Передали базу клиентов аутсорсинговому контакт-центру, а через полгода она утекла в Telegram-канал «слитых баз». Знакомая история? Штраф по 152-ФЗ за такую утечку доходит до 15 млн рублей, а с 2025 года в реестре Роскомнадзора появились уголовные статьи за повторные нарушения. И отвечать перед регулятором будет не подрядчик-КЦ, а именно вы как заказчик и оператор персональных данных.
Это не страшилка, а новая реальность 2026 года. Разбираем по шагам, что должно быть у нормального контакт-центра, чтобы передача базы клиентов не превратилась в риск 15 млн штрафа и блокировки бизнеса.
Почему за КЦ-подрядчика отвечает заказчик
Главное, что нужно понять перед подписанием договора. Контакт-центр по 152-ФЗ это «лицо, осуществляющее обработку персональных данных по поручению оператора». Оператором остаётесь вы. Если КЦ потерял базу, заплатит штраф именно ваша компания, даже если виноват технически подрядчик.
Регресс к подрядчику возможен, если в договоре прописана ответственность. Но к Роскомнадзору это никак не относится: они штрафуют оператора, и точка. Поэтому проверка соответствия КЦ требованиям 152-ФЗ не формальность для галочки, а защита вашего бизнеса. И проверять нужно до того, как первый файл с ФИО и телефонами клиентов уйдёт подрядчику.
Что изменилось в 152-ФЗ в 2025-2026 годах
За последние два года закон пересматривали несколько раз. Штрафы выросли. По текущей редакции КоАП штраф за утечку для юрлица составляет от 3 до 15 млн рублей. За повторное нарушение до 500 млн рублей или 3% от выручки. Это не опечатка. За «массовую» утечку (от 1 млн записей) предусмотрены уголовные статьи против ответственных лиц.
Согласие на обработку стало строже. Согласие должно быть конкретным, информированным, осознанным. Универсальные галочки «согласен со всем» уже не работают. Нужно отдельное согласие на трансграничную передачу, отдельно на обработку биометрии, отдельно на передачу третьим лицам.
Усилены требования к локализации. Базы российских граждан должны храниться на серверах в России. Это касается и КЦ-подрядчика: его инфраструктура должна быть в РФ. Под определение оператора теперь попадают почти все компании, которые работают со звонками клиентов. Аутсорсинговый колл-центр обязан уведомлять Роскомнадзор о своей деятельности и быть в реестре операторов ПДн.
Чек-лист проверки КЦ перед подписанием договора
Этот блок самое важное в статье. Если ваш потенциальный контакт-центр Wilstream или любой другой подрядчик не закрывает эти пункты, передавать ему данные клиентов большой риск.
Уведомление в Роскомнадзоре. КЦ должен быть в реестре операторов ПДн. Проверяется за минуту через публичный реестр на сайте РКН по ИНН компании. Если КЦ не подавал уведомление, это первый красный флаг.
Документы внутренней системы защиты. У КЦ должны быть: политика обработки ПДн, положение об обработке ПДн, приказ о назначении ответственного, перечень обрабатываемых ПДн, модель угроз, журналы доступа. Просите выписку или копии титульных листов. Отдельным приказом назначено должностное лицо, ответственное за обработку ПДн. Уточняйте ФИО, должность, контакт — именно это лицо подпишет ваш договор о поручении обработки.
Аттестация ИСПДн. Информационная система персональных данных должна пройти аттестацию по требованиям ФСТЭК. Уровень защиты УЗ-1, УЗ-2, УЗ-3 зависит от типа данных. Для большинства коммерческих кейсов достаточно УЗ-3, для медицины и финансов УЗ-2.
Сертифицированные СКЗИ. Канал передачи данных между вами и КЦ должен быть защищён средствами криптографической защиты с действующим сертификатом ФСБ. Варианты — VipNet, ViPNet Coordinator, Континент, КриптоПро.
Локализация серверов. Все базы клиентов хранятся на серверах в РФ. Запросите название дата-центра, регион, документ о размещении. Если КЦ хостится на условном AWS, это нарушение 242-ФЗ о локализации.
Контроль доступа операторов. У каждого оператора индивидуальные учётные записи, многофакторная аутентификация, логирование действий. Доступ к ПДн ограничен ролью и проектом. Скриншоты экрана в смену запрещены. Личные телефоны на рабочем месте запрещены.
Защита рабочих мест. Корпоративные компьютеры с антивирусом, DLP-системой, контролем USB-устройств. Сеть КЦ изолирована от интернета на местах работы с базами. Особенно критично для проектов с финансами и медициной.
Видеонаблюдение в зале операторов. Это требование не закона, но индустриальный стандарт. Если в зале работают с тёплыми базами клиентов крупных банков и страховых, без видеоконтроля начинать сотрудничество не стоит.
Запись и хранение звонков. Записи звонков это тоже ПДн (биометрия голоса). Хранение должно быть зашифрованным, доступ ограниченным. Срок хранения определяется заказчиком, но не дольше, чем нужно для цели обработки.
