Закон о персональных данных написан задолго до массовых нейросетей, но применяется к ним напрямую. Как только вы отдаёте языковой модели ФИО, телефон, паспорт или медицинские сведения клиента, вы становитесь оператором обработки и попадаете под 152-ФЗ. Ниже разбираю четыре участка, где компании чаще всего нарушают закон без злого умысла, и как закрыть каждый из них до внедрения.

Главное о законе

TL;DR

152-ФЗ нарушается, когда персональные данные клиентов уходят в нейросеть без согласия субъекта, передаются за границу с нарушением порядка трансграничной передачи либо обрабатываются сервисом, который хранит их на серверах вне России. Под удар попадают загрузка клиентских баз в зарубежные чаты, согласия без упоминания ИИ и отсутствие договора с обработчиком. Закрывается это согласием, корректным доступом и локальным контуром для чувствительных данных.

Ко мне регулярно приходят владельцы бизнеса с одинаковым вопросом: можно ли вообще пользоваться нейросетью, ведь клиентские данные святое. Ответ спокойный: пользоваться можно, проблема возникает в конкретных действиях, а в самом факте применения ИИ. Закон регулирует обработку персональных данных, и нейросеть для него — обычный инструмент обработки наравне с CRM или почтой.

Персональные данные по 152-ФЗ — любая информация, относящаяся к определённому человеку: ФИО, телефон, адрес, паспорт, данные о здоровье, история покупок с привязкой к лицу. Как только такие сведения попадают в запрос к модели, вы обрабатываете персональные данные и обязаны соблюдать требования закона. Обезличенный текст без привязки к человеку под эти требования отчасти выпадает, и это ваш главный рабочий приём.

  • ФИО, телефон, email, адрес проживания клиента или сотрудника
  • Паспортные данные, СНИЛС, ИНН физического лица
  • Сведения о здоровье, диагнозы, результаты анализов
  • История заказов и платежей с привязкой к конкретному человеку

Четыре типовых нарушения

За время работы с компаниями я свёл нарушения к четырём повторяющимся ситуациям. Они выглядят безобидно, поэтому и встречаются так часто: сотрудник просто хочет ускорить рутину и копирует клиентскую переписку в удобный чат. Разберём каждую и сразу способ закрыть.

Что делает компанияГде нарушениеКак закрыть
Грузит базу клиентов в зарубежный чат для рассылкиПередача данных обработчику без согласия и без договораОбезличить данные либо взять согласие и корректный доступ
Берёт согласие на обработку без упоминания ИИСогласие охватывает заявленные цели обработкиДополнить согласие пунктом про обработку с применением ИИ
Отдаёт переписку с клиентом в сервис на серверах вне РФТрансграничная передача с нарушением порядкаЛокальный контур либо российский сервис для таких данных
Хранит выгрузки с данными в облаке без контроляУтрата контроля над хранением персональных данныхУдалять выгрузки, ограничить доступ, вести учёт

Обратите внимание на вторую строку. Многие компании годами берут согласие на обработку персональных данных, но в нём нет ни слова про нейросети. Когда вы начинаете отдавать те же данные модели, фактическая обработка выходит за рамки того, на что человек соглашался. Достаточно дополнить форму согласия пунктом про обработку с применением программных средств ИИ — это снимает большую часть риска.

// Самый частый промах

Сотрудник копирует переписку с клиентом в личный чат с зарубежной моделью, чтобы быстрее составить ответ. Формально это передача персональных данных обработчику, которого компания контролирует. Правило простое: до запроса к модели уберите из текста имя, телефон и всё, что указывает на конкретного человека.

Как работать законно

Законная работа с нейросетью держится на трёх опорах: обезличивание там, где данные модели лишние; согласие и корректный доступ там, где данные нужны; локальный контур там, где данные особо чувствительны. Большинство задач малого бизнеса закрывается первой опорой, и это самый дешёвый путь. Модели для составления текста ответа достаточно сути обращения, а имя и телефон клиента ей попросту лишние.

  1. Составьте список данных, которые реально нужны модели для каждой задачи
  2. Вычеркните всё лишнее: имена, телефоны, адреса замените на обезличенные метки
  3. Проверьте текущие формы согласия и добавьте пункт про обработку с применением ИИ
  4. Для чувствительных данных выберите российский сервис либо локальный контур
  5. Закрепите во внутреннем регламенте, что и куда сотрудникам разрешено отправлять
  6. Назначьте ответственного, который раз в месяц проверяет соблюдение правил

Чувствительные данные — здоровье, биометрия, материалы дел — заслуживают отдельного разговора. Для них зарубежный облачный чат закрыт практически всегда, и здесь работает локальная модель на вашем сервере: данные остаются внутри периметра компании и никуда наружу попадают. Это дороже обычной подписки, поэтому такой контур ставят, когда обезличивание невозможно по сути задачи.

