Сотрудники передают данные в ИИ-сервисы: риски по 152-ФЗ
Сотрудник вставил базу клиентов в ChatGPT — это уже нарушение 152-ФЗ. Даже если «просто для анализа».
Когда сотрудник отправляет персональные данные (имена, телефоны, email, сделки) в сторонний ИИ-сервис — данные уходят на серверы за рубеж. По ч. 5 ст. 18 152-ФЗ первичная обработка персональных данных граждан РФ обязана происходить на серверах в России. Зарубежные ИИ-инструменты — ChatGPT, Claude, Gemini — под это требование не подпадают.
Чем это грозит бизнесу:
— Трансграничная передача данных без уведомления РКН — штраф до 300 000 ₽ по ч. 3 ст. 13.11 КоАП РФ
— Если утечка фиксируется — обязанность уведомить РКН в течение 24 часов, иначе штраф от 1 до 3 млн ₽
— Персональная ответственность для должностного лица
Что делать:
Пропишите в регламентах и трудовых инструкциях прямой запрет на передачу ПДн клиентов и сотрудников во внешние ИИ-сервисы. Технически — ограничьте доступ к подобным сайтам с корпоративных устройств. Без этого ответственность за действия сотрудника всё равно несёт оператор — то есть компания.
Такие риски могут быть и на вашем сайте
Запустите экспресс-проверку сайта и получите первые найденные проблемы по формам, cookies, согласиям и документам.
Проверить сайт