GDPR КОЛ-ЦЕНТЪР & ОБСЛУЖВАНЕ Публикувано: 25 април 2026 11 мин четене

Записване на разговори в кол-център — правни основания, ePrivacy и КЗЛД практика

Q: Какви са правните основания за записване на телефонни разговори?

По чл. 6 GDPR — четирите типични основания са: (1) изрично съгласие на повикващия (по чл. 6, ал. 1, б. „а”); (2) изпълнение на договор (б. „б”) — когато записът е необходим за услугата; (3) законово задължение (б. „в”) — например за финансови услуги по MiFID II, чл. 16, пар. 7; (4) легитимен интерес (б. „е”) — например за качествен контрол на обслужването. Важно: съгласието не може да бъде презумирано — мълчанието на повикващия не е съгласие. Винаги се изисква изрично информиране и активна възможност за отказ.

Q: Какво трябва да съдържа уведомлението в началото на разговора?

По чл. 13 GDPR при началото на разговора повикващият трябва да получи: (1) кой е администраторът; (2) фактът на записване; (3) целите на записването; (4) правното основание; (5) срок за съхранение; (6) права на субекта (достъп, изтриване, възражение); (7) данни за длъжностното лице по защита на данните. Стандартна формула: „Този разговор се записва за качествен контрол на обслужването на основание легитимен интерес. Имате право да възразите. Подробна информация на www.firma.bg/poveritelnost.

Q: Какво е положението с гласовата биометрия?

Voice biometrics (гласова идентификация на клиент) попада в специалните категории по чл. 9 GDPR — биометрични данни с цел уникална идентификация на физическо лице. Изисква едно от изключенията по чл. 9, ал. 2 — обикновено изрично съгласие. КЗЛД в становищата си подчертава, че това е категория с висок риск, която изисква отделна оценка на въздействието (DPIA) по чл. 35 GDPR. Допълнително — задължителна е алтернатива (например ПИН код), за да може клиентът да откаже биометрия.

Q: Може ли служителят на кол-център да откаже записване на разговорите си?

По правило — не. Записването на изходящи и входящи разговори от страна на работодателя е разрешено за легитимен интерес (качествен контрол) при пропорционалност. Но: служителят трябва да бъде писмено информиран при наемане; записите не може да се ползват за оценка на личността; камерите за лицево разпознаване в кол-центъра остават забранени. Това произтича от Становище на Работна група по чл. 29 от 2017 г. (WP249, заменена от ЕКЗД/EDPB) §5.4 и КЗЛД позиции за работно място.

Q: Какви са специфичните задължения по ЗЕС (Закон за електронните съобщения)?

По чл. 251б ЗЕС операторите на електронни съобщителни мрежи са длъжни да съхраняват трафични данни (не съдържание) за 6 месеца. Това е за публични оператори — не директно за кол-центрове. НО: ако вашата компания е телеком, банка или друг регулиран субект, трафичните данни от кол-центъра подлежат на този режим. Решение C-350/21 на СЕС (от ноември 2022 г.) подложи на критика българската уредба — препоръчваме консултация при специфичен сценарий.

България е една от водещите държави в Европа за аутсорсинг на кол-центрове — банки, застрахователи, телекоми, IT компании от ЕС и САЩ имат тук стотици хиляди работни места. Записването на разговори е стандартна практика — но регулативната рамка е по-стриктна, отколкото повечето мениджъри предполагат. Чл. 6 GDPR, Директивата за неприкосновеност на електронните съобщения (ePrivacy), чл. 251б ЗЕС и КЗЛД позициите формират сложна, но изпълнима рамка. Това ръководство е за директори на кол-центрове, юрисконсулти и длъжностни лица по защита на данните в банки, застрахователи и аутсорсинг компании.

