Как только чат-бот клиники начинает спрашивать имя и телефон, чтобы записать пациента, он обрабатывает персональные данные. С этого момента к нему применяется Федеральный закон № 152-ФЗ «О персональных данных» — со всеми обязанностями оператора. Большинство конструкторов ботов этот слой просто не закрывают, и ответственность остаётся на клинике.
Разберём, что бот обязан делать, чтобы клиника была в порядке.
1. Собирать согласие до обработки
Согласие субъекта — основное правовое основание (ст. 6 и ст. 9 закона). На практике это значит: до того, как бот примет имя, телефон и причину обращения, человек должен подтвердить согласие на обработку персональных данных. Не постфактум, не «галочкой по умолчанию», а явным действием.
В правильно собранном боте шаг согласия встроен в сценарий записи — без него заявка не уходит дальше.
2. Не передавать «сырые» данные в языковую модель
Это тонкий момент, который почти всегда упускают. Если бот построен на языковой модели, то весь текст диалога уходит в неё на обработку. Значит, персональные данные пациента в открытом виде уезжают на сторону провайдера модели.
Решение — маскировка: персональные данные подменяются на обезличенные метки до передачи в модель и восстанавливаются уже на нашей стороне, при оформлении записи. Модель видит «пациент хочет записаться на приём», а не реальные ФИО и телефон.
3. Хранить данные в РФ
Закон требует, чтобы запись, систематизация и хранение персональных данных граждан России велись в базах на территории РФ. Поэтому состояние диалогов, логи и оформленные заявки должны лежать на серверах в РФ, а не на случайном зарубежном хостинге, который дал конструктор.
4. Логировать и давать возможность отозвать согласие
Оператор обязан вести учёт обработки и обеспечивать права субъекта: доступ к своим данным, уточнение, удаление, отзыв согласия. Для бота это означает прозрачное логирование и понятный путь, по которому пациент может обратиться к оператору. Как это формулируется — видно в самой политике обработки персональных данных.
Почему это конкурентное преимущество, а не просто галочка
Для клиники 152-ФЗ — это юридический риск, который тормозит запуск любой автоматизации. Когда обвязка под требования закона уже встроена в решение, страх снимается до старта. Поэтому мы делаем соответствие 152-ФЗ частью базового AI-ассистента для клиник, а не отдельной дорогой опцией.
Коротко, бот клиники обязан: собрать согласие до обработки, замаскировать персональные данные перед языковой моделью, хранить всё в РФ и дать пациенту реализовать его права. Если хотя бы один пункт не закрыт — ответственность ложится на клинику.
Хотите проверить, как это устроено у нас — покажем на демо.