Logo WCR Consulting
WCR Consulting
Главная/ IP / Право/ Юридическая упаковка/ AI-платформы
🤖 AI-платформы и ИИ-сервисы

Юридическая упаковка
AI-платформы и ИИ-сервиса

EU AI Act (в силе с 02.08.2026), GDPR Art.22 (автоматизированные решения), training data provenance, DPIA обязателен, human oversight, explainability. Colorado AI Act (30.06.2026). Штрафы — до €15M / 3% выручки по AI Act + €20M / 4% по GDPR.

EU AI Act GDPR Art.22 Training data DPIA Human oversight €15M / 3% (AI Act)
Упаковка AI-платформы → ← Все направления
AI ActEU — в силе
с 02.08.2026
€15Mили 3% выручки —
штраф AI Act
Art.22GDPR: право не быть
объектом ADM
CO AIColorado AI Act
с 30.06.2026
AI Act — 4 уровня риска

Классификация AI-систем
по EU AI Act

AI Act вводит risk-based подход: чем выше риск — тем строже обязательства. Определите уровень вашей системы до 02.08.2026.

Запрещено Unacceptable Risk

Social scoring, real-time biometric в публичных местах, манипуляция уязвимыми группами, subliminal techniques

Штраф: €35M или 7% выручки
High-risk Высокий риск

HR/найм, credit scoring, образование, healthcare, правоприменение, миграция. Risk management, technical docs, conformity, human oversight, DPIA

Штраф: €15M или 3% выручки
Limited Ограниченный риск

Чатботы, deepfakes, генерация контента. Обязанность: AI-disclosure — пользователь должен знать что общается с AI

Transparency obligations
Minimal Минимальный риск

Спам-фильтры, рекомендации контента, AI в играх. Нет специальных обязательств по AI Act

Без ограничений
Сравнение штрафов

AI Act vs GDPR
vs US state laws

AI Act и GDPR действуют параллельно — штрафы суммируются. Компания может получить штраф по AI Act за отсутствие risk management и одновременно по GDPR за незаконную обработку training data.

В США — пока без федерального AI-закона, но Colorado AI Act (с 30.06.2026) и California AB 2013 (с 01.01.2026) вводят impact assessments, transparency и enforcement через Attorney General.

AI Act — запрещённые практики
€35M / 7%
AI Act — high-risk нарушения
€15M / 3%
AI Act — GPAI нарушения
€7,5M / 1%
GDPR — незаконная обработка / ADM
€20M / 4%
Colorado — no reasonable care
$20K / viol.
California — training data transparency
CalPrivacy
Training data

5 вопросов, которые
задаст регулятор

Provenance training data — одна из главных болевых точек AI-compliance. Регуляторы (EDPB, DPA, FTC) всё чаще проверяют откуда данные и на каком основании использованы.

Документируйте ответы на эти вопросы до начала training — не после запроса регулятора. DPIA для training pipeline — отдельный документ.

Чек-лист регулятора
1Откуда данные? Web scraping, datasets, user-generated, purchased? Документация provenance.
2Какой lawful basis? Consent, legitimate interest, public domain? LIA проведён?
3Содержат ли данные ПДн? Проведена ли анонимизация / псевдонимизация? Проверена ли её эффективность?
4Как обеспечить right to erasure (Art.17)? Можете ли удалить данные субъекта из model weights?
5Проведён ли bias testing? Есть ли документация о мерах по предотвращению дискриминации?
Use-cases

Какие документы нужны
для каждого типа AI

💬
Чатбот / виртуальный ассистентLimited risk. AI-disclosure обязателен (Art.50). Privacy Policy + cookie consent. Если ADM — DPIA. Если дети — COPPA.
📊
Рекомендательная системаMinimal/Limited risk. Profiling = Art.22 GDPR (opt-out). Если влияет на доступ к услугам — DPIA. Cookie consent для tracking.
✍️
Генерация контента (текст, изображения)Limited risk: disclosure что контент создан AI. GPAI obligations для провайдера модели. Copyright compliance для training data.
👤
AI в HR / найм / скоринг сотрудниковHigh-risk (Annex III). Полный пакет: risk management, technical docs, conformity, human oversight 2+ чел., DPIA, bias audit.
💳
Credit scoring / fraud detectionHigh-risk. Art.22 GDPR: right to explanation. DPIA обязателен. Colorado AI Act: impact assessment + reasonable care.
🏥
AI в healthcare / диагностикаHigh-risk. Sensitive data (health). DPIA + Art.9 GDPR. Medical device regulation может применяться. Human oversight обязателен.
Почему AI — зона повышенного риска

AI Act + GDPR:
двойной compliance

AI Act не заменяет GDPR — оба действуют параллельно. Любая AI-система, обрабатывающая ПДн, подпадает под GDPR. Если система high-risk по AI Act — дополнительные обязательства: risk management, technical documentation, human oversight, conformity assessment.

Ключевые болевые точки: training data (откуда данные? было ли согласие? right to be forgotten в model weights), explainability (можете ли объяснить решение AI?), profiling (Art.22 GDPR ограничивает ADM с legal/significant effects), bias (алгоритмическая дискриминация).