Съдържание

Защо темата е критична за български аутсорсинг
Правна рамка — четирите източника
Четирите правни основания за записване
Уведомление при началото на разговора
Срок на съхранение по цели
Гласова биометрия и специални категории
Записване на разговори на служители
Чеклист за директор на кол-център
Често задавани въпроси

Защо темата е критична за български аутсорсинг

През последните 10 години България се превърна в един от центровете на ЕС за аутсорсинг на обслужване на клиенти. Български кол-центрове обслужват клиенти на банки от Германия, телеком оператори от Великобритания, застрахователи от Швейцария и финтех компании от Нидерландия. Прогнозни данни показват, че индустрията дава работа на стотици хиляди души в страната.

Този мащаб води до три специфични правни рискове:

Многоюрисдикционност — клиентите са в различни държави, всяка със своите специфични изисквания
Гласови данни в обем — милиони часове аудио месечно, всеки разговор съдържа лични данни
Аутсорсинг договори — българската фирма е обработващ за множество администратори, всеки с различни условия

Цената на грешката

Глобите за неправомерно записване на разговори по чл. 83 GDPR достигат до EUR 20 милиона или 4% от глобалния оборот. За аутсорсинг компания това може да означава прекратяване на договори с международни клиенти — щета, която често надхвърля самата глоба. Освен това: правни искове от засегнати лица (бивши клиенти), репутационни загуби, регулаторни проверки от КЗЛД и от надзорни органи в други държави членки.

Правна рамка — четирите източника

Записването на разговори се регулира паралелно от четири правни източника:

Източник	Какво регулира
GDPR	Чл. 6 (правни основания), чл. 9 (специални категории — гласова биометрия), чл. 13 (информация при събиране), чл. 35 (DPIA), чл. 28 (договор за обработване с обработващ лични данни)
Директива (ePrivacy) 2002/58/ЕО	Чл. 5(1) — поверителност на електронните съобщения. Прилага се успоредно с GDPR като lex specialis (специален закон с приоритет) за телекомуникации.
Закон за електронните съобщения (ЗЕС)	Чл. 251б — съхранение на трафични данни за 6 месеца от публични телеком оператори. Не директно за кол-центрове, но релевантно за телекоми.
КЗЛД позиции	Тълкувания за съгласие, уведомление, гласова биометрия, граници на легитимния интерес

За правилно изграждане на процедурата трябва да се отчитат и четирите източника едновременно — позоваването само на GDPR не е достатъчно.

Четирите правни основания за записване

По чл. 6 GDPR правните основания за обработване (включително записване) на лични данни са шест. За кол-центрове четирите типични са:

Изрично съгласие — чл. 6, ал. 1, б. „а"

Повикващият дава активно съгласие за записване в началото на разговора. Подходящо за маркетингови обаждания, проучвания. Изисква възможност за отказ без последици за услугата.

Изпълнение на договор — чл. 6, ал. 1, б. „б"

Когато записът е обективно необходим за изпълнение на услугата (напр. поръчки на стоки по телефон, банкови нареждания). Подходящо за обработване на конкретно действие.

Законово задължение — чл. 6, ал. 1, б. „в"

Регулирани сектори имат законови задължения за запис: Директива 2014/65/ЕС за пазарите на финансови инструменти (MiFID II), чл. 16, пар. 7 (инвестиционни услуги — 5 г.), мерки срещу изпирането на пари (по ЗМИП), законодателство за защита на потребителите.

Легитимен интерес — чл. 6, ал. 1, б. „е"

Най-чест за качествен контрол на обслужването, обучение на оператори, разрешаване на спорове. Изисква документиран тест за легитимен интерес (LIA) и възможност за възражение.

Внимание: съгласие в кол-център не работи както мислите

„Натиснете 1, за да се съгласите със записа, и 2, за да откажете" — на практика голяма част от обажданията не започват с активно, а с подразбиращо се съгласие. Това е невалидно съгласие по GDPR. По-добра практика: легитимен интерес с ясно уведомление и възможност за активно възражение чрез „Натиснете 1, за да говорите без запис".

Уведомление при началото на разговора

По чл. 13 GDPR при събиране на лични данни директно от субекта (включително при разговор) администраторът е длъжен да предостави определена информация. За кол-център това означава ясно гласово уведомление в началото на разговора, преди записването да започне.

