Записване на разговори в кол-център — правни основания, ePrivacy и КЗЛД практика
България е една от водещите държави в Европа за аутсорсинг на кол-центрове — банки, застрахователи, телекоми, IT компании от ЕС и САЩ имат тук стотици хиляди работни места. Записването на разговори е стандартна практика — но регулативната рамка е по-стриктна, отколкото повечето мениджъри предполагат. Чл. 6 GDPR, ePrivacy Директивата, чл. 251б ЗЕС и КЗЛД позициите формират сложна, но изпълнима рамка. Това ръководство е за директори на кол-центрове, юрисконсулти и длъжностни лица по защита на данните в банки, застрахователи и аутсорсинг компании.
Съдържание
- Защо темата е критична за български аутсорсинг
- Правна рамка — четирите източника
- Четирите правни основания за записване
- Уведомление при началото на разговора
- Срок на съхранение по цели
- Гласова биометрия и специални категории
- Записване на разговори на служители
- Чеклист за директор на кол-център
- Често задавани въпроси
Защо темата е критична за български аутсорсинг
През последните 10 години България се превърна в един от центровете на ЕС за аутсорсинг на обслужване на клиенти. Български кол-центрове обслужват клиенти на банки от Германия, телеком оператори от Великобритания, застрахователи от Швейцария и финтех компании от Нидерландия. Прогнозни данни показват, че индустрията дава работа на стотици хиляди души в страната.
Тази мащаб води до три специфични правни рискове:
- Многоюрисдикционност — клиентите са в различни държави, всяка със своите специфични изисквания
- Гласови данни в обем — милиони часове аудио месечно, всеки разговор съдържа лични данни
- Аутсорсинг договори — българската фирма е обработващ за множество администратори, всеки с различни условия
Цената на грешката
Глобите за неправомерно записване на разговори по чл. 83 GDPR достигат до EUR 20 милиона или 4% от глобалния оборот. За аутсорсинг компания това може да означава прекратяване на договори с международни клиенти — щета, която често надхвърля самата глоба. Освен това: правни искове от засегнати лица (бивши клиенти), репутационни загуби, регулаторни проверки от КЗЛД и от надзорни органи в други държави членки.
Правна рамка — четирите източника
Записването на разговори се регулира паралелно от четири правни източника:
| Източник | Какво регулира |
|---|---|
| GDPR | Чл. 6 (правни основания), чл. 9 (специални категории — гласова биометрия), чл. 13 (информация при събиране), чл. 35 (DPIA), чл. 28 (договор за обработване с аутсорсинг доставчик) |
| ePrivacy Директива 2002/58/EC | Чл. 5(1) — поверителност на електронните съобщения. Прилага се успоредно с GDPR като lex specialis (специален закон с приоритет) за телекомуникации. |
| Закон за електронните съобщения (ЗЕС) | Чл. 251б — съхранение на трафични данни за 6 месеца от публични телеком оператори. Не директно за кол-центрове, но релевантно за телекоми. |
| КЗЛД позиции | Тълкувания за съгласие, уведомление, гласова биометрия, граници на легитимния интерес |
За правилно изграждане на процедурата трябва трите едновременно — само на GDPR не е достатъчно.
Четирите правни основания за записване
По чл. 6 GDPR правните основания за обработване (включително записване) на лични данни са шест. За кол-центрове четирите типични са:
Изрично съгласие — чл. 6, ал. 1, б. „а"
Повикващият дава активно съгласие за записване в началото на разговора. Подходящо за маркетингови обаждания, проучвания. Изисква възможност за отказ без последици за услугата.
Изпълнение на договор — чл. 6, ал. 1, б. „б"
Когато записът е обективно необходим за изпълнение на услугата (напр. поръчки на стоки по телефон, банкови нареждания). Подходящо за обработване на конкретно действие.
Законово задължение — чл. 6, ал. 1, б. „в"
Регулирани сектори имат законови задължения за запис: MiFID II (инвестиционни услуги — 5 г.), AML (борба с пране на пари), законодателство за защита на потребителите.
Легитимен интерес — чл. 6, ал. 1, б. „е"
Най-чест за качествен контрол на обслужването, обучение на оператори, разрешаване на спорове. Изисква документиран тест за легитимен интерес (LIA) и възможност за възражение.
Внимание: съгласие в кол-център не работи както мислите
„Натиснете 1 за да се съгласите за запис, 2 за да откажете" — на практика голяма част от обажданията не започват с активно съгласие, а с подразбиращо. Това е невалидно съгласие по GDPR. По-добра практика: легитимен интерес с ясно уведомление и възможност за активно възражение чрез „Натиснете 1 за да говорите без запис".
