ИИ и персональные данные: как не нарушить 152-ФЗ

Обновлено: март 2026 · 15 мин чтения

Бизнес массово внедряет нейросети: маркетологи генерируют тексты в ChatGPT, HR-отделы анализируют резюме через ИИ, службы поддержки подключают чат-ботов. При этом в промпты часто попадают имена клиентов, номера телефонов, адреса электронной почты — то есть персональные данные. С точки зрения 152-ФЗ это передача ПДн третьему лицу, а если сервер нейросети за рубежом — ещё и трансграничная передача. Разбираем, какие риски несёт бизнес и как использовать ИИ легально.

Содержание

  1. 1. ИИ-сервисы и ПДн — в чём проблема
  2. 2. ChatGPT, Claude, Gemini — риски для бизнеса по 152-ФЗ
  3. 3. GigaChat, YandexGPT — российские альтернативы
  4. 4. Что можно и что нельзя загружать в нейросети
  5. 5. Как Роскомнадзор относится к ИИ
  6. 6. Чек-лист: безопасное использование ИИ в бизнесе

1. ИИ-сервисы и персональные данные — в чём проблема

Когда сотрудник вводит в ChatGPT запрос «Составь письмо клиенту Иванову Петру Сергеевичу, телефон +7 (495) 123-45-67, по договору № 1234» — происходит сразу несколько юридически значимых действий:

1Передача ПДн третьему лицу

OpenAI, Google, Anthropic — это третьи лица, которым вы фактически передаёте персональные данные своих клиентов. По ст. 6 152-ФЗ для этого требуется согласие субъекта ПДн или иное законное основание.

2Трансграничная передача

Серверы ChatGPT расположены в США. Данные уходят за пределы РФ, а ст. 12 152-ФЗ требует, чтобы страна-получатель обеспечивала адекватную защиту ПДн. США не входят в перечень таких стран по версии Роскомнадзора.

3Нарушение локализации

По ст. 18 ч.5 152-ФЗ первичный сбор и хранение ПДн граждан РФ должны осуществляться на территории России. Загрузка данных в зарубежный ИИ-сервис может быть расценена как нарушение этого требования.

4Утечка через обучение модели

Большинство ИИ-сервисов используют входящие данные для дообучения моделей. Это значит, что ПДн вашего клиента могут «всплыть» в ответе другому пользователю. Samsung уже столкнулся с утечкой исходного кода через ChatGPT в 2023 году.

Ключевой риск: Сотрудники загружают ПДн в нейросети стихийно, без инструкций и контроля. По данным исследований, более 60% офисных работников используют ChatGPT на работе, при этом 11% признаются, что вставляли конфиденциальные данные компании в промпты.

2. ChatGPT, Claude, Gemini — риски для бизнеса по 152-ФЗ

Зарубежные ИИ-сервисы — мощные инструменты, но с точки зрения российского законодательства о персональных данных их использование сопряжено с конкретными юридическими рисками.

ПараметрChatGPT (OpenAI)Claude (Anthropic)Gemini (Google)
СерверыСША (Azure)США (AWS/GCP)США, глобально
On-premiseНетНетVertex AI (GCP)
Обучение на вводеПо умолчанию да*По умолчанию да*По умолчанию да
API без обученияДа (API/Enterprise)Да (API)Да (API)
DPA (соглашение)EnterpriseBusiness/EnterpriseWorkspace
Локализация в РФНетНетНет

* Можно отключить в настройках аккаунта. При использовании через API данные не используются для обучения.

Штраф за нарушение локализации — от 1 до 6 млн ₽ для юрлиц (ст. 13.11 ч.8 КоАП). Передача ПДн на серверы в США через ChatGPT — прямое нарушение.

Штраф за обработку без согласия — от 150 до 500 тыс. ₽ (ст. 13.11 ч.2 КоАП). Вряд ли в вашей форме согласия написано «данные могут передаваться в OpenAI для обработки нейросетью».

