AI-диктофоны в бизнесе 

03/12/25

Б-152

Еще несколько лет назад диктофон был просто устройством для записи переговоров. Сегодня на рынке стремительно набирают популярность «умные» диктофоны со встроенным искусственным интеллектом (AI). 

Они автоматически расшифровывают речь, формируют конспекты, выделяют ключевые темы и даже делают рекомендации для менеджмента.

Для бизнеса это огромный плюс: экономия времени на протоколирование встреч, повышение прозрачности коммуникаций, удобное хранение информации. Однако у этих технологий есть и обратная сторона — вопросы обработки и защиты персональных данных (ПДн).

Чтобы понять, где начинаются риски, важно обратиться к Федеральному закону «О персональных данных».
Согласно ч. 1 ст. 3 152-ФЗ, персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных). 

Так, информация, переданная в ходе записанного разговора, может содержать персональные данные. Важно подобрать основание обработки ПДн в зависимости от ситуации и собеседника.

Зачастую AI-диктофоны используются как в разговорах с сотрудниками, так и с контрагентами, действующими и потенциальными. На примере Plaud Note разберем механизм работы AI-диктофона.

При записи встреч с сотрудниками основанием обработки может быть согласие на обработку персональных данных (СОПД), поскольку данные передаются третьим лицам (например, производителю AI-сервиса), необходимо отдельное поручение.

Важно понимать, что обработка ПДн для обучения ИИ может быть реализована только на основании согласия на обработку персональных данных. Обработка аудиозаписи разговора или текста для подготовки саммари — процесс, основанием которого может выступать также заключенный договор или соглашение о намерениях. 

Основанием может быть соглашение о намерениях или другая форма протокола переговоров. При этом желательно фиксировать перечень контактных лиц, участвующих во встречах.

Здесь основанием является договор. При необходимости в него можно включить отдельный пункт о согласии на использование AI-инструментов для протоколирования переговоров.

При записи собеседования необходимо отдельное согласие кандидата.

В документах необходимо указывать факт передачи ПДн субъекта AI-платформе, которая в этом случае будет обработчиком ПДн.

Plaud Note хранят данные на серверах Amazon в США. Это нарушает требование локализации (ч. 5 ст. 18 152-ФЗ).

Обсуждение конфиденциальных данных, чувствительной информации в ходе переговоров. Эта информация передается на сервер Plaud, Open AI. Несмотря на то, что на этих данных не обучаются нейросети, доступ к передаваемым данным могут иметь данные компании. 

Если вы обсуждаете конфиденциальные данные, продумайте, насколько серьезные последствия могут быть в случае утечки данных или иного несанкционированного доступа к ним.

В политике конфиденциальности Plaud указано, что данные удаляются «в разумный срок» после удаления аккаунта. Такой расплывчатый срок означает, что компания-поставщик сама определяет момент удаления ваших данных.

Для бизнеса это создает правовую неопределенность: во-первых, невозможно подтвердить соответствие принципу минимизации обработки ПДн (ст. 5 152-ФЗ), а во-вторых — при проверке Роскомнадзора компания не сможет документально подтвердить фактическое удаление записей.

Требование о соблюдении локализации закреплено в ч. 5 ст. 18 152-ФЗ: «при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются».

Локализация — действие, направленное на обеспечение первичного сбора ПДн на территории РФ. Это значит, что все базы аудиозаписи, расшифровки с указанием спикеров и майна-карты, если они содержат ПДн, должны изначально отправляться на сервер в РФ.

Если в записи переговоров, в расшифровке или в майнд-карте упоминаются конкретные люди, их фамилии, должности, контакты, то такие данные считаются персональными. А значит, изначальная база данных с этими данными должна находиться в России.

Допустимо делать копии этих баз данных (например, для удобства аналитики или резервного хранения). Но все изменения (редактирование, удаление и др.) должны происходить первоначально в базе данных в РФ.

Риск возникает, если компании используют так называемые «зеркальные базы»: когда у компании одновременно создаются две абсолютно одинаковые базы, одна в России, другая за рубежом. На первый взгляд это удобно, но при проверке практически невозможно доказать, куда именно данные попали первыми. Если хотя бы часть информации ушла сначала в зарубежную базу, это уже считается нарушением требований о локализации.

Таким образом, локализация — не просто формальное требование, а практическая гарантия, что компания сможет доказать свою добросовестность при проверке и избежать штрафов, которые сегодня достигают 6 млн руб. за первое нарушение и до 18 млн руб. за повторное.

Для бизнеса это означает необходимость пересмотреть архитектуру IT-систем и внимательно относиться к выбору сервисов. Если AI-диктофон хранит данные «по умолчанию» за рубежом, то компания автоматически оказывается в зоне риска. 

Гораздо безопаснее выбирать решения, которые позволяют хранить записи локально, т. е. на самом устройстве или на российских серверах.

Ошибки на этапе выбора основания обработки и настройки сервиса нередко приводят к спорам с регулятором, особенно при использовании зарубежных платформ

Если нужен разбор конкретного кейса или помощь в корректной настройке обработки ПДн, можно оставить запрос

Можно ожидать, что в ближайшие годы Роскомнадзор будет уделять особое внимание именно сервисам на основе ИИ, поскольку они становятся массовыми и напрямую связаны с обработкой больших объемов персональных данных.

Таким образом, использование AI-диктофонов требует от бизнеса баланса между инновациями и безопасностью. С одной стороны, это инструмент, способный повысить эффективность процессов, снизить нагрузку на персонал и повысить прозрачность коммуникаций. С другой — это зона повышенного риска, где ошибка может стоить не только штрафа, но и репутации компании.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Мы регулярно разбираем подобные кейсы по локализации, трансграничной передаче и использованию AI-сервисов в нашем TГ-канале: там удобно следить за тенденциями и свежими разъяснениями регулятора.

Материалы по теме