Блог • Комплаенс

Персональные данные и нейросети в РФ: чек‑лист по 152‑ФЗ для юристов (2026)

Генеративный ИИ стал привычным инструментом для договоров, претензий и аналитики — и именно поэтому “случайная вставка” ФИО/телефона/переписки в нейросеть превращается в системный риск. В 2026 выигрывают команды, которые умеют работать с ИИ в рамках 152‑ФЗ: с понятными потоками данных, уведомлениями и режимами “без персональных данных”.

Обновлено: март 2026 Чтение: ~12 минут Фокус: практика юриста

TL;DR: 9 шагов, чтобы использовать ИИ и не “вылететь” из 152‑ФЗ

Короткий чек‑лист

1) Нарисуйте поток данных: что именно попадает в ИИ, откуда, куда уходит, где хранится.

2) Определите режимы: “публичные данные”, “внутренние документы”, “персональные данные”, “спецкатегории/адвокатская тайна”.

3) Закройте базу: цель и основание обработки (ст. 6 152‑ФЗ), перечень данных и срок.

4) Локализация: при сборе ПД граждан РФ — первичная запись/систематизация в БД на территории РФ (ст. 18, ч. 5 152‑ФЗ).

5) Трансграничка: если ИИ/вендор за рубежом — проверьте ст. 12 152‑ФЗ и необходимость уведомления.

6) Поручение обработчику: договор + инструкции, запрет на обучение на данных, сроки хранения/удаление, субподрядчики.

7) Обезличивание: где возможно — передавайте в ИИ обезличенные данные; учитывайте приказ РКН № 140 (в силе с 01.09.2025).

8) Автоматизированные решения: если ИИ влияет на людей (найм/скоринг) — проверьте ст. 16 152‑ФЗ.

9) Инциденты: настройте реагирование и уведомления при утечках/неправомерной передаче (ст. 21 152‑ФЗ).

Почему нейросеть = обработка персональных данных

В юридической практике “персональные данные” всплывают чаще, чем кажется: ФИО и должности в переписке, телефоны в претензии, подписи в скане, адреса в договоре, сведения о работниках, а иногда и специальные категории (здоровье, судимости, политические взгляды) — например, в трудовых/семейных спорах.

Когда вы вставляете такой текст в генеративный ИИ, вы не просто “показываете документ” — вы осуществляете обработку: сбор/использование/передачу третьему лицу (вендору), иногда — трансграничную передачу. Поэтому подход “мы просто попросили нейросеть перефразировать” юридически не спасает.

Что изменилось в 2025–2026 (коротко)

  • Локализация стала жёстче в формулировке: ст. 18, ч. 5 152‑ФЗ прямо запрещает собирать ПД граждан РФ с использованием БД, находящихся за пределами РФ (с оговорёнными исключениями).
  • Обезличивание “упаковали” в требования: приказ Роскомнадзора № 140 от 19.06.2025 утвердил требования к обезличиванию и методы; действует с 01.09.2025.
  • Сроки реакции на утечки формализованы: ст. 21 152‑ФЗ устанавливает обязанности оператора при выявлении неправомерной/случайной передачи ПД и сроки уведомлений.

Практический вывод: в 2026 “просто запретить сотрудникам нейросети” почти не работает. Работает регламент: что можно, что нельзя, и в каком режиме.

Карта рисков для юриста: где чаще всего ломается комплаенс

Ситуация Почему опасно Безопасная альтернатива
Вставили договор с реквизитами и контактами ПД + коммерческая тайна + “след” у вендора Редакция/обезличивание + работа по шаблону условий
Скинули переписку с клиентом/работником ПД, иногда спецкатегории; высокий риск идентификации Краткий таймлайн и обезличенные выдержки
Попросили ИИ “оценить шансы” по делу с документами Передача материалов вовне, риск утечки и ложной уверенности RAG по утверждённым источникам + ручная верификация
ИИ подбирает кандидатов/ставит “скоринг” Автоматизированные решения о людях (ст. 16 152‑ФЗ) Человек‑в‑контуре, прозрачные критерии и согласия

