AI и GDPR/152-ФЗ: практическое руководство по compliance для Казахстана

Марат, хозяин сети автосалонов в Алматы, показывает мне письмо и спрашивает: «Слушай, это серьёзно?»

Какой-то клиент — обычный покупатель, год назад пообщался с их ботом — теперь требует удалить все свои данные. Переписки, записи о визитах, всё подчистую. И ссылается на закон о персональных данных.

Марат в шоке: «У нас же бот всё сохраняет — для обучения, для качества. А теперь что, сносить? А как докажу, что удалил?»

Таких вопросов за последний год — десятки. Бизнес ставит ботов, собирает данные, автоматизирует общение с клиентами. А потом выясняется, что есть законы, которые регулируют, как именно это делать. И штрафы за нарушения — вполне реальные.

Сразу скажу: эта статья — не юридическая консультация. Для серьёзных вопросов нужен адвокат. Но это практический гайд для тех, кто хочет запустить AI-бота и не нарваться на проблемы с законом. Что делать, какие бумаги, как хранить, когда удалять — всё по шагам.

Какие законы касаются AI-ботов в Казахстане

Давайте разберёмся, о чём вообще речь. «Compliance для бота» — это про несколько уровней регулирования.

Главное — национальный закон. В Казахстане это Закон «О персональных данных и их защите» (№ 94-V от 21 мая 2013). Там прописано: что такое персональные данные, кто оператор, какие права у людей и какие обязанности у тех, кто данные собирает.

Если работаете с гражданами ЕС — продаёте европейцам или есть клиенты-экспаты — добро пожаловать под GDPR. Европейский регламент с огромными штрафами (до 4% от мирового оборота).

Российский 152-ФЗ актуален, если есть клиенты из России. Похож на казахстанский закон, но нюансы есть.

Суть везде одна: бери согласие, объясняй зачем данные, храни безопасно, удаляй по требованию. Но детали разные — если работаете на несколько рынков, придётся учитывать всё.

Для большинства казахстанских компаний, которые работают только внутри страны, главный — казахстанский закон. О нём и поговорим.

Что собирает бот и что из этого — персональные данные

Тут часто путаница. Клиент говорит: «Мы же только имя спрашиваем и телефон — какие это персональные данные, это же контакты!» На самом деле — это классические персональные данные, без вариантов.

По закону персональные данные — любая информация, по которой можно определить конкретного человека. Имя + телефон = определили. Всё, это персональные данные.

Обратите внимание на вторую колонку — про неявные данные. Многие про это забывают. Даже если вы не спрашиваете имя и телефон, бот всё равно собирает персональные данные. ID в Telegram или WhatsApp — это персональные данные. Через ID можно найти человека.

А история переписки — это вообще бомба. Человек может в диалоге упомянуть здоровье, деньги, семью, религию. Это чувствительные персональные данные, для них нужна особая защита.

Вывод простой: есть бот, который общается с клиентами — вы оператор персональных данных. Без вариантов. И обязанности — соответствующие.

Как правильно получать согласие на обработку

Это первый и главный камень преткновения. Согласие должно быть:

• Добровольным — без давления и принуждения
• Конкретным — человек понимает, на что соглашается
• Информированным — вы объяснили цели обработки
• Однозначным — нельзя «галочку по умолчанию»

На практике это выглядит так: перед началом общения с ботом пользователь должен увидеть текст о том, какие данные собираются, зачем, и дать явное согласие. Не «продолжая, вы соглашаетесь», а активное действие — нажать кнопку «Согласен» или отправить определённое сообщение.

Что должно быть в политике конфиденциальности

Ссылка на политику в сообщении бота — не формальность. Политика должна содержать конкретную информацию:

• Кто оператор данных (название компании, БИН, контакты)
• Какие именно данные собираются
• Цели обработки — конкретные, не «улучшение сервиса»
• Срок хранения данных
• Кому могут передаваться данные
• Права субъекта (доступ, удаление, изменение)
• Как реализовать эти права

Подробнее о том, как правильно составить политику конфиденциальности для AI-решений, читайте в статье Юридически безопасные боты: согласия, уведомления, хранение записей.

Где хранить данные: облако, сервер, локализация

Вот здесь начинается самое интересное. Когда вы используете AI-бота, данные проходят через несколько систем:

И вот ключевой вопрос: где физически находятся серверы на каждом этапе?

