Які політики використання штучного інтелекту потрібні ІТ компанії та що у них писати 

Сьогодні штучний інтелект (Artificial Intelligence, АІ або ШІ) ) стає невід’ємною частиною робочих процесів в ІТ-компанії: від написання коду й тестування до створення дизайну, маркетингових матеріалів, аналітики та внутрішньої документації. Використання ШІ-інструментів підвищує швидкість розробки, але водночас створює нові юридичні, етичні та комплаєнс-ризики.

На практиці компанії дедалі частіше стикаються з питаннями: хто несе відповідальність за результати, згенеровані ШІ; чи можна передавати конфіденційні дані клієнтів для обробки ШІ-платформами та сервісами; як оцінювати точність та достовірність ШІ-результатів; кому належать права на об’єкти, згенеровані ШІ та ін.

Це й зумовлює необхідність впровадження політики використання ШІ (AI Use Policy), що встановлює чіткі правила, межі та відповідальність при роботі з ШІ-інструментами та ШІ-платформами. AI Use Policy наразі перестає бути формальністю, а стає ключовим елементом системи корпоративного комплаєнсу. інформаційної безпеки та захисту інтелектуальної власності, а також стає практичним гайдом для використання ШІ в повсякденній роботі.

Яка роль ШІ‑політик?

Використання ШІ без чітко визначених правил і належного контролю створює суттєві правові та репутаційні ризики для бізнесу – від витоку конфіденційної інформації компанії чи її клієнтів до порушення вимог законодавства у сфері захисту персональних даних, інтелектуальної власності та прав споживачів. Наслідками можуть стати штрафи, судові спори та істотне погіршення ділової репутації компанії.

Саме тому політики ШІ стають ключовим орієнтиром для співробітників компанії. Вони чітко визначають, як і для чого можна використовувати ШІ-інструменти та сервіси, як ШІ впроваджується у продукти й послуги компанії, як правильно та безпечно працювати з персональними та конфіденційними даними компанії та її клієнтів.  В результаті компанія працює ефективніше, швидше впроваджує інновації та робить це відповідально в умовах цифрових змін.

Що є правовою основною для розробки та впровадження ШІ-політик в компанії?

Розробка та впровадження  ШІ-політик в ІТ-компанії ґрунтується не лише на внутрішніх бізнес-процесах та корпоративних стандартах, а й на сукупності нормативних джерел, які визначають фундаментальні принципи відповідального використання ШІ на глобальному рівні. 

Ключовим регуляторним орієнтиром є Регламент ЄС про ШІ (EU AI Act), що став першим у світі комплексним нормативним актом, ухваленим для врегулювання використання ШІ. Регламент закріплює ризик-орієнтований підхід до використання ШІ-інструментів, встановлює вимоги щодо прозорості застосування ШІ, забезпечення людського контролю над результатами, згенерованими ШІ (AI-output), а також передбачає впровадження внутрішніх процедур для забезпечення комплаєнсу.

Водночас важливу роль відіграють міжнародні стандарти ISO/IEC, які  встановлюють бенчмарки належної практики та широко використовуються при аудитах та сертифікації. Зокрема, для ШІ-політик мають значення:

ISO/IEC 23894:2023 –  Information technology – Artificial intelligence – Guidance on risk management – стандарт з управління ризиками, повʼязаними з використанням ШІ, який містить методологію і процеси інтеграції управління ризиками в діяльності компанії;

ISO/IEC 42001:2023 –  Information technology –  Artificial intelligence – Management system –  стандарт із системи менеджменту ШІ, що визначає вимоги до побудови, впровадження та постійного покращення системи політик, ролей, функцій і контролів у сфері ШІ. 

ISO/IEC 22989:2022 – Information technology – Artificial intelligence – Concepts and terminology – стандарт, який встановлює загальну термінологію та концептуальні основи для всієї екосистеми ШІ-технологій. 

ISO/IEC 23053:2022 – Framework for AI with machine learning (ML) – рамкова структура, яка описує процеси життєвого циклу ШІ-систем на базі машинного навчання. 

ISO/IEC 27701:2025 –  Information security, cybersecurity and privacy protection –  Privacy information management systems – Requirements and guidance –  стандарт системи управління персональними даними, критично важливий для використання ШІ, зокрема в контексті забезпечення GDPR комплаєнсу. 

Крім того, при розробці ШІ-політик враховуються й інші нормативні акти та регуляторні підходи, зокрема:

• General Data Protection Regulation (GDPR) – у контексті навчання моделей, автоматизованого прийняття рішень і профілювання;
• законодавство про інтелектуальну власність – стосовно прав на AI-outputs;
• регуляторні підходи США щодо відповідального використання ШІ (зокрема, NIST AI Risk Management Framework);
• міжнародні рекомендації, які формують очікування щодо етичного та безпечного застосування ШІ (зокрема, OECD AI Principles, UNESCO Recommendation on AI Ethics).

