Svi smo svjesni da zaposlenici i vanjski suradnici, članovi timova u sve većoj mjeri koriste ChatGPT, Gemini, Copilot, Claude i druge najraširenije AI LLM chatbotove za svoje privatne i poslovne svrhe.

Htjeli mi to priznati ili ne, to se događa i bez odobrenja ili znanja poslodavca, što je najlošiji scenarij.

Pri tom svaki poslodavac treba postaviti si pitanje prepoznaje li rizike koje donosi nekontrolirano korištenje LLM chatbotova, jesu li njegovi zaposlenici svjesni eventualne netočnosti i pristranosti modela prilikom donošenja poslovnih odluka, potencijalnog kršenja propisa u području zaštite osobnih podataka, zaštite intelektualnog vlasništva i autorskog prava, kršenja ugovornih obveza s trećim stranama (primjerice čuvanja povjerljivosti) te otkrivanja vlastitih poslovnih tajni pa i samih kodova.

Prije dvije godine, sredinom 2023. godine uveli smo u niz pravnih subjekata prve Politike prihvatljive uporabe AI LLM sustava i od tada ih ažurirali više puta.

Kako trenutno radimo na novoj verziji, tekstualno opsežnim i zahtjevnim promptom smo od poznatog LLM chatbota tražili analizu dostupnih Enterprise LLM rješenja kojima bi se pokrili temeljni zahtjevi na sigurnost osobnih podataka, enkripciju u prijenosu i mirovanju, eventualnu lokalizaciju pohrane osobnih podataka unutar EU, upravljanje opcijama „no-training/no-retention“, osigurani Data protection Agreements s LLM-ovima kao izvršiteljima obrade i uporaba Standard Contractual Clauses Europske komisije za prijenose izvan EU/EEA trećim zemljama.

Možda nekome pomogne.

 

Popis odobrenih enterprise LLM rješenja i uvjeti korištenja

Ovo poglavlje vrijedi samo za verzije i konfiguracije ispod. Potrošačke (consumer/free) verzije NISU dopuštene za obradu povjerljivih informacija ili osobnih podataka.

 

1 OpenAI (ChatGPT / API)

  • Dopuštene verzije: ChatGPT Enterprise, ChatGPT Team/Edu (uz DPA) i OpenAI API pod OpenAI Business Terms.
  • Ugovorno: OpenAI DPA (uključuje SCC 2021 gdje je primjenjivo). OpenAI
  • Privatnost i obrada: bez treniranja na sadržaju korisnika za Enterprise/Team/Edu i API; mogućnost EU data residency (odabrane točke: EU obrada za API endpointe; pohrana sadržaja za nove Enterprise/Edu kupce u EU). OpenAI+2OpenAI+2
  • Tehnika: SSO/MFA, šifriranje u prijenosu i mirovanju, audit. (Vidjeti “Enterprise privacy” i “Business data”.) OpenAI+1
  • Uvjet: koristimo organizacijski tenant s onemogućenim treniranjem i policy-gateway (maskiranje/PII filtering).

2 Microsoft Azure OpenAI Service

  • Dopuštene verzije: Azure OpenAI u EU regijama unutar Microsoft EU Data Boundary i uz Microsoft Products & Services DPA. Microsoft LearnThe Official Microsoft BlogMicrosoft
  • Privatnost i obrada: podaci se obrađuju prema Microsoftovim pravnim uvjetima; nema treniranja na vašem sadržaju za pružanje modela; dostupna regionalna obrada/pohrana u odabranim regijama. (Detalji u službenoj dokumentaciji.) Microsoft Learn+1Microsoft Azure
  • Napomena: pažljivo odabrati deployment tip i regiju radi stroge EU rezidencije. Microsoft Learn

