Нейросети как канал утечки персональных данных

🔍 Сотрудник вставил данные клиентов в ChatGPT — и это уже утечка персональных данных

Практика показывает: один из самых частых каналов утечек сегодня — не взломы, а сами сотрудники, которые загружают клиентские базы, договоры и переписку в публичные нейросети для «удобной обработки».

С точки зрения 152-ФЗ это передача персональных данных третьей стороне без согласия субъектов и без договора поручения обработки. Квалифицируется по ч. 1 ст. 13.11 КоАП — штраф до 700 000 ₽ для юрлица. Если данных утекло много — возможна и уголовная ответственность по ст. 272 УК РФ.

Что это значит на практике:

— Регламент использования ИИ-инструментов — уже не «хорошая практика», а необходимость. Сотрудники должны знать: загружать ПДн клиентов в публичные LLM нельзя

— Если инцидент всё же произошёл — у вас 24 часа на уведомление РКН. Не уведомили вовремя — отдельный штраф от 1 до 3 млн ₽

Минимум: внесите запрет на передачу ПДн в публичные нейросети в инструкцию по обработке данных и ознакомьте сотрудников под подпись.