Звонок поступил в пятницу вечером. Директор небольшой клиники в Караганде, Ержан, был в панике. «У нас вчера налоговая запросила данные о том, как мы работаем с персональными данными пациентов. А мы месяц назад запустили AI-бота, который записывает на приём через WhatsApp. Он же видит имена, телефоны, иногда симптомы. Я только сейчас подумал — а мы вообще имеем право так делать? Нам сказали, что может быть штраф до 500 МРП. Это же почти 2 миллиона!»
Знакомая история? Многие компании в Казахстане сейчас внедряют AI — чат-боты, CRM-системы с искусственным интеллектом, автоматизация клиентского сервиса. Это удобно, быстро, экономит деньги. Но мало кто задумывается о правовой стороне вопроса, пока не приходит проверка или не случается инцидент.
Сегодня расскажу не юридическим языком, а по-человечески: что нужно знать, если вы используете AI в бизнесе в Казахстане. Какие законы действуют, на что обратить внимание, как защитить себя и клиентов. Без паники, но и без наивности в стиле «у нас маленькая компания, к нам не придут».
Спойлер: история с клиникой закончилась хорошо. Но только потому, что мы быстро навели порядок. О том, что именно сделали — дальше в статье.
⚖️ Почему это важно именно сейчас?
В 2023-2024 годах Казахстан активно обновляет законодательство в сфере цифровизации. Приняты новые требования к работе с персональными данными, идёт работа над законом о цифровых технологиях, усиливается контроль за защитой прав потребителей в онлайн-среде.
При этом AI-технологии развиваются быстрее, чем успевают обновляться законы. Получается серая зона: вроде бы прямого запрета нет, но и чёткого разрешения тоже. И в такой ситуации можно либо играть в рулетку, либо подстраховаться заранее.
Мой совет: подстраховаться заранее всегда дешевле, чем потом платить штрафы или разбираться в суде с недовольным клиентом.
Какие законы регулируют работу с AI в Казахстане?
Начнём с главного: в Казахстане нет отдельного «Закона об искусственном интеллекте». То есть вы не найдёте документ, где написано: «AI-бот должен делать вот это и вот это». Вместо этого работают общие законы, которые регулируют работу с данными, защиту прав потребителей, оказание услуг.
Вот ключевые нормативные акты, которые нужно знать, если используете AI в бизнесе:
Закон РК «О персональных данных и их защите»
Самый важный для вас закон. Если ваш AI-бот работает с клиентами и собирает хоть какую-то информацию (имя, телефон, email, адрес) — вы работаете с персональными данными. И обязаны соблюдать правила их обработки.
Штраф за нарушение: до 500 МРП (около 1,9 млн тенге).
Закон РК «О защите прав потребителей»
Если ваш AI-бот взаимодействует с конечными покупателями (B2C), вы обязаны предоставлять достоверную информацию, не вводить в заблуждение, честно информировать об условиях покупки и возврата.
Даже если ошибку допустил бот, отвечаете вы как владелец бизнеса.
Гражданский кодекс РК (часть о сделках и договорах)
Если AI-бот может принимать заказы, подтверждать сделки, отправлять договоры — важно понимать, что считается юридически значимым действием. Бот действует от вашего имени, и если он что-то пообещал клиенту — это может считаться договором.
Пример: бот сказал «Доставка бесплатная», а на сайте написано «Доставка 2000₸». Клиент может требовать бесплатную доставку.
Постановление Правительства РК №776 (о безопасности информации)
Определяет требования к защите информационных систем. Если вы храните данные клиентов в CRM с AI, система должна быть защищена: шифрование, контроль доступа, резервное копирование, логирование.
Это не про «поставить пароль 123456». Это про реальные технические меры безопасности.
А теперь — что со всем этим делать?
Ладно, хватит пугать параграфами законов. Давайте по-простому: вот вы запустили бота, он общается с клиентами. Что конкретно нужно сделать, чтобы спать спокойно и не вздрагивать при каждом звонке с незнакомого номера?
Я выделил пять вещей, которые реально важны. Не потому что так написано в законе (хотя и там тоже), а потому что именно на этих пунктах обычно ловят нарушителей.
