GDPR і AI — не вороги. Правило просте: анонімізовані дані — у будь-який AI. Персональні дані клієнтів (ім'я, email, телефон) — тільки в AI з підписаним DPA або у self-hosted систему. 80% бізнес-задач для AI можна виконати без передачі персональних даних взагалі.
GDPR та AI в Україні — тема, яку більшість компаній ігнорують до першого інциденту. На питання «чи можна передавати дані клієнтів у ChatGPT?» коротка відповідь: персональні дані — ні, без укладення DPA та правової підстави. У цій статті — практичні правила для команди: що можна, що не можна, і як налаштувати AI-процеси правильно з першого дня.
Головне за 1 хвилину
| Тип даних | Публічний ChatGPT | Claude API + DPA | Self-hosted AI |
|---|---|---|---|
| Ім'я + email клієнта | Заборонено | ⚠ Потребує DPA | Дозволено |
| Телефон клієнта | Заборонено | ⚠ Потребує DPA | Дозволено |
| Загальні тексти / шаблони | Можна | Можна | Можна |
| Анонімізовані дані | Можна | Можна | Можна |
| Медичні / фінансові дані | Суворо заборонено | Не рекомендується | Тільки self-hosted |
GDPR Article 4 визначає персональні дані як будь-яку інформацію, що дозволяє ідентифікувати особу: ім'я, email, телефон, IP-адреса, фотографія, геолокація. Передача таких даних у ChatGPT без DPA є порушенням GDPR Article 28, навіть якщо ви не в EU — якщо ваші клієнти є громадянами EU або ви обробляєте дані EU-резидентів.
GDPR і AI: основи, які повинна знати кожна компанія
Перш ніж переходити до конкретних правил — чотири ключові концепції GDPR, які безпосередньо стосуються використання AI у бізнесі.
- DPA (Data Processing Agreement) — обов'язковий договір між компанією і AI-постачальником. Без DPA будь-яка передача персональних даних у зовнішній AI-сервіс є порушенням GDPR Article 28.
- Legal basis (правова підстава) — законна підстава для обробки персональних даних. Це може бути: виконання договору (contract), явна згода (consent) або законний інтерес (legitimate interest). Без неї — не можна.
- Data minimization (мінімізація даних) — передавайте в AI тільки ті дані, які необхідні для виконання конкретного завдання. Не більше.
- Purpose limitation (обмеження мети) — AI не може використовувати передані дані для інших цілей, ніж ті, для яких їх було зібрано та передано.
GDPR поширюється на всі компанії, що обробляють дані громадян EU, незалежно від того, де зареєстрована компанія. Для українського бізнесу з EU-клієнтами або EU-партнерами дотримання GDPR є юридично обов'язковим. Штраф за порушення: до 4% річного обороту або €20 млн — застосовується більша сума.
Важливо: навіть якщо ваша компанія зареєстрована в Україні, але ви маєте хоча б одного клієнта-резидента EU — GDPR поширюється на вас повністю. Це означає і всі AI-інструменти, якими користується ваша команда.
Які дані клієнтів не можна передавати в публічні LLM
Ці категорії даних ніколи не можна вставляти в публічний ChatGPT, Claude.ai або будь-який інший публічний AI-сервіс без укладеного DPA:
- Повні імена + email + телефон клієнтів — навіть окремо, навіть «тільки подивитися». Ці три поля разом є прямим ідентифікатором особи.
- Адреси, IP-адреси, паспортні дані — будь-яка інформація, що дозволяє встановити місце проживання або особу.
- Медичні записи, діагнози, рецепти — спеціальна категорія (Article 9), найжорсткіші обмеження GDPR.
- Фінансові дані — номери карток, банківських рахунків, деталі транзакцій, виписки.
- Дані дітей (до 16 років) — особлива категорія захисту, обробка потребує явної згоди батьків.
- Листування клієнтів — якщо містить будь-які персональні дані, імена, контакти або чутливу інформацію.
Ви копіюєте в ChatGPT: «Клієнт Іван Петренко, email ivan@test.com, питає про доставку замовлення #1234...» — це пряме порушення GDPR, навіть якщо ChatGPT «тільки допомагає відповісти». Дані вже передані стороннньому сервісу без DPA та правової підстави.
