Введение

В средней компании контакт-центр может совершать от нескольких тысяч до десятков тысяч звонков в сутки. Через операторов, CTI-платформу, IVR и системы записи проходят сотни тысяч единиц персональных данных: номера телефонов, ФИО, история заказов, аудиозаписи разговоров, результаты скоринга звонков.

Контакт-центр становится «горячей точкой» с точки зрения 152-ФЗ. Здесь сталкиваются сервисные и рекламные коммуникации, аутсорсинг, автоматический обзвон и DNC-списки. Любая ошибка быстро превращается в жалобу в Роскомнадзор или ФАС.

В 2026 году регуляторы усилили контроль. Роскомнадзор использует автоматизированные системы анализа и активно применяет новые оборотные штрафы за утечки персональных данных. ФАС фиксирует рост доли дел по жалобам на рекламные звонки без согласия. Вопрос «как настроить контакт-центр совместимо с 152-ФЗ» перестал быть теоретическим — это вопрос выживания бизнеса.

Контакт-центр как оператор: две роли — два режима

Аутсорсинговый контакт-центр: лицо, осуществляющее обработку по поручению

Аутсорсинговый контакт-центр в большинстве случаев выступает как лицо, осуществляющее обработку персональных данных по поручению оператора (заказчика) на основании статьи 6 152-ФЗ. Ключевой документ — договор поручения обработки персональных данных для контакт-центра, который прямо описывает цели, состав данных и действия с ними.

В договоре с заказчиком обязательно должны быть прописаны:

• цели обработки (например, «сервисный обзвон по статусу заказов», «телемаркетинг по согласившейся базе»);

• перечень персональных данных (номер, ФИО, история покупок и т.п.);

• допустимые действия (звонок, запись разговора, внесение результатов в CRM, скоринг звонков);

• запрет использования базы в своих целях (запрет на включение в собственный маркетинговый пул);

• меры защиты (контроль доступа, шифрование каналов, хранение в РФ);

• порядок возврата или уничтожения персональных данных после окончания проекта;

• ответственность за утечки и нарушения.

Критически важно: аутсорсер не имеет права использовать данные клиента-оператора для собственных кампаний, формирования «своих» DNC-списков или скоринговых моделей за пределами поручения. Это уже самостоятельная обработка без правового основания.

[КЕЙС]

Аутсорсинговый контакт-центр получил от заказчика базу для сервисных звонков (подтверждение заказов) и параллельно использовал её для обзвона по своим услугам. Клиенты начали жаловаться на «непонятные звонки» от другой компании, указывая, что номер давали только интернет-магазину.

Роскомнадзор квалифицировал действия аутсорсера как обработку без правового основания (нет согласия, нет статуса оператора по этим целям) и оштрафовал его как самостоятельного нарушителя. Заказчик получил штраф за передачу персональных данных без надлежащего договора поручения.

Собственный (in-house) контакт-центр: структурное подразделение оператора

In-house контакт-центр — это структурное подразделение оператора персональных данных, то есть той компании, которая определяет цели и средства обработки. Формальный договор поручения внутри группы не нужен, но внутренний контур документов должен быть таким же детализированным, как внешний.

Что обязательно оформить внутренними актами:

• положение о контакт-центре с описанием целей обработки и видов звонков;

• регламенты доступа к CRM, DNC-спискам, записям разговоров (роли: оператор, супервайзер, служба безопасности, юристы);

• инструкции по работе с персональными данными для операторов и супервайзеров (под подпись);

• порядок логирования действий (кто, когда, какие карточки клиента открывал, какие звонки совершал);

• политика обработки персональных данных и уведомление субъектов (ст. 18.1, 22 152-ФЗ).

Ключевые отличия в документах и ответственности

1. Документы

• Аутсорсер: договор поручения обработки персональных данных для контакт-центра, SLA по информационной безопасности, техническое задание с описанием CTI-интеграций, IVR-скриптов и хранения записей.

• In-house: положение о контакт-центре, политики информационной безопасности, локальные инструкции, приказы о назначении ответственного за персональные данные.

2. Ответственность

• Заказчик (оператор): отвечает за выбор аутсорсера, наличие оснований обработки, корректность уведомлений субъектов и Роскомнадзора.

• Аутсорсер: отвечает за соблюдение поручения, обеспечение информационной безопасности, недопущение использования данных вне целей.

3. Уведомления Роскомнадзора

• Оператор обязан уведомить Роскомнадзор о начале обработки и о привлечении обработчиков, если меняются сведения об обработке.

