ChatGPT, Claude.ai a Gemini patria medzi najpoužívanejšie nástroje kancelárskych pracovníkov. Účtovník do nich vloží faktúru, HR konzultantka životopis, manažér obchodnú stratégiu. Každý takýto moment môže byť bezpečnostný a právny problém pre firmu, klienta aj samotného zamestnanca.
Cieľom nie je zakázať AI. Cieľom je používať ju bezpečne. Verejné LLM nástroje majú miesto pri nízkorizikových úlohách, ale citlivé firemné dáta potrebujú riadenú architektúru, zmluvy, oprávnenia a auditnú stopu.
1. Rozdiel medzi ChatGPT a GPT od OpenAI
ChatGPT ako spotrebiteľská aplikácia
Bežný účet na chat.openai.com alebo v mobilnej aplikácii je spotrebiteľský produkt. Nastavenia ochrany dát sa môžu líšiť podľa plánu a používateľ ich často nerieši. Pre firemné dáta je to riziková voľba.
ChatGPT Team alebo Enterprise
Platené firemné plány majú lepšie nastavenia, vyššiu kontrolu a typicky možnosť DPA. Môžu byť použiteľné pre nízkorizikové dáta, ale stále treba riešiť lokalitu dát, interné pravidlá a prístupové oprávnenia.
Azure OpenAI Service
Modely OpenAI bežiace cez Microsoft Azure umožňujú EU regióny, podnikové zmluvy a kontrolovanejšie spracovanie. Pre mnoho B2B nasadení je to bezpečnejšia cesta než osobný ChatGPT účet.
Keď hovoríme, že firemné dáta nepatria do ChatGPT, myslíme najmä situáciu, keď zamestnanec cez súkromný alebo bežný Plus účet kopíruje interný obsah bez schválenia firmy.
2. Reálne typy rizík
Únik cez tréning alebo uloženie konverzácie
Ak sa konverzácia použije na zlepšovanie služby alebo sa uloží mimo vášho riadeného prostredia, strácate kontrolu nad tým, kde firemné dáta skončili.
Incident na strane poskytovateľa
Žiadny cloudový poskytovateľ nie je bez rizika. Aj krátky incident môže odhaliť názvy konverzácií, metadáta alebo API kľúče. Pri citlivých dátach musí firma vedieť, čo sa stane pri incidente a kto nesie zodpovednosť.
Vládny alebo právny prístup k dátam
Ak sú dáta v USA alebo mimo kontrolovaného EU režimu, môžu sa uplatniť právne mechanizmy, ktoré firma nechce riskovať pri zdravotníctve, financiách, advokátskom tajomstve alebo verejnej správe.
Konkurenčné zneužitie
Obchodná stratégia, cenotvorba, zoznam klientov alebo plán akvizície nie sú materiál na verejný AI nástroj. Aj keď sa nič nestane, firma nevie preukázať primeranú kontrolu.
Regulačné sankcie
Pri osobných údajoch zodpovedá firma ako správca. Ak zamestnanec vloží osobné údaje klienta do nevhodného nástroja, problém nerieši OpenAI namiesto vás. Rieši ho vaša firma.
3. GDPR pohľad
Zákonnosť spracovania
Na vloženie osobných údajov do LLM potrebujete právny základ. Pri zákazníckych e-mailoch, životopisoch alebo zdravotných údajoch ho často nemáte pre takýto účel.
Účelové obmedzenie
Dáta sa môžu spracúvať len na účel, pre ktorý boli získané. „Analýza cez osobný ChatGPT účet“ zvyčajne nie je uvedený účel spracovania.
Minimalizácia dát
Do AI sa má posielať iba nevyhnutné minimum. Celý e-mail so menom, telefónom, adresou a históriou komunikácie je nadbytočný vstup.
Bezpečnosť
Firma musí preukázať primeranú úroveň bezpečnosti. Bez DPA, riadených prístupov, logovania a pravidiel je to ťažké obhájiť.
Medzinárodné prenosy
Prenos mimo EU musí mať právny rámec. Pri verejných účtoch a nejasnom nastavení je riziko vyššie.
4. České kontexty s vyšším rizikom
Dátové schránky
Obsah dátovej schránky môže obsahovať úradné dokumenty, osobné údaje alebo právne citlivé informácie. Kopírovanie do verejného nástroja je zbytočné riziko.
Zdravotnícke dáta
Zdravotné údaje patria medzi osobitné kategórie osobných údajov. Potrebujú vysokú ochranu, jasný právny základ a prísne obmedzený prístup.
Advokáti a daňoví poradcovia
Advokátske tajomstvo, daňové stratégie a klientská dokumentácia nepatria do neriadeného verejného LLM.
Finančný sektor
Banky, poisťovne a fintechy riešia AML, KYC, obchodné tajomstvo a regulované dáta. Potrebujú auditovateľnú architektúru.
