инструкция 21 января 2028 По состоянию на 21 января 2028

Запись разговоров с клиентами в колл-центре

Запись телефонных переговоров — это обработка персональных данных по ст. 3 ФЗ-152. Для законной записи нужно согласие клиента или иное основание из ст. 6 ФЗ-152, а работники колл-центра — субъекты ПДн по ст. 86–88 ТК РФ.

С 30.05.2025 штраф за обработку ПДн без надлежащего согласия составляет 300 000 — 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Повторное нарушение — до 1 500 000 ₽. Если HRD не привёл документы в порядок после 01.09.2025, каждый экземпляр старого согласия — отдельный риск.

→ Пройдите по шагам ниже, чтобы выстроить законную обработку звонков и кадровых ПДн сотрудников колл-центра.

Колл-центр обрабатывает два потока персональных данных: данные клиентов в ходе разговора и данные операторов как работников. Оба потока требуют отдельной правовой базы. С 01.09.2025 согласие на обработку ПДн обязано быть отдельным документом по ФЗ-156 от 24.06.2025 — вложенное в договор или трудовой контракт согласие перестало быть действительным для новых случаев. В этой инструкции — шесть конкретных шагов для HRD и руководителя службы персонала, которые хотят привести колл-центр в соответствие с ФЗ-152.

Шаг 1. Определите правовое основание записи звонков с клиентами

Запись разговора — это сбор и хранение персональных данных клиента: имени, номера телефона, сведений, которые клиент сообщил в ходе обращения. По ст. 6 ФЗ-152 обработка допустима при наличии одного из 11 оснований. На практике колл-центры используют два из них.

Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Если клиент звонит в службу поддержки в рамках договора обслуживания, запись разговора может квалифицироваться как обработка, необходимая для исполнения договора. Это основание работает, когда цель записи напрямую связана с предметом договора — например, контроль качества при оказании услуги.

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). Для записи в маркетинговых, аналитических, обучающих целях договорного основания недостаточно. Нужно отдельное информирование и фиксация согласия. На практике используют голосовое информирование в начале звонка («разговор записывается») с возможностью клиента отказаться от записи или прекратить разговор.

«Ст. 6 ФЗ-152 — обработка ПДн допускается при наличии хотя бы одного из законных оснований; в отсутствие основания любая обработка, включая запись, является нарушением ч. 1 ст. 13.11 КоАП.»

Зафиксируйте выбранное основание в политике обработки персональных данных и в локальном регламенте работы колл-центра. Если колл-центр обрабатывает звонки по поручению другой организации (аутсорсинговая модель), между оператором и исполнителем обязательно заключается соглашение об обработке ПДн по поручению по п. 3 ст. 6 ФЗ-152.

Шаг 2. Проверьте информирование клиента о записи

Уведомление клиента о записи разговора — обязательный элемент прозрачности по ст. 5 ФЗ-152. Клиент должен знать о факте записи до её начала. Это реализуется через голосовое сообщение в IVR или в начале разговора оператором.

Сообщение должно содержать: факт записи, цель записи, наименование оператора. Если запись ведётся в том числе для передачи третьим лицам (партнёрам, облачным сервисам хранения), это указывается отдельно.

Типичная ошибка — сообщение «разговор может быть записан». Слово «может» создаёт правовую неопределённость: клиент не знает, записывается ли его разговор фактически. Корректная формулировка — «разговор записывается».

«Ст. 5 ФЗ-152 — принципы обработки: обработка должна быть законной, конкретной по целям, прозрачной для субъекта. Нарушение принципа прозрачности — основание для протокола по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица).»

Есть сомнения, достаточно ли текущего уведомления клиентов?

Если HRD или руководитель службы персонала не уверен, что действующий скрипт IVR и регламент записи соответствуют ФЗ-152 в редакции с 30.05.2025, — проверку лучше провести сейчас. Штраф по ч. 2 ст. 13.11 КоАП за обработку ПДн без надлежащего согласия составляет до 700 000 ₽. Срок на устранение после предписания РКН не восстанавливается.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Приведите согласия работников колл-центра в соответствие с ФЗ-156

Операторы колл-центра — работники, их персональные данные обрабатываются на основании ст. 86–88 ТК РФ в связке с ФЗ-152. С 01.09.2025 согласие работника на обработку его ПДн — отдельный документ. ФЗ-156 от 24.06.2025 прямо запрещает включать согласие в трудовой договор, должностную инструкцию, кадровые анкеты.

