Baza wiedzy / Bezpieczeństwo i governance
Przewodnik

Który AI dla firmy? Klasyfikacja dostawców pod kątem bezpieczeństwa danych

OpenAI, Claude, Gemini, DeepSeek, Kimi, z.ai — który z nich można wpuścić do dokumentów klientów, kodu i umów, a którego trzymać z dala od danych firmowych. Bez marketingu, według wariantu, umowy i lokalizacji danych.

N
Zespół navito.ai
AI Transformation Navigator
· 11 min czytania
Werdykt w 30 sekund

O bezpieczeństwie nie decyduje to, który model jest „najmądrzejszy", tylko wariant, umowa i miejsce, gdzie lądują dane.

Ten sam dostawca bywa zielony w planie biznesowym z umową o ochronie danych i czerwony na prywatnym koncie. Poniżej — jak poukładać to per dostawca.

Co właściwie oceniamy

Ta klasyfikacja nie ocenia „inteligencji" modelu. Ocenia ryzyko użycia narzędzia z danymi firmowymi: dokumentami klientów, kodem, umowami, mailami, danymi osobowymi, know-how i informacjami objętymi umową o poufności (NDA).

Trzy pytania rozstrzygają o kolorze każdego narzędzia: czy dostawca uczy się na Twoich danych, gdzie fizycznie te dane lądują, oraz czy masz z nim umowę o ochronie danych (DPA — umowa powierzenia przetwarzania wg art. 28 RODO). Szerzej rozkładamy to w przewodniku Jakich modeli AI możesz bezpiecznie używać w firmie.

● ZIELONY

Do rozważenia dla danych firmowych po wdrożeniu planu biznesowego/API, DPA i kontroli retencji.

● ŻÓŁTY

Warunkowo, po przeglądzie prawnym/bezpieczeństwa — najlepiej dla danych niskiego lub średniego ryzyka.

● POMARAŃCZOWY

Raczej tylko testy oraz dane publiczne, syntetyczne albo w pełni zanonimizowane.

● CZERWONY

Nie używać do danych firmowych.

Podsumowanie per dostawca

Skrót decyzyjny. Szczegóły i źródła — w sekcjach pod tabelą. Stan polityk: lipiec 2026.

Dostawca Klasyfikacja dla firm Najbezpieczniejszy wariant Czego unikać
OpenAI / ChatGPT ZIELONY — Business/Enterprise/APICZERWONY — konto prywatne ChatGPT Business/Enterprise/Edu lub API z DPA i kontrolą przechowywania; opcjonalnie zero retencji i europejska lokalizacja danych Wklejanie danych firmowych do prywatnego ChatGPT
Anthropic / Claude ZIELONY/ŻÓŁTY — Team/Enterprise/APICZERWONY — konto prywatne Claude Enterprise/API z DPA; przy twardym wymogu UE osobno sprawdzić lokalizację przetwarzania Założenie, że „Enterprise" automatycznie znaczy pełną lokalizację danych w UE
Google / Gemini ZIELONY — Workspace/CloudCZERWONY — konto prywatne Gemini w Google Workspace lub Vertex AI (Google Cloud) z ustawieniami administratora i kontrolą przechowywania Prywatny Gemini albo niekontrolowane AI Studio z danymi firmowymi
DeepSeek CZERWONY — aplikacja/APIŻÓŁTY/ZIELONY — tylko self-hosting Model uruchomiony na własnej lub kontrolowanej infrastrukturze, bez wysyłania danych do DeepSeek Natywny czat/API DeepSeek z danymi, klientami, kodem lub dokumentami
Kimi / Moonshot AI ŻÓŁTY — APICZERWONY — czat Kimi API po przeglądzie umów, przechowywania i klasyfikacji danych; ewentualnie model na własnej infrastrukturze Traktowanie czatu Kimi jak narzędzia firmowego bez sprawdzenia warunków
z.ai / Zhipu / GLM ŻÓŁTY — APICZERWONY — czat z.ai API z DPA i oceną transferów; model GLM na kontrolowanej infrastrukturze, jeśli firma ma kompetencje Wysyłanie poufnych danych do publicznego czatu z.ai lub niezweryfikowanych nakładek

