Правовое регулирование ИИ: юридические аспекты ИИ в HR

Правовое регулирование ИИ — это сфера, которая требует ответственного отношения со стороны компаний, идущих в ногу со временем.

Юридические аспекты правового регулирования ИИ далеко не очевидны, поскольку могут скрываться в архитектуре решений, цепочке поставщиков, промптах и даже в самих языковых моделях.

Разобраться в юридических нюансах поможет данный материал. Мы собрали главные юридические риски при использовании ИИ в HR и готовый чек-лист, как не сделать алгоритм врагом компании.

Содержание

• Правовое регулирование ИИ в HR
• Персональные данные и ИИ в HR
• Риски дискриминации при скрининге резюме и составлении вакансий с ИИ
• Ответственность в компании за действия алгоритма
• Чек-лист: как легально внедрить ИИ в HR

Правовое регулирование ИИ в HR

Правовое регулирование ИИ в России существует, оно представлено в разных отраслях права. Не стоит полагать, что если нет отдельного федерального закона «Об искусственном интеллекте», то можно экспериментировать с нейросетями без ограничений. Применительно к HR-сфере, основу правового регулирования ИИ составляют:

1 Трудовое законодательство (ТК РФ). Любой продукт ИИ (от скрининга резюме до рекомендаций) — это действие работодателя. Если ИИ отсеивает работников по косвенным признакам (пол, возраст, раса), ответственность наступает так же, как если бы это сделал сотрудник HR.

2 Законодательство о персональных данных (152-ФЗ). Если в тексте или медиа, обрабатываемыми ИИ, присутствуют персональные данные, то такая обработка попадает под действие закона и приравнивается к обработке ПНд со всей ответственность.

С 2024 года Роскомнадзор запустил систему автоматического мониторинга соблюдения законодательства в области персональных данных. Ведомство ежегодно направляет в организации более 6,5 тыс. требований о приведении деятельности сайтов в соответствие с нормами.

Ключевые риски при использовании ИИ в HR:

• Дискриминация при ИИ-скрининге резюме и генерации вакансий — алгоритм учится на старых данных и тиражирует предубеждения.
• Неправомерное использование и трансграничная передача персональных данных — особенно если нейросеть работает на серверах за рубежом.
• Отсутствие регламента использования ИИ внутри компании — в случае нарушений может расцениваться как бездействие компании.

Чего ждать дальше?

По мере внедрения технологии юридическая практика неизбежно будет развиваться. Появятся разъяснения по алгоритмической дискриминации и обзоры Роскомнадзора по «прозрачности ИИ».

Персональные данные и ИИ в HR

Персональные данные и ИИ в HR тесно связаны из-за специфики кадровой работы. Каждое резюме, анкета, запись интервью, переписка с кандидатом — всё это подпадает под защиту Федерального закона № 152-ФЗ.

Как можно нарушить 152-ФЗ, используя ИИ в HR

> При передаче персональных данных сотрудниками в публичные ИИ-сервисы. Сотрудник загружает резюме с ФИО и телефоном в публичный ИИ-сервис, чтобы сделать анализ резюме или красиво оформить отказ и совершает ряд нарушений:

• Утечка через API или промпты. Сотрудник вводит в общедоступный сервис персональные данные для проверки резюме — эти данные уходят на серверы третьей стороны и могут быть использованы для обучения моделей.
• Трансграничная передача персональных данных. Многие ИИ-сервисы работают на серверах в ЕС, США или Китае.
• Несоответствие целей обработки заявленным. Согласие было получено для оценки квалификации, а ИИ предсказывает вероятность ухода.

> Пример нарушения при отсутствии контроля за работой алгоритма. Компания использовала сервис для ИИ-скоринга резюме, сервис выставляет оценки от 1-10. Один из кандидатов попросил рассказать почему он не прошел на следующий этап. Компания не смогла предоставить детализацию оценки. 152-ФЗ требует от оператора предоставить субъекту сведения об источниках получения данных и логике обработки. Неспособность это сделать — уже нарушение.

