Ochrona danych firmowych przy pracy z AI sprowadza się do trzech rzeczy: wiedzieć czego nie wklejać, wybrać odpowiedni plan (bo płacenie za Plus czy Pro to nie jest ochrona danych) i wdrożyć kilka prostych zasad w firmie. W tym poradniku przechodzę przez konkretne polityki prywatności ChatGPT, Claude i Gemini, pokazuję co grozi za błędy i daję praktyczny plan ochrony dopasowany do wielkości firmy.
77 procent pracowników wkleja dane do promptów AI. 82 procent tych wklejeń pochodzi z kont niezarządzanych przez firmę (LayerX, październik 2025). 39,7 procent danych przesyłanych do AI to dane wrażliwe (Cyberhaven 2026). A 63 procent organizacji nie ma polityki zarządzania AI albo dopiero ją tworzy (IBM Cost of a Data Breach 2025). Jeśli Twoja firma korzysta z AI (a statystycznie korzysta), ochrona danych to nie jest temat na „kiedyś”. To jest temat na teraz. Ten artykuł to praktyczny przewodnik: co możesz wklejać, czego nie, jaki plan wybrać i jak wdrożyć podstawowe zabezpieczenia.
Najważniejsza rzecz, której większość ludzi nie wie: plan Plus i Pro nie chroni Twoich danych
To jest punkt, od którego trzeba zacząć, bo tu jest największe nieporozumienie.
Plany konsumenckie AI (ChatGPT Free/Plus/Pro, Claude Free/Pro/Max, Gemini Free/AI Pro/AI Ultra) domyślnie mogą wykorzystywać Twoje rozmowy do trenowania modeli. Płacenie 20 dolarów miesięcznie za plan Plus czy Pro to nie jest ochrona danych firmowych. Dopiero plany Team/Business/Enterprise gwarantują kontraktowo, że Twoje dane nie zostaną użyte do treningu.
Przejdźmy przez każde narzędzie osobno. Wszystkie informacje poniżej pochodzą z oficjalnych polityk prywatności producentów, zweryfikowanych na kwiecień 2026.
ChatGPT (OpenAI)
Plany Free, Plus, Pro, Go: trening na danych domyślnie włączony. Możesz go wyłączyć w Settings → Data Controls → „Improve the model for everyone” → OFF. Albo globalnie: privacy.openai.com → „Do not train on my content” (źródło: help.openai.com).
Plany Business (dawniej Team) i Enterprise: trening wyłączony kontraktowo. Umowa powierzenia danych (DPA) dostępna. Cytat z oficjalnej strony OpenAI: „By default, we do not train on any inputs or outputs from our products for business users.”
Ważny detal: nawet po wyłączeniu treningu w planie konsumenckim, dane z usuniętego czatu są przechowywane jeszcze 30 dni. To nie jest Zero Data Retention. Prawdziwy ZDR jest dostępny tylko dla kwalifikujących się klientów Enterprise API.
Residencja danych (czyli gdzie fizycznie przechowywane są Twoje dane): dostępna w 10 regionach, w tym UE. Ale tylko w planach Enterprise, Edu i API Platform. Plany Free, Plus, Pro, Go, Business nie mają opcji wyboru regionu.
Claude (Anthropic)
Od 8 października 2025 Anthropic może używać czatów z planów Free, Pro i Max do treningu, jeśli użytkownik włączył przełącznik „Help Improve Claude”. Dla istniejących użytkowników toggle był domyślnie włączony w pop-upie (TechCrunch skrytykował to jako „dark pattern”).
Wyłączenie: Settings → Privacy (claude.ai/settings/data-privacy-controls) → „Help Improve Claude” → OFF.
Kluczowa informacja o retencji: jeśli toggle jest włączony, dane mogą być przechowywane do 5 lat w pipeline treningowym (źródło: privacy.claude.com). Jeśli wyłączony: standardowe 30 dni po usunięciu czatu. Czaty Incognito nie są używane do treningu niezależnie od ustawienia.
Plany Team i Enterprise: trening wyłączony kontraktowo, DPA wbudowane w Commercial Terms.
Residencja danych: domyślnie USA. Natywna EU data residency dla Claude.ai NIE jest dostępna na kwiecień 2026. EU residency możliwa pośrednio przez AWS Bedrock (Frankfurt, Zurych) lub Google Vertex AI (Belgia).
