инструкция 3 марта 2028 По состоянию на 3 марта 2028

Запись звонков клиентам: правила

Запись телефонного разговора с клиентом фиксирует его голос — биометрические персональные данные по ст. 11 ФЗ-152. Обработка голосовой биометрии без письменного согласия субъекта образует состав по ч. 16 ст. 13.11 КоАП.

С 30.05.2025 действует обновлённая редакция ст. 13.11 КоАП (ФЗ-420): отдельные части предусматривают штрафы для юрлиц до 20 млн ₽ за утечку биометрии. Параллельно с 01.09.2025 вступили в силу требования ФЗ-156 об отдельном документе согласия.

Если HRD не отстроил порядок записи звонков с клиентами и сотрудниками — риск протокола РКН появляется при первой же жалобе субъекта. → Проверьте текущий порядок прямо сейчас.

Запись звонков клиентам применяется повсеместно: колл-центры, отделы продаж, службы поддержки. При этом большинство HR-подразделений не разграничивают, что именно они обрабатывают и на каком правовом основании. Ниже — пошаговый порядок, который закрывает риски по ст. 9, 11, 18.1 ФЗ-152 и ст. 86–88 ТК РФ.

Шаг 1. Определите, что именно вы записываете и является ли это биометрией

Запись голоса квалифицируется как биометрические персональные данные тогда, когда она используется для установления личности звонящего. Если компания сохраняет аудиофайл исключительно для контроля качества работы оператора и не применяет его для идентификации клиента — правовой режим иной: это общие персональные данные (голос как характеристика разговора), обработка которых требует согласия по ст. 9 ФЗ-152, но не по ст. 11.

На практике граница размыта. Если в компании внедрена система распознавания голоса для верификации клиентов — это однозначно ст. 11 ФЗ-152 и требование письменного согласия. Если запись только хранится в CRM без анализа — трактовка зависит от технической документации системы и от позиции, которую займёт инспектор РКН при проверке. Безопаснее получать согласие в обоих случаях.

«Ст. 11 ФЗ-152: биометрические персональные данные — сведения, характеризующие физиологические и биологические особенности человека и позволяющие установить его личность. Обработка — только с письменного согласия субъекта, за исключением случаев, прямо указанных в ч. 2 ст. 11 ФЗ-152.»

Зафиксируйте решение документально: в политике обработки ПДн укажите, обрабатываете ли вы голос как биометрию или как иные ПДн. Это определит состав пакета согласий и содержание уведомления в реестре РКН.

Шаг 2. Выберите правовое основание и подготовьте согласие

Для записи звонков с клиентами применяются два основных правовых основания из ст. 6 ФЗ-152: согласие субъекта (п. 1 ч. 1) или обработка в рамках договора (п. 5 ч. 1 — когда договор прямо предусматривает возможность записи). Второе основание работает только при наличии соответствующего условия в тексте договора с клиентом; ссылка на общие положения об обслуживании недостаточна.

Если голос обрабатывается как биометрия — договорное основание не применяется: ст. 11 ФЗ-152 требует именно письменного согласия без исключений для договора.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку ПДн оформляется отдельным документом, не включается в текст договора, оферты или иного документа.»

Согласие должно содержать обязательные реквизиты по ст. 9 ФЗ-152: наименование оператора, цель, перечень ПДн, перечень действий, срок действия, порядок отзыва. Если согласие получается голосом (в начале звонка через IVR), оно не будет являться письменным — не использовать этот формат для биометрии и специальных категорий.

Согласия для колл-центра ещё не переработаны под требования ФЗ-156?

Если HRD не привёл согласия под формат отдельного документа к 01.09.2025 — каждый звонок с уведомлением через IVR или включённое согласие в договоре создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽). Юристы DATUM подготовят актуальный пакет согласий и проверят правовые основания для записи звонков.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Уведомите клиента до начала записи

Уведомление о записи — самостоятельная обязанность, не заменяющая согласие. Типовая фраза «разговор может быть записан» через IVR информирует субъекта, но не является согласием по ст. 9 ФЗ-152. Уведомление и согласие — два разных действия с разными юридическими последствиями.