Що мають передбачати ШІ-політики?

Використання ШІ в діяльності компанії слід розглядати як елемент корпоративного управління та комплаєнсу, а не просто як технологічне рішення чи інновацію. За такого підходу інтеграція ШІ в робочі процеси передбачає, що компанія має:

• встановити чіткі та зрозумілі правила використання ШІ;
• забезпечити постійний людський нагляд і контроль, зокрема перевірку результатів, коригування помилок та оцінку впливу ШІ на бізнес-процеси й послуги, що надаються клієнтам;
• гарантувати безпеку та конфіденційність даних при використанні ШІ;
• нести відповідальність за якість і точність результатів, згенерованих із застосуванням ШІ;
• дотримуватися чинних законів і регуляторних вимог;
• використовувати лише надійні та перевірені ШІ-інструменти, платформи й сервіси, що відповідають внутрішнім корпоративним стандартам;
• здійснювати регулярний аудит і перегляд інтеграцій, аби використання ШІ залишалося ефективним, безпечним і відповідним новим регуляторним вимогам.

Саме з цих принципів логічно випливають ключові елементи, що формують основу ефективної політики відповідального застосування ШІ.

1. Дотримання регулятивних норм та стандартів безпеки

Політика фіксує обов’язок компанії використовувати ШІ у відповідності до чинного законодавства та міжнародно визнаних стандартів – зокрема GDPR, EU AI Act, NIST AI RMF, ISO та інших. Вона передбачає регулярні аудити й перевірки, які дозволяють не лише формально дотримуватися вимог, а й постійно контролювати безпечне, етичне та законне використання ШІ у бізнес-процесах компанії.

2. Конфіденційність і безпека даних

Інструменти ШІ часто обробляють великі обсяги даних, включно з персональною інформацією та комерційною таємницею компанії та її клієнтів. Політика має встановлювати чіткі правила збору, зберігання та обробки даних, гарантувати дотримання норм GDPR та інших застосовних законів, а також визначати вимоги до шифрування, контролю доступу та анонімізації. 

Для роботи з конфіденційною інформацією варто використовувати лише приватні ШІ-платформи та сервіси, які контролюються компанією, і суворо обмежувати застосування публічних ШІ-платформ.  

Публічні ШІ-платформи не варто використовувати для роботи з персональними чи іншими чутливими даними, а також будь-яким контентом, що має обмежений режим доступу або підпадає під договірні чи внутрішні правила конфіденційності. У таких випадках застосування відкритих ШІ-інструментів створює підвищені ризики витоку інформації та договірних порушень.

Всі персональні дані мають оброблятися на законній підставі та за необхідності – за попередньою згодою осіб, дані яких використовуються.

3. Прозорість та етика

Політика має закріплювати принципи прозорості та етичного використання ШІ, а також  чіткі правила допустимого, обмеженого та неприпустимого застосування ШІ.

В політиці може бути чітко встановлена категорична заборона на використання ШІ у будь-яких діях, що ставлять під ризик безпеку або конфіденційність даних. Наприклад, заборонено вводити в ШІ паролі, ключі доступу, API-ключі, токени чи інші облікові дані; передавати персональні дані (ім’я, email, ID, фінансову чи медичну інформацію) без анонімізації, законної підстави або згоди людини; використовувати безкоштовні або публічні ШІ-сервіси для роботи з внутрішніми системами, комерційним кодом або даними клієнта без його дозволу; займатися незаконними або неетичними діями (фішинг, скрапінг, соціальна інженерія, автоматизовані рішення, що порушують закони чи права людини); а також обходити правила безпеки та захисту даних.

4. Людський нагляд та контроль над AI-outputs

Політика має передбачати регулярні перевірки ШІ-інструментів на наявність упередженості, дискримінації або системних помилок, а також обов’язковий людський нагляд і контроль за результатами, згенерованими ШІ (AI-outputs). Це особливо важливо у випадках, коли такі результати інтегруються в послуги для клієнтів або прямо чи опосередковано впливають на управлінські,  фінансові чи інші значущі рішення. Людська перевірка дозволяє своєчасно виявляти помилки, коригувати AI-outputs та оцінювати їхній реальний вплив на бізнес-процеси. У підсумку такий підхід забезпечує  прозорість і надійність використання ШІ, знижує регуляторні та репутаційні ризики та захищає як клієнтів, так і саму компанію від непередбачуваних наслідків.

5. Затверджені ШІ-інструменти

Щоб уникнути хаотичного та неконтрольованого використання ШІ, компанія має визначити чіткий перелік дозволених ШІ-інструментів, платформ і сервісів. 

