Как составить Политику конфиденциальности с помощью ИИ и не получить штраф: инструкция от юриста

Сегодня каждый второй владелец бизнеса спрашивает меня: «Дмитрий, зачем платить юристу, если ИИ пишет Политику конфиденциальности за 30 секунд?».

Отвечаю честно: ИИ — отличный инструмент, но опасный юрист. Если вы просто скопируете текст из нейросети, вы получите документ, который выглядит «правильно», но на практике может привести к штрафам из-за несоответствия вашим реальным процессам.

Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем, как правильно составить Политику с помощью ИИ, чтобы она защищала ваш бизнес, а не подставляла его.

Анализ возможностей

В качестве эксперимента, я попробовал составить политику конфиденциальности в различных нейросетях (5 самых известных, в том числе одна для юристов). Я уточнил у клиентов, какой промт они задавали и повторил его: «Составь политику конфиденциальности для сайта: адрес сайта». И вот, что я заметил:

1. Даже с указание адреса сайта, ни одна нейросеть не проанализировала структуру и контент самого сайта, в связи с чем текст политики был сильно оторван от реальных процессов;

2. Нейросети не учитывают рекомендации РКН по составлению политики;

3. Все ИИ использовали абстрактные цели обработки, категории ПДн, субъектов и т.д.

После вопроса: «Эта политика соответствует 152-ФЗ и рекомендациям РКН?» некоторые ИИ честно ответили, что политика не соответствует, 2 сказали, что частично соответствуют, и все предложили изменения. Но внесенные изменения не приблизили политику к требованиям законодательства и реальным процессам.

Печальный итог: ни одна нейросеть по такому запросу не справилась с задачей.

Почему «готовые шаблоны» от ИИ — это ловушка?

Нейросети обучаются на миллионах документов из интернета. Большинство из них — это «средняя температура по больнице». Проблема в том, что:

1. Материал обучения: Тот материал, на котором обучалась нейросеть может не соответствовать требованиям законодательства. Что приводит к тому, что политика не всегда верна.
2. ИИ не знает ваших процессов: Он не знает, используете ли вы Google Analytics, передаете ли вы данные в облако, есть ли у вас трансграничная передача или биометрия.
3. Юридический контекст: Законодательство постоянно меняется. ИИ может использовать неактуальные ссылки на статьи закона или нормы, которые уже утратили силу. Также нейросети в большинстве случаев составляют политику по GDPR, а не по 152-ФЗ.
4. «Галлюцинации»: Нейросеть может придумать пункты, которые прямо противоречат вашей деятельности. Совсем недавно суд оштрафовал участника процесса как раз за это.

Как «приручить» ИИ для создания Политики

Если вы решили использовать нейросеть, не просите её просто «написать Политику». Действуйте как профессиональный заказчик:

1. Подготовьте «техническое задание» для нейросети

ИИ выдаст отличный результат, только если получит максимум конкретики. Скопируйте этот список и заполните его перед тем, как давать команду:

• Тип бизнеса: (например, интернет-магазин одежды в РФ).
• Цели обработки: (для каких целей вы собираете ПДн).
• Сбор данных: (что собираем: ФИО, телефон, email, адрес доставки, данные банковской карты).
• Перечень используемых куки: (проверьте какие файлы у вас используются).
• Передача данных: (используем ли мы сторонние сервисы: Яндекс.Метрика, рассылочные сервисы, облачные CRM, сторонние формы и чаты).
• География: (храним данные только в РФ или используем зарубежные облака).
• Контактные данные: (данные для запросов и уведомлений).

2. Правильный промпт (запрос)

Не пишите «напиши политику». Пишите так:

«Действуй как эксперт-юрист в области защиты персональных данных в РФ. Твоя задача — составить проект Политики обработки персональных данных для [НАЗВАНИЕ И ОПИСАНИЕ БИЗНЕСА СОСТАВЛЕНОЕ РАНЕЕ] в соответствии с требованиями Федерального закона № 152-ФЗ "О персональных данных. Документ должен быть структурирован согласно рекомендациям Роскомнадзора по составлению политики и соответствовать им.».

Однако в зависимости от конкретных бизнес-процессов данный запрос может быть расширен или полностью изменен.

3. «Юридический аудит»

После того как ИИ выдал текст:

1. Проверьте соответствие: Сравните то, что написал ИИ, с тем, что происходит у вас в CRM и на сайте на самом деле.
2. Удалите лишнее: Часто ИИ вставляет стандартные фразы про «передачу данных госорганам иностранных государств», если вы об этом не просили. Это может создать у Роскомнадзора ложное впечатление, что вы ведете трансграничную передачу данных.
3. Проверьте ссылки на закон: Убедитесь, что ИИ не сослался на постановления, которые отменили в прошлом году.

Чек-лист: когда ИИ вам не поможет

ИИ не сможет заменить юриста, если:

• У вас сложная инфраструктура (несколько сервисов, трансграничная передача, биометрия).
• Вы работаете с чувствительными данными (медицина, финансы и т.п.).
• У вас был инцидент с утечкой данных — тут нужен только живой юрист.

Заключение

ИИ — это ваш «бесплатный помощник», который экономит 5-10 часов работы. Но подпись под Политикой ставите вы, и ответственность перед Роскомнадзором несете вы. Политику можно сгенерировать за минуту, но аудит этой политики убережет вас от штрафа.

P.S. Составили Политику с помощью ИИ, но есть сомнения, всё ли там «по закону»? Присылайте ваш сгенерированный текст на kartashovdmitriyi@yandex.ru — я проведу профессиональный аудит документа, найду «опасные места» и докручу его под требования 152-ФЗ, чтобы вы были под надежной защитой.