Порядок уведомления закрепите в скрипте оператора и в технической документации IVR. Если клиент отказывается от записи — у него должна быть техническая возможность отказаться: оператор либо продолжает разговор без записи, либо предлагает иной канал обслуживания. Отсутствие такой возможности создаёт риск по ч. 1 ст. 13.11 КоАП (обработка ПДн без надлежащего основания).

В B2B-сегменте, когда звонит представитель юрлица, запись разговора также затрагивает его персональные данные как физического лица. Не разграничивать B2B и B2C в контексте ФЗ-152 — типичная ошибка, которую фиксируют при проверках РКН.

Шаг 4. Настройте хранение и доступ к записям

Аудиозаписи звонков относятся к персональным данным клиента и подпадают под требования ст. 19 ФЗ-152 о технических мерах защиты. Уровень защищённости информационной системы определяется по ПП РФ №1119: для общих ПДн при числе субъектов менее 100 000 — как правило, УЗ-3 или УЗ-4 в зависимости от типа угроз.

«Ст. 5 ФЗ-152: хранение ПДн не дольше, чем этого требуют цели обработки. По достижении целей — уничтожение или обезличивание.»

Установите конкретный срок хранения записей в локальном нормативном акте: например, 6 месяцев для контроля качества. По истечении срока — автоматическое удаление. Неограниченное хранение без цели нарушает принцип хранения из ст. 5 ФЗ-152 и создаёт избыточный объём данных при возможной утечке.

Доступ к записям должен быть ограничен: журнал обращений к хранилищу, ролевая модель доступа, запрет на скачивание без служебной необходимости. Эти меры входят в базовый состав по Приказу ФСТЭК №21.

Что подготовить для легального порядка записи звонков

Квалификация голоса в политике обработки ПДн: биометрия или иные ПДн — с описанием технической системы.
Согласие клиента на запись — отдельный документ по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025); для биометрии — письменная форма.
Скрипт уведомления оператора и техническая настройка IVR с возможностью отказа от записи.
Локальный акт о сроках хранения аудиозаписей и порядке их уничтожения.
Технические меры защиты хранилища согласно УЗ по ПП РФ №1119 и Приказу ФСТЭК №21; журнал доступа к записям.

Шаг 5. Урегулируйте запись звонков с сотрудниками колл-центра

Запись переговоров фиксирует не только голос клиента, но и голос оператора. Это персональные данные работника, обработка которых регулируется ст. 86–88 ТК РФ в связке с ФЗ-152. Работодатель вправе записывать рабочие переговоры в целях контроля исполнения трудовых обязанностей, однако обязан уведомить работника об этом и получить согласие на обработку голоса как биометрии (если система использует голос для идентификации).

«Ст. 86 ТК РФ: обработка персональных данных работника допускается только для обеспечения соблюдения законов и трудового договора. Ст. 88 ТК РФ: передача ПДн работника третьим лицам — только с его согласия, за исключением случаев, предусмотренных ТК.»

Согласие работника на запись звонков с 01.09.2025 также оформляется отдельным документом по ФЗ-156. Включение согласия в трудовой договор или должностную инструкцию с этой даты не соответствует требованиям ст. 9 ФЗ-152. Если HRD использовал объединённые формы — их нужно заменить.

Записи переговоров работников хранятся в тех же информационных системах, что и клиентские. Разграничение доступа между клиентскими данными и кадровыми — требование ст. 18.1 ФЗ-152.

Если HRD получил запрос от сотрудника на уничтожение записей его переговоров или от клиента на доступ к записям — срок ответа по ст. 20 ФЗ-152 составляет 10 рабочих дней. Просрочка образует состав по ч. 4 ст. 13.11 КоАП (до 80 000 ₽). Юристы DATUM возьмут на себя функцию ответственного за обработку ПДн в режиме DPO-аутсорсинга.

Подключить DPO-аутсорс

Как это применяется на практике

Кейс 1. В Сибирском ФО (осень 2025) розничная сеть получила жалобу от клиента: тот не был уведомлён о записи до начала разговора, а уведомление в IVR воспроизводилось после соединения с оператором. РКН возбудил дело по ч. 1 ст. 13.11 КоАП. HR-директор представил доказательства, что согласие было включено в договор оферты, — инспектор указал, что после 01.09.2025 это не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. Компания получила предписание об устранении, штраф в пределах 150 000 — 300 000 ₽. Пересобрать форму согласия и скрипт IVR потребовалось за 3 недели.

