За последние несколько лет искусственный интеллект стал использоваться практически повсеместно. По данным опроса, проведенного НЦЗПД, 24% опрошенных используют АI-модели в работе, 18% - во всех сферах жизни, включая работу. А значит, весьма вероятно, что в стремлении упростить выполнение задач работники могут отправлять в обработку искусственному интеллекту информацию, содержащую персональные данные.
Давайте посмотрим, по каким правилам будут обрабатывать такую информацию AI-модели на примере ChatGPT и DeepSeek.
Их политики конфиденциальности содержат следующие условия:
Давайте посмотрим, по каким правилам будут обрабатывать такую информацию AI-модели на примере ChatGPT и DeepSeek.
Их политики конфиденциальности содержат следующие условия:
- обе политики прямо указывают на то, что разработчики могут использовать предоставленную им информацию для улучшения услуг, например, для обучения своих систем и алгоритмов;
- модели стремятся к обезличиванию персональных данных, однако не гарантируют их полную безопасность и не несут ответственность за обход настроек конфиденциальности третьими лицами;
- отдельные функции позволяют делиться информацией с другими пользователями или третьими лицами, загружать информацию из AI-моделей в соцсети;
- серверы, используемые для хранения данных, находятся на территории Китайской народной Республики (DeepSeek) и Соединенных Штатов Америки (ChatGPT).
Справочно: указанные государства не содержатся в перечне НЦЗПД среди государств, которые обеспечивают надлежащий уровень защиты прав субъектов персональных данных.
Из этого следует, что:
Порядок такой передачи должен быть прописан в Политике оператора. Также оператору необходимо получить согласие субъекта персональных данных на трансграничную передачу. При этом лицо, чьи данные обрабатываются, должно понимать, на что именно дает свое согласие: какая AI-модель будет использована и в какой юрисдикции будет происходить обработка.
Распространение является самым рискованным вариантом обработки данных. За незаконное распространение персональных данных установлена наиболее строгая ответственность.
Именно поэтому важно контролировать возможность использования работниками искусственного интеллекта для выполнения рабочих задач. Как оператор, компания несет всю полноту ответственности за законность обработки. А возможность «наказать» работника за нарушение порядка обработки персональных данных (в т.ч. увольнение по п. 10 ч. 1 ст. 47 ТК) будет напрямую зависеть от того, закреплены ли правила применения искусственного интеллекта в ЛПА компании.
- При использовании ChatGPT и DeepSeek осуществляется трансграничная передача персональных данных в незащищенные юрисдикции.
Порядок такой передачи должен быть прописан в Политике оператора. Также оператору необходимо получить согласие субъекта персональных данных на трансграничную передачу. При этом лицо, чьи данные обрабатываются, должно понимать, на что именно дает свое согласие: какая AI-модель будет использована и в какой юрисдикции будет происходить обработка.
- Создается потенциальный риск распространения персональных данных – их получения неограниченным кругом лиц.
Распространение является самым рискованным вариантом обработки данных. За незаконное распространение персональных данных установлена наиболее строгая ответственность.
Именно поэтому важно контролировать возможность использования работниками искусственного интеллекта для выполнения рабочих задач. Как оператор, компания несет всю полноту ответственности за законность обработки. А возможность «наказать» работника за нарушение порядка обработки персональных данных (в т.ч. увольнение по п. 10 ч. 1 ст. 47 ТК) будет напрямую зависеть от того, закреплены ли правила применения искусственного интеллекта в ЛПА компании.
Для минимизации риска неконтролируемой обработки персональных данных мы рекомендуем:
- актуализировать перечень процессов обработки персональных данных;
- закрепить в ЛПА правила использования AI-моделей: какие модели, в каких бизнес-процессах (с учетом перечня процессов обработки персональных данных) и в каких пределах допустимо использовать, какая предварительная обработка информации (шифрование, обезличивание и т.п.) требуется перед загрузкой данных в AI-модель и т.д.