Więcej o różnicach między planami Claude znajdziesz w naszym artykule Claude Cowork: jak oddać AI prawdziwą pracę, gdzie omawiamy też kwestie dostępu do plików lokalnych.
Gemini (Google)
Gemini Free, AI Pro, AI Ultra (konta konsumenckie): dane używane do treningu, jeśli „Keep Activity” jest włączone (domyślnie dla osób 18+). Cytat z oficjalnej dokumentacji Google: „Google uses your activity to provide, develop, and improve its services (including training generative AI models).”
Wyłączenie: myactivity.google.com/product/gemini → „Keep Activity” → Turn off.
Po wyłączeniu Google przechowuje rozmowy jeszcze 72 godziny (ochrona bezpieczeństwa). Recenzowane czaty: do 3 lat, odłączone od konta.
Gemini w Google Workspace (Business/Enterprise): dane klienta NIE są używane do treningu. DPA (Cloud Data Processing Addendum) dostępne.
Ważne ograniczenie, o którym mało kto wie: Gemini w Workspace NIE MOŻE działać na treściach zaszyfrowanych kluczami klienta (CSE). Cytat z oficjalnej dokumentacji: „Gemini for Google Workspace is unable to act on email and files that are encrypted with customer-controlled keys.”
Więcej o różnicach między Gemini a ChatGPT (w tym porównanie planów cenowych) znajdziesz w naszym artykule Gemini vs ChatGPT w 2026: które narzędzie do czego.
Czego NIGDY nie wklejać do publicznych narzędzi AI
To jest lista praktyczna, nie prawna. Konsekwencje prawne opisane poniżej mają charakter poglądowy i pochodzą z publicznie dostępnych tekstów regulacji. Każdy powinien zweryfikować je samodzielnie lub skonsultować z prawnikiem, bo konkretne konsekwencje zależą od sytuacji firmy.
Dane osobowe klientów w komplecie. Imię plus nazwisko plus email plus telefon plus adres. RODO wymaga podstawy prawnej do przetwarzania (Art. 5, 6). Wklejanie PII do publicznego ChatGPT z treningiem włączonym zmienia cel przetwarzania. Kary: do 20 milionów euro lub 4 procent rocznego obrotu.
Numery PESEL, NIP klientów, dowody osobiste. Dane identyfikacyjne, których wyciek może prowadzić do kradzieży tożsamości. Nieodwracalne.
Dane kart płatniczych i kont bankowych. OpenAI wprost zabrania wklejania cardholder data do ChatGPT (źródło: help.openai.com, artykuł o PCI DSS). Odpowiedzialność za naruszenie spoczywa na kliencie.
Dane medyczne. Art. 9 RODO zakazuje przetwarzania danych o zdrowiu bez spełnienia jednego z 10 wyjątków. Wymaga DPIA. Kary: do 20 milionów euro lub 4 procent obrotu.
Hasła, klucze API, tokeny dostępu. Modele AI trenowane na niefiltrowanych danych mogą zapamiętywać i zwracać takie informacje innym użytkownikom. Incydent DeepSeek ze stycznia 2025 pokazał, że klucze API mogą wyciekać także z infrastruktury samego dostawcy AI.
Tajemnice przedsiębiorstwa. Kod źródłowy, strategie, warunki kontraktów, notatki z poufnych spotkań. Art. 11 ustawy o zwalczaniu nieuczciwej konkurencji definiuje tajemnicę przedsiębiorstwa i penalizuje jej ujawnienie. Skala problemu? Według Harmonic Security (styczeń 2026), 30 procent wrażliwych danych wklejanych do AI to kod źródłowy, a 22,3 procent to dokumenty prawne. W styczniu 2025 Wiz Research ujawnił publicznie dostępną bazę danych DeepSeek z ponad milionem linii logów, w tym historią czatów w jawnym tekście i kluczami API. Wystarczył brak uwierzytelniania w jednym serwisie.
Dokumenty prawne i NDA. Wklejanie umów objętych klauzulą poufności narusza kontraktowe obowiązki. Kary umowne bywają dotkliwe.
Dane HR. Akta osobowe, oceny, wynagrodzenia. To dane osobowe (Art. 6 RODO), często szczególne (Art. 9: zdrowie, przynależność związkowa). AI w rekrutacji to system wysokiego ryzyka według AI Act.
Zasada kciuka: jeśli nie opublikowałbyś tego na LinkedIn, nie wklejaj do publicznego AI.
