Как только вы пропускаете через нейросеть имена, телефоны или переписку клиентов, вы обрабатываете персональные данные — и здесь начинает работать 152-ФЗ. Согласие клиента нужно тогда, когда без него обработка незаконна, и формулировки в документе определяют, что вы вправе делать. Под капотом нейросеть — это сторонний сервис, которому вы передаёте данные, и закон смотрит на это как на любую другую передачу третьему лицу.

Когда нужно согласие

TL;DR

Согласие на обработку персональных данных нужно, когда вы передаёте данные клиента нейросети и под рукой другого законного основания. Если обработка нужна для исполнения договора с клиентом, отдельное согласие часто избыточно. Ключевой момент: нейросеть от внешнего поставщика — это передача данных третьему лицу, и этот факт должен быть отражён в вашей политике и согласии. Финальное решение по конкретной ситуации остаётся за вашим юристом.

152-ФЗ требует законного основания для любой обработки персональных данных. Согласие — лишь одно из таких оснований, и оно нужно тогда, когда другие основания отсутствуют. Если вы обрабатываете данные клиента для исполнения договора, который он сам заключил, отдельное согласие на эту обработку часто требуется. А вот передача тех же данных во внешнюю нейросеть для целей, выходящих за рамки договора, уже требует внимания к основанию.

Граница проходит по двум вопросам. Первый: есть ли в данных персональная информация — имя, телефон, адрес, всё, что позволяет определить конкретного человека. Второй: остаётся ли обработка в рамках того, на что клиент уже дал основание. Когда вы скармливаете нейросети переписку с клиентом, чтобы она составила ответ, данные клиента уходят стороннему сервису, и это новый адресат обработки, которого стоит отразить в документах.

Простое правило для старта: если в тексте, который уходит в нейросеть, нет данных конкретного человека, вопрос согласия снимается сам собой. Обезличенный запрос, шаблон без имён, абстрактная задача — здесь персональных данных нет. Проблема возникает ровно в тот момент, когда вы вставляете в запрос реальное имя, номер или историю заказов.

  • Согласие нужно, когда отсутствует другое законное основание под конкретную обработку
  • Передача данных во внешнюю нейросеть — это передача третьему лицу, её отражают в документах
  • Обезличенные запросы без имён и контактов под действие требований о согласии часто попадают
  • Финальную квалификацию вашей ситуации даёт юрист, а общая статья здесь лишь ориентир

Что в документе

Если согласие нужно, оно собирается из понятных блоков. Закон требует, чтобы человек понимал, кто, какие его данные, для чего и с кем обрабатывает. Передача данных нейросети — это как раз пункт про круг лиц, которым данные могут передаваться. Размытая формулировка «в целях улучшения сервиса» закрывает этот вопрос: человек должен видеть, что его данные могут уходить во внешний сервис обработки.

  1. Укажите оператора: кто именно вы, реквизиты компании или предпринимателя
  2. Перечислите данные: какие именно сведения о человеке вы обрабатываете
  3. Назовите цели: для чего обрабатываете, конкретно, без размытых формулировок
  4. Опишите действия: сбор, хранение, передача, в том числе во внешние сервисы обработки
  5. Укажите круг лиц: что данные могут передаваться сторонним поставщикам сервисов
  6. Добавьте срок и порядок отзыва: сколько храните и как человек может согласие отозвать
// Частая ошибка

Компания берёт типовой шаблон согласия из интернета, где про передачу данных внешним сервисам нет ни слова, и считает вопрос закрытым. Когда данные клиентов идут в стороннюю нейросеть, такое согласие реальную обработку оставляет без покрытия. Документ должен описывать то, что вы делаете на самом деле.

Граница ответственности

Ответственность за данные несёте вы как оператор, а поставщик нейросети остаётся в стороне. Это ключевая мысль. Когда вы выбираете внешний сервис и отправляете туда данные клиентов, именно вы отвечаете за законность этой передачи перед клиентом и перед регулятором. Поставщик отвечает за свою часть по своему договору, но снять с вас обязанности оператора он способен. Поэтому выбор сервиса — это решение, а техническое.

СитуацияЧто с согласиемНа что смотреть
Запрос без персональных данныхСогласие на эту обработку нужноТочно ли в тексте отсутствуют имена и контакты
Обработка для исполнения договораЧасто хватает основания из договораОстаётся ли цель в рамках договора с клиентом
Передача данных во внешнюю нейросетьОтражают в политике и согласииГде территориально обрабатываются данные
Особые категории данныхТребования строже, нужна осторожностьЗдоровье, биометрия и подобное — отдельный разговор

Отдельный вопрос — где территориально находятся серверы нейросети. Передача персональных данных за рубеж регулируется отдельно и требует своих оснований. Многие популярные нейросети — зарубежные, и для российского бизнеса это означает либо отдельную проработку трансграничной передачи, либо выбор решения, которое обрабатывает данные внутри страны. Это как раз тема, которую мы разбираем при внедрении.

