«Позвонили родственнику и сообщили о долге», «долг всплыл на работе», «новый номер нашли непонятно откуда» — это типичные ситуации из жалоб. После таких обращений проверки и переписка с надзорными органами становятся лишь вопросом времени. В этой статье разберём, как выстроить обработку персональных данных в коллекторском агентстве законно: от правовых оснований до договоров, системы доступов и сценариев общения с должником. В итоге у вас будет практичный чек‑лист, который поможет снизить риск жалоб, предписаний и остановки бизнес-процессов. Социальная значимость здесь прямая: защита частной жизни должника и «чистое взыскание» без неправомерного давления снижают уровень конфликтов и повышают собираемость долгов в долгосрочной перспективе.

Почему персональные данные должника — зона повышенного риска

В процессе взыскания почти всегда обрабатываются контактные и долговые сведения: телефоны, адреса, место работы, информация о просрочке, история коммуникаций, записи разговоров и переписка. Если по этим данным человека можно прямо или косвенно идентифицировать, это и есть персональные данные в смысле закона № 152-ФЗ.

Главными причинами жалоб обычно становятся три ситуации:

1. Выход на третьих лиц и раскрытие факта долга.

2. Сбор избыточных данных «на всякий случай».

3. Хранение информации «вечно» — особенно это касается аудиозаписей, скриншотов и выгрузок из CRM.

На практике риск повышается ещё и потому, что один неверный звонок или сообщение легко превращается в скриншот, публикацию в соцсетях и формальный повод для проверки.

Риск штрафов и проверок
Проверка по линии персональных данных может начаться из‑за одного звонка родственнику, одной жалобы в Роскомнадзор или одного скриншота переписки. Поэтому правила работы с данными (комплаенс) должны быть встроены в скрипты операторов, настройки CRM и контроль доступов, а не просто «лежать в папке» с документами.

152‑ФЗ: принципы обработки персональных данных в коллекторском агентстве

Принципы обработки: законность, целеполагание, минимизация

Основой для построения комплаенса служат принципы из статьи 5 закона № 152-ФЗ:

• Законность и справедливость.

• Определённость целей обработки заранее.

• Запрет на несовместимую с целями обработку.

• Достаточность и релевантность данных заявленным целям.

• Недопустимость избыточности.

• Точность и актуальность.

• Ограничение срока хранения с обязательным уничтожением или обезличиванием по достижении целей.

Как эти принципы работают на практике? Рассмотрим коротко, с мини-кейсами.

Законность: Каждую операцию — от сбора данных до звонка, записи, передачи и хранения — необходимо привязывать к правовому основанию из статьи 6 закона или к согласию субъекта по статье 9.

• Пример нарушения: «Взяли номер телефона из „серой“ базы данных».

• Как правильно: Источник данных должен быть легальным (договор с кредитором, официальный запрос), а цель обработки — подтверждённой (например, установление контакта для исполнения обязательств).

Цель и целевое ограничение: Нельзя собирать данные «для взыскания», а потом использовать их для маркетинга или так называемого «пробива».

• Пример нарушения: «Добавили номер должника в рассылку с акциями агентства».

• Как правильно: Чётко разделять контуры обработки данных для разных целей (взыскание ≠ продвижение услуг).

Минимизация: Собирать нужно только те данные, которые необходимы для конкретной цели и текущего этапа работы.

• Пример нарушения: «В анкету сразу вносим аккаунты в соцсетях, контакты всех родственников, второй телефон и подробные данные работодателя».

• Как правильно: Использовать ступенчатый сбор данных (минимум на старте, расширение — только при наличии обоснования).

Актуальность и точность: Оператор обязан принимать разумные меры по уточнению или удалению неточных данных.

• Пример нарушения: «Продолжаем звонить по старому номеру, хотя человек уже сообщил новый».

• Как правильно: Внедрить регламент: «сообщил → проверили → обновили в системе → зафиксировали источник обновления».

Срок хранения и уничтожение: Хранить данные можно лишь до тех пор, пока это необходимо для целей обработки. По их достижении информация подлежит уничтожению или обезличиванию, если иное прямо не требуется законом или договором.

• Пример нарушения: «Записи всех звонков хранятся в архиве бессрочно».

• Как правильно: Разработать матрицу сроков хранения для разных типов данных (записи, логи, выгрузки, претензионные материалы) и настроить их автоматическое удаление.