Обязательные реквизиты согласия по ст. 9 ФЗ-152 (в редакции ФЗ-156): ФИО работника, его контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок согласия, порядок его отзыва.

Для сотрудников колл-центра отдельно требуются согласия по нескольким основаниям: обработка общих ПДн для трудовых отношений; обработка ПДн в целях корпоративного мониторинга (запись рабочих переговоров оператора в учебных целях); при наличии СКУД с биометрией — отдельное письменное согласие по ст. 11 ФЗ-152 на обработку биометрических данных.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие оформляется отдельным документом с 01.09.2025. Включение согласия в трудовой договор влечёт его недействительность как основания обработки ПДн.»

Ранее выданные согласия, оформленные до 01.09.2025, обратной силы не теряют. Однако при приёме новых сотрудников и при переоформлении кадровых документов необходимо использовать только актуальную форму.

Шаг 4. Проверьте обработку ПДн работников в системах КЭДО и СКУД

Колл-центры активно используют системы кадрового электронного документооборота (КЭДО) и системы контроля и управления доступом (СКУД). Оба инструмента — самостоятельные каналы обработки персональных данных.

КЭДО. Переход на КЭДО регулируется ст. 22.2 ТК РФ. Оператором ПДн при использовании КЭДО является работодатель. Если КЭДО реализован через платформу третьей стороны (облачный сервис), между работодателем и платформой необходимо соглашение об обработке по поручению. Обработка ПДн в КЭДО должна быть отражена в уведомлении РКН по ст. 22 ФЗ-152.

СКУД с биометрией. Если для контроля входа используются сканер отпечатка пальца, система распознавания лица или другие биометрические идентификаторы, это — обработка биометрических ПДн по ст. 11 ФЗ-152. Основание — только письменное согласие работника. Принуждение к сдаче биометрии в рамках трудовых отношений недопустимо.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются исключительно при наличии письменного согласия субъекта, кроме случаев, прямо указанных в ч. 2 той же статьи (судопроизводство, государственные нужды и ряд иных).»

Важно: СКУД с биометрией, хранящий шаблоны на локальном устройстве (терминале), не равнозначен ЕБС. Данные при этом остаются у оператора — работодателя, и на него распространяются все требования ФЗ-152 по защите биометрии, включая требования к уровню защищённости по ПП РФ № 1119.

Если в вашем колл-центре работает СКУД с биометрией или используется КЭДО без актуального соглашения об обработке по поручению — до 01.09.2025 такие ситуации часто не фиксировались. Сейчас каждая из них — потенциальный штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM соберут пакет согласий и ОРД под актуальные требования.

Собрать ОРД под ключ

Шаг 5. Проверьте сроки и порядок хранения записей и кадровых документов

Записи переговоров хранятся не дольше, чем требует цель обработки — это принцип ст. 5 ФЗ-152. Конкретные сроки устанавливаются внутренним регламентом с учётом целей: контроль качества — как правило, 30–90 дней; разрешение споров — до прекращения претензионного или судебного производства.

Кадровые документы работников колл-центра хранятся по типовым срокам: личное дело — 75 лет, трудовой договор — 75 лет, согласие на обработку ПДн — в течение срока действия плюс срок исковой давности (3 года после прекращения обработки). По истечении срока ПДн подлежат уничтожению или обезличиванию в соответствии с ч. 7 ст. 5 ФЗ-152.

Запросы уволенных работников на уничтожение их ПДн (ст. 21 ФЗ-152) не отменяют обязательного хранения документов по трудовому законодательству. В таком случае оператор обязан пояснить субъекту, что хранение продолжается на основании ТК РФ, и уничтожить ПДн по истечении установленного срока. Ответ субъекту предоставляется в течение 10 рабочих дней со дня обращения по ст. 20 ФЗ-152.