Минимално задължително съдържание

Идентификация на администратора (името на фирмата)
Фактът на записване
Целта на записването (качествен контрол / договорни цели / др.)
Правното основание
Срок за съхранение
Права на субекта (достъп, изтриване, възражение)
Линк към пълна политика за поверителност
Контакт на длъжностното лице по защита на данните

Стандартна формула за уведомление

„Здравейте! Този разговор се записва за качествен контрол на обслужването. Записът се съхранява 90 дни. Имате право на достъп и възражение. За подробна информация — www.firma.bg/poveritelnost. Натиснете 1, за да продължите без запис, или останете на линията, за да продължим."

Многоезичност за международни кол-центрове

За българските кол-центрове, обслужващи клиенти от различни държави, уведомлението трябва да бъде на езика, на който се води разговорът. Препоръчваме автоматично разпознаване на езика по входящия номер или избор на език в гласовото меню (IVR). КЗЛД и надзорните органи в други държави членки очакват уведомлението да е на разбираем за повикващия език.

Срок на съхранение по цели

Принципът на минимизация на съхранението по чл. 5, ал. 1, б. „д" GDPR изисква данните да се съхраняват само толкова, колкото е необходимо. За записи на разговори препоръчителните срокове по цели:

Цел	Препоръчителен срок	Основание
Качествен контрол на обслужването	30–90 дни	Достатъчно за случаен преглед — пропорционалност
Обучение на нови оператори	До 6 месеца (анонимизирани)	Принцип на минимизация — анонимизация след 6 м.
Разрешаване на спор / жалба	До приключване + давностен срок	Чл. 110 ЗЗД — общ давностен срок 5 години
Инвестиционни услуги (MiFID II, чл. 16, пар. 7)	5 години (възможност за 7)	Задължение от MiFID II, чл. 16, пар. 7
Маркетингови обаждания	До 2 години	Краткосрочна цел — пропорционалност
Гласова биометрия	До оттегляне на съгласието	Чл. 9 GDPR — специална категория

Превишаване на тези срокове е нарушение на принципа на минимизация. Документираната политика за заличаване — задължителна.

Гласова биометрия и специални категории

През последните години все повече банки и финтех компании внедряват гласова биометрия (гласова биометрия (voice biometrics)) — система за идентификация на клиента по глас, без нужда от парола. Това е фундаментално различна категория от обикновеното записване.

По чл. 9, ал. 1 GDPR, биометричните данни, които се обработват с цел уникална идентификация на физическо лице, представляват специална категория. Обработването им е забранено, освен ако не е налице някое от изключенията по ал. 2 — най-често изрично съгласие на субекта.

Изисквания за гласова биометрия

Изрично съгласие — отделно от съгласието за самото записване
Алтернатива — клиентът трябва да може да се идентифицира и без биометрия (ПИН, парола, СМС код)
DPIA по чл. 35 GDPR — задължителна за висок риск
Усилени технически мерки — криптиране, ограничен достъп, одитни журнали
Право на оттегляне — лесно достъпно, със заличаване на биометричния образец

Позиция на КЗЛД за гласовата биометрия

В практиката си КЗЛД последователно подчертава, че гласовата биометрия представлява обработване на специални категории лични данни по чл. 9 GDPR с особено висок риск. Изисква се: (1) задължителна оценка на въздействието по чл. 35 GDPR; (2) изрично, информирано и доказуемо съгласие на субекта по чл. 9, ал. 2, б. „а" GDPR; (3) предоставяне на ефективна алтернатива за идентификация (например ПИН код или контролни въпроси); (4) пропорционалност и срочност на съхранението. Внедряване без тези мерки представлява тежко нарушение и обосновава както административна отговорност по чл. 83 GDPR, така и иск за обезщетение по чл. 82 GDPR.

