Согласие на обработку персональных данных при работе с ИИ

Согласие на обработку персональных данных при работе с ИИ: когда оно нужно, что должно содержать и почему это не разрешение на передачу за рубеж.

Согласие на обработку персональных данных при работе с ИИ

Зависит от того, чьи данные и в каком виде. Если Вы вносите в ИИ обезличенный кейс, без имени, телефона и узнаваемых деталей, это не персональные данные, и согласие на них не требуется. Как только в сервис попадают персональные данные клиента, имя, контакты, обстоятельства его жизни, картина меняется: Вы как оператор обрабатываете эти данные, и по общему правилу нужно согласие субъекта. Это статья 9 закона 152-ФЗ. С 1 сентября 2025 года такое согласие оформляется отдельным документом, а не пунктом внутри договора. Важная развилка, о которой легко забыть: согласие на обработку это не разрешение отправить данные в зарубежный сервис, трансграничная передача регулируется отдельно. И сразу зафиксируем жанр: ниже пересказ норм и общая логика, а не юридическое заключение. Готовую форму согласия под Ваш случай составляет юрист, мы разбираем принцип, а не выдаём образец.

Когда согласие нужно, а когда нет

Закон включается не от слова «ИИ», а от того, что именно уходит в окно ввода. Разделительная линия проходит между обезличенными и персональными данными.

Обезличенные данные это описание без привязки к конкретному человеку. «Клиент, руководитель отдела, застрял на выборе между двумя стратегиями» это ситуация, а не личность. К такому тексту статья 9 отношения не имеет, и согласие на него не нужно.

Персональные данные это всё, по чему человека можно узнать: имя, телефон, почта, а вместе с ними обстоятельства его жизни и работы. Внесли в ИИ заметку «Мария Петрова, ООО такое-то, разводится, поэтому проседает по продажам», и это уже обработка персональных данных. Оператор этой обработки Вы, даже если Вы один человек с ноутбуком.

Тонкость в том, что обезличивание должно быть настоящим. Убрать фамилию, но оставить редкую должность, город и пару деталей часто мало: по такой связке человека узнают. Чем меньше узнаваемого Вы передаёте, тем ближе кейс к безопасной зоне. Где именно проходит граница обезличивания в спорной ситуации, оценивает юрист, а не бытовое ощущение «ну, имя же я убрал».

Что закон требует от согласия с 1 сентября 2025

Сразу оговорка жанра: здесь пересказ нормы, а не юридическое заключение. Точный текст статьи 9 открыт на КонсультантПлюс.

Главное изменение простое на словах и важное на практике. С 1 сентября 2025 года по статье 9 в редакции закона 156-ФЗ согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и документов. Проще говоря, письменное согласие это отдельная бумага или отдельная электронная форма, а не абзац, спрятанный внутри договора, оферты или анкеты. Практика, когда согласие «зашивали» пунктом в общий договор, теперь под вопросом.

Закон описывает не только форму, но и качество согласия. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным. За этими словами стоит понятная идея: человек должен понимать, на что соглашается. Не «разрешаю всё и навсегда», а «разрешаю такому-то оператору обрабатывать такие-то мои данные для такой-то цели».

Форму согласие допускает разную. Статья 9 говорит, что оно может быть дано в любой позволяющей подтвердить факт его получения форме. То есть подпись на бумаге это не единственный вариант, подойдёт и электронное согласие, если Вы можете доказать, что оно было получено. Как именно фиксировать этот факт в Вашем канале работы с клиентами, лучше продумать с юристом заранее.

Согласие на обработку это не разрешение передавать данные за рубеж

Самая частая ошибка в этой теме: человек берёт согласие клиента и считает, что теперь можно спокойно вносить его данные в любой ИИ, включая зарубежный. Это два разных основания, и одно не заменяет другое.