Что обязательно прописать в договоре поручения обработки
Кроме типового договора оказания услуг с КЦ заключается отдельное соглашение о поручении обработки персональных данных. Это требование статьи 6 152-ФЗ. Без него передача данных подрядчику незаконна.
В соглашении должно быть: перечень действий с данными (сбор, систематизация, хранение, уточнение, использование, передача, удаление), цель обработки, перечень субъектов и категорий данных, срок обработки, требования к защите по 152-ФЗ, обязанность КЦ соблюдать конфиденциальность, ответственность сторон, порядок уничтожения данных по окончании работ.
Особое внимание на обязанность КЦ обеспечить меры безопасности «не ниже, чем у оператора». Если у вас в компании УЗ-2, у КЦ должен быть как минимум УЗ-2, не ниже. Это часто упускают и потом получают претензии при проверке РКН. Полезно прописать прямые финансовые санкции: за утечку конкретная сумма, не «иные убытки». Условные 10 млн рублей за каждый эпизод утечки нормальная практика для крупных проектов в 2026 году.
Сценарии нарушений и реальные штрафы
Чтобы цифры звучали не как абстракция, разберём типовые истории из практики. Утечка базы клиентов в Telegram. Самый частый кейс. Уволенный оператор продал базу или сделал скриншоты экрана. Штраф для оператора ПДн (вашей компании) от 3 до 15 млн рублей за первый эпизод. При повторе до 500 млн или 3% выручки. Плюс репутация и отток клиентов.
Передача данных без согласия. Клиент дал согласие на обработку для целей оформления заказа, а КЦ обзванивает его с рекламой соседнего сервиса. Штраф 100-700 тыс. рублей за каждый эпизод. При массовом обзвоне миллионы.
Хранение базы за границей. КЦ хранит резервные копии в зарубежном облаке. Штраф 6-18 млн рублей. Плюс блокировка деятельности по 242-ФЗ.
Отказ удалить данные по запросу. Клиент отозвал согласие, а его телефон продолжает быть в базе обзвона. Штраф 50-500 тыс. рублей. Если жалоба попала в РКН, последует внеплановая проверка всего вашего бизнеса.
Утечка из-за слабой защиты канала. КЦ передавал базу заказчику обычной почтой без шифрования. Перехват и публикация. Штраф плюс ответственность КЦ перед заказчиком по договору.
Как организовать передачу данных подрядчику безопасно
Передача базы отдельная зона риска. Здесь чаще всего ломается даже хорошо выстроенная защита.
Защищённый канал с обеих сторон. Простые варианты: VipNet-туннель, КриптоПро CSP с сертификатом ФСБ, корпоративные VPN с сертифицированной криптографией. Через WhatsApp, личную почту, неподтверждённые облака категорически нельзя.
Минимизация передаваемых данных. КЦ должен получать только те поля, которые нужны для проекта. Для подтверждения заказа ФИО, телефон, номер заказа. Не передавайте паспорта, СНИЛС, банковские реквизиты, если они не нужны для конкретной операции.
Журналирование передачи. Каждая выгрузка базы с фиксацией: кто передал, кому, в какое время, сколько записей, по какому проекту. Это спасёт при разборе инцидента.
Маркировка тестовых данных. Если КЦ запрашивает тестовые данные для настройки пилота, это должны быть синтетические записи, а не реальные клиенты. Звучит банально, но в 30% утечек источник именно тестовая база, которая «оказалась настоящей».
Возврат и уничтожение. По окончании договора КЦ обязан вернуть все данные оператору и уничтожить копии. Это фиксируется актом уничтожения с указанием способа (затирание, физическое уничтожение носителей).
Особенности для разных отраслей
Медицина и фарма. Требования жёстче. Информация о состоянии здоровья специальная категория ПДн. Согласие на обработку отдельное, с разъяснением каждой цели. УЗ-1 или УЗ-2 в зависимости от объёма базы. КЦ обязан быть лицензированным оператором ПДн с подтверждённой аттестацией.
Банки и финансы. Дополнительно действует 161-ФЗ о НПС, 115-ФЗ о ПОД/ФТ, банковская тайна. КЦ должен иметь специальную лицензию ФСТЭК. Уровень защиты обычно УЗ-1 или УЗ-2. Обязательное хранение записей разговоров.
E-commerce и логистика. Требования стандартные по 152-ФЗ, обычно УЗ-3. Но при работе с маркетплейсами (Wildberries, Ozon) добавляются их собственные требования к подрядчикам по NDA и SLA. Заранее проверяйте, что КЦ работал с вашим маркетплейсом и знает его специфику.
Государственные и муниципальные горячие линии. Нужны лицензии ФСТЭК и ФСБ по высшим категориям. КЦ должен пройти аттестацию по требованиям государственных информационных систем (ГИС). Без этого участие в тендерах закрыто.