Шаг 6. Проверьте уведомление РКН и документацию оператора

Любой работодатель, обрабатывающий ПДн работников и клиентов, обязан уведомить Роскомнадзор о намерении осуществлять обработку ПДн (ст. 22 ФЗ-152) до начала обработки. Уведомление подаётся через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр — 30 дней.

Для колл-центра в уведомлении обязательно отражаются: категории субъектов (клиенты и работники), категории ПДн (общие, специальные при необходимости, биометрические при наличии СКУД), цели обработки (исполнение договора, трудовые отношения, контроль качества), сведения о трансграничной передаче при использовании зарубежных сервисов хранения или CRM.

Помимо уведомления, оператор обязан разработать и опубликовать политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, назначить ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152, обеспечить ознакомление работников с локальными актами.

«Ст. 22 ФЗ-152 — оператор уведомляет РКН до начала обработки. Неуведомление или несвоевременное уведомление влечёт штраф 100 000 — 300 000 ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025).»

Что подготовить для законной обработки ПДн в колл-центре

Уведомление о намерении обрабатывать ПДн в реестре РКН (pd.rkn.gov.ru) с актуальными категориями ПДн и целями
Отдельные согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156 — по каждой цели обработки, которая выходит за рамки ТК РФ
Письменные согласия на обработку биометрии для СКУД (при наличии) по ст. 11 ФЗ-152
Соглашение об обработке по поручению с провайдером КЭДО или облачной платформой хранения записей по п. 3 ст. 6 ФЗ-152
Регламент хранения и уничтожения записей переговоров с конкретными сроками по целям обработки

Типичные ситуации: как ошибаются колл-центры

Ниже — три сценария, которые чаще всего приводят к протоколам Роскомнадзора или жалобам работников.

Ситуация 1. Согласие работника вложено в трудовой договор. До 01.09.2025 это считалось допустимым в отдельных трактовках. С 01.09.2025 — нарушение ФЗ-156: согласие недействительно как основание для обработки ПДн, выходящей за рамки ТК РФ. Доказательства: трудовой договор с блоком «Согласие на обработку ПДн» без отдельного документа. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽. Стратегия: немедленно ввести отдельную форму согласия и собрать подписи с работающих сотрудников; при найме новых — только новая форма.

Ситуация 2. Записи звонков хранятся в облаке иностранного провайдера без уведомления РКН о трансграничной передаче. Ситуация: CRM или облачный колл-центр физически расположен за рубежом, уведомление о трансграничной передаче РКН не подавалось. Доказательства: данные Whois/договора с провайдером. Исход: нарушение ч. 4 ст. 12 ФЗ-152, основание для проверки и предписания. Стратегия: подать уведомление о трансграничной передаче, проверить страну расположения серверов, при необходимости перейти на российский сервис или настроить первичный сбор на российской инфраструктуре.

Ситуация 3. СКУД с биометрией введён без письменных согласий работников. Ситуация: сканеры отпечатков пальцев установлены в 2022–2023 годах, согласия собраны устно или в общем листе ознакомления. Доказательства: отсутствие отдельных письменных согласий в личных делах. Исход: нарушение ст. 11 ФЗ-152, основание для протокола по ч. 2 ст. 13.11 КоАП. Стратегия: собрать письменные согласия по форме, предусмотренной ст. 9 ФЗ-152; работникам, отказавшимся от согласия, обеспечить альтернативный способ доступа.

Как это применяется на практике

Кейс 1. Аутсорсинговый колл-центр (Приволжский ФО, осень 2025). HRD получил предписание РКН по итогам внеплановой проверки: согласия операторов на обработку ПДн в учебных целях были вложены в трудовые договоры. После 01.09.2025 такое оформление утратило силу как основание обработки. Компания в течение двух недель собрала отдельные согласия со всех 140 операторов и направила ответ РКН с подтверждением устранения. Дело прекращено без назначения штрафа в связи с оперативным устранением нарушения. Отсутствие ОРД по новой форме до проверки стоило компании двух недель интенсивной работы HR-службы.

