ChatGPT и 152-ФЗ: что говорит закон о совместимости
ChatGPT и 152-ФЗ: нарушаете ли Вы закон рабочей перепиской, куда физически уходят данные и что требует закон о персональных данных. Разбор с источниками.
Короткий честный ответ: закон смотрит не на сам факт переписки с ChatGPT, а на то, чьи данные Вы туда вводите. Если Вы обсуждаете обезличенные рабочие заметки, идеи и формулировки, к 152-ФЗ это отношения не имеет. Как только в чат попадают персональные данные клиентов, имя, телефон, обстоятельства их жизни, включается закон о персональных данных, и оператором этих данных остаётесь Вы. ChatGPT при этом обрабатывает текст на серверах OpenAI, по её собственной политике это серверы в США. Отсюда возникают вопросы локализации и трансграничной передачи, за ответы на которые по закону отвечает оператор, то есть Вы. Закон не объявляет ChatGPT запрещённым. Он задаёт условия, при которых передача персональных данных россиян за рубеж вообще допустима. Ниже разбираем, что именно требует 152-ФЗ, чем клиентские данные отличаются от рабочих заметок и как снизить риск, не отказываясь от инструментов.
Закон смотрит не на ChatGPT, а на то, чьи данные Вы вводите
Сразу зафиксируем жанр: здесь пересказ норм закона, а не юридическое заключение. Полный текст 152-ФЗ открыт на КонсультантПлюс.
Главное понятие тут оператор персональных данных. Оператор это тот, кто определяет цели и состав обработки. Если Вы записываете имена, телефоны и обстоятельства жизни клиентов, оператор Вы, даже когда работаете в одиночку. Инструмент статуса не меняет: внесли те же данные в ChatGPT, остались оператором, а сервис стал звеном обработки, за выбор которого отвечаете Вы.
Отсюда развилка, которую важно держать в голове. Обезличенные рабочие заметки, идея текста, черновик письма, формулировка оффера, разбор абстрактной ситуации без узнаваемого человека, персональными данными не являются. Их можно обсуждать с ChatGPT свободно, закон о персональных данных сюда не смотрит. Персональные данные клиентов это другое: по ним человека можно узнать, и с момента их ввода в чат все вопросы этого разбора из теоретических становятся практическими.
Пример. Коуч спрашивает ChatGPT, как выстроить программу из десяти сессий, это работа с методикой, не с данными. Тот же коуч вставляет в чат заметки по конкретному клиенту с именем и историей запроса ради саммари, это уже обработка персональных данных силами зарубежного сервиса. Разница не в инструменте, а в том, что именно ушло в окно ввода.
Куда физически уходит текст из ChatGPT
Чтобы понять требования закона, нужно знать, где данные оказываются. Это не догадка, ответ записан в собственных документах OpenAI.
Политика конфиденциальности OpenAI в редакции от 6 февраля 2026 года формулирует прямо: компания обрабатывает и хранит персональные данные на серверах в США, а также в странах, где находятся её аффилированные лица, партнёры и подрядчики. Для пользователей за пределами ЕЭЗ, Великобритании и Швейцарии, а Россия именно там, контролёром данных названа OpenAI OpCo, LLC с адресом в Сан-Франциско. То есть текст, который Вы вводите в чат, физически уходит на зарубежные серверы и живёт там по правилам провайдера.
Ещё две детали из той же политики, важные для оценки риска. Первая: в потребительских тарифах ChatGPT содержание разговоров по умолчанию может использоваться для улучшения моделей, это отключается в настройках Data Controls. Вторая: удалённые данные стираются из систем в течение 30 дней, кроме случаев, когда закон требует хранить дольше. Правила устанавливает провайдер, и он же их меняет: эта редакция политики не первая и не последняя.
Что из этого следует по 152-ФЗ
Теперь соберём факты закона поверх факта размещения. Формулировки намеренно аккуратные: закон задаёт требования, а не выносит приговор Вашей переписке.
Локализация. Часть 5 статьи 18 запрещает при сборе персональных данных граждан РФ вести их первичную базу за пределами страны. Простыми словами: машина, на которую данные россиян пишутся первой, должна стоять в РФ. Когда клиентские данные вводятся в ChatGPT, первичная запись идёт на серверах OpenAI за рубежом, и вопрос статьи 18 возникает ровно так же, как если бы Вы сами арендовали сервер за границей.
Трансграничная передача. Передачу персональных данных за рубеж регулирует статья 12. С 1 марта 2023 года действует уведомительный порядок: оператор обязан сообщить в Роскомнадзор о трансграничной передаче до её начала. Ввод данных клиентов в зарубежный сервис это как минимум повод разобрать, возникает ли здесь трансграничная передача, и делать это лучше до начала работы.
Согласие. По общему правилу обработка персональных данных требует согласия субъекта, это статья 9. С 1 сентября 2025 года согласие оформляется отдельным документом, а не абзацем внутри договора.