Безопаснее всего держать персональные данные подальше от внешних сервисов там, где это возможно. Многие задачи решаются на обезличенных данных: вместо «клиент Иван Петров с заказом №345» вы даёте модели «клиент с таким-то заказом». Модель справляется с задачей, а персональные данные остаются у вас. Этот приём снимает большую часть юридических вопросов малой кровью.

Как снизить риск

Нейросеть способна непредсказуемо использовать то, что вы ей передали: запомнить фрагмент данных, всплыть с ним в чужом ответе, обработать иначе, чем вы ожидали. Это свойство сторонних моделей, и оно усиливает требования к тому, какие данные вы вообще туда отправляете. Чем меньше персональных данных уходит во внешний сервис, тем меньше пространства для нарушения и для претензий.

// Что остаётся за человеком

Квалификация конкретной ситуации, текст согласия под вашу обработку и выбор законного основания — это работа юриста, а общей статьи. Статья показывает, где проходят границы и о чём думать. Точную оценку вашего случая и формулировки документа даёт специалист, который видит вашу деятельность целиком.

Практический минимум выглядит так. Обезличивайте данные везде, где задача это позволяет. Согласие и политику приведите в соответствие с тем, что вы делаете на самом деле, включая передачу внешним сервисам. Для чувствительных данных рассматривайте решения, которые работают внутри вашего контура. И заведите простое внутреннее правило для сотрудников: какие данные в нейросеть отправлять можно, а какие — никогда.

  • Обезличивайте запросы: убирайте имена, телефоны и адреса там, где задача позволяет
  • Приведите согласие и политику в соответствие с реальной передачей данных внешним сервисам
  • Для чувствительных данных рассматривайте локальные решения внутри своего контура
  • Заведите правило для сотрудников: список данных, которые во внешнюю нейросеть отправлять запрещено

С чего начать

Начните с инвентаризации: какие данные клиентов реально уходят в нейросети в вашей работе и для каких задач. Часто оказывается, что половина запросов спокойно обезличивается без потери смысла, и юридический вопрос по ним отпадает. Оставшаяся часть — это узкий список ситуаций, где данные действительно нужны, и именно по ним вы прорабатываете основание и формулировки.

Дальше команда учится самостоятельно отделять безопасные запросы от рискованных. Поначалу правила пишем вместе, дальше сотрудники сами понимают, что реальное имя клиента в чат вставлять незачем, а обезличенный запрос проходит свободно. Этот навык остаётся с компанией и работает с любой следующей нейросетью, какие бы новые сервисы вы ни подключили.

Сложность здесь в том, чтобы соединить юридическую корректность с реальной работой команды и удержаться от соблазна остановить внедрение из-за страха перед законом. Частый перекос — компания либо игнорирует требования вовсе, либо запрещает нейросети целиком из осторожности. На разборе мы вместе находим середину: где обезличить, где оформить согласие, где выбрать локальное решение.

● Discovery · 1 час · бесплатно

Расскажите, какие данные клиентов проходят через нейросети в вашей работе, и я покажу, где нужно согласие, а где задача спокойно решается на обезличенных данных. Записаться на бесплатный часовой разбор можно через раздел с программами.

Прийти на Discovery →

Частые вопросы

Всегда ли нужно согласие клиента для работы с нейросетью?
Согласие нужно, когда отсутствует другое законное основание под конкретную обработку. Если данные нужны для исполнения договора, который клиент сам заключил, отдельного согласия часто хватает основания из договора. А вот передача данных во внешнюю нейросеть для новых целей требует внимания к основанию.
Кто отвечает за данные — мы или поставщик нейросети?
Ответственность оператора несёте вы. Когда вы выбираете внешний сервис и отправляете туда данные клиентов, именно вы отвечаете за законность передачи перед клиентом и регулятором. Поставщик отвечает за свою часть по договору, но обязанности оператора с вас он снимает.
Что обязательно указать в согласии?
Кто оператор, какие данные обрабатываются, для каких целей, какие действия совершаются и кому данные могут передаваться, включая внешние сервисы обработки. Также срок хранения и порядок отзыва. Размытая формулировка вроде «для улучшения сервиса» реальную передачу нейросети покрывает.
Можно ли обойтись без согласия, обезличив данные?
Во многих задачах да. Если в тексте, который уходит в нейросеть, нет данных конкретного человека, вопрос согласия по этой обработке снимается. Вместо реального имени и заказа вы даёте модели обезличенный запрос. Это снимает большую часть юридических вопросов малой кровью.
Что с зарубежными нейросетями и трансграничной передачей?
Передача персональных данных за рубеж регулируется отдельно и требует своих оснований. Многие популярные нейросети зарубежные, поэтому для российского бизнеса это означает либо отдельную проработку трансграничной передачи, либо выбор решения, которое обрабатывает данные внутри страны.
Заменяет ли эта статья консультацию юриста?
Статья показывает, где проходят границы и о чём думать, а квалификацию вашей конкретной ситуации даёт юрист. Текст согласия под вашу обработку и выбор законного основания — это работа специалиста, который видит вашу деятельность целиком, а общей публикации.