Чек‑лист соответствия 152‑ФЗ для генеративного ИИ

Шаг 1. Опишите потоки данных (Data map)

Юридически важно не “что вы думаете”, а что реально происходит. Зафиксируйте:

  • какие данные попадают в ИИ (текст, файлы, изображения, метаданные);
  • кто вводит (юрист, менеджер, клиент) и в каком контуре (личный аккаунт/корпоративный);
  • где ИИ‑сервис расположен и где хранит данные (если хранит);
  • используются ли данные для обучения модели и есть ли “no training”.

Шаг 2. Основание и цель обработки (ст. 6 152‑ФЗ)

Для обработки ПД нужна цель и основание. В контуре ИИ часто всплывают два “слабых места”:

  1. Цель размазана (“для удобства работы”) — а нужно конкретно: подготовка документов, анализ договоров, поддержка клиентов и т.д.
  2. Основание не оформлено — например, нет согласий, нет договора поручения обработчику, нет внутренней политики.

Если вы используете ИИ‑вендора как внешнего обработчика, вам почти всегда нужен договор поручения обработки и ограничения: хранение, удаление, субподряд, запрет обучения на данных.

Шаг 3. Документы и внутренние меры (ст. 18.1 152‑ФЗ)

Минимальный набор, который обычно проверяют и который помогает “держать процесс”:

  • Политика обработки ПД и уведомления субъектам (публичная часть).
  • ЛНА об использовании ИИ (что можно/нельзя, режимы, обезличивание, ответственность).
  • Перечень ИСПДн и меры безопасности (включая доступы и логирование).
  • Поручения обработчикам (вендоры, подрядчики, облака) и контроль субпроцессоров.

Шаг 4. Уведомления Роскомнадзора (ст. 22 152‑ФЗ)

Проверьте, должны ли вы подавать уведомление об обработке персональных данных (и нет ли у вас “тихого исключения”). Если уведомление нужно — отсутствие регистрации в реестре операторов становится отдельным риском.

Шаг 5. Локализация и трансграничная передача (ст. 18 и ст. 12 152‑ФЗ)

Два вопроса, которые “ломают” самые практичные сценарии с зарубежными LLM‑API:

  1. Локализация: при сборе ПД граждан РФ первичная запись/систематизация должны быть в БД на территории РФ (ст. 18, ч. 5).
  2. Трансграничная передача: если вендор/серверы/субподрядчики за рубежом — проверьте требования ст. 12 и порядок уведомлений (если применимо).

Реалистичный подход: разделить процессы на “без ПД” (можно использовать любые модели) и “с ПД” (только в закрытом/локализованном контуре или после юридической настройки).

Шаг 6. Обезличивание (приказ РКН № 140)

Лучший способ “не нарушить” — не передавать персональные данные в ИИ вообще. В 2026 это достигается технически простым приёмом: обезличивание перед отправкой + отдельное хранение таблицы соответствий (если нужно восстановление).

Приказ РКН № 140 (действует с 01.09.2025) закрепляет требования и методы обезличивания. Если вы строите устойчивый процесс, это стоит учесть в ЛНА и в технической реализации.

Шаг 7. Специальные категории и “профессиональная тайна”

Сдвиг, который часто недооценивают: нейросеть начинает “видеть” не только ФИО, но и контекст. То, что кажется “просто описанием ситуации”, может содержать спецкатегории ПД (ст. 10 152‑ФЗ) или сведения, защищённые режимом адвокатской тайны (ст. 8 63‑ФЗ).

Практическое правило: если текст нельзя переслать обычным письмом третьему лицу — его нельзя и вставлять в внешний ИИ‑сервис.

Шаг 8. Автоматизированные решения о людях (ст. 16 152‑ФЗ)

Если ИИ используется в HR/скоринге/фроде и влияет на человека (отказ, ранжирование, “красный флаг”), проверьте режим ст. 16: права субъекта, порядок согласия и возможность оспаривания решения. В таких сценариях принцип “человек‑в‑контуре” — не только этика, но и практический комплаенс‑щит.

