Перш ніж перейти до ризиків, варто зробити важливе зауваження, яке більшість людей повністю пропускає.

Сценарій перший. AI у вашу CRM , і AI працює безпосередньо в ній. Наприклад, Zoho Zia аналізує ваші угоди, пропонує наступні кроки в процесі продажу або створює звіти про дзвінки безпосередньо в CRM . Ваші дані не залишають платформу — вони обробляються в тому самому середовищі, де вони зберігаються.

Сценарій 2. Хтось із вашої команди бере дані з CRM надсилає їх до зовнішньої системи AI вручну або через інтеграцію. Це може бути ChatGPT браузері, плагін Copilot, сторонній інструмент автоматизації або API . У цьому випадку дані фізично залишають вашу систему і потрапляють до інфраструктури іншого постачальника.

Обидва підходи є поширеними. Обидва дають результати. Але другий несе в собі принципово інші ризики, що стосуються безпеки, дотримання вимог та контролю.

Найпоширенішою формою другого сценарію є так званий «тіньовий AI»: співробітники самостійно використовують зовнішні AI — без офіційного дозволу компанії, без відома ІТ-відділу та без будь-яких правил щодо того, якими даними можна ділитися. Дослідження показують, що від 40 до 60 відсотків офісних працівників роблять це регулярно. Більшість їхніх компаній про це навіть не підозрюють, і відповідних правил у них немає.

Zoho — це один із найяскравіших прикладів того, що в галузі називають підходом, орієнтованим на конфіденційність. Але щоб це не звучало як рекламний слоган, давайте розглянемо, що це означає на практиці.

для багатьох організацій.

AI залишається всередині платформи. Zoho Zia та інші AI в Zoho CRM дані в рамках власної інфраструктури Zoho. Ваші потенційні клієнти, угоди та контакти не надсилаються до сторонніх систем для формування відповідей.

OpenAI інша філософія. Тут основна увага приділяється потужності генеративної AI GPT-4 та новіші моделі забезпечують таку якість генерації, аналізу та синтезу тексту, яка на сьогодні не має аналогів за широтою застосування.

Саме томуAPI OpenAI — або просто ChatGPT браузері — стали настільки поширеними в корпоративному середовищі. Це швидко, доступно і дає миттєві результати.

Однак перед тим, як почати передавати через нього бізнес-дані, варто з’ясувати кілька речей.

ChatGPT веб-версія) та API за різними умовами. Коли співробітники користуються ChatGPT безкоштовний або Plus у браузері, OpenAI за замовчуванням використовувати ці розмови для вдосконалення своїх моделей. Цю функцію можна вимкнути в налаштуваннях, але за замовчуванням вона увімкнена, і більшість користувачів про це не знають.

API інакше. При API доступі OpenAI API за замовчуванням моделі не навчаються на даних, які ви надсилаєте. Однак це стосується лише прямого API . Якщо ви користуєтеся стороннім інструментом, який OpenAI капотом працює на ба OpenAI , умови залежать від налаштувань цього інструменту — він може як проходити, так і не проходити ті самі заходи захисту.

Зберігання даних. За замовчуванням OpenAI дані, надіслані через API 30 днів з метою моніторингу безпеки та виявлення зловживань, після чого вони видаляються. Щодо ChatGPT, термін зберігання залежить від того, чи увімкнено історію розмов.

Внутрішній доступ. Як і будь-який великий постачальник технологій, OpenAI внутрішні команди, які можуть отримувати доступ до певних даних — наприклад, для перевірки можливих порушень політик. Це стандартна практика в галузі, але про це варто пам’ятати, передаючи конфіденційну ділову інформацію через систему.

План «Enterprise». OpenAI умови плану «Enterprise» з більш надійними гарантіями конфіденційності, відмовою від навчання моделей на даних клієнтів та можливістю підписати угоду про обробку даних (DPA). Якщо ваша компанія серйозно розглядає можливість використання OpenAI бізнес-цілях, саме з плану «Enterprise» починається реальна розмова про безпеку даних.

Справа не в тому, що OpenAI небезпечним варіантом або поганою компанією. Справа в тому, що можливості та контроль над даними — це різні аспекти, і компроміс між ними — це те, що кожна компанія має оцінювати обдумано, а не автоматично.

Давайте конкретизуємо. Ось сценарії, в яких відсутність чіткої AI щодо AI створює реальні проблеми.

B2B SaaS агентства

Менеджер з продажу готує пропозицію для корпоративного клієнта. Він вводить у ChatGPT деталі угоди ChatGPT бюджет, технічні вимоги, імена осіб, які приймають рішення, та графік. За лічені секунди він отримує чітко структуровану пропозицію.