Jak anonimizować dane przed wklejeniem
Nie musisz rezygnować z AI. Musisz nauczyć się zamieniać dane przed wklejeniem.
Najprostsza metoda: ręczna zamiana. Zamiast „Jan Kowalski z Krakowa, PESEL 85010112345, kupił produkt X za 4500 zł” wpisujesz „Klient B2B, duże miasto, zakup kategorii X, kwota około 4500 zł”. AI nie potrzebuje danych osobowych, żeby pomóc Ci z analizą.
Bardziej zaawansowane: Microsoft Presidio (open-source). Wykrywa i anonimizuje ponad 180 typów danych osobowych w tekście. Replace, mask, redact, hash, encrypt. Działa z Pythonem, Dockerem, Kubernetesem. Ale Microsoft sam ostrzega: „no guarantee Presidio will find all sensitive information.” Dodatkowe zabezpieczenia nadal potrzebne.
Pseudonimizacja z tokenem odwracalnym: zamieniasz dane na tokeny, które możesz potem zamienić z powrotem. AI pracuje na tokenach, Ty odczytajesz wyniki z prawdziwymi danymi. Bardziej złożone, ale skuteczne przy dużych wolumenach.
Lokalne modele AI: kiedy warto, kiedy nie
Jeśli przetwarzasz naprawdę wrażliwe dane (medyczne, prawne, finansowe), jest opcja, która eliminuje problem transferu danych całkowicie. Lokalne modele AI działają na Twoim sprzęcie, bez internetu, bez wysyłania czegokolwiek na zewnątrz.
Lokalne modele AI to modele, które pobierasz i uruchamiasz na własnym komputerze. Dane nigdy nie opuszczają Twojego sprzętu. Najpopularniejsze: Gemma 4 (Google), Llama (Meta), Mistral, Phi-4 (Microsoft). Narzędzia do uruchamiania: Ollama (CLI), LM Studio (GUI).
Wymagania sprzętowe (przy kwantyzacji Q4_K_M, która daje dobry kompromis między jakością a rozmiarem):
- Modele 3 do 4 miliardów parametrów (Gemma 4 E2B, Phi-4-mini): około 2 do 3,5 GB VRAM. Działają na większości nowoczesnych laptopów.
- Modele 8 miliardów (Llama 3.2 8B): około 4,5 do 5 GB. Potrzebujesz karty graficznej z co najmniej 6 GB pamięci.
- Modele 14 miliardów (Phi-4 14B, DeepSeek-R1 14B): około 8 GB. Karta graficzna z 12 GB rekomendowana.
- Modele 27 do 31 miliardów (Gemma 4 31B): około 20 GB. Potrzebujesz porządnej karty graficznej.
Dla większości zastosowań biurowych (pisanie maili, analiza dokumentów, podsumowania) modele 8 do 14 miliardów parametrów wystarczają. Nie dorównują ChatGPT czy Claude jakością, ale dane zostają u Ciebie. To jest kompromis, który dla wrażliwych danych ma sens.
Więcej o Gemma 4 i lokalnych modelach AI znajdziesz w naszym artykule 5 nowych funkcji Google AI, które zmienią Twoją pracę.
Co powinna zawierać polityka AI w firmie
Jeśli masz więcej niż jednego pracownika korzystającego z AI (a statystycznie masz, nawet jeśli o tym nie wiesz, bo 77 procent pracowników wkleja dane do AI bez wiedzy firmy), potrzebujesz wewnętrznej polityki.
Minimum na podstawie NIST AI RMF 1.0 i ISO/IEC 42001:2023:
- Zakres. Które narzędzia AI są dozwolone? Na jakich planach? Kto autoryzuje dodanie nowego narzędzia?
- Klasyfikacja danych. Co można wklejać (dane publiczne, ogólne pytania). Co nie (lista z sekcji wyżej). Prosta tabelka: zielone/żółte/czerwone.
- Role i odpowiedzialność. Kto odpowiada za AI w firmie? Kto jest punktem kontaktowym dla pytań? Kto reaguje na incydent?
- Ocena ryzyka. Przy nowym zastosowaniu AI (szczególnie z danymi osobowymi): DPIA wymagane przez RODO Art. 35.
- Monitoring. Jak sprawdzasz, co pracownicy wklejają? Audit logi (dostępne w planach Enterprise). Narzędzia DLP (Cyberhaven, Nightfall, Microsoft Purview).
