пропущенный шаг — самостоятельное основание для штрафа.
Юристы DATUM сопровождают HR-департаменты при внедрении и аудите систем голосовой аналитики: от квалификации данных до подготовки полного пакета ОРД и договора поручения с вендором.
27 октября 2027 года