Що можна передавати в AI без обмежень
Більшість задач автоматизації маркетингу, написання текстів та операційної підтримки можна виконати без передачі персональних даних. Ось що безпечно використовувати з будь-яким AI:
- Анонімізовані запити — замість «Іван питає про доставку» пишіть «Клієнт питає про доставку». Жодних ідентифікаторів — жодних проблем.
- Загальні тексти та шаблони — FAQ-бази без персональних даних, шаблони листів, описи товарів та послуг, маркетингові тексти.
- Внутрішні документи без персональних даних — процедури, інструкції, регламенти, де немає конкретних імен та контактів клієнтів.
- Агрегована статистика — «минулого місяця було 150 звернень, з яких 40% стосувалися доставки» — без жодних ідентифікаторів.
- Переклади та редагування — будь-який текст без персональних даних: переклади матеріалів, редагування статей, коректура.
Практичне правило команди: перед тим як вставити щось у ChatGPT або Claude — запитайте себе «чи можна ідентифікувати конкретну людину за цим текстом?» Якщо так — не вставляти або анонімізувати. Якщо ні — можна використовувати у будь-якому публічному AI без обмежень GDPR.
Self-hosted AI як рішення проблеми GDPR
Для компаній, яким потрібно обробляти реальні персональні дані клієнтів через AI (клініки, фінустанови, eCommerce з персоналізацією), найчистішим рішенням з точки зору GDPR є self-hosted AI на власному сервері.
- Дані не покидають ваш сервер — немає передачі третім сторонам, немає необхідності укладати DPA з AI-постачальником.
- Повний контроль — ви знаєте хто, що і коли обробляє. Аудит-логи для доведення відповідності регулятору.
- Відсутність передачі в треті країни — дані EU-резидентів не покидають EU (якщо сервер в EU), що знімає обмеження щодо транскордонної передачі даних (GDPR Chapter V).
- Економія на DPA та юридичному супроводі — немає потреби щороку переоформлювати угоди з AI-провайдерами при зміні умов.
Self-hosted AI на власному сервері Hetzner в Нюрнберзі (Німеччина, EU) автоматично відповідає вимогам GDPR щодо локації даних. Персональні дані клієнтів обробляються виключно на вашому сервері, не передаються жодним третім сторонам. Це знімає необхідність укладати DPA з AI-провайдерами та усуває ризики передачі даних у США (Anthropic, OpenAI) без додаткових механізмів захисту.
Стек для GDPR-compliant AI-автоматизації: n8n self-hosted + Ollama (on-premise LLM) + Qdrant self-hosted = нуль даних залишає ваш сервер. Це той самий стек, який ми впроваджуємо для клієнтів URich BP: Hetzner CX21 в Нюрнберзі, повна відповідність GDPR, від €7/місяць за хостинг.
FAQ: часті питання про GDPR та AI
Практичні правила для команди
Ці п'ять правил можна роздрукувати та повісити поруч з кожним робочим місцем. Вони покривають 95% реальних ситуацій використання AI у бізнесі:
- Ніколи не копіюй в ChatGPT: ім'я + контакт клієнта разом. Ні в одному повідомленні. Навіть «просто для прикладу».
- Перед використанням будь-якого AI-сервісу — перевір чи є DPA. ChatGPT безкоштовний → немає DPA → тільки анонімізовані дані. Claude API → є DPA → можна з обмеженнями та правовою підставою.
- Для роботи з клієнтськими базами та CRM-даними — тільки self-hosted AI або API з підписаним DPA. Автоматизація на n8n self-hosted + Ollama вирішує це на рівні архітектури.
- Privacy Policy оновити: додати окремий розділ про використання AI в обробці даних — які сервіси, для яких цілей, де зберігаються дані.
- Документувати: вести реєстр AI-сервісів, які використовує команда, із зазначенням мети та типу даних. Це основа для аудиту GDPR.
GDPR і AI — не вороги. Правило просте: анонімізовані дані — у будь-який AI. Персональні дані клієнтів — тільки в AI з DPA або у self-hosted систему. 80% задач AI для бізнесу (тексти, шаблони, FAQ, автоматизація без ідентифікаторів) можна виконати без передачі персональних даних взагалі — і це найбезпечніший підхід.