Обработка ПДн с нарушением 152-ФЗ влечет риски штрафов до 500 млн рублей и уголовную ответственность.

Поправки в закон и КоАП с 05.2025 прямо запрещают использование зарубежных баз данных для обработки ПДн и многократно увеличивают штрафы и ответственность за нарушение законодательства.

Как предотвратить нарушения 152-ФЗ

> Провести анализ законных оснований обработки персональных данных. Для каждого ИИ-процесса определите, какое именно основание из ст. 6 152-ФЗ используется (согласие, договор, трудовые отношения и т.д.).

> Закрепить цели обработки в документах. Формулировка должна быть узкой: «Оценка профессиональных навыков на основе резюме», а не «улучшение HR-процессов».

> Локализовать обработку. Использовать российские облачные решения, или, если поставщик зарубежный, убедиться, что серверы физически находятся в РФ.

> Обеспечить прозрачность алгоритмов (насколько возможно). Документация процесса: описание модели, входных признаков (какие поля ПДн используются) и логики принятия решений.

> Оставлять решение за сотрудником. ИИ может давать советы и готовить шаблоны, но кадровые решения должны оставаться за человеком.

> Запретить сотрудникам ввод ПДн в публичные ИИ-сервисы. Это требование можно зафиксировать в приказе и подкрепить обучением сотрудников ИИ.

Риски дискриминации при скрининге резюме и составлении вакансий с ИИ

Запрет дискриминации в сфере труда закреплен на нескольких уровнях российского законодательства. Игнорирование этих норм при использовании ИИ-инструментов в HR — прямая дорога к судебным спорам и штрафам.

Нормативная база

Запрет дискриминации в сфере труда закреплён на нескольких уровнях:

• Статья 3 ТК РФ — запрещает любые формы ограничения прав работников по признакам, не связанным с деловыми качествами.
• Статья 64 ТК РФ — запрещает необоснованный отказ в заключении трудового договора.
• Пункт 6 статьи 86 ТК РФ — прямо запрещает принимать решения, затрагивающие интересы работника, основываясь только на автоматизированной обработке персональных данных.
• Статья 53 Федерального закона от 12.12.2023 № 565-ФЗ «О занятости населения» — устанавливает запрет на распространение информации о вакансиях, содержащей дискриминационные ограничения.

Как может проявляться дискриминация с использованием ИИ

> При кадровых решениях на основе данных не относящихся к профессиональной деятельности (возраст, пол, национальность, вероисповедание и др.). Данный паттерн может возникать при заведомо дискриминационной выборке для обучении моделей.

> При ошибочных решениях из-за “галлюцинаций” ИИ. Алгоритмы больших языковых моделей могут ошибаться. В результате случайного совпадения слов в определенной последовательности, алгоритм может неверно распознать навыки и опыт кандидата в резюме, что приведет к ошибке в оценке. Если данная ошибка не будет замечена и исправлена сотрудником HR, то на нее может обратить внимание кандидат и попросить устранить нарушение, а также потребовать возместить вред.

> При создании вакансий. ИИ может написать шаблон вакансии с дискриминационными условиями. Публикация такой вакансии может привести к штрафу.

Как предотвратить риски

> Аудит алгоритмов на предвзятость до и после внедрения. Можно провести тестовый скрининг однотипных вакансий и убедится, что всем присвоены одинаковые оценки вне зависимости от возраста, пола, национальности и других дискриминационных признаков.

> Аудит алгоритмов на прозрачность методологии оценки. Алгоритм оценки должен предоставлять достаточно информации для верификации корректности оценки и обнаружения ошибки.

> Проверка результатов ИИ ответственным сотрудником. Пункт 6 статьи 86 ТК РФ прямо запрещает принимать решения на основе только автоматизированной обработки. Если алгоритм отклонил кандидата, HR-специалист обязан зафиксировать причину отказа — «недостаточный опыт работы» вместо «система поставила низкий рейтинг».

Ответственность в компании за действия алгоритма

Правовое регулирование ИИ подразумевает ответственность компании за ошибки алгоритмов. Ответственность также несут руководители, при внедрении инструментов, и сотрудники при работе с ними.

