Вопрос «что скажет Роскомнадзор, если компания пользуется ChatGPT» сводится к одному: какие данные уходят в сервис. Сам факт использования модели нарушением закона выступает редко, риск рождается в момент, когда сотрудник загружает в чат персональные данные клиентов или сотрудников. Здесь вступает 152-ФЗ о персональных данных, и ответственность лежит на компании как операторе. Под капотом ChatGPT — зарубежная языковая модель, и место хранения данных имеет значение.

В чём суть риска

TL;DR

Риск рождается из данных, а из факта использования ChatGPT. Закон 152-ФЗ запрещает свободно передавать персональные данные россиян в сервисы, которые хранят их за рубежом без согласия и процедур. ChatGPT — зарубежный сервис, поэтому загрузка клиентских телефонов, договоров с именами и баз сотрудников создаёт нарушение. Безличные тексты, черновики постов, общие вопросы рисков почти лишены.

Руководители часто слышат «ChatGPT запрещён» и впадают в крайности: одни запрещают модель целиком, другие машут рукой и грузят туда всё подряд. Обе позиции вредят. Реальная картина точнее: закон регулирует обращение с персональными данными, а инструмент сам по себе. Компания отвечает как оператор персональных данных за то, куда эти данные утекают, и зарубежное хранилище — это слабое место.

Персональные данные по закону — это любая информация о конкретном человеке: имя с телефоном, паспортные данные, адрес, медицинские сведения, история заказов с привязкой к личности. Когда такие данные уходят в зарубежный сервис, компания становится нарушителем, и проверка Роскомнадзора заканчивается предписанием или штрафом. Когда в чат уходит обезличенный текст без привязки к людям, состава нарушения тут нет.

  • Персональные данные клиентов: телефоны, имена, адреса, история заказов с привязкой к личности
  • Данные сотрудников: паспорта, зарплаты, медицинские справки, личные дела
  • Договоры и документы с указанием конкретных людей и их реквизитов
  • Медицинские и иные чувствительные сведения о людях

Что разрешено

Безопасная зона шире, чем кажется напуганному руководителю. ChatGPT спокойно справляется с задачами, где персональные данные отсутствуют: черновики постов, описания товаров, переводы, идеи для рассылки, разбор обезличенной статистики продаж. Сотрудник пишет текст для сайта или готовит структуру презентации — закон тут молчит, потому что данных о конкретных людях в запросе нет.

ЗадачаСтатусУсловие
Тексты, посты, описания товаровРазрешеноБез имён и контактов реальных людей
Перевод и редактура документовОсторожноУберите имена и реквизиты сторон
Разбор статистики продажРазрешеноЦифры без привязки к конкретным клиентам
Ответы клиентам по их заявкамРискЛичные данные клиента уходят в сервис
Работа с базой клиентов и сотрудниковЗапрещеноПрямая передача персональных данных за рубеж

Граница проходит по простому признаку: можно ли по тексту запроса опознать конкретного человека. Если да — задача переходит в зону риска и требует либо обезличивания, либо другого инструмента. Если в запросе только общие формулировки и цифры — работайте спокойно. Этот критерий легко объяснить любому сотруднику, и он закрывает большую часть бытовых ситуаций.

Как работать безопасно

Безопасная работа строится на трёх опорах: правила для сотрудников, обезличивание данных и локальные модели для чувствительных задач. Первое — самое дешёвое и быстрое. Вы прописываете, какие данные запрещено грузить в чат, объясняете критерий «опознаётся ли человек» и закрепляете это в регламенте. Большая часть утечек случается без злого умысла, просто потому что сотрудник раньше слышал правила.

  1. Назначьте ответственного за обращение с персональными данными в компании
  2. Составьте список данных, которые запрещено загружать в зарубежные сервисы
  3. Объясните сотрудникам критерий: опознаётся ли по запросу конкретный человек
  4. Для текстов и черновиков разрешите ChatGPT открыто — это безопасная зона
  5. Для чувствительных задач разверните локальную модель на своём сервере
  6. Закрепите правила в регламенте и проверяйте их соблюдение раз в квартал
// Локальная модель для чувствительного

Когда задачи требуют персональных данных — разбор обращений клиентов, работа с договорами, медицинские тексты — данные должны оставаться в вашем контуре. Здесь разворачивают локальную модель на своём сервере: она работает офлайн, и закон о трансграничной передаче данных тут остаётся в стороне.