Політика ШІ, як правило, передбачає процедуру оцінки та затвердження ШІ-систем за заздалегідь визначеними критеріями: рівень безпеки та захисту даних, оцінку ризиковості, прозорість роботи моделей, відповідність внутрішнім політикам компанії та ін. Лише після такої оцінки ШІ-інструменту може бути допущений до використання в робочих процесах.

На практиці компанії дозволяють використовувати ШІ лише через платні корпоративні підписки, якщо сервіс відповідає базовим вимогам безпеки: не тренує моделі на ваших даних, захищає інформацію, шифрує дані та чітко визначає, кому належать результати. Доступ до таких платформ дозволяється лише через корпоративні, а не через особисті акаунти.

Ці правила часто доповнюється практичними гайдами, як-от дозволені та заборонені ШІ-системи (whitelist/blacklist), що допомагають співробітникам орієнтуватися у схвалених ШІ-інструментах. 

Крім того, компанії часто додають керівництво щодо даних (Data Input Guidelines), яке пояснює, які дані можна обробляти за допомогою  ШІ-інструментів, а які – ні, наголошуючи, що інформаційні  системи  клієнтів, персональні дані та іншу конфіденційну інформацію  дозволено використовувати лише за наявності корпоративної підписки, налаштувань приватності та відповідної згоди клієнта.

6. Моніторинг, ведення записів та реагування на інциденти

Політика має встановлювати правила постійного контролю за роботою ШІ-систем у компанії. Це включає ведення журналів використання ШІ (AI Usage Log) та реєстрацію будь-яких інцидентів, що можуть становити ризик для компанії. До таких ситуацій належать, зокрема: введення даних у непогоджені або ненадійні ШІ-платформи, використання ШІ з порушенням встановлених правил, або отримання результатів від ШІ, які можуть спричинити юридичні, етичні або репутаційні ризики та наслідки неправильного або неконтрольованого використання ШІ.

В політиці мають бути передбачені чіткі процедури повідомлення про порушення та проведення розслідування, що забезпечують швидку реакцію відповідальних осіб і мінімізують негативні наслідки.

7. Навчання і підвищення обізнаності

Політика має передбачати регулярні навчання співробітників щодо безпечного та етичного використання ШІ, обробки конфіденційних даних, розуміння ризиків і способів їх мінімізації.

8. Періодичний перегляд і оновлення політики

Політика повинна регулярно оновлюватися та передбачати її актуалізацію з урахуванням розвитку технологій та змін у регуляторних вимогах. Як правило, призначається відповідальна особа (по типу Compliance Officer),  що стежитиме за актуальністю встановлених правил та їх відповідністю новим технологіям і законодавчим нормам.

Які ще внутрішні політики можуть бути впроваджені для регулювання використання ШІ в ІТ компанії?

Важливим аспектом залишається питання належності прав на AI-outputs. При користуванні ШІ-сервісами без ознайомлення з їхніми умовами (Terms of Use) існує ризик не отримати права на комерційне використання згенерованого контенту – особливо якщо використовується безкоштовна версія. 

Так, Suno у безкоштовній версії дозволяє використовувати контент лише для особистих цілей, а для комерційного застосування потрібна платна підписка; будь-який згенерований контент може стати доступним іншим користувачам через сторонні платформи. Looka генерує логотипи, але право на комерційне використання виникає лише після оплати фінальної версії. OpenAI передає користувачу всі права на створений контент, проте залишає за собою право застосовувати його для навчання моделей. 

Тому перед інтеграцією ШІ у проєкт важливо уважно вивчати умови конкретного сервісу та розуміти, чи дійсно AI-output належить вам, чи платформа залишає за собою частину прав.

Саме для контролю за правами на власні AI-outputs та дотриманням умов сторонніх сервісів компаніям необхідно впроваджувати так званий AI & IP гайд – окремий документ або як частину базової AI Use Policy. Такий гайд формалізує правила роботи з ШІ, визначає належність прав на AI-outputs, регламентує передачу прав від залучених субпідрядників, забезпечує оцінку ліцензійних умов ШІ-інструментів та допомагає уникнути ризиків порушення ліцензій. Він гарантує правомірне використання ШІ у бізнес-процесах та зберігає можливість майбутнього комерційного використання створених результатів.

До того ж використання ШІ може додатково спиратися на вже наявні внутрішні політики з безпеки, роботи з даними та розробки, характерні для ІТ-компанії. Зокрема, до ШІ можуть застосовуватися такі політики/процедури:

Політика інформаційної безпеки (Information Security Policy)

вона визначає правила захисту даних у компанії. У випадку ШІ вона визначає, які зовнішні сервіси можна використовувати, які дані можна передавати в чужі моделі, як налаштовувати доступи, логування та як реагувати на інциденти.

