Как GetGut защищает данные клиентов: 152-ФЗ

Когда бизнес передаёт AI-сотруднику работу с клиентами — звонки, заявки, документы — возникает закономерный вопрос: а что происходит с персональными данными? Разберём это без маркетинговых заверений: что требует закон, что делает GetGut, что остаётся на вашей стороне.

Что говорит 152-ФЗ

Федеральный закон № 152-ФЗ «О персональных данных» регулирует сбор, хранение и обработку персональных данных физических лиц в России. Ключевые требования для бизнеса:

Согласие субъекта. Персональные данные клиента (имя, телефон, адрес) можно обрабатывать только при наличии его согласия или иного законного основания.

Локализация. Первичная запись и хранение персональных данных российских граждан должны осуществляться на серверах, расположенных на территории РФ.

Технические меры защиты. Оператор персональных данных обязан принять меры для предотвращения несанкционированного доступа: разграничение прав, шифрование при передаче, защита от утечек.

Уведомление Роскомнадзора. Большинство операторов персональных данных обязаны уведомить РКН о начале обработки ПД.

Ответственность. С 2023 года штрафы за нарушения существенно выросли — до 500 000 ₽ за первичное нарушение и выше при повторных или при утечках.

Кто является оператором ПД в связке «бизнес + GetGut»

Важное разграничение, которое часто упускают:

Ваш бизнес — оператор персональных данных ваших клиентов. Именно вы собираете данные (при записи, заявке, оформлении заказа), устанавливаете цели обработки и несёте ответственность перед Роскомнадзором.

GetGut — обработчик, действующий по вашему поручению. Платформа обрабатывает данные в рамках задач, которые вы ей ставите, и не использует их в других целях.

Такая схема стандартна для SaaS-сервисов и должна быть закреплена договором на обработку персональных данных между вами и GetGut.

Что делает GetGut для защиты данных

Несколько технических и организационных мер, которые применяются на платформе:

Серверная инфраструктура в России. Данные хранятся на серверах, расположенных на территории РФ — что соответствует требованию локализации 152-ФЗ.

Шифрование при передаче. Все соединения между клиентом и серверами GetGut используют шифрование (HTTPS/TLS). Данные не передаются в открытом виде.

Разграничение доступа. Доступ к данным клиентов разграничен по ролям — сотрудники платформы не имеют неограниченного доступа к вашим данным. Каждое обращение к данным логируется.

Минимизация данных. AI-сотрудники работают только с теми данными, которые необходимы для выполнения конкретной задачи. Избыточный сбор данных не предусмотрен архитектурой ролей.

Что остаётся на стороне вашего бизнеса

Использование GetGut не снимает с вас как оператора ПД следующих обязательств:

Политика конфиденциальности. Ваш сайт и точки сбора данных должны иметь корректную политику конфиденциальности с указанием целей обработки.

Согласия клиентов. Форма записи, телефонный скрипт — клиент должен быть уведомлён об обработке его данных и дать согласие (или иметь иное законное основание).

Договор с GetGut. Для корректного оформления отношений оператор–обработчик необходим договор на обработку персональных данных. Уточните его наличие при подключении.

Реестр обработчиков. Если вы уведомили РКН о начале обработки ПД, GetGut как обработчик должен быть отражён в вашей документации.

Что спросить у GetGut перед подключением

Несколько практических вопросов, которые стоит задать службе поддержки или отделу продаж:

• Есть ли стандартный договор на обработку персональных данных?
• На каких серверах и в каком регионе хранятся данные?
• Каков порядок действий при инциденте безопасности (утечке)?
• Какие права у вас как оператора на удаление или выгрузку данных ваших клиентов?

Ответы на эти вопросы — стандартная практика работы с любым SaaS-поставщиком в контексте 152-ФЗ.

Практический итог

152-ФЗ не запрещает использовать AI-инструменты для работы с клиентскими данными — он требует сделать это правильно. Схема «бизнес-оператор + GetGut-обработчик» юридически корректна при наличии договора и соблюдении ваших обязательств как оператора.

Для большинства малых предприятий это означает три шага: актуальная политика конфиденциальности, согласия клиентов в точках сбора данных и договор с GetGut на обработку ПД. Этого достаточно для соответствия базовым требованиям закона.

Есть вопросы по документации и 152-ФЗ — обратитесь в поддержку GetGut. Конкретные юридические ситуации требуют консультации с профильным специалистом.