Запись разговора с клиентом — это персональные данные, поэтому её утечка подпадает под 152-ФЗ и наказывается по КоАП, вплоть до оборотных штрафов и уголовной статьи. Если коротко: с 30 мая 2025 года штрафы за утечки выросли в разы, и теперь речь идёт не о десятках тысяч, а о миллионах рублей. Мы в Wilstream работаем с записями звонков каждый день и видим, как недооценка этого риска бьёт по бюджету, поэтому собрали актуальные суммы и условия в нашем разделе с документами и лицензиями.
Важно понимать, что отвечает за данные не только тот, кто их потерял, но и тот, кто их собрал. Если бизнес передал записи звонков подрядчику, а утечка случилась у него, вопросы всё равно будут и к заказчику как к оператору персональных данных. Поэтому тема касается каждой компании, которая записывает разговоры с клиентами.
Ниже разберём по порядку: что закон считает утечкой, какие штрафы грозят за первый случай, как работают оборотные штрафы за повторную утечку, когда наступает уголовная ответственность и как распределяется риск между заказчиком и контакт-центром. И главное — что сделать, чтобы не оказаться в этом списке.
Что закон считает утечкой записей звонков
Запись звонка почти всегда содержит персональные данные: имя, номер телефона, иногда адрес, данные заказа или платежа. По 152-ФЗ это делает запись объектом защиты, а компанию, которая её хранит, оператором персональных данных со всеми обязанностями. Утечкой считается любой неправомерный доступ к этим данным.
Под утечку попадают разные ситуации: база записей утекла в сеть, бывший сотрудник скопировал данные, доступ получил посторонний из-за слабой защиты или записи хранились без шифрования. Не имеет значения, была ли утечка злым умыслом или халатностью, ответственность наступает в обоих случаях.
Отдельно закон требует уведомлять Роскомнадзор об инцидентах. С 2022 года оператор обязан сообщить о факте утечки в сжатые сроки, и сокрытие инцидента само по себе ухудшает положение компании. Поэтому замолчать проблему не получится, это только увеличивает риски.
Какие штрафы грозят за первую утечку
С 30 мая 2025 года действует закон 420-ФЗ, который кардинально поднял штрафы за утечки персональных данных по статье 13.11 КоАП. Теперь размер штрафа для юридических лиц зависит от объёма утёкших данных, и счёт идёт на миллионы рублей, а не на прежние небольшие суммы.
Ориентиры такие: за утечку данных от 1 до 10 тысяч субъектов штраф для компании составляет порядка 3–5 миллионов рублей, от 10 до 100 тысяч — около 5–10 миллионов, а свыше 100 тысяч субъектов, примерно 10–15 миллионов рублей. Точную сумму в этих рамках определяет суд с учётом обстоятельств.
Это штрафы именно за первый зафиксированный случай. Для контакт-центра, который обрабатывает десятки тысяч контактов, утечка автоматически попадает в верхние диапазоны по объёму. Поэтому цена халатности измеряется не штрафом в привычном понимании, а серьёзной статьёй расходов.
- От 1 до 10 тысяч субъектов. Штраф для юрлица ориентировочно 3–5 миллионов рублей.
- От 10 до 100 тысяч субъектов. Ориентировочно 5–10 миллионов рублей.
- Свыше 100 тысяч субъектов. Ориентировочно 10–15 миллионов рублей.
- Сокрытие инцидента. Неуведомление Роскомнадзора ухудшает положение компании.
Оборотные штрафы за повторную утечку: как их считают
Самое серьёзное нововведение закона 420-ФЗ — это оборотные штрафы за повторную утечку. Если у компании уже была зафиксирована утечка и случилась новая, штраф считается не фиксированной суммой, а процентом от годовой выручки. Это принципиально меняет масштаб ответственности для крупного бизнеса.
Оборотный штраф составляет от 1 до 3% совокупного годового дохода компании, но не менее 20 миллионов и не более 500 миллионов рублей. Для компании с большим оборотом повторная утечка может обернуться суммой, сопоставимой с серьёзными инвестициями, а не просто штрафом.
Логика закона понятна: первый случай — это сигнал и крупный штраф, повторный. Это системная проблема, за которую наказывают уже по выручке. Поэтому после первого инцидента вопрос защиты данных перестаёт быть техническим и становится вопросом выживания бизнеса.
Когда наступает уголовная ответственность
Помимо административных штрафов, закон ввёл уголовную ответственность за незаконный оборот персональных данных по статье 272.1 Уголовного кодекса. Она применяется к тем, кто незаконно собирает, передаёт или использует чужие персональные данные, например продаёт базы записей звонков.
Наказание по этой статье серьёзное и доходит до лишения свободы, а отягчающими обстоятельствами становятся групповой характер, корыстный мотив и особо большой объём данных. Это уже не про штраф компании, а про личную ответственность конкретных людей, причастных к утечке.
Для бизнеса это означает, что халатность сотрудника или умысел инсайдера могут привести не только к штрафу для компании, но и к уголовному делу. Поэтому контроль доступа к записям и дисциплина персонала — это не формальность, а защита и для бизнеса, и для людей.
