Перейти к содержанию
инструкция 21 декабря 2026 По состоянию на 21 декабря 2026

Политика для голосовых ассистентов

Голосовой ассистент обрабатывает персональные данные с момента записи первого слова — это обязывает оператора к политике по ст. 18.1 ФЗ-152 и уведомлению РКН по ст. 22 ФЗ-152 до начала обработки.
Отсутствие политики конфиденциальности или её несоответствие требованиям даёт основание для штрафа от 30 000 до 60 000 ₽ по ч. 3 ст. 13.11 КоАП. Согласие на обработку с 01.09.2025 (ФЗ-156 от 24.06.2025) оформляется отдельным документом — встраивать его в пользовательское соглашение нельзя.
→ Если вы юрист компании и настраиваете ОРД для голосового сервиса, ниже — пошаговая инструкция по составу документов, порядку уведомления РКН и требованиям к согласию после 01.09.2025.

Голосовые ассистенты, чат-боты с распознаванием речи и умные колонки в корпоративном использовании стали обычной практикой к 2026 году. Между тем голосовая запись может квалифицироваться как биометрические персональные данные по ст. 11 ФЗ-152 — а значит, режим её обработки строже, чем для контактных данных. Эта инструкция описывает шесть шагов, которые нужно пройти юристу, чтобы привести обработку ПДн в голосовом сервисе в соответствие с 152-ФЗ.

Шаг 1. Определите, какие персональные данные обрабатывает голосовой ассистент

Первый шаг — классификация данных. Голосовой ассистент потенциально обрабатывает несколько категорий ПДн одновременно.

Голосовая запись как биометрия. По ст. 11 ФЗ-152 биометрические ПДн — это физиологические и биологические характеристики, на основании которых можно установить личность. Роспатент и суды квалифицируют голос как биометрический параметр, если ассистент использует его для идентификации конкретного человека. Если голос записывается только для распознавания команды, без верификации личности, — это спорный вопрос, который нужно закрыть в политике явным образом.

Иные данные, которые типично собирает ассистент: имя и контактные данные пользователя при регистрации, история запросов, данные об устройстве (IP, тип устройства), данные о местоположении, если включена геолокация.

«Ст. 11 ФЗ-152: обработка биометрических ПДн допускается только с письменного согласия субъекта, кроме прямо предусмотренных законом исключений.»

Итог классификации фиксируется в таблице категорий ПДн — этот документ станет основой для политики и уведомления РКН.

Шаг 2. Составьте политику обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152

Политика конфиденциальности для голосового ассистента — это публичный документ, доступный пользователям до начала использования сервиса. Требования к содержанию установлены ч. 2 ст. 18.1 ФЗ-152.

Обязательные разделы политики:

  • Наименование и реквизиты оператора ПДн.
  • Цели обработки каждой категории данных (голос — для чего именно: идентификация, распознавание команд, улучшение модели).
  • Правовые основания обработки по ст. 6 ФЗ-152 для каждой цели.
  • Перечень третьих лиц, которым передаются данные (облачные провайдеры, разработчики модели).
  • Порядок хранения и сроки уничтожения ПДн.
  • Права субъектов и порядок их реализации (запрос, отзыв согласия, уничтожение).
  • Способ связи с ответственным по ст. 22.1 ФЗ-152.

Если ассистент использует голос для идентификации — в политику включается отдельный раздел о биометрических ПДн с указанием на требование письменного согласия по ст. 11 ФЗ-152.

«Ст. 18.1 ч. 2 ФЗ-152: оператор обязан опубликовать политику обработки ПДн и обеспечить неограниченный доступ к ней. Отсутствие политики или ограничение доступа к ней — состав ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 ₽).»

Типовой шаблон политики из интернета не подходит без адаптации: он не учитывает специфику голосовых данных, конкретную архитектуру обработки и фактических подрядчиков. Политика должна описывать реальную обработку, а не желаемую.

Политика уже есть, но составлена под другой продукт?

Адаптация шаблонной политики к голосовому ассистенту занимает в среднем две-три итерации согласований. Несоответствие политики реальной обработке — один из первых вопросов при плановой проверке РКН. Юристы DATUM соберут пакет ОРД, включая политику, согласия и приказ об ответственном, под конкретную архитектуру вашего сервиса.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите согласия субъектов по требованиям ФЗ-156 от 24.06.2025

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — его нельзя включать в текст договора, оферты, пользовательского соглашения или политики конфиденциальности (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Это требование напрямую касается голосовых ассистентов: чекбокс «принимаю условия использования» в составе оферты больше не считается действительным согласием на обработку ПДн.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

  • ФИО субъекта и контактные данные.
  • Наименование и адрес оператора.
  • Цель обработки.
  • Конкретный перечень обрабатываемых ПДн.
  • Перечень действий с ПДн.
  • Срок действия согласия или условие его действия.
  • Способ отзыва согласия.

