Skip to content

Защита персональных данных при работе с ИИ-ассистентами

Last updated: 12 апреля 2026 г.

Если вы хоть раз вставляли клиентский email в ChatGPT, чтобы «причесать», или просили Claude суммировать HR-отчёт — скорее всего, вы попали под ФЗ-152 «О персональных данных». Вопрос лишь в том, законно ли.

Это не теория. Роскомнадзор регулярно выпускает разъяснения по обработке ПДн при использовании внешних сервисов. Закон о локализации ПДн (ст. 18 ч. 5 ФЗ-152) требует первичной обработки и хранения данных российских граждан на серверах в РФ — а ChatGPT этому не соответствует.

Что требует ФЗ-152

Закон не запрещает ИИ-ассистенты. Но требует, чтобы обработка ПДн была: (1) законной, (2) с информированного согласия или иного законного основания, и (3) совместимой с заявленной целью.

  • Согласие субъекта (ст. 9). Конкретное, информированное, осознанное. Резюме, которое прислал кандидат на собеседование, не подразумевает согласия на обучение языковой модели.
  • Цели обработки (ст. 5). ПДн должны обрабатываться для конкретной заявленной цели. Передача в сторонний ИИ за рамки этой цели — нарушение.
  • Локализация (ст. 18 ч. 5). Первичная обработка данных граждан РФ должна происходить на территории РФ. ChatGPT, Claude, Gemini обрабатывают за рубежом — это структурное нарушение.
  • Спецкатегории (ст. 10). Здоровье, политические взгляды, биометрия — особые ограничения. Вставка медицинского заключения в ChatGPT почти всегда им не соответствует.
  • Трансграничная передача (ст. 12). В страны с недостаточной защитой — только с письменным согласием или по одному из перечисленных оснований.

Кто оператор, кто обработчик?

Когда вы вставляете данные клиента в ChatGPT, вы выступаете оператором ПДн. Передача происходит лицу, с которым у вас нет договора поручения (ст. 6) и часто нет подходящего согласия. У OpenAI есть корпоративные соглашения для API-клиентов, но для обычного веб-доступа к ChatGPT — нет.

Отраслевые требования сверху

ФЗ-152 — не вся картина. Медики работают под 323-ФЗ и врачебной тайной. Адвокаты — под адвокатской тайной (ст. 8 63-ФЗ). Банки — под банковской тайной. «Это просто быстрый ИИ-инструмент» не отменяет ни одного из этих режимов.

Как выглядит работа в правовом поле

  1. Анонимизируйте перед отправкой. Замените ПДн на семантические плейсхолдеры. ИИ делает свою работу, персональные данные не покидают устройство.
  2. Если ИИ используется в бизнесе — оформите поручение обработки. Это базовый минимум.
  3. Документируйте. Внесите использование ИИ в политику обработки ПДн.
  4. Обучите сотрудников. Правило «не вставляй клиентские данные в ИИ» должно быть в политике приемлемого использования.
  5. Учитывайте локализацию. Передача данных российских граждан на зарубежный ИИ-сервис — отдельный риск.

Где здесь Anonymaze

Anonymaze создан под шаг 1: убрать ПДн из документа до того, как его увидит ИИ. Десктопное приложение работает полностью локально — никаких сетевых соединений, никакого облака. Очищенный текст — единственное, что покидает ваше устройство. Это снимает вопрос про передачу ПДн в зарубежный сервис: их там просто нет, потому что вы их не отправляли.

Anonymaze не является юридической консультацией. Если вы обрабатываете большие объёмы ПДн, спецкатегории или работаете в регулируемом секторе — обращайтесь к специалисту по защите данных. Но риск можно радикально снизить, просто исключив сами ПДн из того, что видит ИИ.

Скачать Anonymaze для Mac — бесплатно для личного использования, файлы до 10 МБ, без регистрации. Pro добавляет OCR, большие файлы и обратимость (9,99 $/мес или 89,99 $/год; Stripe Tax по стране).

Вопросы по DPA или соответствию? legal@anonymaze.ai.