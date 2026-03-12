Почему использование AI почти всегда связано с обработкой персональных данных
В 2026 году большинство AI-решений в бизнесе работают не просто с обезличенной статистикой, а с данными реальных людей: клиентов, сотрудников или пользователей сайтов. Поэтому внедрение искусственного интеллекта практически всегда автоматически приводит компанию в зону регулирования закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
С точки зрения закона обработкой персональных данных считается любое действие с такой информацией: сбор, запись, систематизация, хранение, анализ, передача и даже удаление данных. Причем обработка может происходить как вручную, так и с использованием автоматизированных систем и алгоритмов, что как раз и происходит при применении AI-технологий.
Какие AI-системы фактически работают с персональными данными
Многие компании считают, что используют только аналитику или автоматизацию. Но на практике AI-инструменты почти всегда анализируют информацию, связанную с конкретными людьми.
К таким системам относятся, например:
AI-скоринг клиентов в банках и сервисах онлайн-кредитования;
HR-аналитика и системы оценки кандидатов;
рекомендательные алгоритмы интернет-магазинов и маркетплейсов;
чат-боты и голосовые ассистенты, которые анализируют историю общения;
маркетинговые алгоритмы, анализирующие поведение пользователей на сайте.
Во всех этих случаях используются данные, позволяющие прямо или косвенно определить человека: имя, контактные данные, историю действий, покупки, поведенческие профили и другую информацию.
А значит, компания автоматически становится оператором персональных данных и обязана соблюдать требования законодательства. Закон распространяется на всех, кто обрабатывает персональные данные, от крупных корпораций до малого бизнеса.
Почему компании часто недооценивают этот риск
На практике бизнес внедряет AI-инструменты через маркетинговые платформы, облачные сервисы или внешние API. При этом компании редко анализируют:
какие именно данные используются для обучения алгоритмов,
где они хранятся,
кто имеет доступ к этим данным,
и какие решения принимает система.
В результате AI-решение становится фактическим инструментом обработки персональных данных, но юридическая инфраструктура: согласия, политики обработки, регламенты автоматизированных решений, остается не оформленной.
Именно поэтому тема искусственного интеллекта и персональных данных становится одной из самых обсуждаемых в юридической практике 2026 года: бизнес активно внедряет AI-технологии, но далеко не всегда учитывает требования законодательства о защите данных.
Помогаем бизнесу выстроить юридически корректную работу с данными:
анализируем процессы автоматизированной обработки;
разрабатываем документы по ФЗ-152;
проводим аудит обработки персональных данных перед проверками Роскомнадзора.
Какие юридические ограничения возникают при использовании AI для обработки персональных данных
Когда компания внедряет искусственный интеллект в процессы анализа клиентов, сотрудников или пользователей, она фактически начинает применять автоматизированную обработку персональных данных. Закон не запрещает такие технологии, но устанавливает ряд строгих требований, которые бизнес обязан учитывать при использовании AI-систем.
Ограничение №1 — запрет на полностью автоматизированные решения без согласия
Одно из ключевых требований закона касается решений, принимаемых алгоритмами. Согласно статье 16 закона № 152-ФЗ, запрещено принимать решения, которые создают юридические последствия для человека или затрагивают его права, исключительно на основании автоматизированной обработки персональных данных.
Такие решения допустимы только в двух случаях:
если человек дал письменное согласие на такую обработку;
если возможность автоматизированного решения прямо предусмотрена законом.
На практике это означает, что AI-алгоритм не может самостоятельно принимать решения, например:
об отказе клиенту в услуге или кредите,
о блокировке аккаунта,
об автоматическом отборе кандидатов при трудоустройстве.
Во всех этих случаях должен сохраняться человеческий контроль и возможность пересмотра решения.
Ограничение №2 — обязанность объяснить логику алгоритма
Если компания применяет алгоритмы для принятия решений на основе персональных данных, она обязана:
объяснить принцип обработки данных;
сообщить последствия такого решения;
предоставить человеку возможность оспорить его.
Иначе говоря, AI-алгоритм не может быть «черным ящиком», оператор персональных данных обязан обеспечить прозрачность обработки и возможность защиты прав субъекта данных.