Для голосовых данных, квалифицированных как биометрия, согласие должно быть письменным (собственноручная подпись или квалифицированная электронная подпись). Для иных категорий допустимо электронное согласие через отдельный интерфейс.

Согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 обратной силы не имеет. Новых пользователей регистрировать нужно уже по новым требованиям.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие — отдельный документ. Нарушение требований к составу согласия — ч. 2 ст. 13.11 КоАП, штраф для юрлиц 300 000–700 000 ₽.»

Шаг 4. Подайте уведомление в Роскомнадзор по ст. 22 ФЗ-152 до начала обработки

Оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Уведомление подаётся через портал pd.rkn.gov.ru с использованием учётной записи ЕСИА или УКЭП по форме Приказа РКН №180 от 28.10.2022.

В уведомлении указываются: категории ПДн, цели, правовые основания, категории субъектов, меры защиты, сведения об ответственном по ст. 22.1, информация о трансграничной передаче (если применимо), срок обработки.

Если голосовой сервис уже работает, а уведомление не подавалось — нарушение по ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽). После подачи уведомления оператор включается в реестр операторов в течение 30 дней.

При изменении сведений — подаётся уведомление об изменении в том же порядке. Запуск новой функциональности ассистента, меняющей состав обрабатываемых ПДн, — основание для обновления уведомления.

«Ст. 22 ФЗ-152, Приказ РКН №180: уведомление подаётся до начала обработки. Неуведомление — ч. 10 ст. 13.11 КоАП, до 300 000 ₽.»

Что подготовить юристу перед подачей уведомления

  • Таблица категорий ПДн с указанием целей и правовых оснований по ст. 6 ФЗ-152.
  • Готовая политика обработки ПДн по ч. 2 ст. 18.1, опубликованная на сайте или в приложении.
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с указанием ФИО и контактных данных.
  • Шаблон отдельного согласия пользователя, соответствующий ФЗ-156 от 24.06.2025.
  • Сведения о зарубежных подрядчиках (облако, модели распознавания) для оценки трансграничной передачи по ст. 12 ФЗ-152.

Шаг 5. Назначьте ответственного за обработку персональных данных по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки ПДн (ст. 22.1 ФЗ-152). Требования к квалификации установлены ч. 4 ст. 22.1: наличие юридического или технического образования либо опыт работы в сфере защиты информации.

Ответственный по ст. 22.1 — это не DPO в европейском понимании, но функции пересекаются: приём запросов субъектов, взаимодействие с РКН, контроль исполнения политики, ведение журнала обращений субъектов.

Для голосового сервиса с биометрией нагрузка на ответственного выше: он должен контролировать соблюдение требований ст. 11 ФЗ-152 и реагировать на запросы об уничтожении биометрических данных в срок 7 рабочих дней. Срок ответа на запрос субъекта об информации об обработке — 10 рабочих дней по ст. 20 ФЗ-152, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Если штатного специалиста нет — допустимо DPO-аутсорсинговое обслуживание. Внешний ответственный принимает на себя функцию по ст. 22.1 на основании договора и доверенности.

«Ст. 22.1 ФЗ-152: назначение ответственного — обязательная мера для юрлица-оператора. Данные ответственного указываются в уведомлении РКН и политике.»

Если юрист компании не уверен, кто должен исполнять функцию ответственного по ст. 22.1 при работающем голосовом ассистенте, — срок подачи уведомления в РКН уже мог истечь. DATUM берёт функцию DPO на аутсорсинг: ответственный назначается документально, реестр ведётся, запросы субъектов обрабатываются в срок.

Подключить DPO-аутсорсинг

Шаг 6. Оцените трансграничную передачу, если модель или облако — за рубежом

Большинство коммерческих голосовых ассистентов используют инфраструктуру за пределами России: облачные платформы AWS, Google Cloud, Microsoft Azure, а также модели распознавания речи от зарубежных разработчиков. Передача данных на зарубежные серверы — трансграничная передача по ст. 12 ФЗ-152.

До передачи данных в страну, которая не включена в перечень стран с адекватной защитой ПДн (перечень ведёт РКН), оператор обязан подать соответствующее уведомление в РКН. Кроме того, по ч. 5 ст. 18 ФЗ-152 первичная запись, систематизация, накопление, хранение и уточнение ПДн граждан РФ должны осуществляться в базах данных на территории России.

Практический алгоритм для юриста: составить реестр всех зарубежных подрядчиков и субподрядчиков, проверить каждую страну по актуальному перечню РКН, оформить поручение на обработку с подрядчиком, подать уведомление о трансграничной передаче, обеспечить первичную локализацию на российских серверах.

