Что нужно знать клиентам колл-центров о защите персональных данных в 2025

До 11 декабря 2024 года основным документом, регулирующим обработку персональных данных в России, был федеральный закон 152-ФЗ от 27.07.2006 «О персональных данных». Он устанавливает правила сбора, хранения, обработки и защиты персональных данных, а также требования к их передаче и использованию.Однако в 11 декабря 2024 в УК РФ была добавлена статья 272.1, касающаяся незаконного использования, хранения и распространения персональных данных. Это изменение кардинально влияет на компании, работающие с клиентскими базами, включая B2B-колл-центры.

Для рынка аутсорсинговых услуг новый закон о персональных данных от 11 декабря 2024 года означает серьезные перемены: «черные» и «серые» колл-центры, работающие с нелегальными базами, уйдут с рынка.

А что относится к персональным данным

Вообще, персональные данные можно разделить на несколько основных категорий:

1. Данные, с помощью которых можно установить личность человека: ФИО, дата и место рождения, адрес регистрации и проживания.
2. Контактные данные: номер телефона, адрес электронной почты, почтовый адрес.
3. Документы: паспортные данные, ИНН, СНИЛС, водительское удостоверение.
4. Финансовые данные: банковские реквизиты, номера счетов и карт, история транзакций.
5. Медицинские данные: диагнозы, сведения о лечении, медкарта, данные о прививках.
6. Биометрия: данные о голосе, отпечатки пальцев, радужка глаз, фотографии и видео человека.
7. Сведения о труде и месте работы: образование и дипломы, трудовой стаж, должность и место работы.
8. Информационные данные: IP-адрес, история поисковых запросов, логины и пароли.

Также закон выделяет специальные категории персональных данных, куда относят сведения о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и судимостях.

Что изменилось

Ранее за нарушения в работе с персональными данными предусматривались в основном административные штрафы. Теперь любые действия, связанные с незаконным получением, хранением или передачей данных, могут повлечь уголовную ответственность.

Теперь уголовным преступлением считается:

• Незаконный сбор, передача и хранение персональных данных.
• Использование личных данных без явного согласия владельца.
• Создание и поддержка информационных ресурсов для незаконного распространения данных.
• Трансграничная передача персональных данных без соблюдения требований закона.

Также передавать персональные данные теперь не просто «некрасиво и нечестно», а реально рискованно, а отделаться небольшим штрафом уже не получится. В случае нарушения, под уголовную ответственность могут попасть руководители компаний, сотрудники, работающие с базами данных и подрядчики. Вот какие наказания могут последовать со вступлением нового закона в силу:

• Штрафы: до 3 млн рублей.
• Лишение свободы: до 10 лет в особо тяжких случаях.
• Запрет занимать определенные должности: до 5 лет.
• Принудительные работы: до 5 лет.

Главное: компании обязаны подтверждать согласие каждого клиента на обработку данных и строго следить за их хранением и передачей. 

Чего стоит остерегаться бизнесу

Помимо увеличенных штрафов, лишения свободы и запрета на профессиональную деятельность, компании рискуют репутацией. Если раньше такие дела не попадали в первые полосы СМИ, а разговоры были только про взломы, то в 2025 году такие дела будут рассматриваться с большой оглаской. 

Опасность «серых» и «черных» баз. «Серые» базы — это контактные данные, собранные без прямого разрешения владельца, но формально не считающиеся полностью незаконными. Однако теперь их использование может привести к штрафам и даже уголовному преследованию.

«Черные» базы — это полностью нелегальные списки контактов, собранные без ведома владельцев данных (например, с помощью утечек, парсинга или взломов). Использовать их всегда незаконно.

Опасность передачи данных за границу. Трансграничная передача — самая рискованная область, так как за нее могут наступить самые жесткие уголовные наказания, а требования к такой передаче данных очень высокие: там и согласие каждого владельца данных на их передачу (с указанием страны и цели передачи), и ограничение по странам, и запрет на анонимную передачу.

Как бизнесу защититься от рисков

Понятно, что важно соблюдать закон, но риски есть всегда, и важно их минимизировать: некомпетентный сотрудник может по невнимательности отправить данные не тому адресату, не проверить согласие клиента, или использовать небезопасные каналы передачи информации. Вот как можно защититься:

Исключить или строго контролировать трансграничную передачу данных:

• Использовать только российские сервисы для передачи данных (Яндекс.Облако, Selektel и т.д.).
• Проверять, входит ли страна-получатель в список «гарантированных» стран (утверждается Роскомнадзором).
• Получать согласие на обработку персональных данных от каждого человека.

Соблюдать требования по сбору данных:

• Фиксировать согласие клиента на обработку данных (чекбоксы на сайте, подписанные договора, SMS-коды).
• Хранить эти согласия у себя в базе и вести учет — их могут запросить надзорные органы.
• Не покупать и не использовать «серые» и «черные» базы данных. А если они у вас есть — отказаться от них.

Усилить защиту данных:

• Хранить данные только в зашифрованном виде. Даже если вашу базу взломают, то данные не получат без ключей шифрования.
• Оставить доступ к персональным данным только тем сотрудникам, которым это реально необходимо. Также ввести регламент по хранению и передаче персональных данных и назначить ответственного.
• Проводить регулярные аудиты безопасности хранения персональных данных и обновлять ключи шифрования.

Отказаться от работы с сомнительными подрядчиками:

• Если вы используете CRM, аутсорс колл-центра или облачные сервисы, то обязательно проконтролируйте, где храняться данные (лучше, если на собственных серверах в РФ), как обеспечивается защита и есть ли у подрядчика юридически оформленная политика работы с персональными данными, а также список тех, у кого есть доступ к персональных данным.

Перейти на аутсорс:

• Аутсорс избавляет от необходимости контролировать передачу и хранение данных внутри компании. Например, если ваш отдел продаж постоянно обзванивает базы, то безопаснее будет передать эту задачу проверенному подрядчику.

Заключение

Еще раз, новые изменения в законодательстве о персональных данных требуют от бизнеса не только тщательного соблюдения правил, но и пересмотра процессов работы с клиентскими базами. Компании должны усилить контроль за сбором, хранением и передачей персональных данных, чтобы избежать серьезных штрафов, уголовной ответственности и репутационных рисков.

Главный вывод на самом деле на поверхности — чем раньше бизнес адаптируется к новым правилам, тем безопаснее и стабильнее будет его работа в новых условиях.