voice aiGDPRcomplianceГрузиязащита данныхEU AI Act

GDPR + грузинский закон о персданных для AI голосовых

GDPR + грузинский закон о персданных для AI голосовых
Arisa Chattasa / unsplash

AI голосовые агенты легальны в Грузии и EU при правильном развёртывании. Гайд покрывает точные требования. Disclaimer: техническое руководство, не юридический совет.

Три слоя Compliance

Каждый AI голосовой агент, обслуживающий грузинских или EU клиентов, должен соответствовать:

  1. Грузинский закон о защите персональных данных (2011, поправки 2024)
  2. EU GDPR + EU AI Act (2024)
  3. Отраслевые правила — телеком, финансы, медицина

Требование AI Disclosure

Грузинский и EU закон требуют disclosure AI в начале каждого голосового взаимодействия. Скрипт:

  • Чётко идентифицирует что звонок ведёт AI
  • Идентифицирует компанию
  • В начале звонка, не в середине
  • На языке клиента

Пример минимально-compliant открытия:

"Здравствуйте, это [AI Name] от [Компания]. Этот звонок ведёт AI. У вас есть минута?"

Без disclosure = штраф + репутационный ущерб.

Для каждого звонка нужно legal basis:

  • Consent — explicit opt-in (лучше для marketing/sales)
  • Legitimate interest — для существующего customer service
  • Contract performance — выполнение договора
  • Legal obligation — взыскание имеет свои правила

Outbound sales: нужно предварительное согласие. Cold-calling — рискованно в EU. Inbound: consent implicit когда клиент инициирует.

Disclosure записи

Если записываете звонки:

  • Disclosure в открытии: "Этот звонок может быть записан для качества"
  • Клиент может отказаться от записи
  • Зашифрованное хранение
  • Retention policy (обычно 90 дней авто-удаление)

Грузинский клиент: explicit opt-in безопаснее. EU: legitimate interest может покрывать, но disclosure всё равно.

Retention данных

Default правила:

  • Записи: 90 дней без legal hold
  • Транскрипты: 1-2 года для аналитики
  • Lead data: срок legitimate business purpose (2-3 года inactive)
  • PII (телефон, email, имя): pseudonymized в аналитике, удаление по запросу

Right to erasure: удалить по запросу за 30 дней. Жёсткое требование GDPR.

Data Residency

Для грузинских клиентов:

  • Данные идеально в Грузии или EU
  • US-hosted (большинство AI платформ) легально с SCCs

Для EU клиентов:

  • Данные в EU/EEA или SCCs
  • Schrems II implications

Vapi, Retell, OpenAI — все поддерживают EU-region hosting на Enterprise. Для SMB на default plan — US + SCCs.

EU AI Act

EU AI Act (2025-2026) классифицирует AI голосовых агентов:

  • Limited risk для общих клиентских взаимодействий — disclosure обязателен
  • High risk для employment screening, credit scoring, biometric ID

Голосовые агенты для продаж, поддержки, брони — limited risk.

DPA с вендором

С Vapi, Retell, OpenAI, ElevenLabs:

  • Data Processing Agreement (DPA) с каждым
  • Большинство имеет standard DPA
  • SCCs если данные в US
  • HIPAA — Business Associate Agreement (BAA)

Audit Trail

Логировать:

  • Каждый звонок с timestamp, участниками, длительностью
  • AI disclosure дан (yes/no per call)
  • Consent собран если applicable
  • Статус записи
  • События доступа к данным

Tamper-resistant логи минимум 1 год.

Частые риски

  • Cold calling без consent — высокий риск в EU
  • Запись без disclosure — нелегально в большинстве юрисдикций
  • Данные в US без SCCs — нарушение GDPR
  • Нет opt-out пути — всегда должна быть эскалация на человека
  • PHI в нешифрованных training логах — нарушение HIPAA

FAQ

1. US-hosted AI без нарушения GDPR?

Да, со Standard Contractual Clauses (SCCs). Большинство платформ (Vapi, Retell, OpenAI) дают.

2. Нужно ли explicit consent для inbound?

Нет, consent implicit для inbound. Но disclosure AI в начале звонка обязателен.

3. Штрафы за non-compliance?

GDPR до 4% глобальной годовой выручки или €20M. Грузинский закон до 2,000 GEL за нарушение.

4. Нужен Data Protection Officer (DPO)?

Нужен при крупномасштабной обработке. Большинству SMB не нужен формальный DPO, но нужен назначенный человек для запросов.