Важно: «Привычные» для сферы взыскания сущности — запись звонка, карточка в CRM, комментарии оператора, история контактов — это тоже обработка персональных данных, которая включает хранение, уточнение, передачу и уничтожение.

Конфиденциальность персональных данных и система доступов внутри агентства

Статья 7 закона № 152-ФЗ закрепляет правило конфиденциальности: лица, получившие доступ к персональным данным, не вправе раскрывать их третьим лицам и распространять без согласия субъекта, если иное прямо не установлено федеральным законом.

Какие практические меры реально работают в коллекторском бизнесе?

• Ролевая модель в CRM: Настройка прав доступа по принципу «видит только своё» (свой портфель, проект, этап). Запрет массовых выгрузок без специальной заявки и согласования.

• Журналирование действий: Фиксация в логах, кто просматривал карточку должника, кто выгружал данные, кто слушал записи разговоров, кто вносил изменения в контакты.

• Обучение колл-центра: Внедрение отдельного обучающего модуля о правилах общения: что можно говорить, как верифицировать собеседника, что делать, если на линии оказалось третье лицо.

• Политика «чистого стола и экрана»: Запрет на оставление информации на виду и категорический запрет на пересылку персональных данных в личные мессенджеры и почту.

Законные основания обработки и передача данных коллекторам

Согласие на обработку: когда нужно, а когда можно без него

По общему правилу обработка персональных данных допускается либо с согласия субъекта, либо при наличии одного из оснований, перечисленных в статье 6 закона № 152-ФЗ. Важно помнить, что согласие можно отозвать. Однако сам факт отзыва не всегда означает прекращение обработки. Оператор вправе продолжить её без согласия, если сохраняются иные основания из пунктов 2–11 части 1 статьи 6.

Для сферы взыскания чаще всего используются следующие «рабочие» основания из статьи 6:

1. Исполнение договора: Обработка допустима, если она необходима для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект (например, кредитный договор или договор займа).

2. Законный интерес оператора: Обработка допустима для осуществления правомерных интересов оператора или третьих лиц при условии, что это не нарушает права и свободы субъекта данных. В самой статье 6 упомянут контекст закона о взыскании просроченной задолженности (№ 230-ФЗ) как пример.

3. Исполнение судебного акта: Отдельным основанием является необходимость обработки для исполнения судебного акта или акта иного органа, подлежащего исполнению в соответствии с законодательством об исполнительном производстве.

Ключевой вывод: Отзыв согласия — это не автоматический «стоп-кран» для всей обработки, а сигнал к тщательной проверке текущих правовых оснований (договор, законный интерес, судебный акт) и характера выполняемых операций (особенно передачи данных третьим лицам).

Агентская схема vs цессия: позиция Роскомнадзора

Роскомнадзор в своих разъяснениях указывает, что законодательство допускает передачу данных коллекторам как по агентской схеме, так и в рамках переуступки права требования (цессии).

• При агентской модели коллекторскому агентству важно на этапе заключения агентского договора убедиться, что у клиентов банка (или иного первоначального кредитора) было получено согласие на передачу их персональных данных третьим лицам.

• При переуступке права требования (цессии) согласия должника на передачу его персональных данных новому кредитору (цессионарию) не требуется. Однако банк (цедент) или коллекторское агентство (новый цессионарий) обязаны проинформировать должника о состоявшейся уступке до начала взыскательных действий.

Отдельно Роскомнадзор подчёркивает: при работе по агентской схеме, если заёмщик отозвал согласие на обработку своих данных, третьи лица (агенты) обязаны прекратить их обработку. В этом случае оператор (банк) должен вести взыскание самостоятельно.

Поручение на обработку: оператор vs обработчик

Важно различать два режима:

• Оператор — лицо, которое самостоятельно определяет цели и состав обрабатываемых персональных данных.

• Обработчик — лицо, которое обрабатывает данные по поручению оператора на основании договора.

Статья 6 закона № 152-ФЗ позволяет оператору поручить обработку другому лицу (обработчику) на основании договора. В таком договоре или приложении к нему («поручение на обработку») должны быть чётко определены:

• Перечень обрабатываемых персональных данных.

• Цели обработки.

• Перечень действий (операций) с данными.

• Обязанность обработчика соблюдать конфиденциальность и требования к безопасности.

