Один знайомий написав мені у Telegram: «Слухай, я по дурниці вкинув у GPT внутрішній звіт компанії з цифрами за квартал. Там імена директорів, прогнози, всі плани. Тепер не знаю що робити». Я тоді не знав, що йому відповісти — крім «молись, щоб це не спливло».
Але це не виняток. Це норма. Люди щодня несуть у ChatGPT те, що категорично не варто туди нести. І не тому що вони дурні — просто ніхто їм нормально не пояснив, як ця штука влаштована під капотом.
Я займаюся цифровою безпекою і системним аналізом багато років. Бачив різне. Але масштаб того, що зараз відбувається з корпоративними даними в хмарних AI-сервісах — це щось нове. Тому і пишу цей матеріал. Без лякалок, але без прикрас.
Спершу — як воно насправді працює
Більшість людей уявляють ChatGPT як якийсь розумний блокнот: написав, отримав відповідь, закрив вкладку — і все зникло. Ні.
ChatGPT — це хмарний сервіс американської компанії OpenAI. Кожне ваше повідомлення летить на їхні сервери в США, там обробляється, зберігається — і за замовчуванням може йти у навчальну вибірку для майбутніх версій моделі. Тобто ваш запит сьогодні теоретично може «навчити» GPT-5 завтра.
Є налаштування, яке це вимикає. Settings → Data Controls → «Improve the model for everyone» — і перемикач вниз. Але навіть після цього технічний лог зберігається 30 днів. А якщо у вас є активне судове провадження — то взагалі без жодних термінів, бо у американський суд у справі New York Times проти OpenAI заморозив усі логи як судові докази. Тобто навіть «видалений» чат може лежати десь у правовому заморожуванні.
Це не страшилки — це просто те, як влаштована реальність.
Що конкретно не треба туди вводити
1. Паролі, токени, ключі API
Здається, про це вже всі знають. Але ні. Щотижня я бачу у профільних чатах повідомлення типу «а що, якщо я вставив код разом із секретним ключем, нічого страшного?».
Страшного — можливо, і нічого. Але от що точно: зараз більш ніж 225 тисяч акаунтів ChatGPT виявилися у продажу на тіньових маркетплейсах. Зловмисники не зламували OpenAI — вони заразили комп’ютери користувачів малварою типу LummaC2, яка зчитувала сесійні токени та повну історію чатів. А в тій історії — ваш код із усіма ключами.
Вирішення просте до банальності: перед тим як скопіювати шматок коду — пробіжіться по ньому очима і замініть всі реальні значення на заглушки. api_key = "YOUR_KEY_HERE" — і питайте скільки завгодно. Логіка коду від цього не зміниться, а ви не ризикуєте нічим.
2. Персональні дані клієнтів або колег
Ось типова ситуація: менеджер хоче написати персоналізовані листи клієнтам. Бере Excel з базою — ім’я, телефон, адреса, що купував — і вставляє це все в GPT. «Допоможи написати текст».
З точки зору законодавства це вже проблема. Повне ім’я + телефон + адреса — це персональні дані у розумінні GDPR і українського Закону «Про захист персональних даних». Передавати їх третім особам без явної згоди власників даних — незаконно. А OpenAI — це третя особа, причому американська, з власними правилами щодо даних.
Що робити? Просто анонімізуйте. «Клієнт А, чоловік, 40 років, купив ноутбук» — достатньо для того, щоб GPT написав нормальний лист. Ніяких реальних імен, телефонів, адрес.
3. Внутрішня корпоративна інформація
Тут треба розповісти про Samsung. У березні 2023 року компанія Samsung Semiconductor офіційно дозволила інженерам використовувати ChatGPT. Минуло три тижні.
За цей час три окремі співробітники ввели у ChatGPT вихідний код внутрішньої бази даних, код для оптимізації виробничої лінії — і стенограму закритої внутрішньої наради. Після того як це виявилось, Samsung заборонив ChatGPT повністю, обмежив допустимий розмір введення до 1024 байтів і запустив розробку власного корпоративного AI.