На какие вопросы должен ответить КЦ за час
Хорошая практика короткое интервью с потенциальным подрядчиком до подписания соглашения. Просто список вопросов, на которые нужны конкретные ответы.
В каком реестре операторов ПДн зарегистрированы, с какого года? Кто ответственный за обработку ПДн, как зовут, какой контакт? В каком дата-центре хранятся базы клиентов? Какой уровень защищённости ИСПДн? Когда последняя аттестация, кем выдана, до какого срока? Какие СКЗИ используются для канала с заказчиком? Есть ли DLP и видеоконтроль в зале операторов? Сколько утечек было за последние 3 года и как разбирались? Заключается ли отдельное соглашение о поручении обработки ПДн?
Если КЦ затрудняется с прямыми ответами хотя бы на половину вопросов, это серьёзный повод задуматься. Нормальный подрядчик за 25 лет работы с клиентскими коммуникациями отвечает на это за 15 минут и присылает подтверждающие документы.
Российская специфика проверок Роскомнадзора
Плановые проверки идут по графику РКН, опубликованному на сайте. Внеплановые по жалобам клиентов или утечкам в публичное пространство. С 2025 года внеплановые проверки получили упрощённый порядок: жалобу можно подать через Госуслуги, и РКН обязан её рассмотреть за 30 дней.
При проверке РКН запрашивает уведомление о начале обработки ПДн, перечень обрабатываемых данных, политику и положение об обработке, приказ об ответственном, согласия субъектов (выборочно), документы по передаче третьим лицам (включая КЦ), модель угроз и план защиты, документы по аттестации ИСПДн, акты внутреннего аудита.
Если вы заказчик аутсорса КЦ, РКН запросит и ваше соглашение с подрядчиком, и подтверждения соответствия подрядчика. Проверка вашей компании может перерасти в проверку КЦ. Москва, Санкт-Петербург и регионы-миллионники проверяются чаще. Малый и средний бизнес чаще попадает под внеплановые проверки по жалобам клиентов, чем под плановые.
Главное
Передача базы клиентов аутсорсинговому контакт-центру это передача ПДн третьему лицу с полной ответственностью оператора по 152-ФЗ. В 2026 году штрафы за утечки достигают 15 млн рублей за эпизод и 500 млн при повторе, поэтому проверять подрядчика нужно по 10 пунктам: реестр РКН, документы, ответственный, аттестация ИСПДн, СКЗИ, локализация, доступ операторов, защита рабочих мест, видеонаблюдение, защищённое хранение записей. Отдельное соглашение о поручении обработки обязательно.
Запросите у подрядчика чек-лист соответствия 152-ФЗ и копии аттестатов до подписания договора. Свяжитесь со специалистами, чтобы рассчитать пилот аутсорса с проверкой всех требований защиты данных на старте проекта.
Рассчитайте стоимость для вашего бизнеса
25 лет опыта, 3000+ операторов, собственные AI-решения. Запустите пилот за 3 дня в рамках договора.
Частые вопросы
Кто отвечает перед Роскомнадзором, если КЦ потерял базу клиентов?
Перед РКН отвечает оператор персональных данных, то есть заказчик, передавший базу. КЦ выступает «лицом, обрабатывающим ПДн по поручению». Штраф приходит вашей компании, но при правильном договоре поручения вы можете взыскать ущерб с КЦ в порядке регресса.
Можно ли передавать базу КЦ по обычной электронной почте?
Нет, это нарушение 152-ФЗ и требований ФСТЭК по защите канала. Передача должна идти через сертифицированные СКЗИ (VipNet, КриптоПро, Континент) или защищённый VPN. Через WhatsApp, Telegram, Gmail передавать ПДн запрещено.
Что такое уровень защищённости ИСПДн и какой нужен моему проекту?
Это категория защиты по приказу ФСТЭК № 21. УЗ-1 высший (биометрия, медицина, гостайна), УЗ-2 финансы, банки, страхование, УЗ-3 большинство коммерческих кейсов, УЗ-4 общедоступные данные. Уровень КЦ должен быть не ниже вашего уровня.
Нужно ли получать отдельное согласие клиента на передачу его данных КЦ?
Да, обязательно. В согласии на обработку ПДн должна быть прямо указана возможность передачи третьим лицам с целью обработки по поручению. Если в вашей форме согласия этого нет, нужно собирать дополнительное согласие, иначе любая работа КЦ с базой будет нарушением.
Сколько времени КЦ может хранить базу после завершения проекта?
По 152-ФЗ только до достижения цели обработки. После окончания договора КЦ обязан вернуть данные оператору и уничтожить все копии. Это фиксируется актом уничтожения. Любое хранение «на всякий случай» нарушение.
Какие документы запросить у КЦ перед подписанием договора?
Минимальный пакет: выписка из реестра операторов ПДн РКН, аттестат соответствия ИСПДн по требованиям ФСТЭК, приказ о назначении ответственного за ПДн, копия политики обработки ПДн, перечень используемых СКЗИ с действующими сертификатами ФСБ, документ о размещении серверов в РФ.