ИИ-телефонный ассистент и GDPR: что разрешено законом (2026)
Вы знаете эту арифметику. Примерно 30 % звонков в малый и средний бизнес остаются без ответа, и каждый пропущенный звонок стоит где-то между €80 и €150 упущенной выручки. ИИ-телефонный агент, который отвечает всегда — в часы пик, после закрытия, по выходным, — выглядит очевидным решением. И всё же многие владельцы колеблются, не из-за цены или технологии, а из-за одного конкретного беспокойства: «А это вообще разрешено по GDPR — и не оштрафуют ли меня?»
Эта статья отвечает на данный вопрос напрямую и глубже, чем это обычно делают либо сугубо юридические разъяснения, либо посадочные страницы провайдеров. Короткая версия сразу: да, ИИ-телефонный агент в целом соответствует GDPR и разрешён в Германии, Австрии и Швейцарии. Соответствие — это не свойство программного обеспечения, а результат того, как вы его настроите: на какое правовое основание вы опираетесь, насколько вы прозрачны, где размещаются данные и получаете ли вы согласие на запись.
Главное вкратце:
- Требуется правовое основание по ст. 6 GDPR — обычно исполнение договора или законный интерес, а для записи — согласие.
- Вы обязаны обозначить ИИ как ИИ. Обязанность прозрачности по ст. 50 EU AI Act применяется с 2 августа 2026 года.
- Договор об обработке данных (DPA) по ст. 28 обязателен всегда, когда внешний провайдер обрабатывает данные по вашему поручению.
- Хостинг в ЕС полностью снимает проблему передачи данных в третьи страны — это самый простой путь к соответствию.
- Согласие нужно только для записи или полной расшифровки, а не для обработки в реальном времени.
- Никаких полностью автоматизированных обязывающих решений: агент не должен самостоятельно заключать обязывающий договор (ст. 22).
Одна оговорка, заметно и заранее: эта статья — хорошо проработанная ориентировка, а не юридическая консультация для вашего конкретного случая. В случае сомнений обратитесь к вашему специалисту по защите данных (DPO) или юристу. Что она даёт вам такого, чего нет на чисто юридических сайтах и страницах провайдеров: готовые к копированию скрипты приветствия и согласия, чек-лист запуска и нейтральный каталог для проверки провайдеров. Вы также можете создать агента бесплатно и самостоятельно протестировать настройку, соответствующую требованиям ЕС, без банковской карты.
Соответствует ли ИИ-телефонный агент требованиям GDPR? Короткий и длинный ответ
Да. ИИ-телефонный агент обрабатывает персональные данные — голос звонящего, имя, запрос и номер телефона — в соответствии с GDPR при условии, что есть правовое основание, звонящий прозрачно проинформирован, заключён договор об обработке данных, а данные обрабатываются с учётом минимизации и в пределах ЕС.
Здесь стоит устранить распространённую путаницу. «Соответствие GDPR» — это не сертификат, проставленный на кусок программного обеспечения. Ровно то же самое ПО можно эксплуатировать как соответствующим образом, так и с нарушениями — в зависимости от вашей конфигурации и настройки вашего провайдера. Соответствие — это результат, а не характеристика продукта.
Стоит также чётко определить ответственность. Вы — бизнес, разворачивающий агента, — являетесь «контролёром» в значении ст. 4(7) GDPR. Провайдер ИИ выступает вашим «обработчиком». Именно эти отношения и обусловливают необходимость договора об обработке данных, к чему мы подробно вернёмся ниже.
Когда GDPR применяется к системам ИИ?
В тот момент, когда обрабатываются персональные данные. Для телефонного агента это практически всегда: один только номер телефона является персональными данными, и произнесённый запрос обычно тоже. Тот факт, что обработку выполняет «ИИ» или «автоматизированные системы», ничего не меняет в этом пороге — правила те же, что и для любого другого инструмента, касающегося персональных данных.
