В марте 2026-го турецкий регулятор по защите данных (KVKK) выпустил долгожданное руководство по приложениям ИИ. Документ в значительной мере согласован с риск-ориентированным подходом EU AI Act, но оставляет собственный отпечаток в темах, специфичных для Турции: интерпретация явного согласия, трансграничная передача данных и отраслевые исключения. Прагматичный взгляд на пять тем, которые должны определить ваши ИИ-проекты во второй половине 2026 года.
1) Классификация по уровню риска
EU AI Act закрепил четырёхуровневую классификацию (запрещённый, высокий, ограниченный, минимальный риск). Руководство KVKK ссылается на те же категории и явно относит подбор персонала, кредитный скоринг, медицинский триаж и биометрическую идентификацию в общественных местах к «высокому риску». Для них обязательны DPIA и аудит-trail.
2) Явное согласие и контекст LLM
Передача клиентских данных провайдеру LLM была серой зоной в 2025-м; в 2026-м всё ясно: если персональные данные покидают контроллера в направлении провайдера LLM, требуется явное согласие. Более того, согласие не может быть дано «для общего использования ИИ»; конкретная цель («суммировать ваш запрос в поддержку») должна быть указана. Использование внутренних моделей (on-premise / VPC) существенно снижает эту нагрузку.
3) Автоматизированные решения и право возражения
Статья 11 KVKK уже давала право возражать против полностью автоматизированных решений; новое руководство придаёт этому праву эксплуатационную форму. Если модель выносит автоматическое решение: обоснование должно быть разумно объяснимо, человеческий контроль — доказуем, а маршрут возражения — виден пользователю.
4) Обучающие данные и законный источник
Вы должны уметь документировать законный источник каждого набора данных, использованного для обучения модели. Открытые данные / лицензированные / договорные / собранные с согласия — это разбивка, которую ожидает надзорный орган. Сближение с позициями ЕС по защищённым авторским правом текстам и изображениям — сильный тренд 2026-го; происхождение выходов генеративного ИИ станет стандартным ожиданием.
5) Практический чек-лист соответствия
- DPIA завершён? (обязателен для высокорисковых проектов)
- В дата-инвентаризации ясно, на чём обучается и что запрашивает модель?
- Тексты согласия — целеориентированные, а не размытое «для ИИ»?
- С провайдером LLM задокументированы DPA + список суб-обработчиков + юрисдикция?
- В цепочке автоматического решения есть human-in-the-loop?
- Аудит-лог: кто отправил какие данные в какую модель и когда?
- Работает ли слой PII-редакции на выходах?