Але вихідний код — вже у базі OpenAI. Назавжди.
Показово, що після цього кейсу аналогічні заборони або жорсткі обмеження ввели Amazon, JPMorgan Chase, Verizon, Walmart. Не через паранойю — просто люди порахували ризики.
І ось що цікаво: за даними компанії Metomic, станом на кінець 2025 року вже 34,8% корпоративних запитів до ChatGPT містять конфіденційну інформацію. Для порівняння — у 2023-му цей показник був 11%. Тобто проблема не зменшується — вона росте.
4. Медичні дані пацієнтів (якщо ви лікар)
Це дуже специфічна аудиторія, але важлива. Якщо ви медичний працівник і вводите в ChatGPT «пацієнт, 52 роки, чоловік, місто Київ, діагноз такий-то, приймає такі-то ліки» — ви порушуєте медичну таємницю. В Україні це стаття 145 КК, у США — HIPAA, у ЄС — GDPR плюс спеціальні медичні регуляції.
Навіть без імені та прізвища — поєднання симптомів, віку, статі та міста може ідентифікувати конкретну людину у невеликих громадах.
Для особистих запитів — «у мене такі симптоми» без жодних ідентифікаторів — ризик значно менший. Але пам’ятайте, що ці дані зберігаються на американських серверах і підпадають під американську юрисдикцію.
5. Фінансові реквізити
Номери карток, CVV, IBAN, паролі від банкінгу — тут навіть пояснювати нічого, просто ніколи і нікуди.
Але є менш очевидна частина: фінансові стратегії компанії, деталі незакритих угод, плани злиттів, внутрішні прогнози — все це. Фінансові консультанти та юристи, які вставляють клієнтські дані у GPT для «швидкого summary», ризикують порушити вимоги SEC, FINRA та правила адвокатської таємниці одночасно.
6. Логіни та 2FA-коди
Це звучить неймовірно, але людям дійсно трапляється питати GPT «чому мій код двофакторки не спрацьовує» — і вставляти туди сам код. Або «допоможи мені авторизуватися» — і давати логін з паролем.
Нагадаю про баг липня 2025 року: кілька тисяч чатів ChatGPT з’явилися у відкритих результатах пошуку Google через помилку з публічними посиланнями. Уявіть, що у вашому чаті був логін. OpenAI швидко виправив — але моментальний скрін у чужих руках залишився.
7. Юридичні документи — договори, позови, внутрішні меморандуми
Адвокатська таємниця — це не просто красиве словосполучення. Це правовий захист, який зникає, щойно ви передаєте матеріали третій стороні. А GPT — третя сторона. І не важливо, що ви прибрали імена: специфічні деталі угоди можуть ідентифікувати справу без жодних прізвищ.
У США вже кілька юридичних фірм отримали дисциплінарні запити від bar associations після того, як виявилося, що партнери використовували ChatGPT з реальними матеріалами справ. Ніхто не «злив» спеціально — просто так влаштовані системи, де дані зберігаються.
Хвилинка чесності: що GPT робить добре
Щоб не виглядати параноїком — скажу чесно. Для більшості повсякденних задач ChatGPT є реально корисним і відносно безпечним інструментом. Написати текст, відлагодити логіку коду з анонімними даними, перефразувати абзац, структурувати думки — усе це чудово, і ризику майже нуль.
Проблема не в інструменті. Проблема в тому, що ми несемо туди дані, які туди не призначені — і не думаємо про це, бо інтерфейс виглядає як звичайний чат.
Покроковий гайд: як прибрати зайві ризики прямо зараз
- Вимкніть навчання на ваших даних. Settings → Data Controls → вимкніть перемикач «Improve the model for everyone». Це займе 20 секунд. Зробіть це до того, як дочитаєте статтю.
- Для чутливих задач — «Тимчасовий чат». Він не зберігається в історії і не йде на навчання. Шукайте кнопку «Temporary chat» вгорі ліворуч.
