Ви впровадили або плануєте впровадити AI-асистента для роботи з корпоративними документами — договорами, медичними картками, клієнтськими справами. І десь у фоні є відчуття: а чи це законно? Чи не порушуємо ми щось? Коротка відповідь: AI на документах і GDPR — сумісні. Але лише якщо ви розумієте три речі: де зберігаються дані, хто є обробником і який рівень ізоляції обрати.
⚡ Коротко
- 🏢 Кому читати: власникам бізнесу, юристам, керівникам медичних центрів у ЄС та Україні
- ⚠️ Головний ризик: більшість хмарних AI-сервісів зберігають ваші документи на серверах у США — це порушення GDPR для бізнесу в ЄС
- ✅ Рішення: self-hosted AI на вашому сервері в Європі — дані нікуди не передаються
- 💰 Ціна порушення: до €20 млн або 4% річного обороту компанії
- ⏱ Термін впровадження GDPR-відповідного рішення: 1–3 робочих дні
- 👇 Нижче — детальний розбір: що таке GDPR, які ризики, що перевіряти і чеклист на 10 питань
📚 Зміст
- Що таке GDPR і чому він стосується AI
- Які дані вважаються персональними в контексті документів
- Де фізично зберігаються ваші дані при використанні AI-сервісів
- Що означає "обробник даних" і хто ним є у вашому випадку
- Self-hosted vs хмарний AI: різниця з точки зору GDPR
- Що буде якщо порушити GDPR при використанні AI
- Чеклист: 10 питань перед впровадженням AI у бізнес
- Часті питання
- Висновки
- Хочете GDPR-відповідне рішення для вашого бізнесу?
Що таке GDPR і чому він стосується AI
GDPR — це Загальний регламент захисту даних ЄС, який набув чинності у 2018 році. Він регулює будь-яке оброблення персональних даних громадян ЄС — незалежно від того, де знаходиться ваша компанія. Якщо ви обробляєте дані клієнтів або співробітників з ЄС через AI — GDPR стосується вас напряму.
До 2018 року питання захисту даних у Європі вирішувалося клаптиково: кожна країна мала власний закон, вимоги різнилися, і великі компанії могли маневрувати між юрисдикціями. GDPR змінив це радикально — єдині правила для всього ЄС, єдина система штрафів, єдиний підхід до того, що вважається порушенням.
Ключовий момент для бізнесу: GDPR стосується не лише компаній з ЄС. Якщо ваш клієнт або співробітник є громадянином ЄС — ви підпадаєте під дію регламенту, навіть якщо ваш офіс у Києві чи Нью-Йорку. Це особливо актуально для українського бізнесу, що працює з клієнтами в Німеччині, Австрії чи Польщі.
Тепер AI. Коли ви завантажуєте корпоративні документи в ChatGPT, Notion AI або будь-який інший хмарний сервіс — ви фактично передаєте дані третій стороні на обробку. Якщо ці документи містять персональні дані (а вони майже завжди містять), це оброблення потрапляє під GDPR. І питання вже не в тому, "чи є у нас AI" — питання в тому, де саме цей AI обробляє ваші дані.
У грудні 2024 року Євробюро захисту даних (EDPB) випустило спеціальну думку щодо AI і GDPR, де чітко зазначило: навіть якщо AI-модель навчена на анонімізованих даних, це не автоматично виводить її за рамки GDPR — потрібна окрема перевірка кожного кейсу.
Підсумок: GDPR — це не про великі компанії і не про абстрактні "дані". Це про конкретний документ з іменем клієнта, який ви завантажили в AI-сервіс сьогодні вранці.
Які дані вважаються персональними в контексті документів
Персональні дані — це будь-яка інформація, яка дозволяє ідентифікувати фізичну особу прямо або непрямо. У корпоративних документах такі дані трапляються набагато частіше, ніж здається.
Більшість власників бізнесу думають про персональні дані як про паспорти й медичні картки. Насправді перелік набагато ширший. Ось що зустрічається в типових корпоративних документах і підпадає під GDPR:
- ✔️ Договори — ім'я клієнта, адреса, ІПН, підпис, контакти
- ✔️ Рахунки та накладні — ім'я фізичної особи або ФОП, банківські реквізити
- ✔️ HR-документи — резюме, трудові договори, дані про зарплату, медогляди
- ✔️ Медичні протоколи — діагнози, призначення, анамнез (особлива категорія даних)
- ✔️ Листування з клієнтами — email, телефон, адреса, зміст переписки
- ✔️ Юридичні справи — дані сторін, обставини справи, судові рішення
Окрема тема — спеціальні категорії даних за статтею 9 GDPR. Це дані про здоров'я, расове чи етнічне походження, політичні погляди, релігійні переконання, членство в профспілках, генетичні та біометричні дані. Для них встановлено підвищені вимоги: обробляти можна лише за наявності явної згоди або в чітко визначених законом випадках.