Записване на разговори на служители

Освен правата на повикващия, важни са и правата на самия оператор. Принципите се извеждат от практиката на Европейския съд по правата на човека и от насоките на Работна група по чл. 29:

Bărbulescu срещу Румъния (Голяма камара, жалба № 61496/08, решение от 5.09.2017 г.) — мониторингът на електронната комуникация на служител на работното място изисква предварително уведомяване, законна цел, пропорционалност и наличие на по-малко интрузивни алтернативи; работодателят носи тежестта на доказване на спазването;
López Ribalda и др. срещу Испания (Голяма камара, жалби № 1874/13 и № 8567/13, решение от 17.10.2019 г.) — скрито видеонаблюдение на служители е допустимо само при обосновано подозрение за съществено нарушение и при стриктна пропорционалност;
Становище 2/2017 на Работна група по чл. 29 относно обработването на данни на работното място (WP249), т. 5.4 (заменена от ЕКЗД/EDPB).

В обобщение, въз основа на тези източници и общата практика на КЗЛД:

Записването на разговори на оператора е допустимо по легитимен интерес (качествен контрол)
Операторът трябва да бъде писмено информиран при наемане
Записването трябва да е включено в трудовия договор или вътрешния трудов ред
Записите не могат да се ползват за персонална оценка или дисциплинарни мерки без отделно правно основание
Използването на камери за лицево разпознаване в кол-центъра е забранено — освен при изключителни обстоятелства (виж нашата статия за мониторинг на служители)

Чеклист за директор на кол-център

Документирано правно основание за записването — при легитимен интерес: писмена оценка по чл. 6, ал. 1, б. „е" GDPR (LIA), подписана от длъжностното лице по защита на данните; преглед на 12 месеца;
Гласово уведомление в началото на разговора — съдържа всички елементи по чл. 13 GDPR; одобрено от юрисконсулт; на езика на разговора;
Възможност за отказ от записване — IVR опция с конкретен бутон или ясна процедура за пренасочване към оператор без запис;
Документирани срокове за съхранение по цели — таблица в политиката за съхранение, одобрена от управителния орган;
Автоматизирано заличаване след изтичане на срока — техническа мярка, отговорник: CISO; дневник за изпълнение;
Одитни журнали за достъп до записите (кой, кога, причина); съхранение 24 месеца;
Криптиране на съхраняваните записи (data at rest) — минимум AES-256; ключове под контрола на администратора;
Договор за обработване по чл. 28 GDPR с администраторите-възложители от чужбина — преглед от юрисконсулт; ревизия при промяна на услугата;
Оценка на въздействието (DPIA) за гласова биометрия — задължителна преди внедряване, ако се използва; отговорник: DPO; одобрение от управителния орган;
Ефективна алтернатива за идентификация при биометрия (ПИН код, контролни въпроси) — обявена в политиката за поверителност;
Уведомяване на служителите при наемане + изрична клауза в трудовия договор и във вътрешния трудов ред;
Регистър на дейностите по обработване (РДО, RoPA) — включва записването в кол-центъра; преглед на 12 месеца;
Процедура за искания на субекти (достъп, изтриване, преносимост, възражение) — едномесечен срок по чл. 12, ал. 3 GDPR; журнал;
Обучение на операторите за GDPR — задължително при наемане и веднъж годишно; протокол с подписи;
Стандарт за сигурност на платежните картови данни (PCI-DSS) — приложим, когато по време на разговора се обработват картови данни; задължително заглушаване (pause-and-resume) на записа в момента на въвеждане на CVV/PAN.

Често задавани въпроси

Какви са правните основания за записване на телефонни разговори?

По чл. 6 GDPR — четирите типични основания са: (1) изрично съгласие на повикващия (чл. 6, ал. 1, б. „а"); (2) изпълнение на договор (б. „б"); (3) законово задължение (б. „в") — например MiFID II, чл. 16, пар. 7 за инвестиционни услуги; (4) легитимен интерес (б. „е") — за качествен контрол на обслужването. Важно: съгласието не може да бъде презумирано — мълчанието на повикващия не е съгласие.

Какво трябва да съдържа уведомлението в началото на разговора?