Кто отвечает

Ответственность за персональные данные несёт компания как оператор, а сотрудник лично и тем более разработчик модели. Если работник загрузил базу клиентов в зарубежный сервис, отвечать перед Роскомнадзором будет организация. Поэтому руководителю выгодно выстроить правила заранее: дешевле обучить команду, чем платить штраф и чинить репутацию после утечки или проверки.

Размер последствий зависит от характера нарушения и объёма данных, и эти суммы законодатель периодически пересматривает в сторону роста. Точные цифры штрафов сверяйте с актуальной редакцией закона, потому что они меняются. Важнее самих сумм то, что нарушение легко предотвратить регламентом и обезличиванием — это вопрос организации, а крупных вложений.

  • Оператор персональных данных — это ваша компания, ответственность лежит на ней
  • Сотрудник нарушает по незнанию чаще, чем со злым умыслом — спасает регламент
  • Размер штрафов законодатель пересматривает в сторону роста — сверяйте актуальную редакцию
  • Предотвращение дешевле последствий: обучение команды против штрафа и потери репутации
● Discovery · 1 час · бесплатно

Расскажите, какие задачи ваша команда уже отдаёт ChatGPT, и я покажу, где проходит граница риска по 152-ФЗ и что развернуть локально. Записаться на бесплатный часовой разбор можно через раздел с программами.

Прийти на Discovery →

Куда двигаться

Зрелый подход — это разделение задач на два потока. Всё безличное идёт в ChatGPT открыто и даёт команде скорость. Всё чувствительное обрабатывает локальная модель внутри вашего контура, и данные клиентов остаются дома. Такая схема снимает страх перед Роскомнадзором и одновременно сохраняет пользу от моделей, вместо запрета всего подряд из осторожности.

Дальше компания учится сама держать границу. Сотрудники привыкают обезличивать данные перед запросом, ответственный раз в квартал сверяет регламент с новой редакцией закона, чувствительные процессы переезжают на локальную модель по мере роста. Этот навык остаётся с организацией: даже когда выйдут новые сервисы, команда уже умеет отделять безопасное от рискованного.

Самая частая ошибка руководителя — запретить ChatGPT целиком из страха проверки. Команда всё равно пользуется моделью с личных телефонов, только теперь без правил и контроля, и риск утечки растёт. Управляемое разрешение с регламентом безопаснее запрета. На разборе процессов мы вместе смотрим на ваши задачи и строим схему, где безличное идёт в облако, а чувствительное остаётся внутри компании.

Частые вопросы

Запрещает ли Роскомнадзор использование ChatGPT компаниями?
Сам факт использования ChatGPT нарушением выступает редко. Закон 152-ФЗ регулирует обращение с персональными данными, а инструмент сам по себе. Риск рождается, когда сотрудник грузит в зарубежный сервис данные конкретных людей: телефоны клиентов, договоры с именами, базы сотрудников. Безличные тексты рисков почти лишены.
Что считается персональными данными при работе с ChatGPT?
Любая информация, по которой опознаётся конкретный человек: имя с телефоном, паспортные данные, адрес, медицинские сведения, история заказов с привязкой к личности. Если по запросу можно опознать человека — задача в зоне риска. Если в запросе только общие формулировки и цифры — работайте спокойно.
Кто отвечает, если сотрудник загрузил данные клиентов в ChatGPT?
Ответственность несёт компания как оператор персональных данных, а сотрудник лично или разработчик модели. Поэтому руководителю выгодно выстроить правила заранее: дешевле обучить команду критерию безопасности, чем платить штраф и восстанавливать репутацию после утечки или проверки.
Как пользоваться ChatGPT в компании безопасно?
Разделите задачи на два потока. Безличные тексты, посты, переводы без имён идут в ChatGPT открыто. Чувствительные задачи с персональными данными обрабатывает локальная модель на вашем сервере, где данные остаются внутри контура. Правила закрепите в регламенте и проверяйте раз в квартал.
Можно ли загружать договоры в ChatGPT?
С осторожностью и после обезличивания. Уберите из документа имена, реквизиты и контакты сторон — тогда останется юридический текст без персональных данных. Если убрать данные людей нельзя, договор обрабатывают локальной моделью внутри компании, чтобы документ оставался в вашем контуре.
Какие штрафы грозят за нарушение 152-ФЗ?
Размер зависит от характера нарушения и объёма данных, и законодатель периодически пересматривает суммы в сторону роста. Точные цифры сверяйте с актуальной редакцией закона. Важнее сумм то, что нарушение легко предотвратить регламентом и обезличиванием — это вопрос организации, а крупных вложений.