• Сам обработчик не подает отдельное уведомление по этим же целям — он действует в рамках уведомления оператора.

[КЕЙС]

Крупный интернет-магазин передал базу клиентов аутсорсинговому контакт-центру только на уровне «дополнительного соглашения к договору услуг», без отдельного договора поручения обработки персональных данных. Аутсорсер, имея полную выгрузку CRM, начал параллельно предлагать свои финансовые продукты этой же базе.

После серии жалоб Роскомнадзор оштрафовал интернет-магазин за передачу данных без надлежащего правового основания (300 тыс. руб.), а аутсорсер получил штраф за обработку без согласия субъектов (до 500 тыс. руб.).

Правовые основания для звонков: сервис vs реклама

Сервисные звонки: исполнение договора (п. 5 ч. 1 ст. 6)

Сервисные звонки — это коммуникации, связанные с исполнением договора или подготовкой к его заключению: подтверждение заказа, уточнение доставки, информирование о статусе заявки, решение технических проблем.

Для таких звонков правовым основанием является исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ). Отдельное согласие на обработку персональных данных и звонок не требуется.

Важно, чтобы содержание звонка действительно укладывалось в рамки договора:

• обсуждаем только текущий заказ или услугу;

• не предлагаем новые продукты «по пути»;

• не используем номер для посторонних целей (например, обзвон по партнёрской акции).

Как только оператор «встраивает» в сервисный разговор предложение нового продукта — это уже реклама, требующая отдельного согласия по статье 18 38-ФЗ.

Рекламные звонки: согласие + 38-ФЗ

Рекламные (телемаркетинговые) звонки направлены на продвижение товаров, работ или услуг. Они регулируются одновременно 152-ФЗ и 38-ФЗ «О рекламе». Основание обработки — согласие на рекламные звонки, которое является одновременно согласием на обработку персональных данных и согласием на получение рекламы по сетям электросвязи.

Ключевые требования:

• согласие нужно получать отдельно от общих согласий на обработку персональных данных;

• форма — любая, позволяющая подтвердить факт и содержание согласия: лог-файлы сайта, запись голосового согласия, чек-бокс с фиксацией времени и IP;

• бремя доказывания согласия лежит на рекламодателе и (или) лице, совершающем звонок;

• звонки запрещены с 22:00 до 8:00 по местному времени абонента (ст. 18 38-ФЗ).

[ВАЖНО 2026]

Практика ФАС и судов 2024–2025 годов закрепила подход: предустановленная галочка в форме заказа не считается надлежащим согласием на рекламу. В одном из дел ФАС указала, что потребитель не может «выразить согласие» путем бездействия. Если нужно снимать невидимую или труднодоступную галочку, такое «молчаливое согласие» признается недействительным.

В 2025 году ФАС отмечала, что значительная доля нарушений связана именно с отсутствием отдельного, добровольного согласия на рекламные рассылки и звонки.

Таблица: вид звонка, основание, согласие, ограничения

[РИСК]

Звонок клиенту с предложением «товара дня» во время сервисного контакта, без отдельного согласия на рекламу, — это нарушение одновременно 152-ФЗ и 38-ФЗ. Штраф для юрлица может достигать 500 тыс. руб., плюс предписание ФАС и обязательства по изменению практики обзвона.

Запись телефонных разговоров: законно, но с оговорками

Правовое основание: законный интерес

Запись разговоров — стандартный инструмент контакт-центра для контроля качества, обучения операторов, расследования инцидентов и защиты от претензий. При этом голос, связанный с номером телефона или другой идентифицирующей информацией, относится к персональным данным (а в некоторых случаях — к биометрическим, если используется для однозначной идентификации).

Распространенная и поддерживаемая практикой позиция: запись разговоров возможна на основании законного интереса оператора (п. 7 ч. 1 ст. 6 152-ФЗ) при условии соблюдения принципов минимизации, ограничения сроков хранения и надлежащего информирования субъекта.

Обязанность информировать (IVR-приветствие)

Субъект персональных данных должен быть заранее уведомлен о том, что разговор может записываться, и для каких целей. На практике это делается через IVR-приветствие или фразу оператора в начале беседы.

Требования к информированию:

• фраза должна звучать до начала «существенной части» разговора;

• информация — четкая и понятная, без «мелкого шрифта»;

• цель записи (контроль качества, разрешение споров, безопасность) должна быть отражена в политике обработки персональных данных и (или) оферте.