Кейс 2. В Центральном ФО (начало 2026) технологическая компания внедрила систему голосовой идентификации клиентов при входящих обращениях. Согласие на биометрическую обработку получалось голосом через IVR. При плановой проверке РКН квалифицировал это как обработку биометрии без письменного согласия по ч. 16 ст. 13.11 КоАП. Штраф для юрлица составил несколько миллионов рублей. Переход на письменные согласия в электронной форме через КЭДО устранил нарушение.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка порядка записи звонков, согласий, хранения аудиофайлов
Комплект ОРД под ключ — согласия, политика, локальные акты о сроках хранения записей
DPO-аутсорсинг — ответы на запросы субъектов, сопровождение взаимодействия с РКН

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее полученные согласия работников, оформленные до 01.09.2025, не теряют силу автоматически — ФЗ-156 не имеет обратной силы. Однако если компания получает новые согласия или переоформляет кадровые документы, форма согласия должна быть отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156. Рекомендуется провести ревизию: где согласие было включено в трудовой договор или должностную инструкцию — при первом удобном случае (плановое обновление документов, перевод, изменение условий) заменить на отдельную форму.

2. Какие данные нельзя спрашивать у клиента при записи разговора?

Оператор не вправе запрашивать данные, не соответствующие заявленной цели обработки (ст. 5 ФЗ-152 — принцип соответствия объёма целям). Для записи звонка с целью контроля качества не нужны данные о состоянии здоровья, политических взглядах, национальности — это специальные категории ПДн по ст. 10 ФЗ-152, обработка которых по общему правилу запрещена. Скрипт оператора не должен содержать вопросов о таких данных.

3. Можно ли вести видеонаблюдение в офисе колл-центра?

Видеонаблюдение в рабочих помещениях допустимо при соблюдении трёх условий: работники уведомлены (ст. 86 ТК РФ), цель — контроль исполнения трудовых функций, данные обрабатываются только для этой цели и не передаются третьим лицам без согласия. Отдельное письменное согласие работника на видеонаблюдение не требуется, если видеозапись не используется для идентификации личности биометрическим методом. Уведомление должно быть закреплено в трудовом договоре или локальном акте.

4. Сколько хранить согласия после увольнения сотрудника?

Согласие работника на обработку ПДн хранится весь период обработки ПДн плюс срок, необходимый для подтверждения правомерности обработки в случае спора. Личное дело работника хранится 75 лет (для дел, оконченных делопроизводством после 2003 года). Аудиозаписи рабочих переговоров — по сроку, установленному локальным актом о хранении записей (рекомендуется не более 1 года для контроля качества), после чего уничтожаются с составлением акта.

5. Кто оператор при использовании КЭДО для получения согласий на запись?

При использовании системы КЭДО оператором персональных данных работников остаётся работодатель — он определяет цели и состав обрабатываемых данных. Провайдер КЭДО выступает лицом, осуществляющим обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Работодатель обязан заключить с провайдером договор-поручение с указанием перечня действий и мер защиты. Отсутствие такого договора при проверке РКН квалифицируется как нарушение ст. 6 ФЗ-152.

6. Что делать, если клиент потребовал уничтожить запись его звонка?

Требование об уничтожении ПДн рассматривается в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152). Если правовое основание для хранения записи отсутствует (срок хранения истёк или цель обработки достигнута) — запись уничтожается с уведомлением клиента. Если основание есть (например, запись хранится как доказательство по спору в рамках ст. 6 ч. 1 ФЗ-152) — оператор вправе отказать, но обязан письменно обосновать отказ.

Итог

Запись звонков клиентам требует разграничения между биометрической обработкой голоса и общими ПДн, актуальных согласий по ФЗ-156, технической возможности отказа для клиента и ограниченного срока хранения аудиофайлов. Звонки с участием сотрудников колл-центра добавляют требования ст. 86–88 ТК РФ.

DATUM сопровождает HR-департаменты в построении порядка обработки ПДн при записи звонков: от квалификации системы по ПП РФ №1119 до формирования пакета согласий и регламента хранения.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите ПДн в HR. Согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

3 марта 2028 года