Для медичних центрів це означає: практично кожен документ — під особливим захистом. Для юридичних компаній — більшість клієнтських справ містить дані що потрапляють під GDPR.
Важливий нюанс: дані не перестають бути персональними лише тому що вони в PDF або Word-файлі. Формат не має значення — має значення зміст. Якщо AI-сервіс читає ваш PDF з іменем клієнта — він обробляє персональні дані, і GDPR застосовується повністю.
Підсумок: якщо у вашому документообігу є імена, контакти або медичні дані фізичних осіб — а вони є майже в кожного бізнесу — ваші документи підпадають під GDPR при передачі до AI-сервісів.
Де фізично зберігаються ваші дані при використанні AI-сервісів
Більшість популярних AI-сервісів зберігають завантажені документи та запити на серверах у США. Для бізнесу в ЄС це автоматично створює проблему: передача даних за межі ЄС регулюється статтями 44–49 GDPR і вимагає спеціальних гарантій.
Коли ви завантажуєте документ у хмарний AI-сервіс, відбувається наступне: файл копіюється на сервери компанії-провайдера, де він зберігається для обробки. Залежно від умов використання, він може залишатися там від кількох годин до кількох місяців. Ось де знаходяться сервери найпопулярніших сервісів:
- ✔️ OpenAI (ChatGPT, FileSearch) — переважно США, дата-центри Microsoft Azure
- ✔️ Notion AI — США, AWS infrastructure
- ✔️ Google (Gemini, NotebookLM) — США, власні дата-центри
- ✔️ Microsoft Copilot — залежить від плану; бізнес-плани можуть мати сервери в ЄС, але не за замовчуванням
Чому це проблема? GDPR чітко регулює передачу персональних даних за межі ЄС. Після відомого рішення суду ЄС у справі Schrems II у 2020 році, стандартні договірні клаузули (SCC) самі по собі недостатні — потрібна оцінка ризиків для конкретної країни призначення. США традиційно вважаються проблемною юрисдикцією через закони про урядовий доступ до даних (CLOUD Act, FISA).
Красномовний приклад: 22 травня 2023 року ірландський DPC оштрафував Meta на €1,2 млрд — рекордна сума в історії GDPR — саме за систематичну передачу даних європейських користувачів на сервери в США без належних гарантій. Офіційне рішення EDPB →
Практичний висновок для бізнесу: якщо ви в ЄС і завантажуєте документи з персональними даними в ChatGPT або Notion AI — ви майже гарантовано здійснюєте трансфер даних до США без необхідної правової бази. Навіть якщо провайдер підписав SCC — цього може бути недостатньо без DPIA (оцінки впливу на захист даних).
Як це вирішує AskYourDocs
AskYourDocs розгортається повністю на вашому власному сервері — у будь-якому регіоні ЄС на ваш вибір: Німеччина, Австрія, Нідерланди, Польща. Документи, база знань і всі запити залишаються виключно на вашій інфраструктурі. Жоден файл і жоден запит не передається за межі євро зони.
Після передачі проекту я як розробник не має технічного доступу до вашої бази даних і документів — ви отримуєте повний контроль разом із доступами адміністратора. Це принципова відмінність від будь-якого SaaS-рішення де провайдер завжди має технічний доступ до ваших даних.
При виборі режиму повністю закритого контуру (з локальною моделлю Ollama) навіть запити до LLM не покидають ваш сервер — система працює повністю ізольовано від інтернету.
Підсумок: питання "де зберігаються дані" — це перше і найважливіше питання перед вибором будь-якого AI-сервісу для роботи з документами. Для бізнесу в ЄС єдина відповідь що знімає це питання повністю — сервер у Європі під вашим контролем.
Що означає "обробник даних" і хто ним є у вашому випадку
GDPR розділяє ролі: контролер даних (ваша компанія) вирішує навіщо і які дані обробляти. Обробник даних (AI-сервіс) робить це за вашим дорученням. Але відповідальність залишається на вас — як на контролері.