- Szkolenia. Minimum raz w roku plus ad-hoc przy zmianach. Tematy: co wolno wklejać, jak anonimizować, jak rozpoznać phishing wspomagany AI.
Nie musi to być 50-stronicowy dokument. Dla firmy 5 do 10 osób wystarczy jedna strona A4 z jasnymi zasadami i listą zakazów.
Kwestie prawne: informacje poglądowe
Zastrzeżenie: poniższe informacje mają charakter wyłącznie poglądowy i nie stanowią porady prawnej. W kluczowych sprawach każdy powinien podejmować decyzje w oparciu o własną weryfikację źródeł na oficjalnych stronach (EUR-Lex, UODO, gov.pl) lub konsultację ze specjalistą.
EU AI Act
Na oficjalnej stronie Komisji Europejskiej (digital-strategy.ec.europa.eu) można przeczytać, że Rozporządzenie UE 2024/1689 obowiązuje od 1 sierpnia 2024 z etapowym wdrażaniem. Od 2 lutego 2025 obowiązuje zakaz praktyk zabronionych (Art. 5) i obowiązek „alfabetyzacji AI” (Art. 4). Na 2 sierpnia 2026 planowane jest wejście większości obowiązków dla systemów AI wysokiego ryzyka.
Według publicznie dostępnych informacji, firma używająca ChatGPT, Claude czy Gemini jest zazwyczaj „deployerem” (użytkownikiem), nie „providerem” (dostawcą). Obowiązki deployerów są mniejsze, ale obejmują między innymi: informowanie pracowników przed użyciem AI wysokiego ryzyka i prowadzenie logów przez minimum 6 miesięcy.
Kary według Art. 99 (obowiązują od 2 sierpnia 2025): do 35 milionów euro lub 7 procent globalnego obrotu za naruszenie zakazów. Do 15 milionów euro lub 3 procent za inne naruszenia. Dla MŚP stosuje się niższą z dwóch kwot.
Warto wiedzieć: Komisja Europejska opublikowała w listopadzie 2025 projekt Digital Omnibus on AI, który może opóźnić niektóre terminy. Na kwiecień 2026 trwają trilogi i porozumienie polityczne oczekiwane jest do końca kwietnia. Do czasu formalnego przyjęcia prawnie obowiązuje oryginalny harmonogram.
RODO
Na stronie UODO (uodo.gov.pl) można przeczytać, że urząd prowadzi postępowanie przeciwko OpenAI w sprawie generowania nieprawdziwych danych osobowych i braku realizacji praw RODO. Na kwiecień 2026 nie opublikowano kar UODO nałożonych wprost za naruszenia związane z AI.
EDPB (Europejska Rada Ochrony Danych) przyjęła w grudniu 2024 opinię 28/2024, według której model AI trenowany na danych osobowych nie jest automatycznie anonimowy. Uzasadniony interes może być podstawą przetwarzania, ale wymaga trzystopniowego testu.
Polska ustawa o AI
Według informacji na gov.pl, 31 marca 2026 Rada Ministrów przyjęła projekt ustawy o systemach sztucznej inteligencji i skierowała go do Sejmu. Polska nie dotrzymała terminu 2 sierpnia 2025 na powołanie organu nadzoru wymaganego przez AI Act. Na kwiecień 2026 ustawa nie jest jeszcze uchwalona, ale AI Act jako rozporządzenie UE stosuje się bezpośrednio.
Dane polskie z raportu UODO
UODO opublikowało 28 stycznia 2026 raport strategiczny (pierwsze ogólnopolskie badanie). Wyniki: 17 procent organizacji korzysta z AI, około 40 procent testuje lub planuje, 43 procent w ogóle nie korzysta. I najważniejsza liczba: 95,9 procent organizacji ocenia się jako niegotowe lub niepewne co do gotowości stosowania RODO w kontekście AI.
Podsumowując kwestie prawne: wszystkie informacje w tej sekcji pochodzą z oficjalnych stron (EUR-Lex, UODO, Komisja Europejska, gov.pl). Ale regulacje się zmieniają, interpretacje bywają różne, a każda firma ma inną sytuację. W razie jakichkolwiek wątpliwości skontaktuj się z prawnikiem specjalizującym się w ochronie danych lub prawie nowych technologii. Lepiej zapytać raz niż naprawiać potem.