Обработчик не обязан получать согласие субъекта данных, но несёт ответственность перед оператором. Перед самим субъектом за действия обработчика отвечает оператор.

Таблица: Агентская схема vs цессия

Типовые ошибки коллекторов при работе с ПДн (и как их исправить)

Ниже — список частых ошибок и практические шаги по их исправлению.

1. Звонки/сообщения третьим лицам без оснований

• Риск: Жалоба из‑за раскрытия факта долга, нарушение конфиденциальности.

• Как правильно: Внедрить обязательную верификацию собеседника до обсуждения задолженности, использовать нейтральные формулировки, иметь стоп-скрипт при общении с третьим лицом.

• Быстрый шаг: Внедрить в начало каждого скрипта обязательную «проверку личности» (2-3 контрольных вопроса + фиксация результата в CRM).

2. «Непонятные» источники новых контактов

• Риск: Невозможность обосновать законность сбора данных.

• Как правильно: Фиксировать в системе только разрешённые источники (данные от кредитора, из договора, официальной переписки, от самого субъекта).

• Быстрый шаг: Закрыть в CRM возможность ручного добавления телефонов и адресов без обязательного указания и подтверждения источника.

3. Сбор избыточных данных

• Риск: Нарушение принципа минимизации данных (ст. 5 152-ФЗ).

• Как правильно: Создать матрицу «цель → необходимые данные → ответственные → срок хранения».

• Быстрый шаг: Убрать из всех анкет и скриптов поля «на всякий случай», оставив только минимально необходимый набор.

4. Хранение записей разговоров без целей и сроков

• Риск: «Вечное хранение», повышающее риск утечек и нарушений.

• Как правильно: Установить чёткие цели хранения записей (контроль качества, разрешение споров) и фиксированные сроки их автоматического удаления.

• Быстрый шаг: Провести аудит хранилищ записей и настроить автоматическую очистку архивов, например, через 3-6 месяцев.

5. Отсутствие контроля доступа к CRM и выгрузок

• Риск: Внутренние утечки, «сливы» портфелей данных.

• Как правильно: Внедрить ролевую модель доступа, запретить массовые экспорты данных, вести журнал всех выгрузок.

• Быстрый шаг: Установить правило: любая выгрузка данных из CRM — только через санкционированную заявку с лимитом на количество строк и обязательным логированием.

6. Нет процедуры ответа на запросы субъекта (ст. 14 152-ФЗ)

• Риск: Жалобы в Роскомнадзор на бездействие.

• Как правильно: Создать единый канал приёма запросов, шаблоны ответов, регламент по срокам и верификации личности заявителя.

• Быстрый шаг: Назначить ответственного за обработку запросов (DPO/юриста) и внедрить тикет-систему для их учёта.

7. Обсуждение долга в незащищённых каналах

• Риск: Раскрытие информации третьим лицам, утечка данных.

• Как правильно: Определить и довести до сотрудников список разрешённых защищённых каналов связи.

• Быстрый шаг: Заблокировать возможность отправки файлов с персональными данными в личные мессенджеры на корпоративных устройствах с помощью политик MDM.

8. Работа с подрядчиками без оформления поручения

• Риск: Формальное отсутствие правовых оснований для обработки данных подрядчиком (колл-центр, IT-аутсорсер).

• Как правильно: Заключать со всеми подрядчиками, имеющими доступ к ПДн, договоры с приложением «Поручение на обработку».

• Быстрый шаг: Провести инвентаризацию всех подрядчиков и в срочном порядке оформить с ними необходимые допсоглашения о конфиденциальности и обработке данных.

Практика взаимодействия с должником: соблюдение правил и эффективность

Эффективное взыскание возможно в правовом поле. Чем меньше практик давления через окружение, тем ниже вероятность жалоб и выше шанс договориться с должником напрямую. Правила взаимодействия регулируются законом № 230-ФЗ, но даже при его формальном соблюдении можно получить проблемы из-за нарушений в работе с персональными данными — например, из-за незаконного источника контакта или раскрытия информации.

Алгоритм ответа на запрос субъекта (по статье 14 152-ФЗ):

1. Приём и регистрация: Запрос поступает на единый адрес/в форму, регистрируется тикет.

2. Верификация: Проверяется личность заявителя и полномочия его представителя.