Остальная часть статьи прорабатывает четыре рычага, которые реально определяют соответствие: правовое основание, прозрачность и AI Act, запись и согласие, хостинг и передачу данных в третьи страны. Относитесь к следующим разделам как к карте. Если параллельно вам нужен технический контекст и контекст безопасности, см. наш обзор безопасности.
На каком правовом основании ИИ-телефонный агент может обрабатывать данные? (ст. 6 GDPR)
Любая обработка персональных данных нуждается в правовом основании по ст. 6(1) GDPR. Для телефонного агента на ресепшене на практике релевантны три.
- Исполнение договора или преддоговорные шаги (ст. 6(1)(b)) — для входящих запросов, таких как запись на приём или подготовка предложения. Звонящий хочет чего-то, что ведёт к договору или исполняет его, поэтому обработка обоснована.
- Законный интерес (ст. 6(1)(f)) — для общей доступности и качества сервиса, например для приёма запроса на обратный звонок. Это требует теста на соразмерность, взвешивающего ваш интерес против прав звонящего, и вам следует его задокументировать.
- Согласие (ст. 6(1)(a)) — обязательно для записи или расшифровки, а также для любых маркетинговых исходящих звонков.
Простое сопоставление помогает избежать типичных ловушек:
| Сценарий | Правовое основание | На что обратить внимание |
|---|---|---|
| Входящая запись на приём | ст. 6(1)(b) | Только данные, необходимые для записи |
| Общий приём запросов на обратный звонок | ст. 6(1)(f) | Задокументируйте тест на соразмерность |
| Запись разговора | ст. 6(1)(a) | Требуется активное, доказуемое согласие |
Есть также особая категория, которую стоит выделить. Ст. 9 GDPR охватывает чувствительные данные — здоровье, религию, членство в профсоюзе. Медицинская практика, к примеру, может принимать информацию, связанную со здоровьем, и тогда вам дополнительно нужно исключение по ст. 9(2). Подробнее об отраслевой специфике — ниже.
Один спорный момент заслуживает чёткого ответа, потому что юридические разъяснения и сайты провайдеров здесь склонны говорить мимо друг друга. Голосовая запись не является автоматически биометрическими данными по ст. 4(14). Она становится данными по ст. 9 только тогда, когда голос целенаправленно обрабатывается для уникальной идентификации человека — голосовой отпечаток, аутентификация по голосу. Простое понимание того, чего хочет звонящий (преобразование речи в текст без намерения идентифицировать), как правило, не задействует ст. 9.
Практический вывод: если вы не используете голосовые отпечатки или аутентификацию по голосу, вам не нужно согласие по ст. 9 для обработки речи как таковой. Вам всё ещё может понадобиться согласие на запись — но это отдельный вопрос с отдельным основанием. Какое бы основание вы ни выбрали, задокументируйте его; принцип подотчётности предполагает, что вы можете показать ход своих рассуждений.
Обязан ли я сообщать звонящим, что они разговаривают с ИИ? (ст. 50 EU AI Act и ст. 13 GDPR)
Да. Вы обязаны чётко и недвусмысленно информировать звонящих в начале разговора о том, что они говорят с системой ИИ. Это следует из обязанности прозрачности в ст. 50 EU AI Act — которая применяется с 2 августа 2026 года — и из информационных обязанностей по ст. 13 и 14 GDPR.
Что конкретно требует ст. 50? Чтобы взаимодействие с ИИ было распознаваемо для физического лица и чтобы искусственно сгенерированный или синтетический голосовой контент был помечен как таковой. Проще говоря, это отвечает на вопрос, который задают многие звонящие: «Как мне распознать ИИ по телефону?» Вы распознаёте его, потому что добросовестный оператор говорит вам об этом заранее.
Слово против запугивания: обычный ИИ-телефонный агент для ресепшена или записи на приём, как правило, не является высокорисковой системой по EU AI Act. Применяется только обязанность прозрачности — а не тяжёлый режим высокого риска. Провайдеры, размахивающие предупреждениями о «высоком риске», чтобы создать срочность, преувеличивают ситуацию.