Далее разберём две ключевые зоны ответственности, которые возникают при использовании ИИ в HR.

Ответственность за нарушения в сфере персональных данных

! Административная ответственность по ст. 13.11 КоАП РФ

С 30 мая 2025 года в России вступили в силу существенные изменения, ужесточающие ответственность за нарушения в сфере персональных данных.

Размеры штрафов для Юридических лиц и ИП:

• Обработка ПДн без законных оснований (ч. 1 ст. 13.11): от 150 000 до 300 000 руб.
• Неуведомление Роскомнадзора о начале обработки (ч. 10): от 100 000 до 300 000 руб.
• Утечка ПДн 1 000–10 000 субъектов (ч. 12): от 3 до 5 млн руб.
• Утечка >100 000 субъектов (ч. 14): от 10 до 15 млн руб.
• Повторная утечка (ч. 15): Оборотный штраф 1–3% от выручки (от 20 млн до 500 млн руб.)

Ответственность может наступать одновременно для юридического лица и для должностного. Штраф по ст. 13.11 КоАП РФ может быть наложен и на компанию (от 150 000 руб.), и на конкретного руководителя или HR-директора (от 50 000 до 100 000 руб.).

! Уголовная ответственность

Если нарушение связано с умышленными действиями, может наступить уголовная ответственность по статья 272.1 УК РФ (неправомерное получение и использование персональных данных) — для должностных лиц предусмотрено лишение свободы до 6 лет и штраф до 1 млн рублей.

Ответственность за дискриминацию

Вторая зона рисков связана с дискриминацией, которую может допустить ИИ при скрининге резюме, составлении вакансий и оценке кандидатов.

! Административная ответственность

Статья 13.11.1 КоАП РФ — распространение информации о вакансиях, содержащей ограничения дискриминационного характера. Размеры штрафов:

• Должностные лица: от 500 до 1 000 руб.
• Юридические лица: от 10 000 до 15 000 руб.

Статья 5.27 КоАП РФ (нарушение трудового законодательства) — за необоснованный отказ в приёме на работу, в том числе по вине ИИ, предусмотрены следующие штрафы:

• Должностные лица и ИП: 1–5 тыс. руб.
• Юридические лица: 30–50 тыс. руб.

! Уголовная ответственность

Умышленное внедрение дискриминационных алгоритмов и продолжение их применения с учётом доказанных фактов дискриминации, может попасть под статью 136 УК РФ — дискриминация с использованием служебного положения. Наказывается штрафом до 300 000 руб. или в размере дохода за период от 1-2х лет, либо лишением права занимать определенные должности, либо исправительными и принудительными работами, либо лишением свободы на срок до 5 лет.

Чек-лист: как легально внедрить ИИ в HR

1 Проверьте основания для обработки ПДн — под каждую задачу ИИ определите законное основание (ст. 6 152-ФЗ: согласие, договор, трудовые отношения).

2 Локализуйте обработку данных — используйте российские облачные серверы, исключите передачу ПДн зарубежным ИИ-сервисам.

3 Запретите сотрудникам ввод ПДн в публичные ИИ-сервисы — закрепите запрет приказом и проведите обучение.

4 Обеспечьте прозрачность алгоритмов — задокументируйте логику оценки, входные признаки и источники данных.

5 Проведите аудит алгоритмов на дискриминацию — тестируйте скрининг резюме по полу, возрасту, национальности до и после внедрения.

6 Проверяйте вакансии сгенерированные ИИ — удаляйте дискриминационные формулировки перед публикацией.

7 Оставьте кадровое решение за человеком — HR-специалист должен утверждать каждый отказ или найм (ст. 86 ТК РФ).

8 Назначьте ответственных — определите, кто в компании контролирует работу по внедрению и применению ИИ.

Право — важный аспект. Но как ИИ применяется в подборе, аналитике и кадрах без нарушений? Читайте полный гайд:

👉 Внедрение ИИ в HR.