OpenAI / ChatGPT

Dziś jeden z bezpieczniejszych wyborów dla firm — ale tylko w wariantach biznesowych. OpenAI deklaruje, że domyślnie nie używa danych z ChatGPT Business, Enterprise, Edu ani z API (wejść i wyjść) do trenowania modeli, chyba że klient wyraźnie się zgodzi. W API dane bywają przechowywane do 30 dni (na potrzeby wykrywania nadużyć), a potem kasowane; kwalifikujące się organizacje mogą uzyskać brak przechowywania (zero retencji), a dla części zastosowań — europejską lokalizację danych.

Wniosek: dobry wybór jako podstawowe narzędzie firmowe — ale nie przez prywatne konta pracowników.

Anthropic / Claude

Mocny kandydat, zwłaszcza do pracy z dokumentami, analizy i kodu. Anthropic deklaruje, że w API i planach komercyjnych dane nie są używane do trenowania bez wyraźnej zgody. Ważna zmiana: od września 2025 domyślne przechowywanie danych z API skrócono z 30 do 7 dni (dłuższe 30 dni lub brak przechowywania — po ustaleniu w umowie).

Niuans dla firm z UE: dane co do zasady przechowywane są w USA, a przetwarzanie może odbywać się w wybranych krajach, o ile nie uzgodniono inaczej. Osobno warto odnotować, że konsumencki Claude od 2025 domyślnie może używać rozmów do trenowania (chyba że użytkownik to wyłączy) — kolejny powód, by dane firmowe trzymać z dala od kont prywatnych.

Wniosek: bardzo dobre narzędzie firmowe, ale przy twardym wymogu „dane tylko w UE" zrób dokładniejszy przegląd architektury i umów.

Google / Gemini

Silna pozycja tam, gdzie firma już używa Google Workspace lub Google Cloud. Dla Gemini w Workspace Google deklaruje, że treści nie są używane do trenowania modeli poza domeną bez zgody klienta, a obowiązują dotychczasowe zabezpieczenia Workspace; administrator może kontrolować przechowywanie rozmów. W Vertex AI (Google Cloud) Google deklaruje, że domyślnie nie używa danych klienta do trenowania ani dostrajania modeli, a dla kwalifikujących się klientów oferuje warunki równoważne brakowi przechowywania.

Wniosek: bardzo dobry wybór dla organizacji osadzonych w Google Workspace/Cloud — trzeba tylko odróżnić Workspace/Cloud od prywatnego Gemini.

DeepSeek

Jako usługę online należy traktować bardzo ostrożnie. Polityka prywatności DeepSeek mówi, że firma może zbierać prompty, pliki, zdjęcia, historię czatów i inne przekazane treści, używać danych do rozwoju i trenowania technologii oraz przechowywać dane w Chińskiej Republice Ludowej. W 2025 r. włoski organ ochrony danych (Garante) nakazał ograniczenie przetwarzania i zablokował usługę wobec braków w zgodności z RODO.

To nie znaczy, że modele DeepSeek są bezużyteczne — trzeba odróżnić DeepSeek jako usługę online od modelu uruchomionego na własnej infrastrukturze. W tym drugim wariancie dane nie trafiają do DeepSeek, ale organizacja bierze na siebie hosting, logi, monitoring, kontrolę dostępu i testy jakości.

Wniosek: natywny czat/API DeepSeek — nie dla danych firmowych. Własny hosting — możliwy, ale tylko dla firm z dojrzałym zapleczem technicznym.

