Если ваш продукт использует ИИ — и обрабатывает персональные данные пользователей — вы обязаны учитывать требования не только EU AI Act, но и GDPR в совокупности. Любая информация, по которой можно прямо или косвенно идентифицировать человека это ПД. Биометрия, эмоции, поведение, голос и даже движения курсора — это тоже персональные данные, если позволяют идентифицировать пользователя.

Примеры, когда ИИ обрабатывает персональные данные:

• Анализ резюме и автоматический отбор кандидатов;
• Биометрическая идентификация (распознавание лиц, голоса);
• Персонализированные рекомендации в маркетинге;
• Прогнозирование поведения пользователей на основе данных.
• Если генерируются синтетические данные (новые профили/предположения о человеке, например, склонность к кредитному риску, политические взгляды) – это профайлинг и попадает под GDPR + AI Act.

Исследование Вашингтонского университета показало, что несмотря на существующие правила OpenAI, многие приложения GPT и встроенные программы собирают данные пользователей без должного уведомления и согласия. Только 5,8% этих приложений явно раскрывают свои методы сбора данных, при этом некоторые собирают даже такую конфиденциальную информацию, как пароли.

• Компания Clearview AI, базирующаяся в США и занимающаяся технологией распознавания лиц, получила серию штрафов за незаконное создание и использование базы данных из лиц ЕС без согласия, отсутствие представителя в ЕС, неправильную обработку, непрозрачность и неповиновение надзорным органам. Последний на €30,5 млн от нидерландского органа по защите данных, Autoriteit Persoonsgegevens (AP), за использование незаконной базы из 30 млрд фото.

• Replika (Luka Inc.) оштрафована на €5 млн. итальянским Garante, т.к. чат‑бот, персонализированный под эмоциональное состояние пользователя, обрабатывал персональные данные без законного основания, и не имел системы проверки возраста (дети в зоне риска).

• Высокое качество обучающих данных. Нельзя обучать ИИ на «грязных» или дискриминирующих датасетах.
• Пул требований в зависимости от категории уровня риска системы.
• Проведение оценки соответствия.
• Прозрачность и human oversight. Пользователь должен знать, что данные обрабатываются с помощью ИИ, иметь возможность отказаться предоставлять данные для обучения ИИ, при принятии решения с помощью ИИ иметь возможность обратиться к человеку. Обработка должна совпадать с ожиданиями пользователя (EDPB).
• Доступность сервиса лицам до 18 лет, проверка возраста. В большинстве случаев – согласие родителей/законных представителей, повышенные требования к прозрачности, объяснимости и защите.
• Data governance framework для систем ИИ с высоким уровнем риска (Chapter 3 AI Act).

Важно: анонимизация данных считается обработкой персональных данных по GDPR (EDPB). Если модель обучена на нелегально полученных данных — это может вызвать ответственность, даже при последующей анонимизации. Для моделей искусственного интеллекта статьи 5, 24, 25 и 30 GDPR, а также, в случае вероятного высокого риска для прав и свобод субъектов данных, статья 35 GDPR требуют от контролеров надлежащего документирования операций обработки. Это также относится к любой обработке, включая обучение модели ИИ, даже если цель обработки заключается в анонимизации.

Нарушение правил обработки данных может привести к штрафам до 35 млн евро или 7% мирового оборота по AI Act и до 20 млн евро или 4% по GDPR.

Пример взаимосвязи: компания (A) обрабатывает ПД в контексте обучения новой системы ИИ – поставщик в соответствии с AI Act и контролер в соответствии с GDPR (в рамках этой разработки принимает решения о том, как обрабатывать персональные данные в целях обучения системы ИИ).

Компания (B), которая приобретает систему ИИ, у компании А и использует ее способом, который подразумевает обработку персональных данных (например, в качестве чат-бота для общения с клиентами или в качестве автоматизированного инструмента подбора персонала) – разработчик в соответствии с AI Act, и отдельный контролер в соответствии с GDPR для обработки своих собственных персональных данных (то есть она не является контролером персональных данных, используемых для первоначального обучения системы ИИ, но является контролером любых данных, которые она использует совместно с ИИ).

Т.е., если вы используете данные подрядчика (например, API OpenAI или AWS Rekognition) и при этом инициируете обработку, интегрируете ИИ в свою систему, передаёте туда пользовательские данные, то вы можете считаться “контролёром” или “совместным контролёром” и применяется AI Act и GDPR. А это уже заключение договора (DPA), проведение DPIA (если high-risk), уведомление и защита прав пользователей.

Рекомендации немецкого DPA (июнь 2025), применимые к системам ИИ, обрабатывающим персональные данные.

Проектирование:

• Полная документация (описание наборов данных, источники, архитектура, алгоритмы, меры защиты).
• Минимизация данных: использовать меньшее количество данных или альтернативные методы при сопоставимой производительности; федеративное обучение; атрибуты общего характера; синтетические и агрегированные данные; проверка доступности существующих источников.
• Убедиться, что запрещённые категории ПД не могут быть выведены из косвенных атрибутов.
• Обеспечить временной буфер между сбором данных, уведомлением субъекта и обучением модели, чтобы субъект мог реализовать свои права.
• Отдавать предпочтение моделям ИИ, обеспечивающим более быстрый пересмотр/переобучение после запроса субъекта.
• Проверка точности, качества и отсутствия смещений в данных; защита от отравления датасетов и бэкдоров.

Разработка:

• Убедиться, что модель хранит или воспроизводит ПД только в случае крайней необходимости.
• Проверка системы на непреднамеренные результаты.
• Возможность вмешательства: обеспечение права субъекта оспаривать результаты (ст. 22 GDPR).
• Надёжная инфраструктура обучения и тестирования.
• Целостность датасетов и стабильность работы модели после обучения.
• Оценка риска утечки модели или атак через пользовательские запросы.

Внедрение:

• Документирование параметров системы ИИ, версий, алгоритмов и конфигураций.
• Минимизация данных и принцип подотчётности (GDPR).
• Использование шифрования и мер безопасности при распространении моделей с ПД.

Эксплуатация и мониторинг:

• Ведение журналов аудита (обработка, данные, повторное обучение).
• Постоянная оценка необходимости данных, исключение избыточных атрибутов.
• Регулярное переобучение моделей для исключения предвзятости.
• Обеспечение человеческого контроля и реализации прав субъектов (например, право на удаление данных, ст. 17 GDPR).
• Меры против атак и обхода системы, регулярная оценка рисков.
• Защита обучающих данных и внутренних компонентов модели при развертывании (особенно через API).

Если у Вас есть кейс для рассмотрения – вы можете связаться с нами посредством telegram или оставив заявку на сайте. Мы изучим Вашу ситуацию и поможем найти лучший вариант решения.

Компания ALG Legal предоставляет юридические услуги по вопросам легализации, трудовового, корпоративного права и налогового права в Польше в форме:

• Консультаций: квалифицированная консультация юриста по интересующему вопросу с полной проработкой и четким ответом.
• Оформления документов: подготовим для вас полный пакет необходимых документов.
• Сопровождения процесса: качественное сопровождение вашего дела юристом на каждом этапе.

Свяжитесь с нами.