Штраф за утечку персональных данных через ИИ: кто отвечает
Штраф за утечку персональных данных платит оператор, а оператор это Вы, а не ИИ-сервис. Суммы по закону 420-ФЗ с 30 мая 2025 и кто отвечает за утечку через ИИ.
Короткий честный ответ: за утечку персональных данных отвечает их оператор, а оператор это Вы, а не ИИ-сервис. Оператором закон называет того, кто собрал данные и определяет, зачем их обрабатывать. Если Вы завели карточку клиента с именем, телефоном и историей запроса ради своей работы, оператор этих данных Вы. ИИ-сервис, которому Вы отправляете текст, выступает обработчиком по Вашему поручению, и свою роль он описывает именно так: OpenAI в документе Enterprise privacy прямо пишет, что данными владеет и управляет клиент, а сама компания получает на них лишь права, нужные для оказания услуги. Отсюда вывод, неприятный, но точный: если данные клиента утекут через сервис, которым Вы пользуетесь, спрашивать будут с Вас как с оператора. А с 30 мая 2025 года спрашивать стали заметно дороже. За квалификацией конкретного случая идите к юристу.
Оператор это Вы, а не поставщик ИИ
Закон о персональных данных (152-ФЗ, статья 3) называет оператором того, кто организует обработку данных и определяет её цели. Ключевые слова тут «определяет цели». Вы решили собрать имя и телефон клиента, чтобы вести его дело, значит, цель определили Вы, значит, оператор Вы. Инструмент, через который данные проходят, этой роли не меняет.
У поставщика ИИ роль другая, и он сам её так называет. На странице Enterprise privacy OpenAI пишет: «Вы владеете и управляете своими данными», а сама компания получает на ввод и вывод только те права, что нужны для оказания услуги, и готова подписать отдельное соглашение об обработке данных (DPA). На языке закона это позиция обработчика: он обрабатывает данные по поручению оператора и в его интересах, но оператором не становится. Обработчик помогает и отвечает перед оператором по договору, но перед государством за судьбу данных отвечает оператор.
Аналогия простая. Вы отдали бухгалтеру коробку с документами клиентов. Бухгалтер обязан их не потерять. Но если бумаги всё же ушли на сторону, объясняться с клиентом и проверяющими всё равно Вам: это Вы собрали данные и Вы обещали их беречь.
Сколько стоит утечка: суммы с 30 мая 2025 года
Раньше нарушения с персональными данными измерялись десятками тысяч рублей. Это изменилось. Федеральный закон от 30.11.2024 N 420-ФЗ вступил в силу 30 мая 2025 года и переписал статью 13.11 КоАП. Теперь суммы другого порядка (данные по обзору КонсультантПлюс, для коммерческих организаций и ИП):
- Утечка данных не менее чем 1 000 человек: от 3 до 5 млн рублей.
- Утечка данных не менее чем 10 000 человек: от 5 до 10 млн рублей.
- Утечка данных более чем 100 000 человек: от 10 до 15 млн рублей.
- Утечка биометрических данных: от 15 до 20 млн рублей.
- Неуведомление Роскомнадзора об утечке в срок: от 1 до 3 млн рублей.
За повторную утечку персональных данных вводится оборотный штраф: от 1 до 3 процентов годовой выручки, но по общему правилу не меньше 20 млн и не больше 500 млн рублей. Отдельно выросли и штрафы по общему составу, без утечки: за нарушение правил обработки организации грозит от 150 до 300 тысяч рублей. Прежней скидки в 50 процентов за быструю уплату по статье 13.11 больше нет.
Важная оговорка о цифрах. Составы и суммы живут в КоАП и со временем меняются, поэтому сверяйте актуальную редакцию (КонсультантПлюс, Гарант) на день, когда читаете. И главное: подпадает ли конкретная ситуация под конкретный состав, решает не статья в блоге, а юрист по Вашим фактам. Мы не говорим, что Вас оштрафуют, мы показываем цену вопроса, чтобы решение принималось с открытыми глазами.
Почему счёт придёт Вам, а не сервису
Может показаться, что раз данные утекли на стороне сервиса, то и отвечать сервису. На практике так не выходит, и вот три причины.
Первая: договор. Поставщик ИИ в своих условиях оформляет себя обработчиком и ограничивает ответственность. Претензии клиента и вопросы Роскомнадзора адресованы оператору, то есть Вам.