Сначала спроси — потом собирай
Знаете, какая самая популярная отмазка? «Ну он же сам нам написал в WhatsApp, значит согласен, что мы его данные сохраним». Не работает. Закон требует явного согласия. Человек должен понимать, что его данные будут где-то храниться, и должен с этим согласиться.
Как это может выглядеть в живом диалоге:
Бот: Привет! Я AI-помощник магазина «Мебель Люкс». Чтобы помочь вам с заказом, мне нужно будет узнать ваше имя и телефон. Эти данные мы сохраним для обработки заявки. Вот наша политика конфиденциальности — там написано, как мы с ними работаем. Согласны продолжить?
Клиент: Да
И только теперь бот начинает задавать вопросы про имя, телефон и всё остальное
Есть три вещи, которые нужно помнить про согласие:
Во-первых, оно должно быть добровольным. Нельзя говорить «не согласитесь — не обслужим» (ну, только если данные реально необходимы для услуги — запись к врачу без телефона сложно представить).
Во-вторых, конкретным. «Для маркетинговых целей» — это размыто. «Чтобы отправить вам напоминание о записи за час до приёма» — это понятно.
В-третьих, его можно отозвать. Если клиент говорит «удалите мои данные» — вы обязаны это сделать. Кроме случаев, когда данные нужны для бухгалтерии или по закону.
Не притворяйся человеком
Тут интересная штука. Формально в Казахстане нет закона, который говорит: «Бот обязан представиться ботом». Но есть закон о защите прав потребителей, который запрещает вводить в заблуждение. А когда клиент думает, что болтает с живой Айгуль, а на самом деле это ChatGPT в обёртке — это и есть введение в заблуждение.
Я видел, как некоторые компании называют бота человеческим именем и от имени менеджера ведут диалог. Типа, так доверия больше. Может, и больше — до первой жалобы. А потом начинается: «Мне врали, я думал это человек, хочу компенсацию».
Так нормально:
«Привет! Я AI-помощник магазина. Помогу разобраться с заказом, отвечу на вопросы. Если что-то сложное — переключу на живого менеджера.»
А вот так — рискованно:
«Привет! Меня зовут Айгуль, я ваш персональный менеджер. Чем могу помочь?» (а на самом деле это бот)
Отдельная история с медициной. Представьте: человек пишет боту про симптомы, думая, что общается с врачом. Рассказывает интимные подробности. А потом узнаёт, что это была программа. Это не только нарушение доверия — это потенциальный суд за нарушение врачебной тайны. Даже если тайну хранил не врач, а алгоритм.
Храни данные как следует
«Да у нас пароль стоит, всё нормально» — слышу это постоянно. А потом оказывается, что пароль — 123456, его знают все сотрудники, включая уволившегося месяц назад менеджера, база лежит на общем диске, а резервных копий нет вообще.
Закон требует реальной защиты данных. И если произойдёт утечка — «мы не думали, что так бывает» не будет смягчающим обстоятельством. Давайте по пунктам, что реально нужно:
Шифрование. Данные в базе должны быть зашифрованы. Если хакер доберётся до сервера — он должен увидеть абракадабру, а не список клиентов с телефонами.
Разграничение доступа. Менеджер Серик видит только своих клиентов. Бухгалтер Марина — только счета. IT-специалист Ерлан — только техническую часть, без персональных данных. Не все должны видеть всё. Мы писали об этом подробнее: RBAC и аудит в CRM.
Бэкапы. Сервер может сгореть, диск посыпаться, хакеры зашифровать. Резервные копии должны делаться регулярно и храниться отдельно.
Логи. Система должна писать, кто, когда и что делал с данными. Если что-то утечёт — вы сможете понять, откуда дырка.
Важный момент для тех, кто использует облачные сервисы: Даже если CRM не ваша, а провайдера — ответственность всё равно на вас. Закон не интересует, что данные лежат на чужом сервере. Клиент доверил их вам, значит вы и отвечаете.
Поэтому прежде чем подключать любой облачный сервис — спросите про их политику безопасности, сертификаты, где физически хранятся данные. Если не могут внятно ответить — это красный флаг.
Бот косячит — отвечаешь ты
Вот это, пожалуй, самое неприятное для многих осознание. У нас любят думать: «Ну это же бот, это программа, я тут при чём?». При том, что бот работает от вашего имени. Он — ваш представитель. И когда он что-то обещает клиенту, это вы обещаете.