Со стороны GDPR раскрытие идёт немного дальше, чем просто «я ИИ». Звонящего следует также направить к сведениям об обработке данных и к тому, где найти больше информации, — вашей политике конфиденциальности. По телефону это решается коротким устным уведомлением со ссылкой на сайт и ссылкой с вашей страницы конфиденциальности.
Это связано с правом связаться с человеком. Серьёзное решение всегда предлагает переключение на человека — «поговорить с сотрудником» в любой момент. Это хорошая практика сама по себе, и она также поддерживает ст. 22 (рассматривается ниже). Пример того, как соответствующий оператор подходит к этому: платформы вроде Hanc.AI прямо построены вокруг ст. 50 EU AI Act и идентифицируют себя как ИИ в начале звонка. Вы можете сами настроить эти приветствия, когда задаёте роль агента.
Небольшой пример скриптов для копирования, которые следуют дальше: «Здравствуйте, это цифровой ассистент компании [Компания]. Я ИИ, и я рад вам помочь.»
Запись, расшифровка и согласие: когда это становится рискованно?
Вот различие, которое важнее всего и которое большинство разъяснений размывает. Обработку в реальном времени — когда ИИ понимает и отвечает, не сохраняя аудио постоянно, — гораздо легче обосновать, чем постоянную аудиозапись или полную расшифровку. Последние, как правило, требуют активного согласия.
Представьте это как светофор:
| Сигнал | Ситуация | Статус |
|---|---|---|
| Зелёный | Понимание в реальном времени, заметка или резюме на действительном правовом основании | Как правило, в порядке |
| Жёлтый | Хранение полной расшифровки | Согласие рекомендовано |
| Красный | Скрытая аудиозапись | Не допускается, потенциально уголовно наказуемо |
Красный сигнал — не гипербола. В Германии скрытая запись произнесённого слова, не предназначенного для публичности, является уголовным преступлением по § 201 StGB — и это включает тихую запись телефонного разговора, а также может распространяться на расшифровки. Следствие простое: никогда не записывайте без предварительного уведомления и согласия.
По телефону есть три механики согласия, и стоит увидеть все три рядом, потому что обычно никто не излагает их в полном объёме:
- Нажатие клавиши DTMF — «Чтобы разрешить запись, нажмите 2.»
- Устное «да» в ответ на чёткий вопрос.
- Подразумеваемое согласие — «оставайтесь на линии, если вы согласны.»
Теперь уладим настоящий спор между источниками. Одни утверждают, что «оставайтесь на линии» защитимо; другие говорят, что этого недостаточно. Честный ответ: подразумеваемое согласие юридически оспариваемо и не устойчиво к аудиту. Безопасный вариант по умолчанию — активное подтверждение: устное «да» или нажатие клавиши DTMF, которое к тому же имеет то преимущество, что его можно логировать.
Минимизация данных здесь — ваша лучшая стратегия по умолчанию (ст. 5(1)(c)). Храните только резюме или структурированную заметку, а не полный аудиоархив. Один этот выбор одновременно снижает и ваш риск, и вашу потребность в согласии. И одна граница: исходящие маркетинговые звонки — это отдельная, более строгая тема (согласие по праву о недобросовестной конкуренции и GDPR) и не предмет этой статьи, ориентированной на ресепшен.
Готовые скрипты приветствия и согласия для начала звонка (шаблоны)
Это та часть, которую конкуренты редко предоставляют, — полноценные, готовые к использованию блоки, а не одно примерное предложение. Адаптируйте их под ваш случай и вашего DPO.
Блок 1 — Приветствие с раскрытием ИИ (ст. 50), без записи. Используйте это, когда вы обрабатываете только в реальном времени.
«Здравствуйте, это цифровой ассистент компании [Компания]. Я ИИ и могу помочь вам записаться на приём или ответить на ваши вопросы. Чем я могу помочь?»
Блок 2 — Приветствие плюс уведомление по GDPR (ст. 13) со ссылкой на вашу политику конфиденциальности.