Кейс 2. Банковский колл-центр (Центральный ФО, начало 2026). CISO зафиксировал утечку записей разговоров клиентов через уязвимость в облачном хранилище. HRD установил, что в уведомлении РКН не была указана передача ПДн облачному провайдеру. Первичное уведомление об инциденте направлено в РКН за 21 час (в пределах 24-часового срока по ч. 3.1 ст. 21 ФЗ-152). Отчёт о расследовании — за 68 часов. Арбитражный суд региона, рассматривая дело о неполноте уведомления РКН, учёл оперативность реагирования и назначил штраф в нижней части диапазона по ч. 10 ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн в колл-центре по чек-листу из 38 пунктов
Комплект ОРД под ключ — согласия, политика, приказы, регламенты по новым требованиям ФЗ-156
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, оформленные до 01.09.2025, сохраняют силу — ФЗ-156 не имеет обратной силы. Переподписывать их не обязательно. Однако при приёме новых сотрудников и при изменении целей или состава обрабатываемых ПДн — только новая форма: отдельный документ с реквизитами по ст. 9 ФЗ-152. Если старые согласия включали цели, выходящие за рамки ТК РФ, и они вложены в трудовой договор — рекомендуется собрать отдельные согласия по новой форме во избежание рисков при проверке.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

По ст. 86 ТК РФ работодатель вправе обрабатывать только те данные, которые необходимы для трудовых отношений. Запрещено запрашивать сведения о политических и религиозных взглядах, членстве в профсоюзе, состоянии здоровья (кроме медосмотров, предусмотренных ТК РФ), интимной жизни. Включение таких вопросов в анкету соискателя — нарушение ст. 10 ФЗ-152 (специальные категории ПДн обрабатываются только по прямо указанным в законе основаниям).

3. Можно ли вести видеонаблюдение в офисе колл-центра?

Видеонаблюдение в рабочих помещениях допустимо при соблюдении трёх условий: работники письменно уведомлены о наблюдении (ст. 22.2 ТК РФ, ст. 86 ТК РФ), цель — контроль производственного процесса или безопасность, а не слежка за личной жизнью, видеозаписи обрабатываются только в рамках заявленной цели и не хранятся дольше необходимого. Видеонаблюдение в зонах отдыха, раздевалках, туалетах — запрещено. Факт наблюдения отражается в правилах внутреннего трудового распорядка.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн — документ, подтверждающий законность обработки. После прекращения обработки (увольнение работника) рекомендуется хранить согласие в течение срока исковой давности — 3 года. Если согласие является частью личного дела, оно хранится вместе с ним 75 лет. Уничтожение согласия раньше срока создаёт риск: в случае жалобы субъекта или проверки РКН оператор не сможет подтвердить законность прошлой обработки.

5. Кто оператор при использовании КЭДО?

По ФЗ-152 оператором ПДн является лицо, определяющее цели и способы обработки. При использовании КЭДО оператором остаётся работодатель — он определяет, какие данные вносятся и зачем. Платформа КЭДО выступает обработчиком по поручению в терминах п. 3 ст. 6 ФЗ-152. Это означает: работодатель обязан заключить с платформой соглашение об обработке по поручению, несёт ответственность за утечку данных через платформу, обязан отразить этот канал обработки в уведомлении РКН.

6. Что делать, если клиент отказался от записи разговора?

Если запись ведётся на основании согласия клиента и клиент отказывается, запись конкретного разговора не производится или прекращается. Отказ от записи не является основанием для отказа в обслуживании — это нарушило бы права потребителя. Если запись ведётся на основании договорного основания (п. 5 ч. 1 ст. 6 ФЗ-152) и является условием договора, ситуация оценивается индивидуально; её нужно урегулировать в договоре с клиентом. Соответствующий скрипт для операторов прописывается в регламенте колл-центра.

Итог

Законная запись разговоров с клиентами в колл-центре строится на двух опорах: правильном основании обработки по ст. 6 ФЗ-152 и прозрачном информировании клиента по принципам ст. 5. Кадровые ПДн операторов — отдельный комплаенс-контур: отдельные согласия по ФЗ-156, письменное согласие на биометрию СКУД, соглашения с провайдерами КЭДО.

Юристы DATUM сопровождают колл-центры на всех этапах приведения обработки ПДн в порядок: от аудита действующей документации до подготовки полного пакета ОРД и взаимодействия с РКН при проверке.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

21 января 2028 года