Уведомление при началото на разговора
По чл. 13 GDPR при събиране на лични данни директно от субекта (включително при разговор) администраторът е длъжен да предостави определена информация. За кол-център това означава ясно гласово уведомление в началото на разговора, преди записването да започне.
Минимално задължително съдържание
- Идентификация на администратора (името на фирмата)
- Фактът на записване
- Целта на записването (качествен контрол / договорни цели / др.)
- Правното основание
- Срок за съхранение
- Права на субекта (достъп, изтриване, възражение)
- Линк към пълна политика за поверителност
- Контакт на длъжностното лице по защита на данните
Стандартна формула за уведомление
„Здравейте! Този разговор се записва за качествен контрол на обслужването. Записът се съхранява 90 дни. Имате право на достъп и възражение. За подробна информация — www.firma.bg/poveritelnost. Натиснете 1 за да продължите без запис, или останете на линията за да продължим."
Многоезичност за международни кол-центрове
За българските кол-центрове, обслужващи клиенти от различни държави, уведомлението трябва да бъде на езика, на който се води разговорът. Препоръчваме автоматична детекция на езика по входящия номер или избор на език в гласовото меню (IVR). КЗЛД и надзорните органи в други държави членки очакват уведомлението да е на разбираем за повикващия език.
Срок на съхранение по цели
Принципът на минимизация на съхранението по чл. 5, ал. 1, б. „д" GDPR изисква данните да се съхраняват само толкова, колкото е необходимо. За записи на разговори препоръчителните срокове по цели:
| Цел | Препоръчителен срок | Основание |
|---|---|---|
| Качествен контрол на обслужването | 30–90 дни | Достатъчно за случаен преглед — пропорционалност |
| Обучение на нови оператори | До 6 месеца (анонимизирани) | Принцип на минимизация — анонимизация след 6 м. |
| Разрешаване на спор / жалба | До приключване + давностен срок | Чл. 110 ЗЗД — общ давностен срок 5 години |
| Инвестиционни услуги (MiFID II) | 5 години (възможност за 7) | Задължение от MiFID II |
| Маркетингови обаждания | До 2 години | Краткосрочна цел — пропорционалност |
| Гласова биометрия | До оттегляне на съгласието | Чл. 9 GDPR — специална категория |
Превишаване на тези срокове е нарушение на принципа на минимизация. Документираната политика за заличаване — задължителна.
Гласова биометрия и специални категории
През последните години все повече банки и финтех компании внедряват гласова биометрия (гласова биометрия (voice biometrics)) — система за идентификация на клиента по глас, без нужда от парола. Това е фундаментално различна категория от обикновеното записване.
По чл. 9, ал. 1 GDPR, биометричните данни, обработвани с цел уникална идентификация на физическо лице, са специална категория. Тяхното обработване е забранено, освен при изключение по ал. 2 — обикновено изрично съгласие.
Изисквания за гласова биометрия
- Изрично съгласие — отделно от съгласието за самото записване
- Алтернатива — клиентът трябва да може да се идентифицира и без биометрия (ПИН, парола, СМС код)
- DPIA по чл. 35 GDPR — задължителна за висок риск
- Усилени технически мерки — криптиране, ограничен достъп, журнали за одит
- Право на оттегляне — лесно достъпно, със заличаване на биометричния образец
КЗЛД позиция за гласова биометрия
В становищата си КЗЛД подчертава, че гласовата биометрия е категория с особено висок риск — изисква DPIA, документирано правно основание и алтернативни методи за идентификация. Внедряване без тези мерки е грубо нарушение и води до незабавна регулаторна реакция.
