Как использовать сервисы искусственного интеллекта, не нарушая закон о персональных данных

В читательскую почту «ЭГ» поступил вопрос о процедуре использования искусственного интеллекта во внутриорганизационных бизнес-процессах с соблюдением при этом требований закона о персональных данных. Разъяснение по запросу редакции предоставил Национальный центр защиты персональных данных (НЦЗПД).

Суть вопроса в том, что организация использует в работе современные цифровые решения, в т.ч. AI-сервисы, например, для записи, транскрипции и анализа рабочих встреч, интервью, оценки эффективности сотрудников. Организацию интересовало, допустимо ли при оформлении согласия на обработку персональных данных и трансграничную передачу данных не указывать в явном виде наименования конкретных AI-сервисов, а использовать обобщенную формулировку, отражающую: категорию таких систем; цели обработки; перечень передаваемых персональных данных и действий с ними, а также факт возможной трансграничной передачи с указанием, что актуальный перечень используемых операторов и стран передачи постоянно доступен сотрудникам во внутренней информационной системе компании?

Приводим разъяснение НЦЗПД о порядке использования ИИ-сервисов внутри организации с соблюдением законодательства о персональных данных.

Определить, требуется ли согласие работника

В первую очередь в данной ситуации следует разобраться, действительно ли у работников необходимо получать согласие и может ли оно соответствовать требованиям, установленным Законом от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).

Одним из обязательных требований к любой обработке персональных данных, независимо от применяемых технологий их автоматизированной обработки, является наличие правового основания на обработку персональных данных, в качестве которого могут выступать либо согласие человека, либо случаи, перечисленные в ст. 6 и (или) п. 2 ст. 8 Закона.

Согласие не является обязательным или универсальным условием для обработки персональных данных.

Кроме того, Законом определены весьма строгие критерии, которым должно соответствовать согласие: оно должно быть свободным, однозначным, информированным. Только при их соблюдении согласие на обработку персональных данных может быть признано юридически действительным.

В изложенной в вопросе ситуации речь идет о получении согласия работников. В связи с этим следует учитывать, что неравный статус сторон (работник находится в подчиненном положении у нанимателя), как правило, не предопределяет свободный характер согласия. Согласие работника будет соответствовать такому критерию только при условии фактического (не формального) наличия альтернативных вариантов решения вопроса, а также отсутствия для работника негативных последствий в случае их отказа от дачи согласия.

Когда речь идет о таких целях использования AI-сервисов, как анализ рабочих встреч, оценка эффективности работников, трудно представить, что отдельные работники могут без каких-либо последствий для себя отказаться от такой обработки персональных данных.

В целом указанные цели обработки персональных данных вытекают из трудовой функции работников и являются элементом автоматизации деятельности нанимателя.

Вывод: если AI-сервисы не предусматривают трансграничную передачу персональных данных, обработка персональных данных работников может осуществляться без их согласия на основании абз. 8 ст. 6 Закона.

Обеспечить выполнение иных требований, вытекающих из Закона

Однако наниматель должен выполнить иные требования, предусмотренные ст. 4 Закона, в т.ч. требования по обеспечению прозрачного характера обработки персональных данных, ограничению их хранения по достижении заявленной цели, а также принять организационные, правовые и технические меры по их защите (например, в части установления порядка доступа к такой информации, ее технической защите).

При этом прозрачность обработки персональных данных, например в случае оценки эффективности работников, будет обеспечена не только тогда, когда работникам будет предоставлен актуальный перечень используемых AI-сервисов (систем), в т.ч. посредством его размещения в доступной для работников внутренней информационной системе компании, но и когда работникам будут разъяснены критерии такой оценки.

Если использование ИИ-сервисов влечет трансграничную передачу персональных данных

Иная ситуация складывается в случае, если использование AI-сервисов влечет трансграничную передачу персональных данных. При отсутствии у работника реальной возможности выбора согласиться или отказаться от такой обработки без негативных последствий по результатам предоставленной нанимателем информации о возможных рисках трансграничной передачи его персональных данных такая обработка недопустима.

Учитывать риски утечки иной информации при использовании ИИ

Нанимателям необходимо также учитывать, что использование технологий AI, не установленных локально на собственных серверах, может привести к утечке не только персональных данных, но и иной конфиденциальной информации, в т.ч. составляющей коммерческую и иную охраняемую законом тайну.