Оборотные штрафы при утечке — если данные, загруженные в ИИ, утекут через модель или взлом провайдера, компания-оператор несёт ответственность — до 3% годовой выручки.

Совет: Если бизнес использует ChatGPT через API с Enterprise-соглашением, данные не идут на обучение модели. Но проблема локализации серверов остаётся — данные всё равно обрабатываются за пределами РФ.

3. GigaChat, YandexGPT — российские альтернативы

Российские ИИ-сервисы решают главную проблему — локализацию данных на территории РФ. Серверы Сбера и Яндекса расположены в российских дата-центрах, что соответствует требованиям ст. 18 ч.5 152-ФЗ.

ПараметрGigaChat (Сбер)YandexGPTMTS AI
СерверыРоссияРоссияРоссия
On-premiseGigaChat EnterpriseYandex CloudДа
Обучение на вводеУточнять в DPAУточнять в DPAУточнять в DPA
СертификацияРеестр ПОРеестр ПОРеестр ПО
ЛокализацияПолнаяПолнаяПолная

Российские ИИ-решения закрывают вопрос локализации, но не снимают остальных обязанностей оператора ПДн:

  • Согласие субъекта на передачу данных третьему лицу (Сберу, Яндексу) по-прежнему необходимо
  • Необходимо заключить поручение на обработку ПДн (ст. 6 ч.3 152-ФЗ) или иной договор с провайдером ИИ
  • Политика конфиденциальности должна отражать факт использования ИИ-сервисов для обработки данных
  • On-premise развёртывание (модель на ваших серверах) — наиболее безопасный вариант, данные не покидают контур компании
On-premise — золотой стандарт: GigaChat Enterprise и YandexGPT через Yandex Cloud позволяют развернуть модель внутри вашей инфраструктуры. Данные не покидают серверы компании. Для бизнеса, работающего с чувствительными ПДн (медицина, финансы, HR), это единственный полностью безопасный вариант.

Ваш сайт собирает персональные данные?

Проверьте соответствие 152-ФЗ за 60 секунд — бесплатно и без регистрации. ИИ-аудит покажет все нарушения.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

4. Что можно и что нельзя загружать в нейросети

Практический гайд для сотрудников: какие данные допустимо использовать в промптах, а какие — категорически нет.

Нельзя загружать

ФИО, номера телефонов, email клиентов

Прямые идентификаторы физических лиц. Штраф: 150–500 тыс. руб.

Паспортные данные, СНИЛС, ИНН

Специальные категории ПДн. Передача за рубеж без согласия — двойное нарушение.

Медицинские данные сотрудников и клиентов

Биометрия, диагнозы, результаты обследований — повышенная ответственность.

Данные из CRM, HR-систем, баз клиентов

Выгрузки с реальными ПДн. Даже «посмотреть одну запись» — это передача.

Скриншоты документов с ПДн

Фото паспортов, договоров, счетов — содержат ПДн в визуальной форме.

Можно загружать

Обезличенные данные

Данные, из которых невозможно идентифицировать конкретного человека. Замените ФИО на «Клиент А», номера — на «XXX».

Агрегированную статистику

«Средний чек 4 500 руб., конверсия 2.3%» — нет привязки к конкретным лицам.

Шаблоны и типовые тексты

Генерация шаблонов договоров, политик, писем без реальных данных.

Открытую информацию

Законодательство, судебная практика, публичные реестры — не являются ПДн.

Синтетические данные

Сгенерированные тестовые датасеты вместо реальных клиентских баз.

Принцип: Перед тем как вставить данные в промпт, задайте вопрос: «Можно ли по этим данным идентифицировать конкретного человека?» Если да — это ПДн, и загружать их в публичный ИИ-сервис нельзя.