Давайте на примерах, потому что абстрактно это плохо доходит:
История первая: про диван
Клиент спрашивает бота: «Сколько стоит диван Астана?». Бот смотрит в базу (которую полгода не обновляли) и отвечает: «45 000 тенге». Клиент приезжает в магазин с деньгами, а там ценник 65 000. Менеджер пожимает плечами: «Извините, бот ошибся».
А клиент может сказать: «Мне всё равно, кто ошибся. Я хочу диван за 45 тысяч, как мне обещали». И по закону он будет прав. Бот говорил от имени вашей компании.
История вторая: про чужие данные
Бот интегрирован с CRM. Из-за какой-то ошибки в логике он клиенту Асану показывает историю заказов клиента Болата. С телефонами, адресами, суммами покупок.
Это утечка персональных данных. Штраф — до 500 МРП. Плюс Болат может подать в суд за моральный ущерб. И ему не интересно, что виноват бот.
История третья: про доставку
Клиент заказывает через бота шкаф с доставкой на завтра. Бот радостно подтверждает: «Ваш заказ принят, доставим завтра с 10 до 14!». А на складе этого шкафа нет уже месяц. Клиент отпросился с работы, ждёт. Никто не приезжает. Он звонит — а ему: «Ой, это бот так сказал, на самом деле шкаф будет через две недели». Угадайте, какой отзыв он оставит и кому пожалуется.
Что с этим делать? Несколько вещей:
Держите базу знаний бота актуальной. Цены, наличие, сроки — всё должно обновляться. Если бот работает с устаревшей информацией — это ваша проблема.
Научите бота не давать финальных обещаний. Вместо «Доставим завтра» — «Уточню у менеджера и перезвоним через 10 минут с точной датой».
И добавьте в начале диалога дисклеймер: «Я AI-помощник, предоставляю справочную информацию. Финальные условия уточняйте у менеджера». Это не снимает ответственность полностью, но показывает, что вы предупреждали.
Дай выход на живого человека
Помните эти адские колл-центры, где робот бесконечно предлагает: «Нажмите 1, если хотите... Нажмите 2, если вам нужно...», а кнопки «Позовите мне оператора!» просто нет? Вот это запрещено законом о защите прав потребителей.
Клиент имеет право поговорить с человеком. Всегда. Особенно когда дело касается жалоб, возвратов денег или сложных вопросов, которые бот не тянет.
Что должно быть:
Кнопка или команда «Связаться с оператором» в каждом диалоге. Не прятать её в глубине меню, а сделать доступной сразу.
Если бот понимает, что не может помочь — он сам должен предложить переключение. Не заставлять клиента объяснять одно и то же по кругу.
Как это выглядит у нормальных компаний:
Клиент: Мой заказ не пришёл, хотя обещали вчера. Хочу вернуть деньги.
Бот: Понимаю, что вы расстроены. Вопросы возврата я не решаю, это делает менеджер. Сейчас переключу на специалиста, он увидит всю нашу переписку.
(Заявка уходит в очередь к живому менеджеру, который видит всю историю и перезванивает клиенту)
Если клиент застрял в диалоге с ботом, не может дозвониться до человека — знаете, что он делает? Пишет жалобу в Комитет по защите прав потребителей. А дальше к вам приходит проверка. Оно вам надо?
Реальный кейс: как клиника навела порядок за неделю
Помните историю с клиникой из Караганды, с которой я начинал статью? Вот что мы сделали, чтобы привести их работу с AI в соответствие с законом:
Проверили, какие данные собирает бот (имена, телефоны, симптомы), как они хранятся (в базе WhatsApp Business API + в CRM), кто имеет к ним доступ (администраторы клиники + IT-специалист подрядчика). Выявили проблемы: нет согласия на обработку данных, нет шифрования в CRM, слишком широкие права доступа.
Составили Политику конфиденциальности (простым языком, чтобы пациенты понимали), добавили форму согласия на обработку персональных данных, прописали внутренний регламент работы с данными для сотрудников.
Изменили первое сообщение бота: теперь он сразу предупреждает, что это AI-помощник, и запрашивает согласие на обработку данных с ссылкой на политику. Настроили в CRM разграничение доступа: каждый врач видит только своих пациентов, IT-специалист не видит медицинские данные. Включили шифрование базы данных.