Записване на разговори на служители
Освен правата на повикващия, важни са и правата на самия оператор. По Article 29 WP249 §5.4 и общата практика на КЗЛД:
- Записването на разговори на оператора е допустимо по легитимен интерес (качествен контрол)
- Операторът трябва да бъде писмено информиран при наемане
- Записването трябва да е включено в трудовия договор или вътрешния трудов ред
- Записите не могат да се ползват за персонална оценка или дисциплинарни мерки без отделно правно основание
- Камери за лицево разпознаване в кол-центъра са забранени — освен при изключителни обстоятелства (виж нашата статия за мониторинг на служители)
Чеклист за директор на кол-център
- Правно основание за записване — документирано (LIA при легитимен интерес)
- Гласово уведомление в началото на разговора — съдържа всички елементи по чл. 13 GDPR
- Възможност за отказ от записване (натискане на бутон или ясна процедура)
- Многоезичност — уведомления на езика на разговора
- Документирани срокове за съхранение по цели
- Автоматизирано заличаване след изтичане на срока
- Журнали за достъп до записи (кой и кога е слушал)
- Криптиране на записите в покой
- Договор за обработване (DPA) с международните клиенти-администратори
- DPIA за гласова биометрия (ако се използва)
- Алтернативен метод за идентификация — задължителен при биометрия
- Информация за служителите при наемане + клауза в трудовия договор
- Регистър на дейностите по обработване (RoPA) включва записването
- Процедура за искания на субекти (достъп, изтриване, преносимост)
- Обучение на оператори за GDPR — минимум веднъж годишно
Често задавани въпроси
Какви са правните основания за записване на телефонни разговори?
По чл. 6 GDPR — четирите типични основания са: (1) изрично съгласие на повикващия (чл. 6, ал. 1, б. „а"); (2) изпълнение на договор (б. „б"); (3) законово задължение (б. „в") — например MiFID II за инвестиционни услуги; (4) легитимен интерес (б. „е") — за качествен контрол на обслужването. Важно: съгласието не може да бъде презумирано — мълчанието на повикващия не е съгласие.
Какво трябва да съдържа уведомлението в началото на разговора?
По чл. 13 GDPR: (1) кой е администраторът; (2) фактът на записване; (3) целите; (4) правното основание; (5) срок за съхранение; (6) права на субекта; (7) линк към политика за поверителност; (8) данни за длъжностното лице по защита на данните. Стандартна формула: „Този разговор се записва за качествен контрол на основание легитимен интерес. Имате право да възразите. Подробна информация на www.firma.bg/poveritelnost."
Колко време може да се съхраняват записите?
Срокът зависи от целта. По принципа на минимизация (чл. 5 GDPR): за качествен контрол — типично 30-90 дни; за обработване на жалби — до приключване плюс давностен срок (общо до 5 г.); за инвестиционни услуги (MiFID II) — 5 години; за маркетинг — до 2 години.
Какво е положението с гласовата биометрия?
Гласовата биометрия попада в специалните категории по чл. 9 GDPR. Изисква едно от изключенията по ал. 2 — обикновено изрично съгласие. КЗЛД подчертава, че това е категория с висок риск, която изисква отделна оценка на въздействието (DPIA) по чл. 35 GDPR. Допълнително — задължителна е алтернатива (например ПИН код), за да може клиентът да откаже биометрия.
Може ли служителят на кол-център да откаже записване на разговорите си?
Не — обикновено не. Записването на разговори от страна на работодателя е разрешено за легитимен интерес (качествен контрол) при пропорционалност. Но: служителят трябва да бъде писмено информиран при наемане; записите не може да се ползват за персонална оценка; камери за лицево разпознаване в кол-центъра остават забранени.
Какви са специфичните задължения по ЗЕС (Закон за електронните съобщения)?
По чл. 251б ЗЕС операторите на електронни съобщителни мрежи са длъжни да съхраняват трафични данни (не съдържание) за 6 месеца. Това е за публични оператори — не директно за кол-центрове. НО: ако вашата компания е телеком, банка или друг регулиран субект, трафичните данни от кол-центъра подлежат на този режим. Решение C-350/21 на СЕС (от ноември 2022 г.) подложи на критика българската уредба — препоръчваме консултация при специфичен сценарий.
Тази статия отразява правното положение към 25 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изграждане на процедура за записване на разговори в кол-център, гласова биометрия или DPIA, моля свържете се с нас.
Внедрявате нов кол-център или обновявате процедурите за запис?
Помагаме на банки, застрахователи, телекоми и аутсорсинг компании да изградят правомерни процедури за записване на разговори — отговарящи на GDPR, ePrivacy, ЗЕС и КЗЛД позициите.
- Преглед на текущата процедура за записване
- Правен анализ на основанието (LIA, договорни клаузи)
- Шаблони за гласови уведомления (многоезични)
- DPIA за гласова биометрия и AI анализ на разговори
- Договор за обработване (DPA) с международни клиенти
- Защита при жалба на клиент или КЗЛД проверка
Получавайте нови анализи на корпоративна GDPR практика
Свежи разбори за директори, юрисконсулти и длъжностни лица по защита на данните. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова консултират директори на кол-центрове, банки, застрахователи и аутсорсинг компании в България — за записване на разговори, гласова биометрия, договори с международни клиенти и защита при КЗЛД проверка.