Согласие по статье 9 разрешает Вам как оператору обрабатывать данные субъекта для заявленной цели. Отправка тех же данных в сервис, чьи серверы стоят за границей, это уже трансграничная передача, и её регулирует отдельная норма, статья 12. С 1 марта 2023 года по ней действует уведомительный порядок: оператор обязан сообщить в Роскомнадзор о трансграничной передаче до её начала.

Разберём на сцене. Консультант взял у клиента подписанное согласие на обработку его данных ради ведения работы. Затем внёс эти данные в популярный зарубежный чат-бот ради саммари по клиенту. Согласие на обработку у него есть, а вопрос трансграничной передачи он при этом даже не поднимал. Одна бумага закрыла одно основание, но не второе.

Про то, где физически оказывается текст из зарубежного сервиса и как это соотносится с законом, мы подробно пишем в обзоре темы владения данными. Здесь важно зафиксировать сам принцип: согласие субъекта и правила трансграничной передачи это разные замки, и открывать их нужно разными ключами.

Что должно быть в согласии, а чего мы не даём

Соблазн понятный: найти готовый образец, подставить своё имя и закрыть вопрос. Мы сознательно образец не приводим, и вот почему. Согласие это юридический документ, который защищает Вас как оператора, а универсального шаблона «на все случаи» не существует: он зависит от того, какие данные, для какой цели и по каким каналам Вы обрабатываете.

Что можно описать без риска, так это состав, который в согласии обычно присутствует. Кто оператор, то есть кому человек даёт согласие. Какие именно данные обрабатываются, перечнем, а не общими словами. Для какой цели, конкретной, а не «для любых целей оператора». На какой срок и как согласие отзывается. Если в обработке участвуют другие лица или сервисы, это тоже раскрывают, а не умалчивают.

NIST в AI Risk Management Framework описывает приватность как свойство, которое закладывают на всём жизненном цикле системы, а не одной галочкой при запуске. Для практики вывод такой же, как с согласием: это не формальность, которую подписали и забыли, а решение о том, что и на каких условиях Вы обрабатываете.

И честная граница нашей компетенции. Всё выше это принцип и логика нормы. Точную формулировку согласия под Ваши услуги, каналы и состав данных готовит юрист. Мы помогаем понять, какие вопросы задать, а не заменяем это заключение.

Как согласие выглядит в реальной работе с клиентами

Соберём кусочки на живой сцене. Коуч ведёт клиентов и хочет, чтобы ИИ помнил контекст каждого: запрос, историю сессий, договорённости. Для этого в память ассистента попадают персональные данные людей, а значит, включается статья 9.

Практический порядок получается такой. Сначала решить, что именно уходит в ИИ: обезличенные заметки по методике или персональные данные конкретных клиентов. Если персональные, взять у клиента согласие, отдельным документом, с понятной целью. Если данные при этом уходят в зарубежный сервис, отдельно разобрать вопрос трансграничной передачи. И держать в голове, что за все эти ответы по закону отвечает оператор, то есть сам коуч, а не сервис, которым он пользуется.

Звучит как бюрократия, но у неё есть смысл. Клиент доверяет Вам то, что не рассказывает больше никому. Согласие это не только требование закона, это ещё и честный разговор: вот какие инструменты участвуют в работе с Вашими данными, вот на что я прошу разрешения. Прозрачность здесь работает на доверие, а не против него.

Что меняется, если данные не покидают Ваш контур

Согласие субъекта никуда не девается: пока Вы обрабатываете персональные данные клиентов, Вы оператор, и статья 9 действует независимо от того, где стоит сервер. Но часть соседних вопросов снимается, если данные вообще не уходят на чужую инфраструктуру.

Хермес от intakto это ИИ-помощник с постоянной памятью, и её схема закрывает не согласие, а то, что вокруг него. Сервер клиента стоит физически в РФ, память, документы и переписка ведутся на этом же сервере. Данные не уходят за рубеж, поэтому вопрос трансграничной передачи из статьи 12 в базовом сценарии просто не возникает. Не появляется и третья сторона, которая обрабатывает текст клиента на своих серверах по своим правилам. Как устроен продукт изнутри, от слоёв памяти до личного кабинета с ключами, описано на странице продукта intakto.