Політика класифікації даних (Information Classification Policy)

ця політика розділяє дані за рівнями важливості (публічні, внутрішні, конфіденційні тощо). Для ШІ вона показує, які дані можна обробляти за допомогою ШІ-інструментів, а які – ні, а також коли потрібно анонімізувати або зменшувати обсяг інформації.

Гайдлайн безпечної розробки та тестування (Secure Development and Testing Guideline)

він застосовується і до ШІ-компонентів. Тут описується, як безпечно інтегрувати ШІ в продукти, як тестувати результати (щоб уникнути помилок або некоректних даних), і як контролювати використання ШІ під час розробки.

Які корпоративні принципи використання ШІ дотримуються світові компанії?

Провідні світові кампанії дотримуються відповідального та етичного підходу до використання ШІ, закріплюючи їх у внутрішніх політиках.

Google 

Google підкреслює відповідальний, корисний та етичний підхід до ШІ, прагнучи забезпечити його розвиток відповідно до соціальних норм і цінностей. Компанія надає пріоритет позитивному впливу ШІ на суспільство, одночасно визнаючи необхідність ретельного управління потенційними ризиками.

Принципи ШІ Google спрямовані на забезпечення суспільної користі, запобігання упередженості, безпеку, підзвітність, захист приватності, високі наукові стандарти та доступність для допустимого використання. Компанія наголошує на створенні ШІ, який є корисним, справедливим, безпечним, приватним, дотримуючись суворих етичних та професійних стандартів.

Visa

Visa демонструє принципи відповідального та етичного використання ШІ, орієнтуючись на інклюзивність, справедливість та надійність. Компанія прагне використовувати ШІ для покращення фінансових послуг і клієнтського досвіду, приділяючи особливу увагу етичним аспектам та підзвітності.

Політика Visa щодо ШІ спрямована на те, щоб використання технологій було справедливим, прозорим і підзвітним, особливо у фінансовому секторі. Це включає ініціативи на кшталт AI Fairness Toolkit, який допомагає створювати рішення на базі ШІ, збалансовані за точністю, справедливістю та бізнес-результатами.

Pfizer 

Pfizer у сфері охорони здоров’я орієнтується на відповідальне застосування ШІ, прагнучи використовувати його потенціал для покращення результатів лікування, водночас суворо дотримуючись етичних норм і забезпечуючи безпеку пацієнтів.

Компанія визначає три основні принципи відповідального використання ШІ в медицині: (1)рішення, що ґрунтуються на ШІ, повинні прийматися під керівництвом професіоналів охорони здоров’я; (2) використання ШІ має бути прозорим і зрозумілим для користувачів; (3) приватність та безпека пацієнтів повинні забезпечуватися на всіх етапах застосування ШІ.

Salesforce

Підхід Salesforce до ШІ зосереджений на етичному застосуванні, прагнучи використовувати потенціал ШІ таким чином, щоб він відповідав цінностям суспільства та потребам клієнтів. Компанія наголошує на відповідальному використанні ШІ у своїх застосунках для досягнення позитивних результатів у бізнес-процесах та взаємодії з клієнтами.

Політика Salesforce передбачає забезпечення етичного та прозорого використання ШІ у сфері управління взаємовідносинами з клієнтами. Вона містить керівні принципи щодо справедливого використання, захисту даних і підвищення якості користувацького досвіду завдяки аналітичним та інтелектуальним можливостям ШІ.

Dell

Dell Technologies розглядає ШІ як інструмент для позитивного впливу на суспільство та наголошує на етичній відповідальності його застосування. Компанія підкреслює роль ШІ у покращенні життя людей, розв’язанні складних завдань та створенні рішень із урахуванням соціальних потреб і принципів сталого розвитку.

Dell Technologies визначає, що ШІ має бути корисним, справедливим, прозорим, відповідальним. Розробка систем ШІ повинна уникати упереджень, забезпечувати безпеку та надійність, поважати приватність користувачів і дотримуватися вимог законодавства та корпоративних стандартів. Окрім того, компанія підкреслює важливість регулярних перевірок і аудитів з боку юридичних,  технічних та бізнес-фахівців, щоб гарантувати постійне дотримання принципів і прозорість у використанні ШІ.

Підсумок

Для ІТ-компаній особливо важливо мати ефективну політику використання ШІ, яка відображає відповідальний підхід та сучасні стандарти етики, безпеки і якості розробок. Правильно оформлена політика допомагає захистити бізнес, користувачів та репутацію компанії, а також сприяє безпечному й ефективному впровадженню ШІ у проєкти та сервіси. 

Звертайтеся до Legal IT Group – ми радо допоможемо розробити та впровадити ефективні правила роботи з ШІ для вашої компанії.

Будемо раді співпраці!