Служителите ви вече използват AI асистенти, със или без ваше знание и въпросът не е дали, а какво качват в тях. Договори, клиентски списъци, финансови справки: всичко това тръгва към сървъри извън фирмата, а правилата какво се случва с него после зависят от настройки, които малко хора са поглеждали. Разглеждаме какво всъщност вижда доставчикът на AI услугата, кои данни не бива да напускат фирмата и как да поставите работещи правила, без да забранявате полезен инструмент.
Урокът на Samsung: кодът, който излезе и не се връща
През 2023 г. Samsung забрани на служителите си да използват ChatGPT и подобни инструменти, след като инженери качиха чувствителен програмен код в чатбота, опитвайки се да решат работен проблем. Опасението на компанията, описано във вътрешна бележка: данните, подадени към такива платформи, се съхраняват на външни сървъри, трудно се изтриват и могат да стигнат до други потребители. Случаят стана христоматиен, защото показа механизма на изтичането: не хакерска атака, а усърден служител, който просто иска да си свърши работата по-бързо.
Поуката не е „забранете AI”. Самата Samsung по-късно определи забраната като временна мярка до изграждане на сигурна среда. Поуката е, че без правила всеки служител сам решава какво е безопасно, обикновено под натиск на срокове.
Какво всъщност вижда доставчикът
Ключовата разлика, която повечето фирми пропускат е между потребителските и бизнес версиите на AI асистентите. При безплатните и личните абонаменти на ChatGPT разговорите може да се използват за обучение на моделите, освен ако потребителят изрично не е изключил тази настройка. При бизнес версиите е обратното: OpenAI декларира, че по подразбиране не използва данни от ChatGPT Business, Enterprise и програмната връзка (API) за обучение на моделите, а данните се шифроват при пренос и съхранение. Подобни ангажименти за бизнес клиенти дават и останалите големи доставчици.
Преведено на практика: ако служителите ви ползват лични безплатни акаунти за фирмена работа, фирмените ви данни пътуват при най-слабите условия. Същата работа през бизнес абонамент се покрива от договорни ангажименти за поверителност, включително споразумение за обработка на данни, каквото GDPR (европейският регламент за защита на личните данни) изисква, когато външна страна обработва лични данни на ваши клиенти или служители.
Кои данни не бива да напускат фирмата
Независимо от версията, някои категории информация не принадлежат на чужд сървър без изрична преценка.
- Лични данни на клиенти и служители: ЕГН, здравна информация, заплати, защото за тях отговаряте по GDPR, а глобите се изчисляват върху оборота.
- Търговски тайни: рецептури, изходен код, ценови калкулации, условия по договори с клиенти, защото веднъж качени, контролът върху тях е изгубен, както откри Samsung.
- Данни под чужда поверителност: всичко, за което сте подписали споразумение за неразгласяване с партньор. И достъпи: пароли, ключове за системи, банкови данни нямат работа в никакъв чат, никога.
Безопасната зона е голяма и полезна: обобщени числа без имена, анонимизирани примери, публична информация, чернови на текстове, общи въпроси. Едно работещо наум правило за служителите: ако не бихте го изпратили по имейл на външен консултант без договор, не го качвайте и в чатбот.
Как да поставите правила, които хората спазват
Забраната не работи, защото инструментът е твърде полезен: служителите просто минават на лични телефони, където нямате никакъв контрол. Работещият подход има три стъпки.
Първо, осигурете легален път: бизнес абонамент с изключено обучение върху данни и включени договорни гаранции, така че хората да нямат причина да ползват личния си акаунт.
Второ, напишете една страница правила: кои категории данни са забранени (списъкът по-горе е готова основа), кои инструменти са одобрени и към кого се обръщат при съмнение.
Трето, да обучите служителите си как да използват AI правилно и безопасно, защото дори най-добрите политики нямат ефект, ако хората не ги разбират и не ги прилагат на практика.
Какво означава това за бизнеса
За малка българска фирма минималната програма се събира в един следобед: проверете кой в екипа вече ползва AI и през какви акаунти, преминете към бизнес версия на избрания инструмент, изключете изрично всяко споделяне на данни за обучение в настройките и раздайте едностраничното правило. Разходът е абонаментът, който и без това обмисляте, а покритият риск е от категорията на онези, за които после се казва „как не се сетихме”. Ако обработвате чувствителни лични данни по занятие, например в счетоводна къща, клиника или адвокатска кантора, добавете и преглед на споразумението за обработка на данни на доставчика, преди каквото и да е клиентско досие да види чатбот.
Какво следва
Регулациите се движат към повече задължения, не по-малко: европейският регламент за изкуствения интелект (AI Act) въвежда поетапни изисквания за прозрачност и управление на риска, а проверките по GDPR все по-често включват въпроса как фирмата използва AI. Това означава, че вече не е достатъчно да има „политика на хартия“, трябва да има реално прилагане и проследимост.
Затова ключовият ход за фирмите е да обучат персонала си как да работи с AI безопасно и отговорно и да изградят доказуеми практики – кой, кога и как използва AI инструментите в ежедневната работа. Така правилата не остават документ, а стават процес. Фирмите, които направят това навреме и доброволно, ще превърнат бъдещите проверки в формалност, а не в риск.