[ИНСТРУМЕНТ]

Пример текста для автоинформатора, учитывающего требования 152-ФЗ:

«Здравствуйте! Вас приветствует контакт-центр компании N. Ваш разговор может быть записан для контроля качества обслуживания и разрешения возможных спорных ситуаций. Продолжая разговор, вы подтверждаете, что ознакомлены с этими условиями.»

Такой текст позволяет закрыть информирование и дополнительно зафиксировать конклюдентное согласие на обработку в рамках законного интереса, не подменяя при этом отдельное согласие на рекламу.

Сроки хранения и доступ

Согласно принципам статей 5 и 19 152-ФЗ, персональные данные не должны храниться дольше, чем этого требуют цели обработки. Для записей разговоров это означает:

• типовой срок хранения — 30–90 дней, если нет иных законных оснований хранить дольше (спор, претензия, расследование инцидента);

• доступ к записям имеют только ограниченные категории сотрудников: супервайзеры, служба качества, служба безопасности, юристы;

• доступ фиксируется в логах, а сами записи защищаются от несанкционированного копирования и выноса (ограничение скачивания, водяные знаки, аудируемый экспорт).

[КЕЙС]

Клиент после расторжения договора потребовал удалить запись разговора, ссылаясь на отзыв согласия на обработку персональных данных. Контакт-центр отказал, мотивируя это необходимостью сохранить запись в пределах срока исковой давности для защиты от возможных претензий.

Роскомнадзор признал отказ правомерным, указав, что оператор вправе хранить данные, если это требуется для защиты его прав. Вместе с тем регулятор отметил, что хранение записей «про запас» дольше обоснованного срока нарушает принцип минимизации.

Автоматический обзвон (роботы): зона повышенного риска

Когда нужно согласие на автодозвон

Автоматический обзвон с использованием роботов-автоинформаторов и систем массового автодозвона (predictive dialer) рассматривается регуляторами как отдельный канал прямых коммуникаций по сетям электросвязи. В 2026 году безопасной практикой считается получение отдельного согласия на автоматический обзвон клиентов, даже если речь идет о сервисных уведомлениях (например, напоминание о доставке или платеже).

Риски автодозвона:

• высокая интенсивность вызовов может быть квалифицирована как навязчивая реклама или давление на потребителя;

• сложно доказать «точечность» согласия, если клиент подписывался в общем виде;

• автоматический дозвон по ночам почти гарантированно ведет к штрафу по 38-ФЗ.

Требования к информированию и отказу

Робот должен в начале разговора:

• представиться (название компании или заказчика, по чьему поручению совершается звонок);

• обозначить цель звонка (реклама, сервисное уведомление, напоминание);

• предоставить абоненту простую возможность немедленно отказаться от дальнейших звонков (клавиша IVR, голосовая команда, переход на оператора с фиксацией отказа).

Пример безопасной формулировки:

«Вас приветствует компания N. Это автоматическое уведомление о статусе вашего заказа. Разговор может записываться. Если вы не хотите получать от нас автоматические звонки, нажмите 9.»

[ИНСТРУМЕНТ]

Включите в каждый сценарий робота обязательный блок DNC-фиксации. Нажатие определенной клавиши (например, 9) автоматически заносит номер в DNC-список и блокирует дальнейший обзвон по всем рекламным кампаниям, а также по части сервисных сценариев, если клиент просит «не звонить вообще».

Запрет на звонки в ночное время

38-ФЗ прямо запрещает распространение рекламы по сетям электросвязи в период с 22:00 до 8:00 по местному времени абонента. Эта норма в полной мере распространяется на автоматический обзвон. Дополнительный риск в том, что роботы часто настроены на «дозвон до ответа», что приводит к многократным ночным попыткам.

[КЕЙС]

В 2025 году ФАС привлекла к ответственности микрофинансовую организацию за автоматический обзвон должников, который продолжался до 23:00 и далее с периодичностью каждый час, пока абонент не поднимал трубку.

Суд признал такую практику нарушением 38-ФЗ и прав потребителя: звонки носили навязчивый характер, совершались в ночное время и сопровождались угрозой административного иска. Штраф составил порядка 400 тыс. руб., плюс предписание изменить систему автодозвона.

