DPO vs зарубежные провайдеры LLM: возможно ли оформить поручение на обработку по ч. 3 ст. 6 152-ФЗ В последнее время операторы активно прибегают к использованию ИИ, поэтому DPO приходится применять свой естественный интеллект, чтобы легализовать такое использование. Один из частых вопросов, который получают практикующие участники нашей команды: как выполнить требования п. 3 ст. 6 152-ФЗ. Иными словами, как оформить поручение на обработку персональных данных при использовании зарубежных LLM? Дополнительную актуальность вопросу придаёт потенциальный штраф по ч.1 ст.13.11 КоАП РФ за передачу данных в отсутствие поручения в тех случаях, когда оно должно быть оформлено. Бывалые DPO помнят времена, когда большинство провайдеров облачных сервисов на предложение оформить поручение на обработку данных отвечали «сам ты обработчик» и отрицали любую причастность к обработке персональных данных. Сейчас DPO встречают в этом вопросе больше понимания, но порядок оформления поручений с крупными ИТ-провайдерами все еще вызывает вопросы, особенно если речь идет об иностранных контрагентах. Что может хоть как-то помочь DPO? Действительно, сложно представить сценарий обсуждения с международным ИТ-гигантом условий обработки персональных данных, которые планирует передать в его систему отдельно взятая российская организация. Но ситуация не безнадежна: рынок ЕС остается одним из самых привлекательных (если не самым привлекательным) для большинства провайдеров LLM, поэтому почти все они стремятся соответствовать требованиям GDPR. В практической плоскости это означает разработку и опубликование провайдерами типовых условий обработки персональных по поручению. Такие условия обычно являются приложением к основному договору (Data Processing Addendum или DPA) и включают в себя основные параметры поручения на обработку персональных данных. DPA основан на требованиях GDPR, которые являются во многом более строгими, чем отечественное законодательство, поэтому чаще всего такой документ закрывает значительную часть требований ч. 3 ст. 6 152-ФЗ. Пример того, как выглядят DPA некоторых популярных провайдеров LLM, можно увидеть здесь: OpenAI Chat GPT, Anthropic Claude. Конечно, чаще всего мы не найдем в DPA зарубежного провайдера LLM обязательств выполнять российские требования по локализации персональных данных (как того требует ч. 3 ст. 6 152-ФЗ). Также нельзя забывать о том, что сфера действия DPA может быть ограничена определенной территорией или не охватывать российский рынок по иным причинам. В этом смысле решение, безусловно, не является идеальным, однако, неидеальное решение - лучше, чем его полное отсутствие.