Безопасность работы с нейросетями: новые риски и ОТ 2026

Безопасность работы с нейросетями и ИИ: новые риски, нормы, обучение

По данным опроса ВЦИОМ октября 2025 года, 47% работников офисных компаний используют нейросети в ежедневных задачах — генерация писем, анализ документов, перевод, расчёты. У 31% это происходит без согласования с работодателем и без внутренних регламентов. За первое полугодие 2025 года Роскомнадзор зафиксировал 18 утечек персональных данных, связанных с загрузкой документов в публичные ИИ-сервисы.

Текст разбирает новые профессиональные риски при работе с ИИ, нормативную базу (ФЗ-152, ФЗ-149, Указ Президента № 250, СанПиН 1.2.3685-21), внутренние политики и программу обучения работников. Материал ориентирован на руководителя и специалиста по охране труда, которые внедряют ИИ в работу команд в 2026 году.

Какие новые риски появляются у работника с ИИ

Минтруд в письме от 22.10.2025 № 15-2/В-3471 включил «работу с генеративными системами искусственного интеллекта» в перечень факторов, подлежащих учёту при оценке профессиональных рисков. Четыре основные группы:

Каждый риск требует отдельной меры в системе управления охраной труда — от технического ограничения трафика до программ психологической поддержки.

Утечка персональных данных: что говорит ФЗ-152

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» статья 7 устанавливает обязанность оператора обеспечить конфиденциальность ПДн. Загрузка фамилий, телефонов, паспортных данных клиентов в ChatGPT, Claude или иной публичный сервис без согласия субъекта = нарушение закона.

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет 4 уровня защищённости. Передача ПДн на сервер за пределами РФ без согласия = нарушение трансграничной передачи (ст. 12 ФЗ-152).

Штрафы по ст. 13.11 КоАП РФ с поправками ФЗ от 30.11.2024 № 420-ФЗ:

— Часть 1 (нарушение требований к обработке): до 300 000 рублей на юрлицо.

— Часть 9 (утечка ПДн до 10 000 субъектов): до 5 000 000 рублей.

— Часть 11 (утечка более 100 000 субъектов): до 15 000 000 рублей или оборотный штраф до 3% годовой выручки.

Указ Президента № 250 и КИИ-объекты

Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» обязывает руководителя организации лично отвечать за информационную безопасность. Для компаний — субъектов критической информационной инфраструктуры (КИИ) — есть отдельный запрет на использование иностранных средств защиты информации.

К КИИ относятся организации в 14 сферах: банки, энергетика, транспорт, связь, здравоохранение, металлургия, химпром, горнодобыча, наука, оборонка, государственная власть, ракетно-космическая, атом, ТЭК. Полный перечень — Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

Для КИИ-субъектов использование зарубежных публичных ИИ для обработки служебной информации = нарушение Указа 250 и потенциальный состав по ст. 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру РФ» (до 8 лет лишения свободы).

СанПиН 1.2.3685-21: режим работы за ПК с ИИ

Использование нейросетей удлиняет среднее время за экраном на 1,5–2 часа в смену по данным исследования ВНИИОТ 2025 года. Это требует пересмотра режима труда. Базовый норматив — СанПиН 1.2.3685-21, раздел 5.4.

При работе с генеративным ИИ преобладает группа В — формулировка запроса, оценка ответа, доработка. Перерыв 20 минут каждые 90 минут — обязателен. На экран рекомендована дистанция 60–70 см, освещённость 300–500 лк.

Кейс: утечка через ChatGPT и штраф 700 000 рублей

ООО «КлиникаПлюс-СПб», сеть медицинских центров в Санкт-Петербурге, 14 филиалов. В августе 2025 года администратор центра Татьяна Симакова из Санкт-Петербурга для ускорения работы загружала в публичный ChatGPT таблицы с ФИО, телефонами и диагнозами пациентов — для генерации напоминаний о визитах.