Как это применяется на практике

Кейс 1. ИТ-компания (Приволжский ФО, осень 2025) запустила голосового ассистента для колл-центра без уведомления РКН и без отдельного согласия пользователей. При плановой проверке инспектор зафиксировал отсутствие политики обработки ПДн на сайте и нарушение требований к согласию. Компания получила постановление о штрафе по ч. 3 и ч. 2 ст. 13.11 КоАП. Юрист подключился после вынесения постановления. В ходе обжалования удалось снизить итоговую сумму, опираясь на оперативное устранение нарушений, однако на подготовку ОРД с нуля потребовалось три недели — в ущерб основным задачам.

Кейс 2. Юрист производственного холдинга (Центральный ФО, начало 2026) самостоятельно адаптировал типовой шаблон политики под корпоративный голосовой ассистент для авторизации сотрудников по голосу. При внеплановой проверке инспектор указал на отсутствие раздела о биометрических ПДн и отсутствие письменного согласия по ст. 11 ФЗ-152. Дело переквалифицировали с ч. 3 на ч. 2 ст. 13.11 (обработка биометрии без надлежащего согласия). Штраф оказался существенно выше. Переработанная политика и письменные согласия были получены уже в рамках исполнения предписания.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн, использующего голосового ассистента?

Минимальный пакет включает: политику обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, отдельное согласие пользователя в соответствии со ст. 9 ФЗ-152 (с 01.09.2025 — отдельным документом по ФЗ-156), уведомление в РКН по ст. 22 и Приказу РКН №180. Если ассистент использует голос для идентификации — дополнительно письменное согласие на обработку биометрических ПДн по ст. 11 ФЗ-152. При трансграничной передаче данных — уведомление о трансграничной передаче и документы о поручении обработки.

2. Как составить политику обработки ПДн для голосового сервиса?

Политика должна описывать реальную обработку: какие данные собираются (голос, история запросов, геолокация), с какой целью, на каком основании по ст. 6 ФЗ-152, кому передаются (облачные провайдеры, разработчики модели), как хранятся и уничтожаются. По ч. 2 ст. 18.1 ФЗ-152 политика публикуется в открытом доступе — в приложении или на сайте — до начала обработки. Если голос квалифицируется как биометрия по ст. 11, это выделяется в отдельный раздел с указанием требования письменного согласия.

3. Кого можно назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ответственным назначается штатный сотрудник с юридическим или техническим образованием либо опытом в сфере защиты информации (ч. 4 ст. 22.1 ФЗ-152). Это может быть юрист, специалист по ИБ или руководитель направления. Если подходящего специалиста нет — допустим аутсорсинг: внешний ответственный назначается на основании договора и доверенности. Данные ответственного указываются в уведомлении РКН и в политике обработки ПДн.

4. Можно ли использовать шаблон политики из интернета для голосового ассистента?

Типовой шаблон создаёт видимость соответствия, но не обеспечивает его. Политика должна описывать конкретную архитектуру обработки: какие категории данных реально собираются, каких зарубежных подрядчиков используется, как устроено хранение голосовых записей. Инспектор РКН при проверке сопоставляет политику с реальной обработкой. Расхождение — основание для предписания и штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽). Шаблон допустим как отправная точка, но требует обязательной адаптации под конкретный сервис.

5. Какие согласия нужны после 01.09.2025 для пользователей голосового ассистента?

С 01.09.2025 согласие оформляется отдельным документом — его нельзя объединять с договором, офертой или политикой (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025). Согласие должно содержать: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Для голоса как биометрии требуется письменное согласие отдельно от обычного. Согласия, полученные до 01.09.2025 по старым формам, переоформлять не нужно — обратной силы у ФЗ-156 нет. Новых пользователей регистрировать только по новым требованиям.

Итог

Голосовой ассистент требует того же набора ОРД, что и любой оператор ПДн, плюс отдельного регулирования биометрии по ст. 11 ФЗ-152, если голос используется для идентификации. Ключевые изменения 2025 года — отдельное согласие с 01.09.2025 и ужесточение локализации с 01.07.2025 — напрямую затрагивают архитектуру голосовых сервисов. Шесть шагов, описанных в инструкции, дают юристу конкретный план действий для приведения обработки в соответствие с 152-ФЗ.

DATUM сопровождает операторов ПДн по полному циклу: от классификации данных и составления политики до подачи уведомления в РКН и защиты интересов при проверке. Практика по 152-ФЗ — с 2014 года.

Есть голосовой сервис и вопросы по соответствию 152-ФЗ?

Если вы юрист и не уверены, все ли документы в порядке для голосового ассистента вашей компании, — проведём аудит по чек-листу из 38 пунктов и выдадим отчёт с приоритизированным планом устранения нарушений. Срок — от 5 рабочих дней. Аудит соответствия 152-ФЗ от 100 000 ₽.

Заказать аудит 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.