Провели короткий тренинг для администраторов и врачей: как работать с данными, что можно, что нельзя, как отвечать на вопросы пациентов о конфиденциальности. Объяснили, почему это важно и какие могут быть последствия нарушений.
Собрали пакет документов для налоговой: Политика конфиденциальности, образец согласия пациента, внутренний регламент, скриншоты настроек безопасности в CRM, договор с IT-подрядчиком (где прописана его ответственность за безопасность данных).
Результат: Проверка прошла без замечаний. Более того, инспектор отметил, что у них один из лучших примеров работы с персональными данными среди частных клиник в регионе. А Ержан перестал просыпаться ночью в холодном поту от мыслей о штрафах.
Чек-лист: Как проверить, что вы работаете с AI законно
Пройдитесь по этому списку. Если хотя бы на один пункт вы ответили «нет» или «не знаю» — есть риск.
Результаты:
- 10 из 10: Отлично! Вы работаете законно и защищены от большинства рисков.
- 7-9 из 10: Хорошо, но есть пробелы. Закройте их в ближайшее время.
- 4-6 из 10: Есть серьёзные риски. Срочно наведите порядок.
- Меньше 4: Вы в зоне высокого риска. Любая проверка или жалоба клиента приведёт к проблемам.
Частые вопросы о законности AI в бизнесе
Короткий ответ: лучше не надо.
Вот представьте: вы копируете данные клиента — имя, телефон, историю заказов — и вставляете в ChatGPT, чтобы написать персональное письмо. Удобно? Ещё как. Законно? Нет.
Когда вы отправляете что-то в ChatGPT, эти данные уходят на серверы OpenAI. Где они? Обычно в США. Кто за них отвечает? OpenAI. А кто должен отвечать по казахстанскому законодательству? Вы. Вот и получается нарушение.
Что делать: Либо использовать локальные AI-решения (развёрнутые на ваших серверах или в казахстанских дата-центрах), либо корпоративные версии с подписанным NDA и гарантиями конфиденциальности. У нас, например, вся инфраструктура в РК, данные никуда не уходят.
Нет. AI-бот — это программное обеспечение, инструмент. Он не имеет правосубъектности. Все действия бота считаются действиями вашей компании. Вы отвечаете за него так же, как отвечаете за действия ваших сотрудников или за работу вашего сайта.
Никаких отдельных регистраций, лицензий на AI-ботов в Казахстане не требуется (по крайней мере, на момент 2025 года).
Перед клиентом — вы. Всегда. Даже если бота делали не вы, а купили у какой-то компании.
Клиент пришёл к вам. Бот работает на вашем сайте, от вашего имени. Клиенту плевать, кто там за кулисами написал код. Он хочет решить проблему с вами.
Другое дело — что внутри, между вами и разработчиком, может быть регресс. То есть если в боте был баг, из-за которого произошла ошибка, и это прописано в договоре — вы можете потребовать от подрядчика компенсацию. Но очерёдность такая: сначала вы компенсируете клиенту, потом идёте разбираться с разработчиком.
Поэтому важно: В договоре с разработчиком бота обязательно пропишите, кто и за что отвечает. SLA (гарантии работы), процедуру исправления багов, сроки реакции на проблемы. Иначе вы останетесь крайним.
По закону — нет, не обязательно. Но очень, очень желательно.
Первое: защита в спорах. Клиент говорит: «Ваш бот обещал мне бесплатную доставку!». А у вас нет записи. Как доказать, что бот такого не говорил? Никак. А если запись есть — открыли, показали, всё чисто.
Второе: улучшение бота. Читаете диалоги и видите: вот тут бот не понял вопрос, тут клиент разозлился и ушёл, тут три раза переспрашивает одно и то же. Это золотая информация для того, чтобы сделать бота лучше.
Но помните: Записи диалогов — это тоже персональные данные. Значит, их нужно защищать (шифровать, контролировать доступ) и получить согласие клиента на хранение. В политике конфиденциальности так и пишите: «Мы храним записи диалогов для улучшения качества обслуживания».
Только если клиент дал на это согласие. Это важно понимать.
Обучение AI на данных — это отдельная цель обработки. Если вы в согласии написали «данные используются для обработки вашей заявки», а потом взяли эти данные и скормили их модели для обучения — это нарушение. Вы использовали данные не по назначению.
