ИИ и персональные данные: как бизнесу не попасть на штраф до 25 миллионов

В 2025–2026 годах регуляторная среда в России сделала очередной шаг в сторону ужесточения контроля за обработкой персональных данных. Для бизнеса это означает одно: привычные процессы работы с данными больше не работают «по умолчанию». Особенно в контексте стремительного внедрения искусственного интеллекта.

Сегодня главный риск — не кибератаки и не утечки из-за взломов. Самая уязвимая зона — сотрудники, которые в рабочих целях отправляют данные клиентов в ИИ-сервисы. Новый риск, который многие недооценивают.

Компании активно внедряют ИИ в операционные процессы:

• маркетинг использует его для сегментации клиентской базы;
• продажи — для генерации ответов клиентам;
• аналитика — для визуализации отчетов;
• поддержка — для обработки обращений.

На практике это выглядит так:  сотрудник копирует данные вставляет в ChatGPT / Claude / Gemini получает результат.

Проблема в том, что с точки зрения законодательства это не «работа с инструментом», а трансграничная передача персональных данных.

А значит, действует 152-ФЗ, включаются требования к защите ПД появляются риски штрафов до 10–25 млн рублей, возникает персональная ответственность сотрудников. И это уже не теоретический риск — это зона реальных проверок, где бизнес теряет контроль.

Анализ практики показывает три типовых сценария нарушений:

1. «Безобидная» аналитика. Сотрудник выгружает CRM и отправляет в ИИ: «Помоги сегментировать клиентов», но в таблице: ФИО, телефоны, email. Это уже персональные данные.
2. Переписка с клиентами. Запрос в стиле: «Составь ответ клиенту» , а в тексте: имя, контакты, детали заказа. Фактически — передача персональных данных третьей стороне.
3. Отчеты и визуализация. Даже отчеты могут содержать: идентификаторы клиентов, транзакции, геоданные. ИИ не различает «важное» и «второстепенное» — он обрабатывает все.

Почему именно ИИ усиливает риски? Классические IT-системы внутри компании контролируются:
доступами, политикой безопасности, инфраструктурой. ИИ-сервисы — нет.

Данные могут: храниться на зарубежных серверах, использоваться для обучения моделей, обрабатываться без прозрачного контроля
Это принципиально новая модель риска, к которой многие компании оказались не готовы.

Практическое решение: не запрещать, а регламентировать.

Ошибка большинства компаний — идти по одному из двух путей:

• Полный запрет ИИ сотрудники продолжают использовать его «втихую».
• Полная свобода неконтролируемые риски и потенциальные штрафы.

Рабочая стратегия — третья: внедрение четкой инструкции и контролируемого процесса работы с ИИ.

Ключевые элементы эффективной политики

На основе практики внедрения можно выделить 5 обязательных блоков.

1. Четкое определение персональных данных. Главный принцип, который должен понять каждый сотрудник: если по данным можно идентифицировать человека — это персональные данные. Критическая ошибка — считать, что ФИО или email по отдельности «не опасны». На практике: email = идентификатор, телефон = идентификатор, ФИО + должность = идентификатор.
2. Экспресс-проверка перед использованием ИИ. Простое правило, которое снижает 80% рисков: перед отправкой данных сотрудник должен задать себе 5 вопросов: есть ли ФИО + контакты, есть ли email или телефон, есть ли документы или идентификаторы, есть ли фото/голос, есть ли чувствительные данные. Хотя бы один «да» данные нужно обезличить.
3. Обезличивание как обязательный этап. Ключевая идея: ИИ работает не с людьми, а с абстракциями. Правильный подход: Иванов И.И. Клиент_001, email EMAIL_001, телефон ТЕЛ_001. При этом: таблица соответствий хранится отдельно, доступ ограничен, а
   файл защищен. Важно: обезличивание должно происходить локально, а не в облаке.
4. Разделение процессов. Один из самых эффективных паттернов: ИИ работает только с шаблонами, не с персональными данными. Пример: сначала ИИ генерирует текст, затем сотрудник вручную вставляет данные, а не наоборот.
5. Четкий список «можно / нельзя». Сотруднику не нужны юридические трактовки — ему нужны правила. Можно: обезличенные данные, шаблоны, статистика. Нельзя: медицинские данные, банковская информация, пароли, биометрия.

Почему инструкции работают лучше, чем обучение

Компании часто инвестируют в обучение, но игнорируют регламенты.

• На практике: обучение забывается, инструкции — используются. Особенно если они написаны простым языком, содержат примеры и встроены в процессы.
• Инциденты: готовность важнее предотвращения. Даже при идеальной системе ошибки неизбежны. Поэтому критически важно: иметь понятный сценарий действий, назначить ответственных и обеспечить быстрый канал связи.
• Скорость реакции напрямую влияет на последствия. Баланс между эффективностью и безопасностью. 

ИИ — это не просто инструмент, а новый уровень операционной эффективности.
Но без контроля он превращается в источник рисков. Зрелый подход бизнеса сегодня — это не запрещать технологии, не игнорировать регуляцию, а выстраивать управляемую систему.

Вывод

Компании, которые уже внедрили ИИ, стоят перед выбором:

• либо продолжать использовать его «как получится», 
• либо превратить в управляемый и безопасный инструмент.

Разница между этими подходами — не только в штрафах. Это вопрос доверия клиентов, устойчивости бизнеса и готовности к новой цифровой реальности. ИИ уже стал частью бизнес-процессов.
Теперь задача — сделать его частью контролируемой и безопасной среды.