Kimi / Moonshot AI

Wymaga rozróżnienia między czatem a API. Usługę świadczy singapurski podmiot Moonshot AI PTE. LTD., a dane przechowywane są na serwerach w Singapurze. Polityka czatu wskazuje, że treści (prompty, pliki, audio, obrazy, generowane wyniki) mogą być używane do rozwoju i ulepszania modeli. Osobno Kimi API deklaruje, że dane przesłane przez API — wejścia i wyjścia — nie są używane do trenowania i służą wyłącznie obsłudze bieżącego żądania (regulamin platformy dopuszcza „ulepszanie usług", chyba że uzgodniono osobne warunki firmowe).

Wniosek: Kimi API można rozważać warunkowo, zwłaszcza do danych niskiego ryzyka lub testów. Czat Kimi nie powinien być domyślnym miejscem pracy na danych firmowych.

z.ai / Zhipu / GLM

Wygląda dojrzalej niż typowy publiczny czat, ale wymaga ostrożności. Międzynarodową usługę kontroluje singapurski podmiot JINGSHENG HENGXING TECHNOLOGY PTE. LTD., a dane co do zasady przetwarzane są w Singapurze. Dla API z.ai ma DPA, w którym występuje jako podmiot przetwarzający na polecenie klienta, a treści przekazane lub wygenerowane w API nie są przechowywane na serwerach — są przetwarzane w czasie rzeczywistym i nie służą trenowaniu modelu. Część konsumencka ma inne zasady: dane wejściowe mogą być używane do rozwoju usług i trenowania modeli.

Wniosek: z.ai API to technicznie ciekawy kandydat, ale dla firm z UE powinien przejść przegląd transferów, DPA i podwykonawców. Publiczny czat z.ai — nie dla danych firmowych.

Najprostsza rekomendacja dla zarządu

Dla codziennej pracy firmowej najbezpieczniejsza ścieżka wygląda tak.

01

Podstawa: OpenAI, Claude lub Google

W wariancie biznesowym/enterprise/API — jako zatwierdzone, domyślne narzędzia firmy.

02

DeepSeek, Kimi, z.ai — z rozwagą

Raczej do testów, automatyzacji niskiego ryzyka lub własnego hostingu — nie jako domyślne miejsce pracy na danych klienta.

03

Modele na własnej infrastrukturze

Szansa na większą kontrolę nad danymi — ale tylko, gdy firma umie bezpiecznie utrzymać własne AI.

04

Prywatne konta i darmowe czaty — wyłączyć

Z pracy na danych firmowych, niezależnie od tego, jak dobry jest model. To najczęstsze źródło wycieku.

Jak podchodzimy do tego w navito.ai

Dobór dostawcy zawsze pod zasady AI organizacji: modele bez trenowania na Waszych danych i z kontrolą przechowywania, a przy wymogu „dane w UE" — dopasowana architektura i umowy. Nie zaczynamy od narzędzia, tylko od tego, jakie dane wchodzą do procesu i jaki poziom ryzyka jest do przyjęcia.

Materiał edukacyjny, nie porada prawna. Stan na lipiec 2026, na podstawie publicznych polityk i dokumentacji dostawców. Warunki zmieniają się często — przed wdrożeniem potwierdź aktualny stan u dostawcy; wiążące są umowy zawarte z dostawcą.

Czytaj dalej
BEZPIECZEŃSTWO · 9 min
Jakich modeli AI możesz bezpiecznie używać w firmie? →

Granica między kontem darmowym a biznesowym, trzy pytania i mapa: co wolno wrzucać do AI i na jakim koncie.

Następny krok

Nie wiecie, który wariant jest bezpieczny dla Waszych danych?

← Wróć do bazy wiedzy
navito.ai

AI Transformation Navigator. Prowadzimy organizacje przez wdrożenia AI — od mapy po działający proces.

Oferta
Firma
© 2026 navito.ai — marka należy do Agile Force sp. z.o.o. Do góry ↑