Применение AI в Казахстане: что важно учитывать с точки зрения персональных данных

18.06.2026

Искусственный интеллект все активнее используется в бизнесе: в клиентской поддержке, маркетинге, e-commerce, HR, скоринге, аналитике и автоматизации внутренних процессов.

На первый взгляд, AI может восприниматься как обычный технологический инструмент. Однако если AI-система получает, анализирует или использует информацию, относящуюся к тому или иному лицу, такой процесс затрагивает регулирование персональных данных.

Для Казахстана этот вопрос становится особенно актуальным на фоне развития регулирования цифровой среды и искусственного интеллекта. Использование AI должно быть не только эффективным, но и прозрачным, безопасным и контролируемым с точки зрения прав пользователей.

AI как часть обработки персональных данных

В соответствии со ст. 10 Закона РК «Об искусственном интеллекте», эксплуатация систем искусственного интеллекта возможна при соблюдении требований защиты данных и конфиденциальности, исключая неправомерный сбор, хранение и распространение персональных данных.

При этом обработка персональных данных с использованием AI-систем также подпадает под действие законодательства Республики Казахстан о персональных данных и их защите.

Во многих случаях AI работает не с абстрактной информацией, а с данными конкретных людей.

Например, AI-чатбот может обрабатывать имя клиента, номер телефона, адрес, историю заказов или содержание обращения. HR-инструмент на базе AI может анализировать резюме, опыт работы, образование и навыки кандидата. Маркетинговая AI-система может использовать историю покупок, поведенческие данные и предпочтения пользователя.

В таких случаях AI становится частью процесса обработки персональных данных. Поэтому бизнесу важно понимать, какие данные используются, зачем они нужны, на каком основании обрабатываются, где хранятся и кому могут быть доступны.
Основные риски для бизнеса

Первый риск - использование данных за пределами первоначальной цели. Данные могут собираться, например, для оформления заказа или оказания услуги, а затем использоваться для обучения AI-модели, клиентской аналитики или персонализации рекламы. Такой подход требует отдельной оценки, поскольку новая цель обработки не всегда совпадает с той, на которую пользователь изначально соглашался.

Второй риск - недостаточная прозрачность. Пользователь не всегда понимает, что его данные анализируются автоматизированной системой или что результат был сформирован с применением AI. Это особенно важно, если AI влияет на рекомендации, скоринг, отбор кандидатов или иные значимые решения.

Третий риск - передача данных поставщикам AI-решений. Многие компании используют внешние AI-инструменты, облачные платформы, API, CRM-модули или чатботы. В таких случаях необходимо понимать, кто получает доступ к данным, где они хранятся, используются ли для обучения модели и передаются ли за пределы Казахстана.

Отдельное внимание стоит уделять ситуации, когда сотрудники загружают клиентские, кадровые или внутренние данные в публичные AI-инструменты. Даже если это делается для ускорения работы, такая практика может создать риск несанкционированной передачи персональных данных или конфиденциальной информации.

Автоматизированные решения и человеческий контроль

Если AI используется только как вспомогательный инструмент, риски обычно ниже. Например, когда система помогает классифицировать обращения или подготовить черновик ответа.

Но если AI фактически влияет на права или законные интересы человека, требования к прозрачности и контролю становятся значительно выше. Это может касаться отказа в услуге, кредитного скоринга, страховой оценки, отбора кандидатов, блокировки аккаунта или определения индивидуальных условий обслуживания.

В таких случаях бизнесу важно обеспечить возможность человеческого участия: пользователь должен иметь понятный механизм обращения, а компания - возможность проверить и при необходимости пересмотреть результат, сформированный с применением AI.

Вместе с тем, в целях обеспечения прозрачности, Закон об ИИ устанавливает требование об информировании пользователей о том, что товары, работы и услуги произведены или оказываются с использованием систем искусственного интеллекта.

Что стоит проверить перед внедрением AI

Перед запуском AI-инструмента компании стоит провести базовую правовую и техническую оценку:

1. какие персональные данные будут обрабатываться;
2. для какой цели они используются;
3. есть ли правовое основание для такой обработки;
4. уведомляется ли пользователь о применении AI;
5. используются ли данные для обучения модели;
6. передаются ли данные поставщикам или за пределы Казахстана;
7. предусмотрены ли меры защиты и ограничения доступа;
8. можно ли объяснить и пересмотреть результат, сформированный AI.

Также важно обновить пользовательские документы и внутренние политики: политику конфиденциальности, согласия, пользовательские соглашения, договоры с подрядчиками и правила использования AI сотрудниками.

Вывод

Применение AI в Казахстане нельзя рассматривать отдельно от регулирования персональных данных. Любая AI-система, которая работает с информацией о клиентах, сотрудниках, пользователях или контрагентах, должна оцениваться не только с точки зрения эффективности, но и на предмет соблюдения требований законодательства о персональных данных.

Главный вопрос для бизнеса заключается не только в том, можно ли использовать AI, но и в том, насколько компания понимает, какие данные обрабатываются системой, для каких целей они используются, где хранятся, кому могут передаваться и каким образом обеспечивается защита прав субъектов данных.