ИИ-агент и закон: GDPR и EU AI Act в Эстонии (2026)

Два закона, а не один

GDPR действует в ЕС с 2018 года и отвечает на вопрос «что можно делать с персональными данными». Имя, телефон, переписка, история записей — всё это персональные данные, и неважно, обрабатывает их человек или ИИ-агент. Правила одни: законное основание, минимум данных, защита и право клиента знать, что с его данными происходит.

EU AI Act — новый закон, он вступил в силу в августе 2024 года и вводится поэтапно, требование за требованием. Он отвечает на другой вопрос: насколько рискован сам ИИ и что вы обязаны раскрыть. Эти два закона не заменяют друг друга — агент должен соответствовать обоим.

Хорошая новость: ваш агент почти наверняка не «высокого риска»

EU AI Act делит системы по уровню риска. «Высокий риск» — это, например, ИИ для отбора персонала, оценки кредитоспособности или медицинской диагностики; там требований много. Обычный агент поддержки, который отвечает на вопросы, квалифицирует заявку и записывает на встречу, в эту категорию не попадает — он относится к системам «ограниченного риска». Картина меняется только если агент сам принимает решения по найму, кредитам или медицине — тогда это уже «высокий риск» со своими требованиями.

Для таких систем главное требование простое: человек должен понимать, что общается с ИИ, а не с живым менеджером. По действующему графику Еврокомиссии правило прозрачности (статья 50 AI Act) начинает применяться со 2 августа 2026 года. На практике это одна честная строчка в начале диалога — и вы уже в рамках закона.

Что от агента требует GDPR

GDPR старше и строже AI Act, и именно его пункты вы соблюдаете каждый день:

• Законное основание. Должна быть причина обрабатывать данные — согласие клиента, исполнение договора или ваш законный интерес. Для записи на услугу или ответа на заявку основание обычно есть по умолчанию.
• Минимум данных. Агент видит только то, что нужно для задачи. Ассистенту записи незачем иметь доступ ко всей бухгалтерии.
• Прозрачность. Клиент вправе знать, что отвечает ИИ и что происходит с его данными — короткая заметка в чате и в политике конфиденциальности это закрывает.
• Защита и хранение в ЕС. Данные передаются по защищённым каналам, доступы выдаются под контролем, обработка — на инфраструктуре в ЕС, где это возможно.
• Право на человека. Клиент всегда может попросить живого сотрудника — у хорошего агента кнопка передачи человеку встроена с самого начала.

Чек-лист законного ИИ-агента

Перед запуском пройдитесь по списку — он закрывает большую часть вопросов и GDPR, и AI Act:

• Агент представляется как ИИ в первом же сообщении.
• Доступ к данным урезан до минимума под конкретные задачи.
• Сложные и чувствительные случаи передаются человеку с контекстом.
• Данные обрабатываются и хранятся на инфраструктуре в ЕС.
• С поставщиком ИИ подписан договор об обработке данных (DPA).
• В политике конфиденциальности описано, какие данные видит агент и зачем.

Как это выглядит у Nordic Homes (реальные цифры)

Агентству недвижимости Nordic Homes мы подключили ИИ-агента, который отвечает в среднем за 30 секунд, квалифицирует лида и сам предлагает слот на просмотр. Доступ к CRM выдан по минимуму: агент видит только то, что нужно для ответа и записи, а сложные случаи передаёт менеджеру с готовым контекстом.

Результат — +47% лидов доведено до просмотра и −60% рутины у менеджеров, при работе 24/7. Важно, что «законно» и «эффективно» здесь не противоречат: тот же урезанный доступ, которого требует GDPR, заодно снижает риск ошибки и утечки.

Что спросить у подрядчика до старта

Если вам делают ИИ-агента, эти вопросы отсеют несерьёзного исполнителя:

• Где физически обрабатываются и хранятся данные клиентов?
• Какой минимальный доступ получит агент и кто его контролирует?
• Как клиент поймёт, что отвечает ИИ, и как попадёт на человека?
• Подпишете ли вы договор об обработке данных (DPA)?
• Что происходит с данными диалога после завершения разговора?