Saugus AI naudojimas įmonėje: duomenų apsauga ir vidaus taisyklės
Ką galima ir ko negalima kelti į AI įrankius, kaip parengti vidinę AI politiką ir kada rinktis enterprise planus — praktinis gidas Lietuvos įmonėms.
Realybė daugumoje įmonių tokia: darbuotojai jau naudoja ChatGPT ar kitus AI įrankius — tik vadovybė apie tai nežino. Į nemokamas asmenines paskyras keliami klientų laiškai, sutarčių fragmentai, kainodaros lentelės. Problema ne pats AI, o tai, kad niekas nesusitarė dėl taisyklių.
Ši tema nuolat iškyla mūsų AI mokymuose, todėl surašėme praktinį minimumą: ką daryti šią savaitę, kad AI nauda liktų, o rizika sumažėtų.
Kur slypi rizika iš tikrųjų
Pagrindinė rizika — ne „AI nutekins duomenis hakeriams", o daug paprastesnė: nemokamų ir asmeninių planų sąlygos dažnai leidžia paslaugų teikėjui naudoti jūsų įvestus duomenis modelių tobulinimui. Įkėlėte kliento asmens duomenis į asmeninę paskyrą — perdavėte juos trečiajai šaliai be teisinio pagrindo. Tai jau GDPR klausimas, nepriklausomai nuo to, ar kas nors kada tuos duomenis pamatys.
Antra rizika — darbuotojai pasitiki AI atsakymais be patikros ir išsiunčia klientui klaidingą informaciją. Trečia — „šešėlinis AI": kiekvienas naudoja skirtingus įrankius, ir niekas nežino, kur keliauja įmonės informacija.
Ką galima ir ko negalima kelti į AI įrankius
Paprasčiausia sistema, kurią rekomenduojame mokymuose — trys kategorijos:
Galima laisvai (vieša arba nejautri informacija):
- viešai skelbiami tekstai, rinkodaros medžiaga, svetainės turinys;
- bendro pobūdžio klausimai, juodraščiai be konkrečių pavadinimų;
- nuasmeninti pavyzdžiai („klientas iš gamybos sektoriaus" vietoj įmonės pavadinimo).
Galima tik su verslo/enterprise planu ir sutarta tvarka:
- vidiniai dokumentai, procesų aprašymai, susitikimų transkriptai;
- klientų užklausos ir susirašinėjimas (idealiu atveju — nuasmeninti).
Negalima niekada, jokiame plane:
- asmens kodai, banko duomenys, sveikatos informacija;
- slaptažodžiai, API raktai, prieigos duomenys;
- informacija, kurią saugo konfidencialumo sutartys (NDA) su klientais;
- komercinės paslaptys, kurių nutekėjimas padarytų realią žalą.
Šį sąrašą adaptuokite savo veiklai ir — svarbiausia — užrašykite. Nerašyta taisyklė neegzistuoja.
Nemokamas planas ir enterprise planas — ne tas pats produktas
Renkantis įrankius verta suprasti esminį skirtumą. Verslo planuose (pvz., ChatGPT Business/Enterprise, Claude for Work, Microsoft 365 Copilot) teikėjai paprastai įsipareigoja nenaudoti jūsų duomenų modelių apmokymui ir pasiūlo administravimo funkcijas: bendrą valdymą, prieigos kontrolę, audito galimybes.
Prieš diegdami įrankį įmonėje, patikrinkite tris dalykus:
- Ar teikėjas siūlo DPA (Data Processing Agreement — duomenų tvarkymo sutartį)? Jei tvarkysite asmens duomenis, DPA pagal GDPR privaloma.
- Kur saugomi ir tvarkomi duomenys — ES ar už jos ribų, ir kokiu teisiniu pagrindu vyksta perdavimas.
- Ar galima išjungti duomenų naudojimą apmokymui ir ar tai numatyta sutartyje, o ne tik nustatymuose.
Kaina tarp asmeninio ir verslo plano skiriasi, bet tai kaina už tai, kad įmonės duomenys nebūtų mokymo žaliava.
Kaip parengti vidinę AI politiką per savaitę
AI politika neturi būti 30 puslapių teisinis dokumentas, kurio niekas neskaitys. Pakanka 1–2 puslapių, kuriuose aiškiai atsakyta:
- Kokie įrankiai leidžiami — konkretus sąrašas su nuorodomis į įmonės paskyras.
- Kokių duomenų negalima kelti — trijų kategorijų sistema iš šio straipsnio.
- Kas atsako už rezultatą — AI parengtą tekstą prieš siunčiant klientui ar skelbiant viešai peržiūri žmogus; atsakomybė lieka darbuotojui, ne įrankiui.
- Kaip žymimas AI turinys — kur reikia (pvz., vidaus dokumentuose) nurodyti, kad tekstas generuotas su AI.
- Į ką kreiptis su klausimais — vienas atsakingas žmogus, ne „į administraciją".
Procesas: parenkite juodraštį (galite drąsiai naudoti AI kaip pradinį tašką), aptarkite su komanda gyvai, pakoreguokite pagal realius jų naudojimo scenarijus ir paprašykite kiekvieno susipažinti pasirašytinai. Aptarimas su komanda svarbesnis už patį dokumentą — draudimai be paaiškinimo tiesiog nustumia AI naudojimą į šešėlį.
GDPR ir AI: minimalus kontrolinis sąrašas
- Įtraukite AI įrankius į duomenų tvarkymo veiklos įrašus, jei per juos tvarkomi asmens duomenys.
- Pasirašykite DPA su įrankių teikėjais, kurių paslaugose atsiduria asmens duomenys.
- Peržiūrėkite privatumo politiką — ar joje atspindėti nauji tvarkytojai.
- Nustatykite duomenų minimizavimo įprotį: į užklausą dėti tik tai, ko realiai reikia atsakymui.
- Jei diegiate AI sprendimus, priimančius sprendimus dėl žmonių (atranka, vertinimas) — sustokite ir pasikonsultuokite su teisininku, čia taikomi papildomi reikalavimai.
Šis sąrašas nepakeičia teisinės konsultacijos, bet padengia dažniausias spragas, kurias matome įmonėse.
Nuo ko pradėti šią savaitę
Nereikia didelio projekto. Trys žingsniai: išsiaiškinkite, kokius AI įrankius komanda jau naudoja (anonimiška apklausa veikia geriau nei tiesioginis klausimas), surašykite 1–2 puslapių taisykles ir perkelkite aktyviausius naudotojus į verslo planą su DPA. Tai realistiška padaryti per vieną savaitę.
Reikia pagalbos susidėliojant AI taisykles?
Jei norite saugiai įsivesti AI įmonėje — nuo įrankių parinkimo iki vidinės politikos ir komandos apmokymo — užsiregistruokite nemokamai 45 min. konsultacijai. Daugiau apie mūsų AI mokymus komandoms rasite čia.
Turite klausimų? Susisiekite — konsultacija nemokama.