Что из этого следует практически. Риск не в том, что Вы «преступник», как только открыли ChatGPT. Риск в том, что при вводе клиентских данных в зарубежный сервис на Вас как на операторе повисают обязанности, о которых легко не подумать: где ведётся первичная база, уведомлён ли Роскомнадзор, есть ли согласие клиента. Административные составы и суммы штрафов перечислены в КоАП и регулярно обновляются, поэтому мы их здесь не цитируем: сверяйте актуальную редакцию на КонсультантПлюс, а свой конкретный сценарий обсудите с юристом.
Как снизить риск уже сегодня
Хорошая новость в том, что между «пользуюсь ChatGPT как есть» и «отказываюсь от инструментов» есть рабочая середина. Три привычки снимают большую часть риска.
Обезличивание. Описывайте кейс без имени, города и деталей, по которым человека можно узнать. Ассистенту чаще всего нужна суть ситуации, а не паспортные данные клиента.
Минимизация. Передавайте только то, что нужно для конкретного вопроса, а не всю историю отношений с человеком. Чем меньше персональных данных ушло в чат, тем меньше вопросов к Вам как к оператору.
Разделение потоков. Держите рабочие заметки и идеи отдельно от карточек клиентов. С первыми ChatGPT помогает без оговорок, вторые вообще не стоит вводить в публичный чат-бот.
Отдельно про настройку обучения. Отключить использование Ваших разговоров для тренировки моделей полезно, но это решает не тот вопрос. Отказ от обучения касается обучения, а не хранения и не локализации: переписка всё равно лежит на зарубежных серверах провайдера. Галочка в настройках не отменяет статью 18.
И честная оговорка, к которой мы возвращаемся в каждом материале этой темы: всё выше это пересказ норм и общая логика, а не индивидуальный совет. Состав Ваших данных и обязанности оператора в конкретной ситуации оценивает юрист.
Ассистент, чьи данные остаются в РФ
Есть и способ убрать сам источник риска, а не гасить его каждый день вручную: работать с ассистентом, у которого данные вообще не покидают российский контур.
Хермес от intakto это ИИ-помощник с постоянной памятью, и вопрос размещения в её схеме закрыт архитектурой. Сервер клиента стоит физически в РФ, и первичная база с памятью, документами и перепиской ведётся на этом же сервере. Для данных россиян это прямой ответ на требование локализации: они не уходят за рубеж, потому что база изначально живёт в России. Контраст с привычным чат-ботом проходит ровно по оси этой статьи: ChatGPT обрабатывает Ваш текст на серверах в США, у Хермес он остаётся на Вашем сервере. Подробное сравнение по оси памяти и владения мы собрали на странице Хермес против ChatGPT.
И здесь та же честность, что и в разделе про закон: мы описываем схему размещения, а не выдаём юридическое заключение. Другие узлы этой темы, от того, что провайдеры делают с диалогами, до трансграничной передачи и требования локализации, разобраны в обзоре владения данными при работе с ИИ.
Можно ли по закону пользоваться ChatGPT в России для работы?
Закон не объявляет ChatGPT запрещённым и не наказывает за сам факт переписки. 152-ФЗ вступает в игру только когда Вы вводите в чат персональные данные людей: имя, телефон, обстоятельства их жизни. Обезличенные рабочие заметки, идеи и формулировки под закон о персональных данных не подпадают. То есть вопрос не «можно или нельзя пользоваться», а «что именно Вы туда вводите и в каком качестве». За детали конкретной ситуации отвечает юрист, а не общая статья.
Легально ли передавать данные клиентов в OpenAI?
Это вопрос трансграничной передачи. По собственной политике OpenAI данные обрабатываются и хранятся на серверах в США, а значит ввод персональных данных клиентов в ChatGPT это передача за рубеж. 152-ФЗ её не запрещает, но задаёт порядок: сначала первичная база с данными россиян ведётся в РФ, о трансграничной передаче с 1 марта 2023 года оператор уведомляет Роскомнадзор до её начала, а обработка требует согласия субъекта. Ответственность за соблюдение лежит на операторе, то есть на Вас.
Где физически хранятся данные, которые я ввожу в ChatGPT?
В политике конфиденциальности OpenAI (редакция от 6 февраля 2026 года) сказано прямо: персональные данные обрабатываются и хранятся на серверах компании в США, а также в странах, где находятся её партнёры и подрядчики. Для пользователей вне ЕЭЗ, куда входит и Россия, контролёром данных названа OpenAI OpCo, LLC из Сан-Франциско. Проще говоря, текст, который Вы вводите в чат, физически уходит на зарубежные серверы и живёт там по правилам провайдера.
источники (2)
- Privacy policy (rest of world) · OpenAI · 2026
- Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» · КонсультантПлюс · 2006