● Discovery · 1 час · бесплатно

Если сомневаетесь, какие из ваших процессов задевают 152-ФЗ, приходите на бесплатный часовой разбор: пройдёмся по вашим данным и наметим безопасный путь.

Прийти на Discovery →

Чем грозит нарушение

Ответственность за нарушения в обработке персональных данных в последние годы заметно ужесточили, и штрафы для компаний выросли кратно по сравнению с прежними символическими суммами. Точные цифры и составы зависят от характера нарушения и периодически меняются, поэтому актуальную вилку сверяйте по действующей редакции КоАП и профильным разъяснениям регулятора. Здесь важнее принцип: цена ошибки стала ощутимой для бюджета даже небольшой компании.

Финансовый штраф — половина истории. Утечка клиентской базы бьёт по репутации сильнее любого предписания: клиенты узнают, что их данные ушли наружу, и доверие восстанавливается годами. Поэтому я смотрю на 152-ФЗ как на гигиену, а как на формальность ради галочки. Аккуратная работа с данными защищает сам бизнес и его отношения с людьми, а вовсе регулятора.

  • Административные штрафы на компанию и на ответственных лиц
  • Предписания регулятора с требованием прекратить обработку
  • Репутационный ущерб при огласке утечки клиентских данных
  • Гражданские иски от субъектов, чьи данные обработали с нарушением
// Что держать под рукой

Перед внедрением соберите три документа: актуальные формы согласия с пунктом про ИИ, внутренний регламент по работе сотрудников с нейросетями и перечень сервисов с указанием, где они хранят данные. Этот пакет закрывает большинство вопросов при проверке и при разборе любого инцидента.

С чего начать

Начните с инвентаризации: выпишите все процессы, где сотрудники уже используют нейросети, и пометьте, какие данные туда попадают. Часто оказывается, что персональные данные уходят в модель в двух-трёх местах, а остальное спокойно обезличивается. Этот список сразу показывает, где риск реальный, а где его придумали из осторожности.

Дальше двигайтесь по приоритету риска: сначала закройте трансграничную передачу чувствительных данных, потом приведите в порядок согласия, в последнюю очередь оформите регламент и учёт. Такой порядок даёт максимум защиты за минимум усилий и помогает обойтись без остановки полезных процессов. Перекраивать всё разом смысла нет — закон требует контроля, а паралича работы.

Сложность здесь в том, чтобы провести границу между разумной осторожностью и параличом из страха нарушить. Я помогаю провести её предметно: смотрю на конкретные данные и процессы компании, отделяю то, что требует локального контура, от того, где хватает обезличивания. На разборе мы вместе составляем карту ваших данных и план приведения работы с ИИ в соответствие с 152-ФЗ.

Частые вопросы

Можно ли загружать персональные данные клиентов в ChatGPT?
Без согласия субъекта и контроля над тем, где сервис хранит данные, — рискованно. Для составления ответа модели обычно хватает обезличенного текста без ФИО и телефона. Когда данные действительно нужны, берут согласие с пунктом про обработку с применением ИИ и используют корректный доступ.
Достаточно ли старого согласия на обработку данных, если в нём нет про нейросети?
Согласие охватывает заявленные в нём цели и способы обработки. Если вы начали отдавать данные модели, а согласие про это молчит, фактическая обработка выходит за рамки. Дополните форму пунктом про обработку с применением программных средств ИИ — это закрывает разрыв.
Что считается нарушением трансграничной передачи?
Когда персональные данные уходят в сервис, который хранит и обрабатывает их на серверах вне России, с нарушением установленного порядка трансграничной передачи. Для чувствительных данных такой путь закрыт почти всегда. Решение — российский сервис либо локальная модель внутри вашего периметра.
Какие данные считаются персональными по 152-ФЗ?
Любая информация, относящаяся к определённому человеку: ФИО, телефон, адрес, паспорт, СНИЛС, сведения о здоровье, история покупок с привязкой к лицу. Обезличенный текст без привязки к конкретному человеку под основные требования закона отчасти выпадает.
Чем грозит нарушение закона о персональных данных?
Административными штрафами на компанию и на ответственных лиц, предписаниями регулятора, гражданскими исками от субъектов и репутационным ущербом при огласке утечки. Суммы штрафов в последние годы заметно выросли, актуальную вилку сверяйте по действующей редакции КоАП.
Как работать с чувствительными данными вроде медицинских?
Для здоровья, биометрии и подобных категорий зарубежный облачный чат закрыт практически всегда. Здесь ставят локальную модель на вашем сервере: данные остаются внутри периметра компании и наружу попадают. Это дороже обычной подписки, поэтому такой контур применяют, когда обезличивание невозможно по сути задачи.