GDPR та ChatGPT: як використовувати AI legally в Україні
"Чи можна використовувати ChatGPT з даними клієнтів?", "Чи порушуємо ми GDPR?", "Що робити якщо працюємо з ЄС?" — ці питання ставить кожна українська компанія що впроваджує AI. Відповідь: так, можна, але з правилами. Розберемо покроково.
📚 Читайте також:
Чому це важливо для українського бізнесу
3 причини:
- Ви працюєте з ЄС: Експорт послуг, EU клієнти, офіси в Європі → GDPR застосовується до вас
- Кандидат в ЄС: Україна адаптує законодавство до EU стандартів → скоро буде обов'язково для всіх
- Штрафи реальні: До €20 млн або 4% річного обороту (залежно що більше)
Приклад штрафу: У 2023 італійська компанія отримала €10 млн штрафу за неправильне використання AI з персональними даними.
Що регулює використання AI в Україні 2025
AI для юридичних команд
Оптимізуйте due diligence, договори та дослідження прецедентів з AI-інструментами.
Детальніше про курс для юристів →Рівень 1: GDPR (General Data Protection Regulation)
Застосовується якщо:
- Ви обробляєте дані громадян ЄС
- Ви працюєте з EU компаніями як підрядник
- У вас є офіс/представництво в ЄС
Ключові принципи:
- Прозорість (користувачі знають як використовуються дані)
- Мінімізація (збираєте тільки необхідне)
- Обмеження зберігання (не назавжди)
- Цілісність та конфіденційність
Рівень 2: EU AI Act (діє з 2025)
Класифікація AI систем:
- Неприйнятний ризик: Заборонені AI (соцрейтинг, маніпуляції)
- Високий ризик: Суворі вимоги (медицина, рекрутинг, кредитування)
- Обмежений ризик: Вимоги прозорості (чат-боти повинні повідомляти що це AI)
- Мінімальний ризик: Без спец вимог (більшість бізнес використання)
ChatGPT для бізнесу: Зазвичай "мінімальний ризик", але може бути "високий" якщо використовується для найму, кредитування, медичних порад.
Рівень 3: Українське законодавство
Закон України "Про захист персональних даних" (в процесі гармонізації з GDPR)
Основні вимоги:
- Згода на обробку персональних даних
- Право доступу, виправлення, видалення
- Безпека зберігання
- Повідомлення про витоки
ChatGPT та GDPR: що треба знати
Де зберігаються ваші дані в ChatGPT
| План | Де зберігаються | Тренування | GDPR compliant |
|---|---|---|---|
| Free | США (Azure, AWS) | Так (за замовчуванням) | ❌ Ні |
| Plus | США (Azure, AWS) | Опціонально (можна вимкнути) | ⚠️ Частково |
| Team | США (Azure, AWS) | Ні (гарантовано) | ✅ Так |
| Enterprise | Налаштовується (може EU) | Ні | ✅ Так + DPA |
DPA (Data Processing Agreement): Контракт що гарантує GDPR compliance. Team/Enterprise мають DPA автоматично.
Що OpenAI робить з вашими даними (Team/Enterprise)
✅ Гарантії:
- Не використовують для тренування моделей
- Зберігають 30 днів для abuse detection, потім видаляють
- Шифрування в transit та at rest
- SOC 2 Type II сертифікація
- DPA з GDPR guarantees
❌ Обмеження:
- Сервери в США (не EU) — для Plus/Team
- Enterprise може вимагати EU residency
Що можна і НЕ можна вводити в ChatGPT
🔴 Червона зона (НІКОЛИ не вводьте)
Персональні дані ідентифікації:
- ❌ ПІБ клієнтів
- ❌ Email адреси
- ❌ Телефони
- ❌ Адреси проживання
- ❌ Паспортні дані, ІПН
Фінансові дані:
- ❌ Номери кредитних карток
- ❌ Банківські реквізити
- ❌ Зарплати (пов'язані з конкретними особами)
Медичні дані:
- ❌ Медичні записи
- ❌ Діагнози
- ❌ Історія хвороб
Корпоративні секрети:
- ❌ API ключі, паролі
- ❌ Внутрішні фінансові дані
- ❌ NDA-protected інформація
🟡 Жовта зона (обережно, з знеособленням)
Можна ЯКЩО знеособлено:
- ⚠️ "Клієнт A замовив продукт X" (без імені)
- ⚠️ "Співробітник на позиції PM" (без ПІБ)
- ⚠️ Агреговані дані (середні показники, статистика)
Приклад знеособлення:
❌ Погано: "Іван Петренко (ivan@company.ua) хоче знижку 15%" ✅ Добре: "Клієнт з сегменту B запитує знижку 15%. Як відповісти?"