3 Microsoft Copilot za Microsoft 365

  • Dopuštene verzije: Copilot for Microsoft 365 u tenantima s EU Data Boundary i standardnim M365 ugovornim okvirom (Microsoft DPA). Microsoft LearnMicrosoft
  • Privatnost: Copilot koristi postojeće M365 kontrole (AIP, DLP, RBAC); bez treniranja na vašem tenant sadržaju za modele koji služe drugim kupcima. (Pokriva Microsoftova dokumentacija o EUDA/privatnosti.) Microsoft Learn

4 Anthropic Claude (Business / Enterprise)

  • Dopuštene verzije: Claude for Enterprise / Claude Business, ili pristup preko odobrenog pružatelja s posebnim ugovornim okvirom. Anthropic+1
  • Ugovorno: Anthropic DPA s SCC 2021 je sastavni dio komercijalnih uvjeta. privacy.anthropic.com
  • Privatnost: bez treniranja na sadržaju enterprise korisnika; SSO, kontrole dijeljenja. (Prema službenim stranicama Enterprise i help centru.) AnthropicAnthropic Help Center

5 Perplexity (Enterprise Pro)

  • Dopuštene verzije: Perplexity Enterprise Pro s potpisanim DPA. Perplexity AI+1
  • Privatnost: kontrole zadržavanja (npr. automatsko brisanje do 1 dana), SSO/SCIM, MFA. Perplexity AI+1
  • Napomena: postavke zadržavanja i dijeljenja moraju biti zaključane od strane administratora. Perplexity AI

6 Google Gemini za Workspace (Business/Enterprise)

  • Dopuštene verzije: Gemini for Google Workspace (licencirani korisnici u sklopu Workspacea).
  • Ugovorno: Google Cloud/Workspace DPA + SCC 2021 integrirane u uvjete. Google Cloud+1
  • Privatnost: podnesci licenciranih Workspace korisnika nisu korišteni za treniranje i ostaju unutar organizacije uz postojeće Workspace kontrole. Google Support+1

7 Mistral AI – Le Chat Enterprise / La Plateforme

  • Dopuštene verzije: Le Chat Enterprise i La Plateforme s EU hostanjem; gdje je potrebno, moguć on-prem/privatni deployment putem partnera. Mistral AI+1
  • Privatnost: fokus na privatnost i kontrolu, enterprise značajke; primjenjuju se Mistral ToS i dodatni ugovori (DPA na zahtjev). Mistral AI+1

8 Aleph Alpha (on-prem/EU sovereign)

  • Dopuštene verzije: on-prem ili EU privatni cloud rješenja (npr. za javni sektor).
  • Privatnost: puna suverenost podataka (GDPR-kompatibilna implementacija na poslužiteljima u Njemačkoj ili u vlastitom DC-u). Ugovorni okvir i DPA po projektu; SCC-ovi nisu potrebni za striktno EU hosting. Aleph Alpha

 

Operativni uvjeti (obvezni za sva odobrena rješenja)

  1. Ugovori: Potpisan DPA (i SCC 2021 ako postoji prijenos izvan EU/EEA). Za Microsoft/Google to je dio standardnih dodataka; za OpenAI/Anthropic/Perplexity zasebni DPA. MicrosoftGoogle CloudOpenAIprivacy.anthropic.comPerplexity AI
  2. Konfiguracija privatnosti: isključeno treniranje na sadržaju korisnika; EU rezidencija kad je dostupna; no-retention ili minimalno zadržavanje; privatni endpointi. OpenAIMicrosoft Learn
  3. Pristup i sigurnost: SSO/MFA, RBAC, enkripcija u prijenosu i mirovanju, audit logovi, DLP/prompt-gateway (maskiranje OIB/IBAN/adr.). Microsoft Learn
  4. Upotreba osobnih podataka: samo kad je nužno, uz minimizaciju, pseudonimizaciju, i kroz odobrene kanale; zabranjeno unositi posebne kategorije bez DPIA-e i dodatnih kontrola.
  5. Evidencija i označavanje: sadržaj generiran uz LLM mora biti jasno označen; kritični izlazi moraju biti neovisno provjereni.

 

#gdprcroatia

#aicroatia

#llm

#dataprotection

#acceptableuse