Ограничение №3 — отдельные согласия на обработку данных в AI-системах
Любая обработка персональных данных должна происходить только на законном основании. По закону согласие субъекта должно быть конкретным, информированным и добровольным, а также подтверждать, что человек понимает цели обработки.
В контексте AI это означает, что компания должна отдельно указать:
использование данных для автоматизированной обработки,
возможное обучение алгоритмов на данных,
передачу данных сторонним сервисам или подрядчикам.
Особенно строгие требования применяются к:
биометрическим данным,
чувствительным категориям информации,
трансграничной передаче данных.
Ограничение №4 — принцип минимизации данных
AI-алгоритмы часто требуют больших массивов информации для обучения. Но закон устанавливает принцип: компания может обрабатывать только те персональные данные, которые необходимы для конкретной цели обработки.
Если алгоритм собирает или анализирует избыточные данные, например объединяет информацию из разных источников для построения поведенческих профилей, может быть признано нарушением.
Ограничение №5 — требования к центрам обработки данных и локализации персональных данных
При использовании AI-систем важно учитывать не только алгоритмы обработки, но и инфраструктуру хранения данных, включая дата-центры и облачные платформы.
Согласно части 5 статьи 18 закона № 152-ФЗ «О персональных данных», оператор обязан обеспечить запись, систематизацию, накопление, хранение и извлечение персональных данных граждан РФ с использованием баз данных, расположенных на территории России.
Это требование известно как локализация персональных данных. Его смысл заключается в том, что:
первичная база персональных данных должна находиться в российском центре обработки данных;
сбор данных через интернет-сервисы, сайты или AI-платформы не может происходить с использованием иностранных баз данных;
только после первичной записи данных в России допускается их дальнейшая передача за рубеж при соблюдении требований закона.
На практике это особенно важно для компаний, которые используют зарубежные AI-сервисы, облачные платформы или внешние аналитические инструменты. Если такие сервисы обрабатывают персональные данные напрямую через иностранные дата-центры, это может нарушать требования локализации.
Почему это становится ключевой юридической проблемой
AI-системы активно внедряются в бизнес-процессы, потому что позволяют автоматизировать анализ и прогнозирование. Однако именно персональные данные являются «топливом» для обучения алгоритмов, и ошибки в их использовании могут привести к серьезным юридическим и репутационным последствиям для компании.
Поэтому внедрение искусственного интеллекта требует не только технологической подготовки, но и юридической архитектуры обработки персональных данных.
Искусственный интеллект уже стал частью повседневных бизнес-процессов — от маркетинговой аналитики до HR-систем и клиентских сервисов. Однако вместе с технологическими возможностями компании получают и новые юридические обязанности. Как только AI-система начинает анализировать информацию о конкретных людях, компания фактически становится оператором персональных данных и должна соблюдать требования закона № 152-ФЗ «О персональных данных».
Ключевой принцип законодательства заключается в том, что персональные данные не могут использоваться бесконтрольно, даже если обработка происходит автоматически. Например, закон прямо ограничивает принятие решений, которые затрагивают права человека, исключительно на основе автоматизированной обработки данных без его письменного согласия и без возможности оспорить такое решение.
Именно поэтому внедрение AI требует от бизнеса не только технологической готовности, но и продуманной юридической инфраструктуры. Компании должны заранее определить цели обработки данных, оформить согласия, документировать процессы работы алгоритмов и обеспечить прозрачность принятия решений.
В 2026 году искусственный интеллект уже не является экспериментальной технологией — он становится частью операционной деятельности бизнеса. И чем активнее компании используют алгоритмы и автоматизированные решения, тем важнее обеспечить правильную и законную работу с персональными данными. Только в этом случае AI будет работать как инструмент развития бизнеса, а не как источник регуляторных рисков и штрафов.
Проверьте свою систему обработки персональных данных и сайт заранее. Мы проводим аудит сайтов, AI-сервисов и бизнес-процессов на соответствие требованиям ФЗ-152 и практике проверок Роскомнадзора.
