Je AI ve firmě bezpečná? Kam tečou data a co na to GDPR
Bezpečná být může, ale rozhoduje jediná věc: kudy tečou vaše data. U cloudu odcházejí ven, u lokálního modelu zůstanou doma. Tady je, kde je problém a jak ho ošetřit.
- 01Bezpečnost AI stojí a padá na tom, kam tečou data. U cloudu odcházejí na cizí servery, u lokálního modelu zůstanou ve firmě.
- 02GDPR vám nezakazuje AI, ale za zpracování osobních údajů ručíte vy, i když je pošlete do cizího nástroje.
- 03U zdravotnictví, práva a financí často data ven nesmí vůbec, tam je lokální nasazení jediná čistá cesta.
- 04Bezplatné a levné plány bývají nejhorší, vaše vstupy můžou skončit jako trénovací data.
Krátká odpověď: bezpečná být může. Záleží na jediné věci, a tou je, kam vaše data při používání AI tečou. Dokud do AI píšete obecné dotazy, je to jedno. Jakmile tam vložíte jméno zákazníka, ceník nebo zdravotní záznam, je rozdíl mezi cloudem a lokálním modelem propastný.
01Kam reálně tečou data u ChatGPT a cloudu
Když napíšete něco do ChatGPT, Gemini nebo jiného cloudového nástroje, text odejde na servery poskytovatele, většinou mimo EU. Tam se zpracuje a vrátí odpověď. Ten přenos je technicky šifrovaný, takže po cestě ho nikdo nečte. Problém je, co se s daty děje na druhé straně a kdo k nim má přístup.
- U bezplatných a levných plánů můžou vaše vstupy posloužit jako trénovací data pro další verze modelu.
- U firemních a placených plánů to bývá smluvně vyloučené, ale data stejně fyzicky leží na cizím serveru.
- Vy za ta data ručíte dál, i když je zpracovává někdo jiný za oceánem.
Šifrovaný přenos neznamená, že data zůstanou u vás. Znamená jen, že je po cestě nikdo neodposlechne. Kde skončí a kdo k nim má přístup, je úplně jiná otázka.
02Co na to GDPR
GDPR vám AI nezakazuje. Říká ale, že za zpracování osobních údajů ručíte vy jako firma, takzvaný správce. Když osobní údaje pošlete do cizího nástroje, stává se z poskytovatele zpracovatel a vy musíte mít ošetřené, kde data leží, kdo k nim smí a na jakém právním základě tam jsou. U nástroje se servery mimo EU to bývá papírování navíc a u některých služeb to nejde dotáhnout vůbec.
Praktický dopad: hodit zákaznickou databázi do veřejného chatu není inovace, ale únik. Pokud se to provalí, řešíte ho vy, ne poskytovatel AI.
03Kdy data nesmí opustit firmu vůbec
Jsou obory, kde se o odesílání do cizího cloudu nebavíme, protože to regulace nebo zdravý rozum nedovolí:
- Zdravotnictví: zdravotní záznamy jsou zvláštní kategorie údajů s nejpřísnější ochranou.
- Právo a advokacie: spisy a komunikace s klientem spadají pod mlčenlivost.
- Finance a účetnictví: data o transakcích, mzdách a smlouvách jsou citlivá a často pod dohledem regulátora.
- Výzkum a výroba: know how a technická dokumentace jsou to nejcennější, co firma má.
U těchhle oborů je lokální nasazení často jediná čistá cesta, jak AI vůbec použít. Model běží u vás ve firmě, data se k němu dostanou jen uvnitř sítě a ven neodejde nic.
04Jak to ošetřit
Bezpečné používání AI nestojí na jednom triku, ale na pár jasných pravidlech. Doporučuju je každé firmě bez ohledu na to, jakou cestou jde:
- Rozdělte data na běžná a citlivá. Běžné texty klidně do cloudu, citlivá data jen tam, kde máte kontrolu.
- U cloudu používejte firemní plán s vypnutým tréninkem na vašich datech, ne bezplatnou verzi.
- Citlivé dotazy nad zákazníky, smlouvami a dokumenty pusťte na lokální model uvnitř sítě.
- Dejte lidem jasné instrukce, co kam smí. Většina úniků není útok, ale nevědomost.
Nejlevnější způsob, jak AI ve firmě zabezpečit, je nepustit citlivá data ven. Co nikdy neodejde, to nikdo neukradne.
Stavím firmám lokální AI přesně pro tyhle případy, kdy data nesmí opustit dům. Pokud řešíte, jak používat AI a přitom udržet data pod kontrolou, napište mi na tadeas@raska.eu. Proberu to s vámi na vašem konkrétním provozu a oboru.
FAQČasté otázky
- ?Je ChatGPT pro firmu bezpečný?
- Na běžnou práci bez citlivých dat ano, hlavně na placeném firemním plánu, kde se na vašich vstupech netrénuje. Jakmile do něj ale vkládáte osobní nebo citlivá data, posíláte je na cizí servery a ručíte za ně vy. Pak je lokální model bezpečnější volba.
- ?Porušuju GDPR, když používám AI?
- Samo o sobě ne. GDPR porušíte, když do AI pošlete osobní údaje bez právního základu a bez ošetřeného zpracovatele. Za to ručíte vy jako správce dat, ne poskytovatel AI. U lokálního modelu se tahle starost z velké části vyřeší tím, že data nikam neodcházejí.
- ?Můžou se moje data dostat do cizího modelu?
- U bezplatných a levných plánů to riziko reálné je, vaše vstupy můžou posloužit jako trénovací data. U firemních plánů to bývá smluvně vyloučené. U lokálního modelu nehrozí vůbec, protože nic neodejde z vaší sítě.
- ?Jak zajistit, aby data neopustila firmu?
- Jediná spolehlivá cesta je nechat model běžet lokálně u vás, na vašem stroji a ve vaší síti. Lidé se k němu připojí přes prohlížeč uvnitř firmy a ven se nepřipojuje. Tím odpadá většina otázek kolem GDPR i úniků.
- ?Je lokální AI opravdu bezpečnější než cloud?
- Z pohledu toku dat ano, protože data nikam neodcházejí. Pořád ale platí běžná pravidla bezpečnosti: kdo má přístup ke stroji, zálohy a aktualizace. Lokální nasazení odstraní riziko úniku ven, o zbytek se postaráte stejně jako u jakéhokoli firemního serveru.
Stavím firmám AI systémy na míru. Od návrhu po nasazení, sám. Když řešíte něco podobného, ozvěte se na tadeas@raska.eu.
