152-ФЗ «О персональных данных» — главный риск при внедрении AI в B2B. Если вы храните записи звонков с клиентами, переписку, фотографии паспортов на иностранных серверах — штраф до 6 млн ₽ за один инцидент с 2025 года. Разбираем что именно нужно делать чтобы AI работал в продажах без штрафов.
Что считается персональными данными в контексте AI-внедрений
152-ФЗ определяет персональные данные широко. В нашем контексте это:
- Запись телефонного разговора — голос — биометрические данные (с поправками 2024 года).
- Расшифровка звонка — содержит имя, телефон, иногда паспорт, адрес доставки.
- Переписка в мессенджерах — фото документов, имена, адреса.
- Поведенческие данные — что смотрел на сайте, какие страницы открывал, IP — да, тоже персданные.
- Лиды в CRM — имя, телефон, email, должность, компания.
Когда вы передаёте всё это в AI-систему (чат-бот, расшифровка звонков, скоринг лидов) — вы становитесь «оператором персональных данных» по 152-ФЗ. И теперь обязаны:
5 обязательств оператора, которые часто забывают
1. Согласие клиента на обработку
Чек-бокс «согласен на обработку персональных данных» в форме на сайте + ссылка на политику конфиденциальности. Без явного согласия любая обработка — нарушение. Согласие должно быть «информированным» — то есть в политике должно быть прямо написано «мы используем AI для расшифровки и анализа звонков».
2. Уведомление Роскомнадзора
До начала обработки персональных данных нужно подать уведомление через сайт rkn.gov.ru. Бесплатно, занимает 30 минут. Важно: при добавлении нового типа обработки (например, биометрические данные = голос) — нужно уведомление обновлять.
3. Хранение на территории РФ
Согласно ст. 18 152-ФЗ персональные данные граждан РФ должны сначала попадать в БД на территории РФ. Это касается и сырых данных (записи звонков, чаты), и расшифровок, и аналитических выводов AI.
Что это означает на практике:
- OpenAI API (серверы в США) — нельзя без on-prem прокси.
- Anthropic Claude (США/EU) — нельзя.
- Yandex GPT, Sber GigaChat, T1 AI — можно.
- Кастомные модели на серверах в РФ (Whisper, Llama-fine-tune) — можно.
4. Защита данных (организационные и технические меры)
Должны быть документы (политика безопасности персональных данных, регламент доступа к ним) + технические меры:
- Шифрование при передаче (HTTPS — у вас и так есть)
- Шифрование на хранении (зашифрованные диски на сервере)
- Контроль доступа по ролям (не каждый менеджер имеет доступ к ВСЕМ записям)
- Логирование обращений к данным
5. Срок хранения и уничтожение
Данные нельзя хранить «вечно». Должен быть документально закреплён срок (для CRM-данных типично 3 года после последнего контакта), после которого данные автоматически удаляются.
Как соблюдать 152-ФЗ при внедрении AI: 4 рабочих сценария
Сценарий A: «Облачное» решение от российского провайдера
Используете SaaS на серверах в РФ (например, российские чат-боты, российская речевая аналитика). Они уже соблюдают 152-ФЗ за вас, выдают сертификат соответствия. Самый быстрый вариант, но привязка к вендору.
Сценарий B: On-prem (свой сервер с AI)
Разворачиваете AI-модели (ASR Whisper, LLM Mistral/Llama) на собственных серверах. Полный контроль над данными, никакие персональные данные не покидают ваш периметр. Подходит для жёстких отраслей (банки, медицина, госсектор). Сложнее в эксплуатации, нужен DevOps.
Сценарий C: Гибрид «российский AI + on-prem ASR»
Сырые звонки расшифровываете на своём сервере (никогда не покидают периметр), а уже обезличенный текст отправляете в Yandex GPT для анализа. Работает: голос (биометрия) не передаётся в облако, текст без имён/телефонов считается обезличенным.
Сценарий D: «Серый» вариант (использование западных API без соблюдения)
Многие компании до 2024 года использовали OpenAI без оглядки на 152-ФЗ. Сейчас это напрямую опасно: проверки Роскомнадзора участились, штрафы выросли. Не рекомендуем — сэкономите 10-20 тыс/мес на API, потеряете 6 млн ₽ на штрафах.
Чек-лист «AI и 152-ФЗ»: 7 пунктов перед запуском
- Согласие клиента в форме записи на сайте + чек-бокс с прямой ссылкой на политику.
- В политике конфиденциальности прямо описано: «мы используем AI для анализа разговоров и автоматизации обработки заявок».
- Уведомление в Роскомнадзор подано/обновлено.
- Все AI-модели работают на серверах в РФ (или on-prem). НЕТ передачи персданных в OpenAI/Anthropic/Google без обезличивания.
- Доступ к записям звонков и чатам — только у конкретных людей (не вся команда). Логирование доступа.
- Регламент уничтожения данных через N лет после последнего контакта.
- В договоре с подрядчиком (AI-внедренец) — пункт о соблюдении 152-ФЗ + ответственность за инцидент.
Хотите внедрять AI без рисков по 152-ФЗ? Делаем on-prem развёртывания AI-моделей в контуре заказчика, помогаем с уведомлениями в РКН и правильной формулировкой политики конфиденциальности. Подробнее о наших гарантиях по 152-ФЗ или обсудить ваш кейс.