5. Как Роскомнадзор относится к ИИ

Роскомнадзор пока не выпустил отдельных нормативных актов, регулирующих использование ИИ для обработки ПДн. Однако существующие нормы 152-ФЗ применяются в полной мере:

Позиция РКН (2024–2025) — ИИ-сервисы рассматриваются как обработчики данных. Передача ПДн в нейросеть = передача третьему лицу, требуется соответствующее согласие или поручение на обработку.

Законопроект об ИИ — В Госдуме рассматривается проект регулирования ИИ-систем, включая вопросы обработки ПДн. Ожидается введение обязательной маркировки контента, созданного ИИ, и специальных требований к обработке данных.

Прецеденты — В 2024 году ChatGPT был внесён в реестр нарушителей за отказ локализовать данные российских пользователей. OpenAI получил штраф. Это сигнал: РКН следит за ИИ-сервисами и готов применять санкции.

Рекомендации регулятора — РКН рекомендует бизнесу использовать российские ИИ-решения или on-premise версии, проводить оценку рисков перед внедрением ИИ, обновлять политику конфиденциальности с учётом использования нейросетей.

Тренд: Регулирование ИИ ужесточается. Евросоюз уже принял AI Act, Китай — закон о генеративном ИИ. Россия движется в том же направлении. Компаниям, которые не выстроят комплаенс сейчас, придётся экстренно перестраиваться при вступлении новых норм в силу.

6. Чек-лист: безопасное использование ИИ в бизнесе

Внедряете ИИ-инструменты в рабочие процессы? Пройдитесь по этим пунктам, чтобы минимизировать юридические риски.

1

Проведите аудит: какие данные попадают в ИИ-сервисы

Опросите отделы — маркетинг, HR, поддержку, продажи. Кто использует нейросети? Какие данные вводят?

2

Составьте внутреннюю политику использования ИИ

Чёткий документ: что можно загружать, что нельзя, какие сервисы разрешены. Ознакомить под подпись.

3

Обновите политику конфиденциальности на сайте

Если ИИ обрабатывает клиентские данные — это должно быть отражено в политике и согласии.

4

Заключите DPA с провайдерами ИИ

Data Processing Agreement или поручение на обработку ПДн. Без этого документа передача данных незаконна.

5

Переключитесь на API вместо веб-интерфейса

API-доступ обычно исключает использование данных для обучения модели. Веб-версия — нет.

6

Рассмотрите on-premise или российские решения

GigaChat Enterprise, YandexGPT через Yandex Cloud — данные остаются в РФ.

7

Внедрите обезличивание данных перед загрузкой

Автоматическая маскировка ПДн в промптах: ФИО → «Клиент А», телефон → «XXX-XX-XX».

8

Обучите сотрудников

Проведите тренинг: какие данные являются ПДн, почему их нельзя загружать в ChatGPT, какие альтернативы есть.

9

Настройте мониторинг и логирование

Фиксируйте, кто и какие запросы отправляет в ИИ-сервисы. Нужно для расследования инцидентов.

10

Регулярно пересматривайте риски

Законодательство об ИИ меняется быстро. Раз в квартал проверяйте актуальность политик и соглашений.

Матрица рисков: ИИ + ПДн

Низкий риск — обезличенные данные, российский on-premise ИИ, DPA заключён
Средний риск — российский облачный ИИ (GigaChat, YandexGPT), согласие получено, но нет on-premise
Высокий риск — зарубежный ИИ (ChatGPT, Gemini), ПДн в промптах, нет DPA, нет согласия

Проверьте, не нарушает ли ваш сайт закон

ИИ-аудит за 60 секунд: политика, формы, cookie, трекеры — полная проверка на соответствие 152-ФЗ. Бесплатно.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

← 152-ФЗ простым языкомЧек-лист соответствия →Штрафы 152-ФЗ →

Данная статья носит информационный характер и не является юридической консультацией. Информация актуальна на март 2026 года. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных и регулирования ИИ.