В Казахстане требование локализации данных пока не такое жёсткое, как в России. Но есть нюансы:

• Госорганы и квазигосударственные структуры обязаны хранить данные в РК
• Для коммерческих компаний — требуется адекватная защита при трансграничной передаче
• Нужно информировать субъекта о передаче данных за рубеж

На практике это означает следующее. Если вы используете OpenAI или Anthropic для обработки диалогов — данные ваших клиентов уходят на серверы в США. Это не запрещено, но:

1. Вы должны упомянуть это в политике конфиденциальности
2. Желательно минимизировать передаваемые данные (маскирование PII)
3. Иметь DPA (Data Processing Agreement) с поставщиком AI

Для большинства казахстанских компаний оптимальный вариант — гибрид. Данные хранятся в CRM на местных или локализованных облачных серверах, а при отправке в AI-модель персональные данные маскируются.

Например, вместо «Нурлан Касымов, +7 777 123 4567» AI-модели отправляется «[ИМЯ_КЛИЕНТА], [ТЕЛЕФОН_КЛИЕНТА]». Модель отвечает с этими плейсхолдерами, а бот подставляет реальные данные перед отправкой клиенту. Так AI никогда не «видит» настоящих персональных данных.

Подробнее о маскировании — в статье DLP для AI: маскирование PII и политики хранения.

Право на забвение: как удалять данные правильно

Вернёмся к истории Марата. Клиент потребовал удалить данные — и это его законное право. Вопрос в том, как это сделать технически и юридически корректно.

«Право на забвение» (в GDPR — Article 17, в казахстанском законе — аналогичные нормы) означает, что субъект данных может потребовать прекратить обработку и удалить все свои данные. Но есть исключения:

Процедура обработки запроса на удаление

Вот как это должно работать:

1. Приём запроса
   Клиент отправляет запрос любым способом: через бота, email, письменно. Желательно иметь отдельную форму или email для таких запросов (privacy@company.kz).
2. Верификация личности
   Нужно убедиться, что запрос действительно от этого человека. Если клиент пишет с того же номера/email, что в базе — достаточно. Если с другого — запросите подтверждение.
3. Анализ данных
   Определите, какие данные есть о клиенте и в каких системах: CRM, история чатов, логи, резервные копии. Выделите то, что нужно удалить, и то, что можно сохранить.
4. Удаление
   Удалите данные из всех систем. Не забудьте: бекапы, тестовые среды, выгрузки в Excel у менеджеров. Это часто упускают.
5. Подтверждение
   Отправьте клиенту подтверждение об удалении с указанием, что именно удалено и что сохранено (с основанием).
6. Документирование
   Сохраните запись о самом факте запроса и выполненных действиях. Это ваша защита, если клиент потом скажет «вы не удалили».

Срок исполнения запроса — обычно 30 календарных дней. В сложных случаях можно продлить ещё на 30, уведомив субъекта.

Когда AI принимает решения: человек в контуре

Ещё один важный аспект — автоматизированные решения. По GDPR (и аналогичным нормам в других законах), субъект имеет право не подчиняться решению, основанному исключительно на автоматической обработке, если это решение имеет для него значительные последствия.

Что это означает для AI-бота?

На практике это значит: если ваш бот просто отвечает на вопросы и записывает на услуги — всё в порядке. Но если бот решает, давать ли скидку клиенту, или отклоняет заявку на кредит — нужно обеспечить возможность «человеческого» пересмотра решения.

Хорошая практика: добавить в бота функцию «Хочу поговорить с менеджером» и реально передавать сложные случаи людям. Это и для compliance хорошо, и для клиентского опыта.

Итоговый чек-лист compliance для AI-бота в Казахстане

Собираем всё вместе. Вот что нужно проверить и сделать перед запуском AI-бота:

Заключение: compliance — это не страшно

Когда Марат получил то письмо от адвоката, первая реакция была паника. «Придётся отключать бота?», «Нас оштрафуют?», «Это конец автоматизации?».

На самом деле всё решилось за три дня. Мы нашли данные клиента во всех системах, удалили историю переписки и контактную информацию, сохранили только обезличенные записи о сделках (они нужны для бухгалтерии). Отправили клиенту подтверждение с детальным описанием, что удалено. Клиент ответил «Спасибо» — и инцидент исчерпан.

Что я вынес из этой истории: страх перед законами часто хуже самих законов. Да, требования есть. Да, их нужно соблюдать. Но если процессы продуманы заранее — никакой паники, просто рабочая задача.

Бот, который работает по правилам — это плюс к репутации. Клиенты замечают, когда компания серьёзно относится к их данным. А запрос на удаление превращается из катастрофы в задачу на полдня.

Чек-лист из статьи — хорошая отправная точка. Пройдитесь, посмотрите, где пробелы. Исправить их сейчас дешевле, чем разбираться потом.

Часто задаваемые вопросы

Читайте также