🟢 Зелена зона (безпечно)
Можна без обмежень:
- ✅ Загальні бізнес-процеси
- ✅ Шаблони документів
- ✅ Код (без credentials)
- ✅ Публічна інформація
- ✅ Навчальні матеріали
- ✅ Маркетингові тексти
- ✅ Знеособлені дані
Compliance чеклист для українського бізнесу
✅ Крок 1: Оцінка ризику
- Чи працюєте з EU клієнтами? (GDPR applies)
- Чи обробляєте персональні дані? (Високий ризик)
- Чи використовуєте AI для критичних рішень? (Високий ризик)
✅ Крок 2: Вибір правильного плану
- Free → Тільки для особистого use, без бізнес-даних
- Plus → Для особистої роботи, без персональних даних клієнтів
- Team → Мінімум для бізнесу з EU клієнтами
- Enterprise → Для великих компаній, regulated industries
✅ Крок 3: Налаштування безпеки
- Вимкнути тренування на даних (Settings → Data Controls → Off)
- Підписати DPA з OpenAI (автоматично для Team/Enterprise)
- Налаштувати SSO для команди
- Логування використання (admin controls)
✅ Крок 4: Політики для команди
Створіть внутрішню інструкцію:
Політика використання ChatGPT 🔴 ЗАБОРОНЕНО вводити: • ПІБ, email, телефони клієнтів • Фінансові та медичні дані • Паролі та API ключі 🟡 З ОБЕРЕЖНІСТЮ (знеособлювати): • Дані про клієнтів (тільки знеособлені) • Внутрішні процеси 🟢 ДОЗВОЛЕНО: • Шаблони, код, публічна інформація • Загальні питання При порушенні: [наслідки]
✅ Крок 5: Навчання команди
- 1-2 годинний тренінг про GDPR та AI
- Приклади що можна/не можна
- Відповідальність за порушення
✅ Крок 6: Моніторинг
- Регулярний audit використання (Team/Enterprise дають логи)
- Перевірка compliance раз на квартал
- Оновлення політик при змінах законодавства
Спеціальні випадки
HR та рекрутинг
Виклик: Скринінг резюме з ChatGPT — це обробка персональних даних.
Legal спосіб:
- Отримайте згоду кандидата: "Ми використовуємо AI для первинного аналізу резюме"
- Знеособлюйте резюме перед ChatGPT (видаліть ПІБ, контакти)
- ChatGPT Team мінімум
- Final decision — людина, не AI (AI Act вимога)
Customer support
Виклик: Чат-бот з ChatGPT обробляє звернення клієнтів.
Legal спосіб:
- Повідомте що це AI: "Це AI-асистент. Зв'яжіться з людиною якщо потрібно" (AI Act вимога)
- Не зберігайте історію чатів з персональними даними
- Право "поговорити з людиною" завжди доступне
Sales та marketing
Виклик: Персоналізовані emails через ChatGPT.
Legal спосіб:
- Використовуйте змінні замість імен: "[ІМ'Я]" в промпті
- ChatGPT генерує шаблон, ви підставляєте дані вже після
- Або знеособлюйте: "Клієнт в сегменті X" без ПІБ
3 типові помилки (і як їх уникнути)
Помилка №1: Копіпаст email-листів з іменами
❌ Сценарій: "ChatGPT, перепиши цей email професійніше" → вставляє лист з "Шановний Іван Петренко, ivan@company.com"
✅ Правильно: "Перепиши email професійніше: 'Шановний [ІМ'Я], дякую за запит...'" (без реальних даних)
Помилка №2: Експорт з CRM для аналізу
❌ Сценарій: Експортуєте CRM з іменами/email → "ChatGPT, проаналізуй цих клієнтів"
✅ Правильно: Знеособіть дані перед експортом (замініть імена на Client_001, Client_002) або використовуйте агреговану статистику
Помилка №3: Free план для бізнесу
❌ Сценарій: Вся команда використовує ChatGPT Free для робочих задач
✅ Правильно: Team план ($25-30/міс per user) — єдиний GDPR-compliant для бізнесу з EU exposure
Що буде якщо порушити
GDPR штрафи:
- До €20 млн АБО
- 4% річного global turnover
- Що більше
Українське законодавство:
- Штрафи до 68,000 грн (для юросіб)
- Зупинення обробки даних
- Репутаційні збитки
Реальний кейс: Amazon (2021) — €746 млн штраф за GDPR порушення. Не AI-related, але показує що GDPR не жарти.
Висновок: Legal AI використання — це просто
3 правила для безпечного AI:
- Team план мінімум для бізнесу ($25-30/міс per user)
- Ніколи не вводьте персональні дані (ПІБ, email, телефони)
- Навчіть команду політиці використання
Формула compliance:
ChatGPT Team + Знеособлені дані + Політика для команди = 100% legal
Інвестиція: ₴1,000-1,200/міс на користувача (Team)
Вартість non-compliance: До €20 млн штрафу
Вибір очевидний: Compliance дешевше у 16,000+ разів. 😉
Український бізнес може легально та безпечно використовувати ChatGPT. Головне — робити це правильно з першого дня. 🇺🇦⚖️
Впровадьте AI legally у вашій компанії
Корпоративний тренінг з compliance: GDPR, AI Act, українське законодавство, політики безпеки.
Результат: Команда використовує AI ефективно БЕЗ legal ризиків.