- Анонімізуйте все перед введенням. Реальна назва компанії → «Компанія Х». Ім’я клієнта → «Клієнт А». API-ключ →
YOUR_KEY. Модель зрозуміє задачу однаково, а ви не ризикуєте нічим. - Видаляйте чутливі чати після використання. Налаштування → Delete all chats. 30-денний технічний лог залишиться, але він недоступний через звичайні канали.
- Якщо ви корпоративний користувач — тільки Enterprise або Team. Ці плани не використовують ваші дані для навчання, мають вищу ізоляцію і окремі умови зберігання. Різниця суттєва.
- Перевіряйте розширення браузера. У 2025 році більше сорока популярних AI-розширень були скомпрометовані і могли зчитувати дані з відкритих вкладок. Якщо ви встановлювали щось для «покращення GPT» — перевірте, що це за розширення і хто його зробив.
- Якщо вже ввели щось зайве — дійте швидко. Видаліть чат. Якщо це були паролі — змінюйте негайно. Якщо корпоративні дані — повідомте службу безпеки. Для критичного — напишіть на privacy@openai.com із запитом на видалення.
Поширені питання
Чи справді хтось із OpenAI читає мої чати?
Технічно — так, авторизований персонал OpenAI може переглядати розмови: для налагодження систем, перевірки порушень і покращення моделей. Крім того, компанія залучає зовнішніх підрядників для перевірки контенту — вони підписують NDA, але це все одно сторонні люди. На Enterprise-плані умови відрізняються і доступ значно обмеженіший.
Якщо я видалю чат — він зникне назавжди?
У звичайних умовах — так, приблизно через 30 днів. Але якщо дані потрапили під судову постанову — як це стало з логами у справі NYT v. OpenAI — вони зберігаються до завершення процесу незалежно від того, що ви зробили у своєму акаунті. Така собі «зомбі-дата».
Чи можна питати GPT про свої медичні симптоми?
Якщо ви не вказуєте ім’я, паспорт, адресу — для особистого використання ризик мінімальний. Але якщо ви лікар або медсестра, і мова йде про реального пацієнта — це вже порушення медичної таємниці, навіть без імені. Симптоми плюс вік плюс стать плюс місто — це вже потенційно ідентифікуюча інформація.
ChatGPT Enterprise — дійсно безпечний?
Значно безпечніший за безкоштовний або Plus план. Дані не використовуються для навчання, є власна ізоляція, вищий рівень шифрування. Але «значно безпечніший» — не означає «ідеальний». Людський фактор нікуди не дівається, а ризики по ланцюжку постачальників (supply chain) залишаються реальними — це підтвердив ряд інцидентів.
Що робити, якщо я вже ввів щось, чого не мав?
Головне — не панікувати і діяти методично. Спочатку видаліть конкретний чат. Якщо були паролі або токени — змінюйте їх негайно, не чекаючи. Якщо корпоративні дані — повідомте свій відділ ІБ, навіть якщо не хочеться. Якщо ситуація критична — надішліть запит на privacy@openai.com, вказавши, які саме дані і в який період були введені.
Висновок
Я не закликаю не користуватися ChatGPT. Я сам ним користуюся — майже щодня. Це дійсно потужний інструмент, який економить купу часу.
Але є одне правило, яке я для себе вивів ще на початку: перед тим як натиснути Enter, запитую себе — чи хотів би я, щоб цей текст прочитала стороння людина? Якщо відповідь «ні» — я або анонімізую дані, або взагалі не вводжу це туди.
Займає дві секунди. Потенційно рятує від дуже великих неприємностей.
Якщо ця стаття була корисною — поділіться нею з колегами, особливо з тими, хто тільки починає активно використовувати AI у роботі. Один правильний підхід на початку може зекономити роки клопоту потім.
Автор: Lumir
Дивіться також:
Як ChatGPT може допомогти вивчити складну тему: чесний гайд від аналітика
Як налаштувати ChatGPT для щоденної роботи: покрокова інструкція
Яка найважливіша порада для студентів що використовують ChatGPT
