ИИ и персональные данные россиян: риски и легальные решения

Искусственный интеллект стал повседневным инструментом для всего: он помогает писать тексты, анализировать воронки, сортировать резюме и ускорять рутину. Но вместе с пользой появляется и риск, особенно если вы используете западные сервисы вроде ChatGPT.

Многие не осознают, что при загрузке даже части данных в такие системы, вы можете нарушить российский закон о персональных данных. Разбираемся, как это работает и чем отличаются персональные, обезличенные и анонимизированные данные.

Это любые данные, по которым можно определить личность человека: ФИО, телефон, почтовый адрес, должность, паспорт и другие документы, адрес проживания, IP-адрес, фото или видеозапись, логины, пароли, ID и даже голос.

Важно: персональными считаются данные не только клиентов и сотрудников, но и представителей юридических лиц — например, директора контрагента или бухгалтера поставщика. Чтобы соблюдать закон, важно различать три типа данных.

Это исходная, полная информация о человеке. Указали имя и фамилию? Уже попали в зону действия закона.

Если вы загружаете такие данные в ChatGPT или любой другой ИИ-сервис с зарубежными серверами — вы осуществляете трансграничную передачу персональных данных.

США, где чаще всего размещены сервера таких сервисов, не входит в перечень стран с «адекватной защитой». Это значит, что любая передача данных туда требует уведомления Роскомнадзора. Не важно, выгружали ли вы всю базу или просто вставили фрагмент переписки с именем клиента — этого уже достаточно.

Это персональные данные, в которых убраны прямые идентификаторы (ФИО, номер телефона и т.д.), но можно восстановить личность с помощью других связей — например, по ID, email-адресу или даже шаблону поведения в системе.

Закон не делает поблажек для таких данных. Они все еще считаются персональными и требуют соблюдения всех процедур: уведомлений, согласий и ограничений по передаче.

Пример: если в выгрузке нет имен, но есть должность, ID и история заказов — восстановить личность можно, значит, данные не считаются защищенными.

Это данные, по которым невозможно восстановить личность ни напрямую, ни косвенно. Удалены все связи и идентификаторы, нарушена логика таблицы, исключены уникальные комбинации полей.

Только в этом случае данные выходят из-под действия закона о персональных данных. Их можно использовать без ограничений — обучать на них ИИ, проводить аналитику, передавать на зарубежные серверы.

Проблема в том, что достичь настоящей анонимизации сложно. Даже порядок строк или сочетание полей может выступать в роли идентификатора. Если у вас есть сомнения — скорее всего, данные все еще персональные.

В реальности сегодня нет четкого механизма контроля за использованием ИИ в контексте персональных данных. У Роскомнадзора ограниченные ресурсы, массовых проверок нет, юридическая практика формируется медленно.

Но это не значит, что рисков нет, потому что:

— Жалоба от клиента или сотрудника может запустить проверку

— «Доносы» — самая частая причина начала разбирательств

— Судебные и административные практики по 13.11 КоАП уже есть

— Утечки или халатность сотрудников — частая причина штрафов

Пока что государство смотрит в эту сторону внимательно, но без фанатизма. Но это может измениться — особенно, если на повестке окажется утечка данных через ИИ.

— Нарушение порядка обработки: штраф от 150 до 300 тысяч рублей

— Утечка персональных данных (например, загрузка в ChatGPT клиентской базы): от 3 до 5 миллионов рублей

— Биометрия или медицинские данные: до 15 миллионов рублей

— Повторное нарушение: до 3% годовой выручки компании

Важно: компания несет ответственность вне зависимости от намерений. Даже если сотрудник загрузил базу «просто чтобы упростить себе работу» — отвечать будет бизнес.

1. Закройте экспорт данных из CRM тем, кому он не нужен по работе — особенно новичкам.

2. Проведите инструктаж. Пусть сотрудник поймет, что ChatGPT — не личный помощник, если речь о ПД.

3. Настройте систему настоящей анонимизации. Проверяйте: возможно ли восстановить личность? Если да — это ещё не анонимные данные.

4. Если передача за границу всё-таки нужна — подайте уведомление в Роскомнадзор. Это не сложно, но требует аккуратности.

ИИ — мощный и удобный инструмент, но использовать его нужно с головой. Загрузить клиентские данные в ChatGPT — это то же самое, что отправить их на чужой сервер. Удобно? Да. Законно? Только при соблюдении всех правил.

В большинстве случаев бизнесу нужно либо анонимизировать данные глубоко и правильно, либо действовать строго по закону — с уведомлениями и защитой.

Если хотите использовать ИИ в бизнесе — безопасно, грамотно и без юридических рисков — пишите, поможем на всех этапах. Уже прошли этот путь с юристами и клиентами. А также подписывайтесь на наш Telegram!

📌 Дисклеймер

Материал данной статьи не является юридической консультацией. Если у вас есть сомнения в законности работы с данными — рекомендуем обратиться к профильному специалисту. Только он сможет учесть нюансы именно вашей ситуации.