Jak to wygląda w praktyce
Mała firma usługowa, 8 osób, klienci B2B. Właściciel korzysta z ChatGPT Plus do pisania ofert i maili. Dwóch handlowców używa Claude do przygotowania propozycji. Księgowa wkleja dane do analizy kosztów.
Problem: wszyscy są na planach konsumenckich. Dane klientów (nazwy firm, kwoty kontraktów, warunki umów) trafiają do narzędzi, które mogą je użyć do treningu. Nikt nie anonimizuje. Nikt nie sprawdził ustawień prywatności. Nie ma żadnej wewnętrznej polityki.
Co robi właściciel w jeden weekend:
Piątek wieczór: sprawdza ustawienia każdego narzędzia. ChatGPT: wyłącza „Improve the model for everyone” na swoim koncie i kontach handlowców. Claude: sprawdza toggle „Help Improve Claude” i wyłącza. Gemini: wyłącza „Keep Activity”.
Sobota rano: pisze jednostronicową politykę AI. Narzędzia dozwolone: ChatGPT, Claude. Dane zakazane: nazwy klientów (zamieniać na „Klient A”), kwoty kontraktów (zaokrąglać), warunki NDA (nie wklejać). Każdy pracownik podpisuje.
Sobota po południu: rozważa upgrade do ChatGPT Business (25 dolarów na użytkownika miesięcznie). Kontraktowa gwarancja braku treningu, DPA, SSO. Dla 4 użytkowników to 100 dolarów miesięcznie. Dużo mniej niż konsekwencje wycieku danych klienta.
Niedziela: wysyła zespołowi krótki mail z trzema zasadami. Nie wklejaj danych klientów bez anonimizacji. Nie używaj kont osobistych do pracy firmowej. Jeśli nie jesteś pewien, zapytaj zanim wkleisz.
Łączny czas: 3 do 4 godziny. Koszt: zero (poza ewentualnym upgrade planów). Efekt: firma jest w lepszej pozycji niż 63 procent organizacji, które nie mają żadnej polityki AI.
Czego unikać
Nie zakładaj, że płatny plan konsumencki chroni dane firmowe. ChatGPT Plus, Claude Pro, Gemini AI Pro to nie są plany dla firm. Domyślnie trenują na Twoich danych (z opcją wyłączenia, ale bez DPA, bez SSO, bez kontroli administratora). Jeśli przetwarzasz dane klientów, potrzebujesz planu Business lub Enterprise.
Nie ignoruj kont osobistych pracowników. 82 procent wklejeń danych do AI pochodzi z kont niezarządzanych przez firmę (LayerX, 2025). 71 procent połączeń z AI w firmach idzie przez konta osobiste. Nawet najlepsza polityka firmowa nie działa, jeśli pracownicy korzystają z prywatnego ChatGPT na telefonie.
Nie wyłączaj historii myśląc, że to ZDR. Wyłączenie historii czatów w ChatGPT czy „Keep Activity” w Gemini to nie jest Zero Data Retention. Dane są nadal przechowywane przez 30 dni (ChatGPT) lub 72 godziny (Gemini) po wyłączeniu. Prawdziwy ZDR dostępny jest tylko w planach Enterprise API.
Nie wklejaj danych klientów „na próbę”. Nawet jednorazowe wklejenie PII do planu konsumenckiego z treningiem włączonym może skutkować tym, że dane trafią do modelu i nie da się ich usunąć. Według Harmonic Security (styczeń 2026, analiza 22,4 miliona promptów), 87 procent ekspozycji wrażliwych danych firmowych pochodzi z darmowych planów ChatGPT. Jedno wklejenie wystarczy.
Nie odkładaj polityki AI „na później”. 63 procent organizacji nie ma polityki AI governance (IBM 2025). A 20 procent organizacji, które doświadczyły naruszenia przez shadow AI, zapłaciło średnio 670 tysięcy dolarów więcej niż przy tradycyjnym naruszeniu. Jedna strona A4 z jasnymi zasadami to inwestycja kilku godzin, która może zaoszczędzić miliony.
Nie polegaj wyłącznie na anonimizacji ręcznej. Ludzie zapominają. Kopiują i wklejają bez myślenia. Narzędzia DLP (Nightfall, Cyberhaven, Microsoft Purview) automatycznie wykrywają i blokują wrażliwe dane w promptach. Kosztują, ale w firmie z kilkunastoma pracownikami mogą się opłacić szybciej niż myślisz.