«Здравствуйте, это ИИ-ассистент компании [Компания]. Чтобы помочь вам, я обработаю сведения, которые вы мне сообщите. Подробнее о защите данных вы найдёте на [сайт]. Чем я могу помочь?»
Блок 3 — Активное согласие на запись (устное «да»).
«Этот звонок может быть записан для обработки вашего запроса. Вы согласны на запись? Пожалуйста, ответьте да или нет.» Если нет: «Понял, записывать не буду. Чем я могу помочь?» — и обработка продолжается только в реальном времени.
Блок 4 — Согласие через нажатие клавиши DTMF.
«Если вы согласны на запись этого звонка, пожалуйста, нажмите сейчас 2. Если вы предпочитаете отказаться, просто не нажимайте никаких клавиш, и я помогу вам без записи.» (Логируйте нажатие клавиши с временной меткой.)
Блок 5 — Переключение на человека.
«Вы можете в любой момент поговорить с сотрудником — просто скажите «оператор».» (Поддерживает ст. 22 и прозрачность.)
Три полных отраслевых приветствия, поскольку этого нигде нет:
- Медицинская практика (данные о здоровье, ст. 9): «Здравствуйте, это цифровой ассистент [Практика]. Я ИИ. Я могу записать вас на приём и принять ваши данные. Пожалуйста, не сообщайте диагнозы или чувствительную информацию о здоровье — этим лично займётся сотрудник.»
- Юридическая фирма (конфиденциальность, § 203 StGB): «Здравствуйте, вы связались с ИИ-ассистентом [Фирма]. Я ИИ и могу принять ваши контактные данные и ваше дело в общих чертах. Для конфиденциальных деталей я соединю вас с членом команды.»
- Ремесленные услуги (приём заявок / обратный звонок): «Здравствуйте, это цифровой ассистент компании [Компания]. Я ИИ. Я могу принять вашу заявку и организовать обратный звонок. Что мы можем для вас сделать?»
Если вы работаете более чем на одном языке, приветствие и согласие должны быть предоставлены на языке звонящего — согласие действительно только тогда, когда оно информированное. Решения, которые переключают язык посреди разговора и охватывают множество языков, сильно упрощают это. Как и раньше: это шаблоны, которые нужно адаптировать под ваш случай и вашего DPO.
Договор об обработке данных (DPA) и хостинг в ЕС: провайдер как риск для конфиденциальности
Договор об обработке данных по ст. 28 GDPR обязателен. В тот момент, когда внешний провайдер ИИ обрабатывает персональные данные по вашему поручению, вы обязаны заключить с ним DPA. Без него развёртывание формально незаконно — независимо от того, насколько хороша технология.
Как минимум DPA должен охватывать: предмет и цель обработки, требование действовать только по вашим инструкциям, конфиденциальность, технические и организационные меры, работу с субобработчиками, а также удаление или возврат данных по завершении.
Этот пункт о субобработчиках часто обходят стороной. Серьёзный провайдер раскрывает, какие субобработчики задействованы — телефония, речевая модель, хостинг — и где они находятся. Это важнее всего тогда, когда в цепочке присутствует провайдер модели из США.
Безусловно, самый простой путь — расположение сервера в ЕС или Германии. Если обработка происходит целиком в пределах ЕС, проблема третьей страны полностью исчезает. Нечего оценивать и нечего документировать о передаче данных, потому что её нет.
Если задействован провайдер из США, вам нужен механизм передачи: либо EU-U.S. Data Privacy Framework (действует с июля 2023 года), либо Стандартные договорные условия (SCC) плюс оценка воздействия передачи данных. Без одного из этих механизмов передача уязвима. И есть один вопрос, который стоит задать любому провайдеру письменно: используются ли данные моих разговоров для обучения ваших моделей ИИ? Соответствующий провайдер исключает это договором.
В качестве положительного ориентира: Hanc.AI управляется Good Point GmbH (FN 618845t, Вена, проверяемо на firmenbuch.at), размещается на Microsoft Azure EU (West Europe) и не передаёт данные за пределы ЕС — так что вопрос о третьей стране вообще не возникает. DPA доступен, а настройка соответствует GDPR, австрийскому DSG и швейцарскому revDSG. Технические детали безопасности (шифрование и т. д.) — далее; вы также можете изучить интеграции, которые определяют, куда идут данные.