По чл. 13 GDPR: (1) кой е администраторът; (2) фактът на записване; (3) целите; (4) правното основание; (5) срок за съхранение; (6) права на субекта; (7) линк към политика за поверителност; (8) данни за длъжностното лице по защита на данните. Стандартна формула: „Този разговор се записва за качествен контрол на основание легитимен интерес. Имате право да възразите. Подробна информация на www.firma.bg/poveritelnost."

Колко време може да се съхраняват записите?

Срокът зависи от целта. По принципа на минимизация (чл. 5 GDPR): за качествен контрол — типично 30-90 дни; за обработване на жалби — до приключване плюс давностен срок (общо до 5 г.); за инвестиционни услуги (MiFID II, чл. 16, пар. 7) — 5 години; за маркетинг — до 2 години.

Какво е положението с гласовата биометрия?

Гласовата биометрия попада в специалните категории по чл. 9 GDPR. Изисква едно от изключенията по ал. 2 — обикновено изрично съгласие. КЗЛД подчертава, че това е категория с висок риск, която изисква отделна оценка на въздействието (DPIA) по чл. 35 GDPR. Допълнително — задължителна е алтернатива (например ПИН код), за да може клиентът да откаже биометрия.

Може ли служителят на кол-център да откаже записване на разговорите си?

По правило — не. Записването на разговори от страна на работодателя е разрешено за легитимен интерес (качествен контрол) при пропорционалност. Но: служителят трябва да бъде писмено информиран при наемане; записите не може да се ползват за персонална оценка; видеонаблюдението с биометрично разпознаване на лица в кол-центъра остава забранено.

Какви са специфичните задължения по ЗЕС (Закон за електронните съобщения)?

По чл. 251б от Закона за електронните съобщения (ЗЕС) операторите на електронни съобщителни мрежи са длъжни да съхраняват трафични данни (не съдържание) за 6 месеца. Режимът се прилага към публичните оператори, не директно към кол-центровете. Когато обаче дружеството е телеком, банка или друг регулиран субект, трафичните данни от кол-центъра попадат в обхвата на режима. С Решение на СЕС от 17 ноември 2022 г. по дело C-350/21, Spetsializirana prokuratura (запитване от Специализирания наказателен съд на Република България), Съдът прие, че националният режим за общо и безразборно запазване на трафични данни по чл. 251б ЗЕС за целите на наказателно производство е несъвместим с чл. 15, пар. 1 от Директива 2002/58/ЕО във връзка с Хартата на основните права на ЕС. Препоръчителен подход: телеком операторите да възложат на длъжностното лице по защита на данните годишен преглед на политиката за съхранение на трафични данни и да актуализират съответно RoPA.

Тази статия отразява правното положение към 25 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изграждане на процедура за записване на разговори в кол-център, гласова биометрия или DPIA, моля свържете се с нас.

Внедрявате нов кол-център или обновявате процедурите за запис?

Помагаме на банки, застрахователи, телекоми и аутсорсинг компании да изградят правомерни процедури за записване на разговори — отговарящи на GDPR, ePrivacy, ЗЕС и КЗЛД позициите.

Преглед на текущата процедура за записване
Правен анализ на основанието (LIA, договорни клаузи)
Шаблони за гласови уведомления (многоезични)
DPIA за гласова биометрия и анализ на разговори чрез изкуствен интелект (ИИ)
Договор за обработване (DPA) с международни клиенти
Защита при жалба на клиент или КЗЛД проверка

Заявете консултация →

Получавайте нови анализи на корпоративна GDPR практика

Свежи разбори за директори, юрисконсулти и длъжностни лица по защита на данните. Без спам.

Можете да се отпишете по всяко време. Политика за поверителност

Адв. Йордан Чолаков & Адв. Десислава Димитрова

Dimitrova, Cholakov & Partners · Innovires

Адв. Чолаков и адв. Димитрова консултират директори на кол-центрове, банки, застрахователи и аутсорсинг компании в България — за записване на разговори, гласова биометрия, договори с международни клиенти и защита при КЗЛД проверка.