Как делать правильно: В форме согласия честно написать: «Ваши данные могут использоваться для улучшения качества обслуживания, включая обучение AI-алгоритмов». И дать клиенту выбор — согласиться или отказаться.
Лайфхак: Обезличьте данные перед обучением. Удалите имена, телефоны, адреса — оставьте только тексты диалогов без привязки к людям. Тогда это уже не персональные данные, и согласие на обучение не нужно. Бот учится на опыте, но не знает, кто конкретно это писал.
А что дальше будет с законами?
Сейчас, в 2025 году, мы в такой интересной точке. Государство с одной стороны понимает, что AI — это технология будущего, и нужно не отстать от мировых трендов. С другой стороны — нельзя дать этому делу пуститься на самотёк, иначе получим дикий запад с утечками данных и обманутыми клиентами.
Что уже на подходе:
Готовится большой Закон о цифровых технологиях, где AI будет отдельной главой. Там пропишут чёткие правила игры.
Постепенно адаптируют европейские стандарты типа GDPR — это те самые жёсткие правила по защите данных, которые в Европе работают с 2018 года. У нас будет своя версия, но суть похожая.
Для отдельных отраслей — медицина, финансы, образование — готовят специальные требования. Там, где ошибка AI может стоить слишком дорого, контроль будет жёстче.
Всё больше говорят про «объяснимый AI». То есть не просто «бот так решил», а возможность объяснить, почему он принял то или иное решение.
Что это значит для вас?
Если сейчас навести порядок — соблюдать текущие законы, не скрывать от клиентов работу AI, защищать данные — новые требования вас не испугают. Вы уже будете готовы.
А если сейчас думаете «да ладно, и так прокатит» — готовьтесь к тому, что через год-два придётся всё переделывать в авральном режиме. Или платить штрафы. Или и то, и другое.
Нужна помощь с настройкой AI в соответствии с законом?
Мы поможем навести порядок: проверим вашу текущую настройку, подготовим документы, настроим безопасность в CRM, обучим команду. Первая консультация — бесплатно.
Получить консультациюГлавное: это не так страшно, как кажется
Знаю, сейчас многие думают: «Блин, сколько всего. Это ж сколько времени и денег надо». Спокойно. На самом деле, если делать всё с самого начала правильно, это вообще не проблема.
Смотрите, что реально нужно по времени:
Документы — политика конфиденциальности, согласие на обработку данных, регламенты для сотрудников. Если есть юрист — 2-3 дня. Если нет — можно взять готовые шаблоны и адаптировать под себя.
Безопасность в CRM — если используете готовую платформу (вроде нашей), там обычно всё уже настроено. Если свою систему — неделя-две работы IT-шника.
Обучение команды — пара часов группового тренинга. Объяснить, что можно, что нельзя, почему это важно.
Настройка бота — добавить согласие на обработку данных, предупреждение что это AI, кнопку переключения на оператора. День-два максимум.
Всё. Неделя-две работы — и вы спите спокойно. Это разовые усилия, которые защищают вас от штрафов на миллионы, судов и потери репутации.
И самое главное — это не просто галочка «чтобы закон соблюсти». Когда клиент видит, что вы честно рассказываете про AI, заботитесь о защите его данных, даёте возможность поговорить с человеком — он вам доверяет больше. А доверие, как известно, в деньги не пересчитать. Оно дороже.
Так что соблюдение законов при работе с AI — это не бюрократическая морока. Это просто нормальный подход к бизнесу. И инвестиция в то, чтобы клиенты к вам возвращались.
Полезные материалы по теме
- RBAC и аудит в CRM: контроль доступа для роста без хаоса — как настроить разграничение прав доступа к данным
- DLP для AI: маскирование PII, политики хранения и минимизация данных в чатах — технические меры защиты персональных данных
- Юридически безопасные боты: согласия, уведомления, хранение записей — что заложить в продукт с самого начала
- Этика продаж: как убедиться, что AI не дискриминирует клиентов — про справедливость и прозрачность решений AI
- AI Governance в компании: политики, роли, изменения и ответственность за решения бота — как выстроить управление AI на уровне организации
- Настройка AI-бота: чек-лист подготовки перед запуском — подробная инструкция по безопасному запуску