Минимизация данных, сроки хранения и меры безопасности на практике
Минимизация данных (ст. 5(1)(c)) означает сбор только того, что требует цель. Номер телефона и запрос звонящего — да. Ненужный аудиоархив — нет. Где возможно, редактируйте или псевдонимизируйте персональные идентификаторы.
Концепция удаления — та часть, которую большинство разъяснений лишь бегло затрагивают. Определите чёткие сроки хранения для данных разговоров и контактов и применяйте их автоматически — например, автоматическое удаление через заданное число дней. Сроки различаются по отраслям и по пересекающимся обязательствам (налоговым, профессиональным), поэтому задавайте их осознанно, а не по умолчанию.
Конкретные технические меры, отличающие серьёзного провайдера, — это в основном рыночный стандарт, и вы должны иметь возможность их подтвердить: шифрование в состоянии покоя (например, AES-256) и при передаче (TLS 1.3), контроль доступа, автоматические задания на удаление и, где доступно, внешнее подтверждение вроде SOC 2.
Единственная лучшая настройка по умолчанию — «резюме вместо аудио». Структурированная заметка о разговоре вместо сырого аудио одновременно снижает объём данных, риск и потребность в согласии. И проверьте заводские настройки: запись включена или выключена «из коробки»? Privacy by Default (ст. 25) ожидает, что предустановленной будет настройка с минимизацией данных. Всё это напрямую входит в чек-лист проверки провайдеров, который следует далее. Для более полной картины действующих мер защиты см. обзор безопасности.
Чек-лист: как распознать ИИ-телефонного агента, соответствующего GDPR (проверка провайдера)
Какие системы ИИ соответствуют GDPR? Те, что проходят пункты ниже. Страницы провайдеров хвалят сами себя; почти никто не предлагает нейтральной таблицы. Вот такая, которую вы можете скопировать и использовать. Пройдите её провайдер за провайдером:
- Находится ли сервер в ЕС или Германии?
- Передаются ли какие-либо данные за пределы ЕС, есть ли субобработчики из США?
- Доступен ли DPA по ст. 28 и готов ли к подписанию?
- Раскрыты ли субобработчики?
- Используются ли данные разговоров для обучения моделей — да или нет?
- Выключена ли запись по умолчанию (Privacy by Default)?
- Настраиваемы ли сроки хранения?
- Поддерживается ли маркировка ИИ по ст. 50?
- Возможно ли переключение на человека?
- Продемонстрировано ли шифрование — и в идеале сертификат?
- Достижим ли провайдер юридически (место в ЕС, проверяемо в публичном реестре)?
Прямой ответ на вопрос «какие системы ИИ соответствуют GDPR?» такой: те, что удовлетворяют этим пунктам. Решает не модное слово на посадочной странице, а хостинг, DPA, настройки по умолчанию и договорное исключение использования для обучения.
Красные флаги, напротив: DPA не предлагается, хостинг только в США без механизма передачи, запись включена по умолчанию, нет ответа об обучении моделей, а также провайдер, недостижимый юридически.
В качестве проработанной эталонной строки: Hanc.AI — хостинг в ЕС на Azure West Europe, без передачи данных из ЕС, DPA доступен, маркировка по ст. 50 EU AI Act, оператор проверяем в Firmenbuch. Для полной картины и понимания того, что стоит взвесить, страница цен и обзор возможностей дополняют картину для покупки.
Чек-лист запуска: разверните ИИ-телефонного агента за 8 шагов в соответствии с GDPR
Настоящая пошаговая дорожная карта с указанием, кто владеет каждым шагом, — потому что конкуренты склонны оставаться абстрактными.
- Определите сценарий использования и правовое основание (ст. 6). Ответственный: руководство / DPO.
- Выберите провайдера по каталогу проверки и подпишите DPA (ст. 28).