Шаг 9. Инциденты и уведомления (ст. 21 152‑ФЗ)

ИИ‑вендор — это ещё одна поверхность атаки: утечки, неправильные права доступа, логирование лишнего. В 2026 важно заранее описать: кто фиксирует инцидент, кто уведомляет, какие сроки и какие сведения собираем. Это должно быть частью договора с вендором и внутренней процедуры.

Режим “без персональных данных”: как юристу реально им пользоваться

Это то, что даёт максимальный эффект без сложной юридической конструкции.

  1. Заменяйте идентификаторы: “Иванов И.И.” → “Сотрудник А”, “ООО Ромашка” → “Поставщик”, телефон/почту → “[контакт]”.
  2. Оставляйте правовую суть: суммы, сроки, обязанности, условия, последовательность событий.
  3. Не вставляйте “узнаваемые фрагменты”: редкие формулировки письма, сканы с подписями, номера документов.
  4. Вместо документа — “карта документа”: перечислите разделы/условия и спорные пункты, а не весь PDF.

Именно так ИИ становится ускорителем для юриста, а не риском для DPO и руководителя практики.

Шаблон AI‑policy (что включить, чтобы документ работал)

Хорошая политика — это не “запретить всё”, а разграничить режимы и ответственность. Минимальная структура:

  • Цели использования ИИ (задачи, где ИИ — черновик, и где запрещён).
  • Классы данных (публичные/внутренние/ПД/спецкатегории/адвокатская тайна).
  • Разрешённые инструменты и требования к ним (no training, retention, доступы).
  • Правила обезличивания и пример “как редактировать текст”.
  • Чек‑лист перед отправкой (5–7 вопросов “есть ли ПД? можно ли заменить?”).
  • Порядок верификации: если ИИ даёт ссылки/выводы — что обязательно проверять.
  • Инциденты: кому сообщать, как фиксировать, что запрещено скрывать.

2 промпта, которые экономят время (и удерживают комплаенс)

1

Собрать черновик AI‑policy для компании

Запрос
Ты — юрист РФ и DPO. Составь черновик внутренней политики использования генеративного ИИ для компании. Вводные: отрасль [ ], тип данных [клиенты/работники/контрагенты], есть ли трансграничный контур [да/нет], какие инструменты ИИ используем [ ], какие задачи [договоры/претензии/аналитика]. Нужно: 1) запретные классы данных (спецкатегории, адвокатская тайна и т.п.); 2) режим “без персональных данных” с правилами обезличивания; 3) требования к вендорам (no training, retention, субпроцессоры, удаление); 4) порядок верификации ответов; 5) процедура инцидентов; 6) ответственность сотрудников. Формат: структурированный документ с разделами и краткими формулировками.
Зачем
Даёт рабочий скелет LNA и помогает согласовать “как мы используем ИИ” между юристами, ИБ и бизнесом.
2

Обезличить текст перед отправкой в ИИ

Запрос
Ты — юрист РФ. Задача: подготовить обезличенную версию текста для обсуждения с ИИ без передачи персональных данных. Правила: замени ФИО/телефоны/почты/адреса/паспортные данные/реквизиты на нейтральные плейсхолдеры (“Сотрудник А”, “Контрагент Б”, “[телефон]”), убери уникальные идентификаторы (номера договоров/актов) если они не влияют на правовую суть. Сохрани хронологию, суммы, сроки и спорные пункты. В конце: перечисли, какие фрагменты могут всё ещё позволять идентификацию и что дополнительно скрыть. Текст: [вставь фрагмент]
Зачем
Позволяет использовать ИИ как “ускоритель” и держать режим “без ПД” даже на реальных материалах.

Источники

Хотите быстро подготовить AI‑policy или проверить сценарий использования ИИ на риски 152‑ФЗ? Откройте чат консультанта и напишите: “сценарий → какие данные → какой вендор → где серверы → что хотим автоматизировать”.