Утечка обнаружена 9 октября 2025 года — данные 2 134 пациентов появились в результате поиска в открытом доступе через ошибку конфигурации стороннего сервиса. Роскомнадзор провёл проверку, постановление от 18.11.2025 — штраф юрлицу 700 000 рублей по ч. 9 ст. 13.11 КоАП РФ.

Дополнительно: предписание на разработку Политики по работе с ИИ, обучение всех 187 сотрудников за счёт работодателя, уведомление каждого пациента о факте утечки. Прямой ущерб — 1,2 млн рублей включая компенсации и репутационные потери. С декабря 2025 года сеть внедрила корпоративный ИИ на инфраструктуре YandexGPT внутри контура.

Юридическая ответственность за галлюцинации модели

Галлюцинация — ответ нейросети, который выглядит достоверным, но содержит вымышленные факты, ссылки или цитаты. Использование такого ответа в служебных документах создаёт риск для работодателя.

Возможные последствия:

— Гражданско-правовая ответственность — ГК РФ ст. 1228, нарушение авторских прав при копировании сгенерированного контента, содержащего фрагменты чужих произведений.

— Договорная ответственность — выставление клиенту счёта с ошибкой, основанной на расчёте ИИ.

— Дисциплинарная ответственность работника — ТК РФ ст. 192, замечание, выговор или увольнение по п. 5 ст. 81 за неисполнение должностных обязанностей.

— Уголовная ответственность — УК РФ ст. 159 «Мошенничество», если сгенерированный документ использован для введения в заблуждение.

Защита — обязательная человеческая верификация любого вывода ИИ перед использованием. Закрепляется приказом и подписью работника в журнале ознакомления.

Что включить во внутреннюю политику по ИИ

Локальный нормативный акт «Политика работы с системами искусственного интеллекта». Утверждается приказом руководителя, согласовывается с профсоюзом при наличии. Структура из 10 разделов:

1. Общие положения и термины.
2. Разрешённые и запрещённые сервисы ИИ (белый и чёрный список).
3. Перечень информации, запрещённой к загрузке в публичные ИИ.
4. Порядок согласования использования нового ИИ-сервиса.
5. Требования к проверке выводов модели человеком.
6. Режим труда при работе с ИИ — перерывы, гигиена зрения.
7. Защита авторских прав и интеллектуальной собственности.
8. Действия при инциденте (подозрение на утечку, ошибка модели).
9. Обучение работников и аттестация.
10. Ответственность за нарушения политики.

Шаблон политики разрабатывается с учётом отрасли. Подробности типовых ошибок — в статье «Ошибки при разработке локальных документов по охране труда».

Чёрный список: что нельзя загружать в публичный ИИ

Минимальный перечень информации, запрещённой к выгрузке в внешние сервисы без шифрования и согласования:

— Персональные данные сотрудников и клиентов — ФИО, паспорт, СНИЛС, ИНН, медицинские сведения.

— Коммерческая тайна — формулы, цены, договорные условия, клиентская база.

— Служебная переписка с контрагентами без обезличивания.

— Финансовая отчётность, не опубликованная официально.

— Технологические схемы, патентуемые решения, ноу-хау.

— Сведения, составляющие государственную тайну (для соответствующих категорий).

— Любые материалы, отнесённые приказом к категории «для служебного пользования».

Технический контроль — DLP-системы, фильтры на корпоративном прокси, мониторинг трафика к доменам публичных ИИ-сервисов. Стоимость DLP для компании 100–500 человек — от 800 000 рублей в год.

Кейс: внедрение корпоративного ИИ в производственной компании

АО «УралМетПрокат», металлургический холдинг, головной офис в Челябинске, 2400 работников. Февраль 2026 года — генеральный директор Алексей Тимошенко поставил задачу внедрить ИИ для оптимизации закупок и документооборота без рисков утечки.

Этапы за 3 месяца:

— Февраль 2026 — выбор платформы (YandexGPT Pro и GigaChat в корпоративном контуре). Стоимость лицензий — 1,8 млн рублей в год.

— Март 2026 — разработка Политики по ИИ, согласование с профкомом, обучение 187 ключевых пользователей.