- Составьте скрипт приветствия и согласия из шаблонов и интегрируйте маркировку ИИ (ст. 50).
- Включите настройки с минимизацией данных (резюме вместо аудио, запись только с согласия) и задайте сроки хранения.
- Обновите политику конфиденциальности на сайте, чтобы охватить ИИ-телефонию, и сошлитесь на неё в устном уведомлении.
- Обновите ваш реестр операций обработки (ROPA) и проверьте, нужна ли DPIA (следующий раздел).
- Настройте процесс прав субъектов данных (доступ, стирание, отзыв должны быть выполнимы) и включите логирование согласий.
- Проинструктируйте персонал, протестируйте переключение на человека, затем запускайтесь — и корректируйте итеративно.
Практическое замечание: при настройке, не требующей программирования, техническая часть готова за 60 секунд. Заботу нужно вложить в настройку защиты данных, а не в технологию. Вы можете создать агента бесплатно, без банковской карты, и пройтись по этому чек-листу на реальной настройке с хостингом в ЕС.
Документация и подотчётность: DPIA, ROPA и устойчивое к аудиту логирование согласий
Подотчётность (ст. 5(2)) означает, что вы должны быть способны продемонстрировать соответствие — выбранное правовое основание, DPA, полученные согласия и концепцию удаления, всё задокументированное.
Ваш реестр операций обработки (ROPA, ст. 30) должен указывать ИИ-телефонию как операцию обработки, включая цель, категории данных, получателей и сроки хранения.
Оценку воздействия на защиту данных (DPIA, ст. 35) запускают определённые факторы: действительно новая технология, профилирование или анализ тональности, биометрия или широкий охват. Простой ассистент на ресепшене без профилирования и без биометрии обычно не запускает DPIA. Добавьте анализ тональности, голосовые отпечатки или большой масштаб — и он может её запустить, и тогда может потребоваться предварительная консультация (ст. 36).
Об обязанности назначить DPO: в Германии § 38 BDSG устанавливает порог, при котором вы обязаны назначить специалиста по защите данных; в Австрии и Швейцарии иначе, поэтому проверьте свою юрисдикцию.
Для устойчивого к аудиту логирования согласий — ещё одна вещь, для которой никто не даёт шаблонов, — логируйте временную метку, формулировку вопроса о согласии, ответ (да / DTMF) и идентификатор звонка. Именно так согласие становится доказуемым (ст. 7(1)).
Сделайте права субъектов данных реально исполнимыми: доступ, включая копию любой записи (ст. 15), исправление неверно услышанных имён (ст. 16), стирание (ст. 17), переносимость в JSON или CSV (ст. 20), отзыв согласия даже посреди разговора (ст. 7(3)) и возражение там, где вы опираетесь на законный интерес (ст. 21).
Наконец, привяжите ст. 22: никаких исключительно автоматизированных решений с правовым эффектом. ИИ-ассистент не должен, к примеру, самостоятельно заключать обязывающий договор. Обеспечьте это переключением на человека и финальным человеческим подтверждением там, где это важно.
Штрафы и санкции: во что реально обходится нарушение GDPR?
Конкуренты остаются расплывчатыми в отношении последствий. Цифры же не расплывчаты. Рамки штрафов GDPR достигают до €20 миллионов или 4 % мирового годового оборота — в зависимости от того, что выше, — за серьёзные нарушения. За формальные нарушения, такие как отсутствие DPA, это до €10 миллионов или 2 %.
Есть также уголовный слой. Скрытая аудиозапись по § 201 StGB является уголовным преступлением (лишение свободы или штраф) — и это достаёт до конкретного человека, а не только до компании.
Реалистичная рамка для МСБ, без алармизма: экзистенциальные максимумы нацелены на крупные корпорации. Для малого бизнеса релевантнее предупреждения, распоряжения надзорных органов, требования о возмещении ущерба (ст. 82) и репутационный вред. Риск реален — и полностью предотвратим.