DNC-списки: как вести «стоп-лист» правильно

Обязанность фиксировать отказы

DNC-список (Do Not Call) — это перечень номеров, по которым запрещено совершать рекламные звонки, а иногда и любые звонки, если клиент потребовал полного отказа от коммуникаций. В 2026 году ведение актуального DNC-списка — обязательный элемент комплаенса для контакт-центров, совершающих рекламные обзвоны.

Обязанности оператора и контакт-центра:

• фиксировать любые устные и письменные отказы (по телефону, через личный кабинет, по e-mail);

• при обработке жалобы клиента помечать номер как запрещенный для рекламы;

• обеспечивать передачу информации об отказах между оператором и аутсорсером.

Интеграция с CRM и автоматическая блокировка

Ошибкой 2020-х годов было ведение DNC-списков в Excel-файлах или отдельных «черных тетрадях» у супервайзеров. В 2026 году регуляторы ожидают, что DNC-логика вшита в CRM, диалоговую платформу и CTI-маршрутизацию.

Технически это выглядит так:

• в CRM создается отдельный атрибут или справочник «запрет на рекламу» и «запрет на любые звонки»;

• CTI-платформа при формировании кампании автоматически исключает такие номера (на уровне базы, а не усмотрения оператора);

• IVR и роботы при фиксации отказа сразу же записывают флаг в CRM;

• оператор при ручном наборе видит блокирующий статус и не может инициировать рекламный звонок.

[ИНСТРУМЕНТ]

Как настроить DNC в диалоговой платформе:

1. Введите в модели данных единую сущность «контакт» с полем DNC_status (значения: «нет», «реклама запрещена», «все звонки запрещены»).

2. Настройте в outbound-модуле фильтр, который исключает контакты с DNC_status ≠ «нет» из всех рекламных кампаний.

3. В скрипте оператора добавьте кнопку «Отказ от рекламы», которая по нажатию меняет статус DNC и пишет причину.

4. В сценарии робота добавьте ветку «нажмите 9, если не хотите получать звонки» с автоматическим изменением DNC_status.

5. Организуйте ежедневный обмен DNC-записями между оператором и аутсорсинговыми контакт-центрами.

Ответственность за повторный звонок отказавшемуся

Повторный рекламный звонок человеку, который уже заявил отказ, воспринимается ФАС и судами как отягчающее обстоятельство. Это демонстрирует системное игнорирование волеизъявления субъекта и повышает вероятность максимального штрафа.

[РИСК]

Один оператор, проигнорировавший статус DNC и позвонивший клиенту, ранее отказавшемуся от рекламы, может привести к штрафу до 500 тыс. руб. и дополнительным предписаниям по изменению процессов обзвона.

Передача данных аутсорсинговому контакт-центру

Договор поручения: обязательные условия

При передаче базы клиентов аутсорсинговому контакт-центру оператор обязан заключить договор поручения обработки персональных данных по статье 6 152-ФЗ. В отличие от общего договора оказания услуг, этот документ детализирует именно режим обработки персональных данных.

Что должно быть в договоре поручения обработки ПДн для контакт-центра:

• конкретный перечень передаваемых данных (номер телефона, имя, e-mail, история покупок, сегмент, скоринговые баллы);

• четкое описание целей: сервисные звонки, телемаркетинг по имеющимся соглашениям, проведение опросов;

• запрет на использование данных в целях аутсорсера или передачи их третьим лицам;

• требования к защите: сегментация доступа, шифрование каналов, хранение данных в РФ (учет требований о локализации баз с 2025 года);

• порядок возвращения, обезличивания или уничтожения данных после завершения кампании;

• порядок уведомления об инцидентах и утечках (учет ст. 21 152-ФЗ и обязанность уведомления Роскомнадзора);

• распределение ответственности и штрафные санкции за нарушения.

Чек-лист перед передачей базы

[ЧЕК-ЛИСТ]

7 пунктов для проверки аутсорсера перед передачей базы:

1. Есть ли у заказчика (оператора) надлежащее правовое основание для обработки и передачи персональных данных третьему лицу (для сервисных звонков достаточно договора, для рекламы — согласия с указанием возможности передачи партнёрам).

2. Подписан ли договор поручения обработки персональных данных с перечислением целей, состава данных и мер защиты.

3. Предусмотрена ли ответственность аутсорсера за утечки и нарушение поручения (штрафы, регресс, право досрочного расторжения).

4. Какие каналы передачи используются (SFTP, VPN, API с TLS) и как обеспечена криптозащита.

5. Где физически хранятся данные (локализация серверов в РФ, отсутствие неконтролируемой трансграничной передачи).