Проблема полягає в тому, що ці дані, ймовірно, підпадають під дію угоди про нерозголошення інформації (NDA) або, як мінімум, містять конфіденційну інформацію, що може вплинути на конкурентоспроможність. Якщо конкурент отримає доступ до подібної інформації, він дізнається про вашу структуру цін, ваших клієнтів та ваші потенційні угоди. Цей ризик не є гіпотетичним — він залежить від того, як дані обробляються та зберігаються на іншому боці.

Охорона здоров'я

Медична клініка використовує AI автоматичного формування звітів про візити або обробки відповідей у чаті підтримки. Якщо ці запити містять дані про пацієнтів — навіть без імен, лише симптоми plus — це може становити HIPAA у США або GDPR у Європі. Регулюючі органи не приймають виправдання на кшталт «ми не усвідомлювали».

Фінтех

Аналітик передає дані про фінансові операції або записи KYC до AI аналізу закономірностей. Ці дані перебувають під суворим регуляторним наглядом. Питання полягає не лише в тому, чи AI їх система AI , а й у тому, чи має ваш постачальник сертифікати та підписані угоди, необхідні для обробки такої інформації.

Електронна комерція

Персональні дані клієнтів: адреси електронної пошти, адреси доставки, історія замовлень. Згідно з GDPR, ваша компанія є контролером даних. Якщо ви передаєте ці дані зовнішньому постачальнику AI належного договору про обробку даних (DPA) з цим постачальником, ви порушуєте законодавство — незалежно від того, чи дійсно стався «витік» даних.

Shadow AI найпоширеніший ризик

Усі наведені вище сценарії можуть реалізуватися не через офіційні інтеграції, а через звичайні щоденні дії окремих співробітників. Торговий представник, аналітик, співробітник служби підтримки — будь-хто з них може щодня передавати бізнес-дані до зовнішніх AI , навіть не усвідомлюючи, що управління даними є актуальним питанням.

Доки компанія не встановить чітких правил, це триватиме безконтрольно.

Якщо ваша компанія веде діяльність у ЄС або працює з клієнтами, що знаходяться в ЄС, GDPR на вас незалежно від того, де розташована штаб-квартира вашої компанії.

Основні речі, які слід розуміти в контексті AI:

Ви залишаєтеся контролером даних. Навіть коли ви передаєте дані до зовнішньої AI , відповідальність за те, як вони обробляються, залишається за вами. AI стає обробником даних — і ви зобов’язані укласти з ним підписану угоду про обробку даних.

Угода про обробку даних (DPA) — це не просто паперова робота. У ній має бути зазначено: які дані обробляються, з якою метою, як довго вони зберігаються, хто має до них доступ, як вирішуються питання щодо витоку даних та де фізично розташовані сервери. Якщо постачальник не може або не хоче підписати DPA — це сигнал, до якого варто поставитися серйозно.

Транскордонна передача даних. Згідно GDPR, передача персональних даних про громадян ЄС до третіх країн — зокрема до США — допускається лише за певних умов. OpenAI, як американська компанія, має відповідні механізми (стандартні договірні умови), але їх наявність потрібно перевіряти, а не брати за даність.

HIPAA. Щодо системи охорони здоров’я США, вимога є чіткою: будь-який постачальник, який обробляє захищену медичну інформацію (PHI), повинен підписати угоду про співпрацю (BAA). Немає BAA — немає HIPAA . Крапка.

Незалежно від того, який AI ви розглядаєте — вбудований у вашу CRM зовнішній — ось які питання слід поставити, перш ніж підключити його до бізнес-даних.

Щодо зберігання даних

• Де фізично зберігаються дані (розташування центру обробки даних, країна)?

• Як довго постачальник зберігає дані після їх обробки?

• Чи існує процедура подання запиту на видалення?

• Що відбувається з даними після закінчення терміну дії договору?

Про навчання моделей

• Чи використовуються мої дані для навчання AI ?

• Чи можна це вимкнути — і як саме?

• Це стосується всіх продуктів постачальника чи лише певних тарифних планів?

Про доступ та безпеку

• Хто в організації постачальника має доступ до моїх даних?

• За яких обставин постачальник може переглядати мої запити або дані?

• Які сертифікати безпеки має постачальник (SOC 2, ISO 27001)?

• What is the breach notification process?

Щодо дотримання вимог

• Чи підпише постачальник угоду про обробку даних?

• Чи мають вони механізми передачі даних, GDPR(наприклад, стандартні договірні умови)?

• Щодо сфери охорони здоров’я: чи підпишуть вони угоду про співпрацю?

Про особливості інтеграції

• Які дані передаються AI кожного запиту — і чи можна обмежити їх обсяг?

• Чи можна контролювати, які CRM надходять до AI які — ні?

• Чи є журнали аудиту, які показують, хто, які дані та коли надіслав до AI?

Якщо на більшість цих питань немає чітких відповідей у відкритій документації постачальника — або його служба підтримки не може на них відповісти — це є достатньою причиною, щоб призупинити процес.