Что это меняет для Вас практически. Согласие клиента на обработку Вам всё равно нужно, и его по-прежнему готовит юрист. Но список оснований, которые нужно закрывать, короче: обрабатываете данные на своём сервере в РФ, а не рассылаете их по чужим юрисдикциям. Обезличивание при этом из ежедневной обязанности превращается в запасную страховку.

И здесь та же честность, что и в разделе про закон. Мы описываем схему размещения и владения, а не выдаём юридическое заключение. Нужно ли согласие в Вашей конкретной ситуации, что в нём написать и как его хранить, оценивает юрист.

частые вопросы
Нужно ли отдельное согласие клиента, чтобы вносить его данные в ИИ?

Зависит от того, что именно Вы вносите. Обезличенный кейс без имени и узнаваемых деталей это не персональные данные, и согласие на них не требуется. Как только в сервис попадают персональные данные клиента, имя, контакты, обстоятельства его жизни, Вы как оператор обрабатываете их, и по общему правилу нужно согласие субъекта, это статья 9 закона 152-ФЗ. Это пересказ нормы, а не юридическое заключение.

Согласие на обработку это разрешение передавать данные в зарубежный ИИ?

Нет, это разные основания. Согласие по статье 9 разрешает Вам как оператору обрабатывать данные для заявленной цели. Отправка тех же данных в зарубежный сервис это трансграничная передача, её регулирует статья 12, и с 1 марта 2023 года оператор обязан уведомить Роскомнадзор до её начала. Одно согласие субъекта второй вопрос само по себе не закрывает, разбирать его лучше с юристом.

Обязательно ли оформлять согласие отдельным документом?

Для письменного согласия да. С 1 сентября 2025 года статья 9 в редакции закона 156-ФЗ требует, чтобы согласие было оформлено отдельно от иных информации и документов, а не абзацем внутри договора или оферты. Закон также требует, чтобы согласие было конкретным, предметным, информированным и однозначным. Точную форму под Ваш случай готовьте с юристом, здесь мы описываем принцип, а не выдаём шаблон.

Нужно ли согласие, если я обезличиваю данные клиента?

Если данные действительно обезличены, то есть по ним нельзя узнать конкретного человека, это уже не персональные данные, и правила статьи 9 к ним не применяются. Сложность в том, что обезличивание должно быть настоящим: убрать имя, но оставить город, должность и редкие детали часто недостаточно. Чем меньше узнаваемого Вы передаёте, тем спокойнее, но границу обезличивания в спорном случае оценивает юрист.

источники (2)
  1. Статья 9. Согласие субъекта персональных данных на обработку его персональных данных, Федеральный закон N 152-ФЗ · КонсультантПлюс · 2025
  2. AI Risk Management Framework · NIST · 2023
Подключить  Честная цена 

Ещё в этой теме

Кому принадлежат данные при работе с ИИ: закон, провайдеры, владение
01

Чьи данные в переписке с ИИ: что говорят соглашения Чьи данные в переписке с ИИ-ассистентом: права на текст по соглашениям у Вас, копия у провайдера, ответственность за данные клиентов на Вас по 152-ФЗ.

02

Свой защищённый канал общения с ИИ: Matrix и Element X Свой защищённый канал общения с ИИ на Matrix: зачем он нужен помимо Telegram, у кого ключи шифрования и как включить канал за три шага по QR из кабинета.

03

Что такое 152-ФЗ простыми словами для бизнеса 152-ФЗ простыми словами: кто такой оператор персональных данных, зачем согласие, уведомление и локализация. Требования закона на примерах малого бизнеса.

Ассистент, который помнит Ваше дело

Хермес работает в Telegram и браузере, а её память живёт на Вашем сервере в РФ. Один тариф, 14 дней на то, чтобы передумать.