Персональные данные в эпоху ИИ и цифровизации

Дисклеймер: Статья является личным мнением автора, носит исключительно информационный характер, не содержит призывов к действию или бездействию.

Использование допустимо при соблюдении норм и этики цитирования.

При подготовке статьи использована диалоговая нейросеть (DeepSeek) в качестве инструмента для структурирования и редактуры текста на основе авторских материалов.

Цифровизация и искусственный интеллект – уже не будущее, а современная реальность любого бизнеса: ИИ анализирует клиентские базы, CRM, формируют управленческую и учетную аналитику, строят прогнозы и стратегии.

Чем глубже «цифра» проникает в бизнес и государство, тем острее встает вопрос безопасности персональных данных физических лиц (ПД), хранящихся во всевозможных базах данных.

Современные технологии позволяют анализировать огромные массивы данных, но требуют для этого доступ к базам, в которых эти данные хранятся. И зачатую эти данные представляют собой в том числе и информацию о людях: клиентах, партнерах, работниках и т.д.

И здесь многие попадают в ловушку.

Главный миф: «У меня нет ПД»

Самый опасный миф звучит так: «Мы работаем с юр. лицами, у нас нет персональных данных». Или: «Мы берем данные только для договора, это же не база клиентов».

Согласно Закона Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года N 94-V персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе (ст.1 п. 2)).

Откройте 1С, и вы увидите: ФИО, ИИН, и прочие данные работника, поставщика-физ. лица, исполнителя по договорам ГПХ, и т.д. Если вы вбили ИИН контрагента – вы уже работаете с ПД, а еще там сидит и банковская информация, дипломы, сертификаты и т.д., по которым можно идентифицировать владельца ПД.

Откройте CRM. Там живут контактные лица компаний-клиентов: имена, телефоны, должности. Это тоже ПД.

Кадровое администрирование тоже подразумевает работу с ПД. Личные дела, резюме кандидатов, копии документов, трудовые договоры – это массив ПД, который есть у каждого, у кого работает хотя бы один человек.

Даже бумажные документы – договоры с физлицами, акты, личные листки – тоже носители персональных данных и требуют защиты.

Даже данные собственника бизнеса – физического лица являются ПД.

Вывод простой: ПД есть у всех. Вопрос не в том, обрабатываете ли вы данные, а в том, делаете ли вы это законно и безопасно.

ИИ и риски: кто ответит за утечку?

Искусственный интеллект усугубляет проблему. Любая нейросеть получает данные на входе и выдает результат на выходе. Если вы скормили ИИ базу, содержащую ПД клиентов или личные дела работников – данные ушли в модель, и обратно их не вернуть. И скорее всего никто собственника ПД не спрашивал, согласен ли он на это. А это – явное нарушение норм действующего законодательства и ответственность за это несете вы, как оператор.

Законодательство в сфере персональных данных и их защиты требует четких оснований для каждой операции с данными. Надо знать: на каком основании мы обрабатываем данные этого человека? Получено ли согласие? Кто имеет доступ? Что делать, если субъект потребовал удалить данные?

Без системы вы не сможете ответить на простые вопросы: кто из работников и к каким данным имеет доступ? Не истек ли срок согласия? Как реагировать, если произошла утечка?

Именно поэтому автор считает, что в любой организации должна быть разработана полноценная система управления ПД, не обязательно автоматизированная, но целостная, последовательная и главное – управляемая.

В целом это только вершина айсберга проблем, связанных с ПД, и дело не только в развитии ИИ и цифровых технологий, данная проблема является комплексной, и решать ее нужно соответственно.

Автором была предпринята попытка обобщения опыта управления ПД и приведение его в соответствие с нормами действующего законодательства, что в конечном итоге было воплощено и зарегистрировано как объект интеллектуальной собственности в виде системы управления персональными данными.

Ключевые элементы системы

1. Определение перечня и целей. Четко фиксируется, какие данные и для чего нужны. Отдельно – для работников, отдельно – для поставщиков, отдельно – для клиентов. Это исключает сбор лишнего и позволяет точно понимать, на что запрашивать согласие.

2. Работа с согласиями. Формализованный подход: в согласии фиксируются субъект, оператор, цель, перечень данных, срок действия, информация о передаче третьим лицам. Это документ, который защищает оператора от претензий.

3. Разграничение доступа и безопасность. Определяется круг лиц, имеющих доступ к ПД, назначается ответственный. Предусмотрены варианты защиты: от изолированного хранения базы (на компьютере без интернета) до шифрования и контроля за бумажными носителями. Резервные копии тоже защищаются.

4. Процессы: сбор, обработка, блокирование, уничтожение. Описан жизненный цикл данных: как собрать (при первом контакте), как внести изменения по требованию субъекта, как использовать, и главное – как правильно блокировать и уничтожать данные, когда цель достигнута или согласие отозвано.

5. Реагирование на запросы и инциденты. Четкие алгоритмы: что делать, если субъект запросил информацию о себе (в личном кабинете или письменно), и что делать, если произошла утечка (уведомление уполномоченного органа в установленные сроки).

6. Управление рисками. Система предлагает подходы к выявлению и снижению рисков: от мониторинга изменений в законодательстве до регулярного обучения работников.

На основе этих элементов выстраиваются управляемые и контролируемые, целостные и последовательные процессы и операции, которые объединится в полноценную систему.

Именно эту систему мы положили в основу управления персональными данными в нашем сообществе, в том числе и при разработке платформы, дабы обеспечить прозрачность и управляемость персональными данными, которые нам поступают.

Почему это важно:

Государство ужесточает контроль за персональными данными, штрафы растут, а клиенты и партнеры все чаще включают вопросы безопасности данных в чек-листы перед подписанием договоров. Игнорировать тему – значит сажать мину под свой бизнес.

Уже сегодня есть прецеденты судебных разбирательств между физическими и юридическими лицами по вопросам ПД. И развитие цифровизации меняет постановку вопроса: теперь речь идет не о том, произойдет ли инцидент, а о том, когда это случится и насколько разрушительными будут последствия.

В эпоху ИИ данные становятся главным активом. Но актив, которым не управляют, превращается в пассив. Целостная система управления ПД позволяет не просто избегать штрафов, а строить репутацию надежного партнера. В конечном счете это управление доверием – самым ценным ресурсом цифрового мира.

DBA, Г. Каралидзе