Nie zakładaj, że „u nas się to nie zdarzy”. Raport Harmonic Security (styczeń 2026, 22,4 miliony promptów): ChatGPT odpowiada za 71,2 procent ekspozycji wrażliwych danych firmowych. 30 procent wrażliwych instancji to kod, 22,3 procent to dokumenty prawne, 12,6 procent to M&A. To nie są hipotetyczne scenariusze. To dane z rzeczywistych firm.
Często zadawane pytania
Czy plan ChatGPT Plus chroni moje dane firmowe?
Nie. ChatGPT Plus (20 dolarów miesięcznie) domyślnie używa Twoich danych do treningu modeli. Możesz to wyłączyć w ustawieniach, ale nadal nie masz DPA, SSO ani kontroli administratora. Ochrona danych firmowych wymaga planu Business (25 dolarów na użytkownika) lub Enterprise, które kontraktowo wykluczają trening na danych i oferują umowę powierzenia danych.
Jak wyłączyć trening na moich danych w ChatGPT, Claude i Gemini?
ChatGPT: Settings → Data Controls → „Improve the model for everyone” → OFF. Claude: Settings → Privacy → „Help Improve Claude” → OFF. Gemini: myactivity.google.com/product/gemini → „Keep Activity” → Turn off. Ważne: wyłączenie treningu to nie jest Zero Data Retention. Dane nadal są przechowywane przez 30 dni (ChatGPT), 30 dni (Claude) lub 72 godziny (Gemini).
Czego nigdy nie wolno wklejać do publicznych narzędzi AI?
Danych osobowych klientów w komplecie (imię plus email plus telefon plus adres), numerów PESEL i NIP, danych kart płatniczych, danych medycznych, haseł i kluczy API, tajemnic przedsiębiorstwa (kod źródłowy, strategie, warunki kontraktów), dokumentów prawnych i NDA, danych HR (akta, oceny, wynagrodzenia). Zasada: jeśli nie opublikowałbyś tego na LinkedIn, nie wklejaj do publicznego AI.
Czy lokalne modele AI to bezpieczna alternatywa?
Tak, pod względem prywatności danych. Lokalne modele (Gemma 4, Llama, Mistral, Phi-4) działają na Twoim sprzęcie bez wysyłania danych na zewnątrz. Kompromis: jakość jest niższa niż ChatGPT czy Claude, a wymagania sprzętowe zależą od modelu (od 2 GB VRAM dla małych modeli do 20+ GB dla dużych). Dla większości zadań biurowych modele 8 do 14 miliardów parametrów wystarczają.
Czy EU AI Act już obowiązuje i dotyczy mojej firmy?
Informacje poglądowe (nie porada prawna): według oficjalnych stron Komisji Europejskiej, AI Act obowiązuje od 1 sierpnia 2024 z etapowym wdrażaniem. Od 2 lutego 2025 obowiązują zakazy praktyk zabronionych i obowiązek AI literacy. Firma używająca AI to zazwyczaj „deployer” z mniejszymi obowiązkami niż dostawca. W kwestiach dotyczących konkretnych obowiązków Twojej firmy warto skonsultować się ze specjalistą lub sprawdzić źródła na EUR-Lex i eu-ai-act.eu.
Ile kosztuje podstawowe zabezpieczenie danych przy pracy z AI?
Opcja darmowa: wyłączenie treningu w ustawieniach + ręczna anonimizacja + jednostronicowa polityka AI. Opcja podstawowa: ChatGPT Business lub Claude Team (25 dolarów na użytkownika miesięcznie) z kontraktową gwarancją braku treningu i DPA. Dla firmy 5 osób to około 125 dolarów miesięcznie (500 do 600 zł). Opcja zaawansowana: Enterprise z DLP, audit logami i residencją danych w UE, szacunkowo 40 do 60 dolarów na użytkownika.
Co jeśli pracownik wklei dane klienta do prywatnego ChatGPT?
To jest scenariusz „shadow AI”, który dotyczy 20 procent organizacji raportujących naruszenia (IBM 2025). Dodatkowy koszt takiego naruszenia: średnio 670 tysięcy dolarów więcej niż tradycyjne. Rozwiązanie: polityka AI z jasnym zakazem kont osobistych do pracy firmowej, narzędzia DLP blokujące wklejanie wrażliwych danych, szkolenia minimum raz w roku. Prewencja jest wielokrotnie tańsza niż reagowanie na incydent.