Самые частые предотвратимые ошибки, ведущие к разбирательствам: отсутствие DPA, скрытая запись, отсутствие маркировки ИИ, неурегулированная передача данных в США и отсутствие политики конфиденциальности. Положительная формулировка — честная: при корректном внедрении (см. чек-лист запуска) этот риск полностью управляем. Соответствие — это вопрос часов работы, а не препятствие. Детали живут на странице конфиденциальности.
Отраслевые особые случаи: медицина, юриспруденция, финансовые услуги и данные сотрудников
Отраслевая глубина — то, на чём большинство материалов останавливается, и где лежат реальные различия.
Медицинские практики. Данные о здоровье — это особая категория (ст. 9): более строгие требования, особенно важна минимизация данных и обязанность медицинской тайны. ИИ может принять запрос и записать на приём, но ему следует избегать сбора чувствительных диагностических деталей. Мы подробно рассматриваем это в гайде для врачебных кабинетов, и есть выделенные настройки для врачей.
Юридические фирмы и налоговые консультанты. Действуют профессиональная тайна и § 203 StGB (разглашение тайны). Провайдер должен быть чисто связан как помощник по обеспечению конфиденциальности через DPA и размещаться в ЕС; данные клиентов не уходят в третью страну. См. страницы для юристов и налоговых консультантов.
Финансовые услуги. Здесь логика может перевернуться: MiFID II может требовать записи определённых консультационных или ордерных звонков. Напряжение не в «защита данных против записи» — запись является обязанностью по иной правовой рамке. Держите эти два аспекта раздельно.
Ремесленные услуги. Обычно наименее чувствительны — приём заявок по ст. 6(1)(b), обратные звонки — что делает их хорошей стартовой вертикалью. Настройка для ремесленников — это старт с низким порогом.
Данные сотрудников. Часто упускается из виду: для ролей, обращённых к руководству (внутренняя помощь, кадровые вопросы), релевантен § 26 BDSG. Информируйте сотрудников об использовании ИИ и соблюдайте право на соучастие там, где есть производственный совет. Это сопоставляется с обращёнными к руководству ролями агентов.
Ещё один ориентир: наряду с GDPR для телекоммуникаций и оконечного оборудования может также применяться немецкий TDDDG (защита данных в телекоммуникациях и телемедиа). Стоит знать, не перегружая при этом картину.
Обзор DACH: дополнительные правила в Австрии (DSG) и Швейцарии (revDSG)
Ни один конкурент не предлагает реальной широты по DACH, поэтому вот ясная дополнительная ценность для австрийских и швейцарских читателей.
Австрия. GDPR применяется напрямую, дополняясь австрийским Законом о защите данных (DSG). Надзорный орган — Datenschutzbehörde. Уголовная защита от скрытой записи существует аналогично, а маркировка ИИ и требование DPA действуют точно так же.
Швейцария. Швейцария не является членом ЕС. Применяется пересмотренный Закон о защите данных (revDSG, в силе с 1 сентября 2023 года) — схожие принципы прозрачности, соразмерности и обработки по поручению, но со своей терминологией и без потолков штрафов GDPR. С точки зрения ЕС передачи данных в Швейцарию покрыты решением об адекватности.
Практическое следствие: если у вас хостинг в ЕС и соответствие GDPR, вы, как правило, удовлетворяете и австрийскому DSG, и находитесь на безопасной стороне в отношении швейцарского revDSG. Один общий стандарт покрывает весь DACH. Hanc.AI, к примеру, прямо построен под GDPR, австрийский DSG и швейцарский revDSG — одна настройка на весь регион.
Замечание об EU AI Act: он применяется напрямую по всему ЕС, включая Австрию. Швейцария согласуется с ним, но не связана напрямую — тем не менее прозрачность остаётся лучшей практикой. Для технической основы см. обзор безопасности.
Часто задаваемые вопросы
Соответствует ли ИИ-телефонный агент требованиям GDPR? Да, если он внедрён правильно. Это означает наличие действительного правового основания по ст. 6, прозрачное информирование звонящего, договор об обработке данных, хостинг в ЕС и согласие там, где вы записываете или расшифровываете разговор. Соответствие — это результат вашей настройки, а не фиксированное свойство программного обеспечения.