3. Поиск данных: Определяются все системы, где хранятся данные субъекта (CRM, архивы записей, переписка).

4. Анализ: Проверяются основания обработки и актуальность данных. Отделяются данные других лиц.

5. Подготовка ответа: Формируется ответ в доступной форме: какие данные обрабатываются, цели, источники, факты передачи (если были).

6. Исполнение требований: Если данные неточны, избыточны или собраны незаконно — они уточняются, блокируются или уничтожаются (при наличии законных оснований для такого требования).

7. Фиксация: Фиксируется факт исполнения: кто выполнил, какие изменения внесены, где хранится копия ответа.

8. Профилактика: Анализируется причина запроса (ошибка в скрипте, неверный источник контакта) и вносятся корректировки в процессы.

Чек‑лист комплаенса по персональным данным для коллекторского агентства

1. Определены и зафиксированы цели обработки ПДн для каждого бизнес-процесса взыскания.

2. Для каждой цели составлена матрица «необходимые категории данных → источники → сроки хранения».

3. Во всех скриптах, анкетах и CRM-формах реализован принцип минимизации данных (нет лишних полей).

4. Для каждого процесса обработки документально зафиксировано правовое основание из ст. 6 152-ФЗ.

5. Налажен процесс учёта и проверки согласий субъектов (где они требуются), есть доказательства их получения.

6. Существует чёткий регламент действий при отзыве согласия: проверка альтернативных оснований, прекращение лишних операций.

7. Обеспечена конфиденциальность: сотрудники подписали NDA, прошли обучение, действует запрет на разглашение.

8. В CRM настроена ролевая модель доступа по принципу наименьших привилегий, выгрузки логируются.

9. Для записей разговоров установлены цели хранения, сроки и порядок автоматического удаления.

10. Со всеми подрядчиками, обрабатывающими ПДн, заключены договоры с «Поручением на обработку».

11. Внедрена процедура ответа на запросы субъектов по ст. 14: назначен ответственный, есть шаблоны, соблюдаются сроки.

12. Утверждён и работает регламент уничтожения или обезличивания ПДн по истечении сроков хранения или достижении целей.

13. При агентской работе проверяется наличие у кредитора согласия клиента на передачу ПДн третьим лицам.

14. При работе по цессии обеспечено информирование должника о состоявшейся уступке права требования до начала взыскания.

15. Имеется план реагирования на инциденты, связанные с утечкой или неправомерной обработкой ПДн.

Частые вопросы (FAQ)

1) Можно ли обрабатывать персональные данные должника без его согласия?
Да, можно, если есть одно из оснований, перечисленных в статье 6 закона № 152-ФЗ. Для взыскания чаще всего применяются основания «исполнение договора» или «законный интерес оператора».

2) Что делать, если должник отозвал согласие на обработку персональных данных?
Отзыв согласия не всегда означает необходимость немедленно прекратить всю обработку. Нужно проверить, есть ли иные законные основания (например, тот же договор или законный интерес). Обработку на их основе можно продолжать, но операции, которые опирались исключительно на согласие, необходимо остановить.

3) Можно ли передавать данные коллекторам и по агентской схеме, и по цессии?
Да, Роскомнадзор допускает оба варианта. Ключевое отличие: при агентской схеме критически важно наличие у первоначального кредитора согласия должника на передачу данных третьим лицам. При цессии такого согласия не требуется, но есть обязанность уведомить должника о смене кредитора.

4) Какие данные точно нельзя собирать «про запас»?
Нельзя собирать любые данные, которые не являются строго необходимыми для заявленной и конкретной цели взыскания. Это нарушает принцип минимизации (ст. 5 152-ФЗ). Например, сбор данных о семейном положении или увлечениях «на будущее» будет считаться избыточным.

5) Как отвечать на запрос должника: «Какие данные вы храните и что с ними делаете?»
Субъект имеет право на такой запрос (ст. 14 152-ФЗ). Ответ должен быть предоставлен в понятной форме, в установленный законом срок (30 дней), и в нём не должно содержаться персональных данных других лиц.

6) Куда чаще всего жалуются и что проверяют?
Надзорным органом является Роскомнадзор (РКН). В ходе проверок чаще всего смотрят: наличие и корректность правовых оснований обработки, законность источников данных, обеспечение конфиденциальности, наличие и работоспособность процедуры ответа на запросы субъектов, соблюдение сроков хранения.