Вторая: обязанность уведомить. При утечке оператор обязан сообщить в Роскомнадзор в сжатый срок, и за молчание предусмотрен отдельный штраф от 1 до 3 млн рублей. Роскомнадзор ведёт реестр операторов и принимает такие уведомления через свой портал персональных данных. Сервис за Вас в реестр не встанет и уведомление не подаст.
Третья: локализация и передача за рубеж. Статья 18 требует, чтобы первичная база данных россиян физически лежала в России, а статья 12 регулирует передачу данных за границу. Если текст с данными клиентов уходит в зарубежный сервис, оба вопроса встают перед оператором. И снова перед оператором, а не перед сервисом.
Как снизить риск уже сегодня
Это не индивидуальный совет, а общая логика. Три привычки уменьшают риск, не меняя инструментов. Обезличивание: описывайте случай без имени, города и деталей, по которым человека можно узнать. Минимизация: отдавайте сервису только то, что нужно для конкретного вопроса, а не всю историю клиента. Прозрачность: клиент должен знать, какие инструменты участвуют в работе с его данными, и лучше письменно, в согласии.
Четвёртая мера стратегическая: выбрать инфраструктуру, где данные клиентов вообще не покидают Ваш контур. Тогда вопросы локализации и передачи за рубеж не возникают, потому что самой передачи третьей стороне нет.
Ассистент, чьи данные остаются на Вашем сервере
Убрать источник риска надёжнее, чем гасить его вручную каждый день. Хермес от intakto это ИИ-помощник с постоянной памятью, и размещение данных в её схеме закрыто архитектурой. Сервер клиента стоит физически в РФ, а память, документы и переписка ведутся на этом же сервере. Для данных россиян это прямой ответ на требование локализации: они не уходят за рубеж, потому что база изначально живёт в России.
Честная граница: своя инфраструктура не отменяет того, что оператор по-прежнему Вы. Она убирает не Вашу ответственность, а сам источник риска, ту самую передачу данных третьей стороне за пределы страны. Как устроено владение данными в этой схеме, мы подробно разбираем в обзоре темы владение данными при работе с ИИ. А чем это отличается от привычного чат-бота, показываем на странице Хермес против ChatGPT.
Состав Ваших данных и обязанности оператора в конкретной ситуации всё равно оценивает юрист. Эта статья пересказ норм и общая логика, а не заключение по Вашему делу.
Кто отвечает за утечку персональных данных через ИИ-сервис?
Оператор, а оператор это Вы, если Вы собрали данные клиента для своей работы. Закон о персональных данных называет оператором того, кто определяет цели обработки. ИИ-сервис при этом действует как обработчик по Вашему поручению. Ответственность за утечку, включая штраф, лежит на операторе. OpenAI в документе Enterprise privacy прямо пишет, что данными владеет и управляет клиент, а сама компания получает на них лишь права, нужные для услуги.
Какой штраф за утечку персональных данных в 2026 году?
С 30 мая 2025 года действует закон 420-ФЗ, переписавший статью 13.11 КоАП. По обзору КонсультантПлюс утечка данных не менее 1 000 человек грозит организации штрафом от 3 до 5 млн рублей, свыше 100 000 человек от 10 до 15 млн, за биометрию от 15 до 20 млн. За повторную утечку вводится оборотный штраф от 1 до 3 процентов годовой выручки. Точные составы сверяйте с актуальной редакцией КоАП, квалификацию случая оценивает юрист.
Ответит ли ИИ-сервис за утечку вместо меня?
Нет. Поставщик ИИ в своих условиях оформляет себя обработчиком и ограничивает ответственность. Обязанность уведомить Роскомнадзор об утечке лежит на операторе, за молчание отдельный штраф от 1 до 3 млн рублей. Требования локализации и передачи данных за рубеж тоже адресованы оператору. Сервис за Вас в реестр операторов не встанет и уведомление не подаст.
источники (4)
- Enterprise privacy at OpenAI · OpenAI · 2026
- Персональные данные: новые штрафы с 30 мая 2025 года (ФЗ от 30.11.2024 N 420-ФЗ) · КонсультантПлюс · 2025
- Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» · КонсультантПлюс · 2006
- Портал персональных данных Роскомнадзора · Роскомнадзор · 2025