6. Как реализованы логирование и контроль доступа к базе и записям разговоров.

7. Организован ли обмен DNC-информацией: получает ли аутсорсер актуальные стоп-списки и передает ли обратно новые отказы.

Ответственность за действия аутсорсера

Даже при наличии договора поручения оператор сохраняет статус основного ответственного лица перед Роскомнадзором и субъектами персональных данных. Аутсорсер отвечает перед оператором и, в ряде случаев, напрямую по административным делам, если его действия выходят за пределы поручения.

[КЕЙС]

Интернет-магазин, не оформив должным образом поручение, передал аутсорсеру полную выгрузку CRM. Аутсорсер, считая себя свободным в использовании данных, запустил свои рекламные кампании по этой базе.

В результате: оператор получил штраф за незаконную передачу персональных данных, аутсорсер — штраф за незаконную обработку и рекламные звонки без согласия, плюс потеря контракта и репутационные потери.

Работа с «холодными» базами и покупными номерами

Почему покупные базы — это риск

Покупка баз телефонных номеров для «холодного» обзвона — одна из наиболее рискованных практик с точки зрения 152-ФЗ и 38-ФЗ. Позиция Роскомнадзора и ФАС к 2026 году: ответственность несет тот, кто звонит, а не продавец базы.

Основные проблемы:

• у покупателя базы нет подтверждений, что номера были собраны законно;

• отсутствуют доказуемые согласия абонентов на рекламу именно от этой компании;

• в базе могут оказаться номера, уже внесенные в DNC-списки других операторов.

Как минимизировать риски, если очень нужно

Если бизнес все же принимает решение использовать «холодные» базы, минимизация рисков включает:

• договор с владельцем базы, где он прямо гарантирует наличие согласий и обязуется предоставить копии или лог-записи;

• выборочную проверку: обзванивать часть базы с уточняющим вопросом, давал ли человек согласие и кому именно;

• использование базы не для рекламы, а для одноразовых юридически значимых уведомлений (если есть иное основание обработки) — но это редко применимо к «чистому» телемаркетингу;

• готовность предъявить регулятору полный пакет документов по происхождению базы и согласиям.

[РИСК]

Звонок по покупной базе без явного согласия абонента на рекламу может повлечь штраф до 500 тыс. руб. за нарушение 38-ФЗ. При массовых жалобах — серию дел и блокировку номеров оператором связи по требованию регулятора.

Позиция Роскомнадзора 2026 года

Материалы Роскомнадзора и аналитика по персональным данным за 2024–2025 годы показывают устойчивый подход: использование покупных баз без подтверждения согласий признается обработкой без правового основания по статье 6 152-ФЗ. Перекладывание ответственности на «честного поставщика базы» не освобождает от штрафа того, кто осуществил звонок.

Технические и организационные меры в контакт-центре

Разграничение доступа: что видит оператор

Один из ключевых принципов 152-ФЗ — минимизация состава данных и доступа (ст. 5, 19). В контакт-центре это означает, что оператор должен видеть только те данные, которые необходимы для выполнения его задачи:

• номер телефона, имя, статус клиента;

• краткая история обращений;

• усеченные платежные данные (без полного номера карты и CVV);

• отсутствие доступа к паспортным данным, СНИЛС, внутренним идентификаторам, если они не нужны для разговора.

Тонкая настройка прав в CRM и контакт-центровой платформе снижает риск утечек и «слива баз» операторами.

Логирование действий

Системы CTI и CRM должны вести подробные логи действий операторов и супервайзеров:

• какое дело или карточку клиента открывал;

• какие изменения вносил (статус согласия, DNC, комментарии);

• какие звонки совершал и кто прослушивал записи.

Логи необходимы не только для внутреннего контроля, но и для демонстрации Роскомнадзору при проверках. Так проще доказать локальный инцидент, а не системный характер нарушений.

Защита записей и каналов передачи

Для контакт-центров, особенно аутсорсинговых, критичны следующие меры:

• защищенные каналы передачи данных (VPN, TLS, SFTP);

• шифрование баз персональных данных и архивов записей разговоров;

• контроль копирования и выгрузки (DLP-решения, запрет внешних носителей);

• хранение записей и баз на серверах, расположенных в РФ, с учетом требований о локализации данных граждан РФ.