Для SaaS AI-сервисов с EU-аудиторией нужны: Privacy Policy с AI-disclosure, DPIA, human oversight mechanism, transparency about ADM, training data documentation.

Кому нужна AI-упаковка
🤖SaaS с AI: чатботы, рекомендации, скоринг, генерация контента
🧠LLM-провайдеры: API, fine-tuning, model hosting
📊AI в HR: найм, скоринг, performance review (high-risk по AI Act)
🏥AI в healthcare: диагностика, трекинг, медицинские решения
💰AI в finance: credit scoring, fraud detection, AML
Документы

Что обязательно для
AI-платформы и ИИ-сервиса

Privacy Policy с AI-disclosureGDPR Art.13–14 + AI Act Art.50: прозрачность об автоматизированных решениях, логика обработки, использование данных для training.
DPIA — Data Protection Impact AssessmentОбязателен для любой AI-системы с profiling, ADM, large-scale мониторингом, sensitive data. GDPR Art.35 + AI Act.
Terms of Service с AI-оговоркамиDisclaimers: AI не заменяет профессиональную консультацию, no guarantee of accuracy, limitation of liability для AI-outputs.
Human oversight mechanismAI Act Art.14: high-risk AI — human review для каждого решения с significant effects. Не менее 2 человек (Art.14 AI Act).
Training data documentationAI Act: provenance, data governance, bias testing. California AB 2013: training data transparency. GDPR: lawful basis для training data.
ADM opt-out / right to explanationGDPR Art.22: право не быть объектом решений, основанных исключительно на автоматизированной обработке. Право на объяснение.
DPA с AI-провайдерамиЕсли используете OpenAI, Anthropic, Google AI — DPA обязателен. Проверка: no training on customer data, data location, retention.
AI Act risk classification + conformityHigh-risk (Annex III): risk management system, technical documentation, conformity assessment. С 02.08.2026.
WCR Consulting

Юридическая упаковка
AI-платформы под ключ

Готовим документы для AI-сервисов с учётом AI Act, GDPR, Colorado AI Act и state-specific requirements. Для high-risk систем — полный compliance пакет.

  • Privacy Policy с AI-disclosure
  • DPIA для AI-системы
  • Terms of Service с AI disclaimers
  • Human oversight mechanism
  • Training data documentation
  • ADM opt-out / right to explanation
  • DPA с AI-провайдерами
  • AI Act risk classification
🤖 AI Act + GDPR 📋 High-risk ready ⏱ 10–20 рабочих дней 📄 EN + RU
Заказать AI-compliance →
FAQ

Частые вопросы

Когда вступает в силу EU AI Act? +
AI Act вступил в силу 01.08.2024, но основные обязательства применяются поэтапно. С 02.02.2025 — запреты (social scoring, real-time biometric). С 02.08.2025 — обязательства для GPAI (general-purpose AI). С 02.08.2026 — полное применение для high-risk AI (Annex III). Штрафы: до €35M / 7% за запрещённые практики, до €15M / 3% за нарушение high-risk обязательств.
Нужна ли DPIA для AI-чатбота? +
Если чатбот обрабатывает ПДн (имя, email, история переписки) — DPIA рекомендуется. Если чатбот принимает решения с legal/significant effects (отказ в кредите, скоринг, HR) — DPIA обязателен по GDPR Art.35. Если чатбот классифицирован как high-risk по AI Act — DPIA + AI Act risk assessment обязательны.
Можно ли использовать ПДн для обучения модели? +
Только с lawful basis. Consent — самый надёжный вариант. Legitimate interest — возможен, но нужен полный LIA (Legitimate Interests Assessment) с балансировкой прав субъектов. Web scraping публичных данных — не даёт автоматически lawful basis. Right to be forgotten (Art.17) создаёт проблемы: как удалить данные из model weights? Документация provenance обязательна.
Что такое right to explanation для AI? +
GDPR Art.22: субъект имеет право не быть объектом решения, основанного исключительно на автоматизированной обработке, если оно имеет legal effects. Право на meaningful information about the logic involved. На практике: если AI отказал в кредите — нужно объяснить почему в human-readable terms. «Модель дала низкий скор» — недостаточно.
Применяется ли AI Act к компаниям вне ЕС? +
Да. AI Act применяется экстратерриториально: к провайдерам AI-систем, размещённых на рынке ЕС, и к deployers, использующим AI-системы в ЕС, независимо от места регистрации. Аналогично GDPR Art.3. Если ваш AI-сервис доступен EU-пользователям — вы подпадаете.
Можно ли дистанционно? +
Да. Бриф, документы, согласования — полностью онлайн. WCR Consulting готовит AI-compliance пакеты на английском и русском.
Смотрите также

Связанные направления

📋Юридическая упаковка

Все направления

 🇪🇺ЕС / GDPR

GDPR + AI Act

 🤖AI-право

AI Act, compliance

 🛡IP / Право

Все направления

Нужна упаковка AI-платформы?

Расскажите о проекте — определим risk classification и подготовим AI Act + GDPR compliance пакет.

Заказать AI-compliance → Задать вопрос

Юридическая упаковка AI-платформы: EU AI Act, GDPR Art.22, training data, DPIA