Чем рискует заказчик, а чем подрядчик
Когда компания передаёт записи звонков на аутсорс, ответственность не исчезает, а распределяется. Заказчик остаётся оператором персональных данных и отвечает за то, кому он доверил обработку, а подрядчик отвечает как обработчик за сохранность данных на своей стороне. Это закрепляется договором поручения обработки ПДн.
На практике это значит, что при утечке у подрядчика вопросы возникают и к заказчику: достаточно ли он проверил исполнителя, был ли договор, прописаны ли меры защиты. Поэтому выбор контакт-центра — это в том числе выбор того, кто разделит с вами ответственность за данные клиентов.
Грамотный договор поручения обработки чётко описывает, какие данные передаются, как они защищаются, кто и за что отвечает и что происходит при инциденте. Без такого документа заказчик фактически берёт весь риск на себя, даже если технически утечка случилась не у него.
Как снизить риск утечки записей звонков
Первое — это дисциплина доступа. К записям должны иметь доступ только те сотрудники, кому это нужно по работе, под учётными записями, с логированием действий. Чем меньше людей видят базу и чем лучше виден каждый доступ, тем ниже шанс и случайной, и умышленной утечки.
Второе — защита хранения и передачи: шифрование записей, хранение на защищённой инфраструктуре в России, безопасные каналы передачи и регламент уничтожения данных по истечении срока. Записи, которые больше не нужны, не должны храниться вечно, ведь то, чего нет, не может утечь.
Третье — выбор подрядчика, который относится к данным серьёзно. Мы в Wilstream работаем по 152-ФЗ, оформляем договор поручения обработки и держим записи на защищённой инфраструктуре, а проверить наши документы и лицензии можно через сайт контакт-центра заранее, до начала работы.
Главное
Запись звонка — это персональные данные, и за её утечку с 30 мая 2025 года по закону 420-ФЗ грозят штрафы в миллионы рублей: 3–5 млн за утечку до 10 тысяч субъектов, 5–10 млн до 100 тысяч и 10–15 млн свыше. Повторная утечка наказывается оборотным штрафом 1–3% выручки (от 20 до 500 млн рублей), а незаконный оборот данных, уголовной статьёй 272.1 УК. При аутсорсе ответственность делят заказчик и подрядчик по договору поручения обработки.
Не дожидайтесь инцидента, чтобы разобраться с защитой данных. Проверьте, кто имеет доступ к вашим записям звонков, есть ли договор поручения обработки ПДн с подрядчиком и где хранятся записи. Если работаете с контакт-центром, запросите его документы и лицензии и убедитесь, что он работает по 152-ФЗ, до того как передадите ему данные клиентов.
Передаёте записи звонков на аутсорс? Проверьте защиту данных
Wilstream работает по 152-ФЗ с 2002 года: договор поручения обработки ПДн, защищённое хранение записей на инфраструктуре в России, контроль доступа. Запросите наши документы и лицензии и обсудите, как разделить ответственность за данные клиентов.
Частые вопросы
Считается ли запись звонка персональными данными?
Да. Запись почти всегда содержит имя, номер телефона, иногда адрес или данные заказа, поэтому по 152-ФЗ это персональные данные, а компания, которая их хранит, выступает оператором. Утечкой считается любой неправомерный доступ к таким записям, независимо от того, был ли умысел или халатность.
Какой штраф за утечку персональных данных в 2026 году?
По закону 420-ФЗ для юрлиц штраф зависит от объёма: ориентировочно 3–5 млн рублей за утечку до 10 тысяч субъектов, 5–10 млн до 100 тысяч и 10–15 млн свыше 100 тысяч. Точную сумму в этих рамках определяет суд. Для контакт-центров с большим объёмом данных это обычно верхние диапазоны.
Что такое оборотный штраф за утечку?
Это штраф за повторную утечку, который считается процентом от годовой выручки компании: от 1 до 3%, но не менее 20 млн и не более 500 млн рублей. Он применяется, если у компании уже был зафиксирован инцидент, и делает повторную утечку особенно дорогой для крупного бизнеса.
Есть ли уголовная ответственность за утечку данных?
Да, статья 272.1 УК предусматривает уголовную ответственность за незаконный сбор, передачу и использование персональных данных, например продажу баз. Наказание серьёзное, вплоть до лишения свободы, особенно при корыстном мотиве и большом объёме данных. Это личная ответственность причастных людей.
Кто отвечает за утечку при аутсорсе колл-центра?
Ответственность делится: заказчик остаётся оператором и отвечает за выбор исполнителя, подрядчик отвечает как обработчик за сохранность данных. Это закрепляет договор поручения обработки ПДн. При утечке у подрядчика вопросы возникают и к заказчику, поэтому выбор контакт-центра важен.
Как защитить записи звонков от утечки?
Ограничьте доступ к записям только нужными сотрудниками с логированием, шифруйте хранение, держите данные на защищённой инфраструктуре в России и уничтожайте записи по истечении срока. При работе с подрядчиком оформите договор поручения обработки и проверьте, что он соблюдает 152-ФЗ.