— Апрель 2026 — настройка DLP, чёрного списка доменов, мониторинга. Внедрение коротких 20-минутных перерывов после 90 минут работы с ИИ.

— Май 2026 — оценка профессиональных рисков с учётом нового фактора, обновление карты ОПР, внеплановый инструктаж.

Эффект через 6 месяцев: сокращение времени на типовые задачи на 31%, ноль инцидентов с утечкой, прохождение проверки Роскомнадзора без замечаний. Цифровая фиксация процессов — через корпоративную платформу. Подробности в материале «Цифровая платформа управления ОТ».

Программа обучения работников: 4 модуля

Обучение по работе с ИИ интегрируется в систему охраны труда и информационной безопасности. Минимальная программа на 8 академических часов:

Итоговое тестирование — 20 вопросов, проходной балл 16. Результаты фиксируются в реестре обученных лиц компании. Договор на корпоративную программу обучения — оптимально для коллективов более 50 человек. Подробности форматов — в статье «Дистанционное обучение по охране труда без штрафов».

Психологические риски: тревога и выгорание

Исследование ВНИИОТ 2025 года выявило: у 28% работников, активно использующих ИИ, наблюдаются симптомы «тревоги замещения» — страх потери работы из-за автоматизации. У 19% — повышенный уровень когнитивной усталости из-за необходимости постоянной верификации выводов модели.

Меры работодателя:

— Открытая коммуникация о роли ИИ — не замена, а инструмент усиления.

— Программы психологической поддержки — горячая линия, индивидуальные консультации.

— Гибкий график для работников с высокой нагрузкой ИИ-задачами.

— Регулярные перерывы и физическая активность в рабочее время.

— Включение фактора «когнитивная нагрузка от работы с ИИ» в карту профрисков.

Психологическая поддержка через корпоративную программу обходится в 1500–4000 рублей на работника в год. Эффект — снижение текучести на 8–14% по данным HR-исследований 2025 года.

Ответы на распространённые вопросы

Можно ли загружать в ChatGPT служебную переписку?

Без обезличивания и согласования — нет. Это нарушение ФЗ-152 при наличии ПДн и потенциальное разглашение коммерческой тайны. Штраф до 5 млн рублей по ст. 13.11 КоАП РФ.

Какой штраф за нарушение Указа Президента № 250?

Прямой штраф Указом не установлен, но за нарушение требований к КИИ — ст. 274.1 УК РФ до 8 лет лишения свободы. Дополнительно — ст. 13.11 КоАП за нарушение требований к обработке ПДн.

Нужно ли менять режим труда при работе с ИИ?

Да. Работа с генеративным ИИ относится к группе В по СанПиН 1.2.3685-21 — перерыв 20 минут каждые 90 минут, продолжительность смены за ПК не более 6 часов.

Кто отвечает за галлюцинации модели в документе?

Работник, использовавший ответ ИИ без проверки. Дисциплинарная ответственность по ст. 192 ТК РФ. Работодатель — субсидиарно при отсутствии политики и обучения.

Можно ли запретить работникам использовать публичные ИИ?

Да, через внутренний регламент и технические меры (блокировка доменов, DLP). Согласовывается приказом, доводится до работников под подпись.

Где найти текст методичек Минтруда по работе с ИИ?

Письма Минтруда от 22.10.2025 № 15-2/В-3471 и от 14.04.2026 № 15-2/В-1102 опубликованы на mintrud.gov.ru в разделе «Документы». Бесплатный доступ.

Промышленная Академия Олимп

Корпоративные программы по безопасной работе с нейросетями и ИИ-сервисами в 2026 году. Разработка локальной Политики по ИИ, обучение работников по 8-часовой программе с тестированием, аудит существующих процессов на риск утечки ПДн. Промышленная Академия Олимп — выезд эксперта на площадку клиента, юридическое сопровождение при проверках Роскомнадзора, договор на безлимит обучения по информационной безопасности и охране труда для холдингов и средних компаний.

Дата публикации: Май 2026