Локальные акты и инструкции

Согласно статьям 18.1 и 19 152-ФЗ, у оператора должны быть:

• политика обработки персональных данных (на сайте и во внутренних документах);

• реестр процессов обработки (в том числе по линиям контакт-центра);

• приказ о назначении ответственного за персональные данные;

• инструкции по реагированию на инциденты, взаимодействию с Роскомнадзором и субъектами.

Для контакт-центра отдельно оформляются регламенты записи разговоров, сценарии IVR-информирования, порядок работы с DNC-списками и автоматическим обзвоном.

Ответственность и штрафы в 2026 году

Таблица штрафов по основным составам

Ниже — ориентировочные размеры санкций для контакт-центров и их заказчиков в 2026 году с учетом последних изменений:

Оборотные штрафы за утечки

С 30 мая 2025 года вступил в силу механизм оборотных штрафов за повторные нарушения, связанные с утечками персональных данных. Для компаний, допустивших повторные утечки крупных объемов персональных данных, штраф может составлять от 1 до 3% годовой выручки, но не менее 20–25 млн руб. и не более 500 млн руб.

Для контакт-центров, работающих с миллионами телефонных номеров и записей разговоров, такой штраф может означать фактическую потерю бизнеса.

Репутационные риски

Помимо прямых штрафов, утечка базы звонков, записей разговоров или массовые жалобы на спам-обзвон ведут к:

• расторжению контрактов крупными заказчиками;

• блокировке номерных емкостей операторами связи;

• волне негативных публикаций в СМИ и социальных сетях;

• необходимости масштабных инвестиций в информационную безопасность и комплаенс «задним числом».

[ВАЖНО 2026]

Каждый звонок без согласия — это потенциальный иск и штраф. В условиях оборотных санкций и автоматизированного мониторинга жалоб один неверный сценарий автодозвона или отсутствие DNC-списка может стоить контакт-центру до нескольких процентов годовой выручки.

Чек-лист готовности контакт-центра к 2026 году

[ЧЕК-ЛИСТ]

Используйте этот список как быстрый аудит соответствия контакт-центра требованиям 152-ФЗ:

1. Разграничены ли в CRM сервисные и рекламные звонки, и прописаны ли для них разные правовые основания?

2. Существуют ли отдельные согласия на рекламные звонки и автоматический обзвон, не «зашитые» в общие условия обработки персональных данных?

3. Настроено ли IVR-информирование о записи разговоров с указанием целей?

4. Ограничен ли срок хранения записей (например, автоудаление старше 90 дней, кроме помеченных как «спорные»)?

5. Ведется ли DNC-список и интегрирован ли он в CRM и outbound-платформу так, чтобы оператор физически не мог обойти запрет?

6. Формируются ли логи действий операторов: просмотр карточек, изменение статусов согласия, прослушивание записей?

7. Реализовано ли разграничение доступа к персональным данным: оператор видит только минимальный необходимый набор данных?

8. Используются ли защищенные каналы связи (VPN, TLS, SFTP) при передаче баз и записей между оператором и аутсорсером?

9. Хранятся ли базы персональных данных и записи разговоров на серверах, локализованных в РФ, с учетом последних требований к локализации?

10. Заключен ли с аутсорсером договор поручения обработки персональных данных с описанием целей, состава данных, мер защиты и ответственности?

11. Организован ли обмен DNC-информацией между оператором и аутсорсинговым контакт-центром?

12. Проведен ли инструктаж операторов и супервайзеров по границе между сервисными и рекламными звонками?

13. Оформлена ли и опубликована политика обработки персональных данных, включающая описание работы контакт-центра?

14. Назначен ли ответственный за персональные данные и есть ли у него план реагирования на инциденты (утечки, жалобы)?

15. Проводится ли периодический аудит сценариев автодозвона, скриптов операторов и IVR-сообщений на предмет соответствия 152-ФЗ и 38-ФЗ?

Заключение

Контакт-центр — это не просто «трубка и скрипт». Это сложная система обработки персональных данных с десятками процессов, каждый из которых должен иметь свое правовое основание. В 2026 году «серые» схемы обзвона, предустановленные галочки и формальные согласия уже не проходят. Регуляторы опираются на автоматический анализ жалоб и ужесточенную систему штрафов.

Системный подход — разделение сервисных и рекламных целей, четкая договорная модель с аутсорсерами, внедрение DNC-списков и корректного IVR-информирования — превращает контакт-центр из источника юридического риска в инструмент создания доверия к бренду. А доверие клиентов сегодня стоит значительно дороже любых потенциальных штрафов.