Це один із найважливіших і найменш зрозумілих аспектів GDPR для бізнесу. Розберемо на прикладі.
Уявіть юридичну компанію що завантажує клієнтські договори в AI-асистента для пошуку. У цій схемі:
- ✔️ Юридична компанія = контролер даних — вона вирішила завантажити ці документи, вона несе відповідальність перед клієнтами за їх дані
- ✔️ AI-сервіс = обробник даних — він обробляє дані за дорученням юрфірми
За статтею 28 GDPR, між контролером і обробником обов'язково має бути підписаний Data Processing Agreement (DPA) — договір про обробку даних. Без нього вся схема незаконна, навіть якщо технічно все налаштовано правильно.
Що важливо розуміти: якщо обробник (AI-сервіс) порушить GDPR — відповідальність несе і контролер (ваша компанія). Ви не можете "перекласти" відповідальність на провайдера, підписавши DPA. DPA фіксує умови обробки, але не знімає з вас обов'язок обирати надійних обробників і контролювати їх.
На практиці: OpenAI, Notion та більшість SaaS-провайдерів мають стандартні DPA-документи, які можна підписати. Але сам факт наявності DPA не вирішує питання геолокації серверів і трансферу даних за межі ЄС — це окремі вимоги.
При використанні self-hosted рішення, де AI розгортається на вашому власному сервері, схема принципово інша: зовнішнього обробника немає. Ваша компанія є і контролером, і де-факто обробником. Питання DPA з третьою стороною не виникає.
Підсумок: перед впровадженням будь-якого AI-сервісу перевірте: чи є підписаний DPA, що в ньому написано про геолокацію даних, і чи відповідає це вашим зобов'язанням перед клієнтами.
Self-hosted vs хмарний AI: різниця з точки зору GDPR
Self-hosted AI — це рішення де всі компоненти (база даних, документи, AI-модель) розгорнуті на вашому сервері. Хмарний AI — це коли ви передаєте документи провайдеру. Різниця з точки зору GDPR принципова: у першому випадку даних не покидає ваш контур, у другому — виникає повний ланцюжок вимог.
Порівняємо два підходи по ключових параметрах:
| Параметр | Хмарний AI (ChatGPT, Notion AI) | Self-hosted AI (AskYourDocs) |
|---|---|---|
| Де зберігаються документи | Сервери провайдера (США) | Ваш сервер (де завгодно) |
| Трансфер даних за межі ЄС | Так, автоматично | Ні, якщо сервер у ЄС |
| Потрібен DPA з провайдером | Так, обов'язково | Ні (немає зовнішнього обробника) |
| Доступ провайдера до даних | Технічно можливий | Відсутній |
| Закритий контур (без інтернету) | Неможливо | Так (з Ollama) |
| GDPR-відповідність | Потребує додаткових заходів | Базово відповідає при сервері в ЄС |
Є ще один важливий аспект: рівень ізоляції. Self-hosted рішення можна налаштувати по-різному:
- ✔️ Гібридний режим — документи і база знань на вашому сервері, але для генерації відповіді використовується зовнішній LLM (OpenAI, Mistral). До провайдера LLM передаються лише текстові фрагменти без назв файлів і метаданих. Хороший баланс між якістю відповідей і безпекою.
- ✔️ Повністю закритий контур — всі компоненти на вашому сервері, включно з AI-моделлю (наприклад, Ollama з Llama або Mistral). Жоден запит не виходить в інтернет. Обов'язковий варіант для медицини, юридичних компаній і держструктур.
Який рівень ізоляції підходить саме вашому бізнесу — залежить від галузі, вимог регулятора і типу документів. AskYourDocs допомагає визначити оптимальний варіант на першому дзвінку: разом аналізуємо які дані обробляються, які є юридичні зобов'язання, і який рівень захисту закриє всі питання GDPR у вашому конкретному випадку — без зайвих витрат на надлишкову ізоляцію.
Для бізнесу в Німеччині та Австрії варто врахувати додатковий рівень: федеральне законодавство про захист даних (BDSG у Німеччині, DSG в Австрії) може встановлювати більш суворі вимоги ніж базовий GDPR. Детальніше про це — у статті AI та GDPR в Німеччині та Австрії: вимоги до корпоративних систем.
Підсумок: self-hosted AI не просто "безпечніший" — він усуває цілий клас GDPR-ризиків пов'язаних із передачею даних третім сторонам.