Обязан ли я сообщать звонящим, что они разговаривают с ИИ? Да. Обязанность прозрачности по ст. 50 EU AI Act (с 2 августа 2026 года) и ст. 13 GDPR требуют чёткого уведомления в начале звонка. Достаточно короткого устного сообщения, которое идентифицирует агента как ИИ, со ссылкой на вашу политику конфиденциальности.
Когда GDPR применяется к системам ИИ? Как только обрабатываются персональные данные — что для телефонных звонков практически всегда так. Один только номер телефона уже является персональными данными, и произнесённый запрос обычно тоже. Ярлык «ИИ» не меняет этот порог; действуют те же правила, что и для любого другого инструмента.
Какие системы ИИ соответствуют GDPR? Те, у которых хостинг в ЕС, доступный DPA, настройки по умолчанию с минимизацией данных и договорное исключение использования ваших данных для обучения моделей. Используйте чек-лист по проверке провайдеров выше — решают хостинг, DPA, настройки по умолчанию и исключение обучения, а не маркетинговое заявление.
Можно ли записывать телефонные разговоры с ИИ? Только с предварительного согласия. Скрытая запись является уголовным преступлением по § 201 StGB. Безопасный подход — активное согласие: устное «да» или нажатие клавиши DTMF, которое к тому же можно логировать. Для большинства сценариев на ресепшене резюме вместо полного аудио полностью снимает эту проблему.
Является ли голос биометрическими данными? Не автоматически. Голосовая запись становится биометрическими данными по ст. 9 только тогда, когда она целенаправленно обрабатывается для уникальной идентификации человека — голосовой отпечаток или аутентификация по голосу. Простое преобразование речи в текст для понимания запроса, без намерения идентифицировать, как правило не задействует ст. 9.
Нужна ли мне DPIA? Для простого ассистента на ресепшене обычно нет. Оценку воздействия на защиту данных запускают такие факторы, как профилирование, анализ тональности, биометрия или широкий охват. Если ваша настройка включает их, проведите DPIA и, где требуется, предварительную консультацию по ст. 36.
Разрешены ли провайдеры из США? Только при наличии механизма передачи данных — EU-U.S. Data Privacy Framework либо Стандартных договорных условий плюс оценки воздействия передачи данных. Самый простой и безопасный путь — провайдер с хостингом в ЕС, что полностью снимает вопрос о третьей стране.
Заключение: соответствующая ИИ-телефония — это про «как», а не про «стоит ли»
ИИ-телефонный агент разрешён и практичен в Германии, Австрии и Швейцарии. Дело решает внедрение: надёжное правовое основание, прозрачность по ст. 50, договор об обработке данных, хостинг в ЕС, согласие там, где вы записываете, и минимизация данных на всём протяжении.
В призыве к действию нет хайпа. С чек-листом запуска и каталогом проверки провайдеров выше вы можете достичь соответствия за управляемое количество времени. Если вы хотите увидеть это на практике, создайте агента бесплатно и сами протестируйте настройку с хостингом в ЕС — банковская карта не нужна; детали цен — на странице цен.
Последняя оговорка: это ориентировка, а не юридическая консультация. В случае сомнений привлеките вашего DPO или юриста. И заключительное замечание о доверии — в качестве примера проверяемого оператора с хостингом в ЕС: Hanc.AI управляется Good Point GmbH в Вене (FN 618845t), что подтверждается на firmenbuch.at.
Похожие статьи
- Что такое ИИ-телефонный агент? — основополагающий гайд для ориентации.
- Сколько стоит ИИ-телефонный агент? — единственное место с конкретными цифрами цен.
- ИИ-телефонные агенты для врачебных кабинетов — глубокое погружение в настройки, чувствительные к данным о здоровье.
- Стоит ли ИИ-телефонный агент того для малого бизнеса? — разбор частых возражений.
- Круглосуточное ИИ-обслуживание клиентов — постоянное покрытие без ночного персонала.