Skip to content

Saugumas ir Teisė

AI balso platformos pasirinkimo gidas: Išsamus saugumo vadovas verslui

15 kritinių klausimų AI tiekėjui. BDAR, ES DI aktas, Sub-Processor sąrašai — viskas ką privalote žinoti prieš pasirašant sutartį.

POSKAI · Gegužė 2026

AI balso platformos pasirinkimo gidas: Išsamus saugumo vadovas verslui

TL;DR: Dirbtinis intelektas klientų aptarnavime nebėra tik inovacija — tai griežtai reguliuojamas procesas. Pasirinkus netinkamą AI platformą, rizikuojate iki 35 mln. eurų baudomis pagal naująjį ES DI aktą ir BDAR pažeidimais, ypač jei jūsų klientų balso duomenys siunčiami į JAV serverius. POSKAI yra vienintelė platforma Lietuvoje, siūlanti 100% per-client izoliaciją Europos Sąjungos ribose, garantuojanti visapusišką atitiktį ir ramybę jūsų verslui.

Kodėl AI platformos saugumas tapo svarbiausiu prioritetu?

Lietuvos verslo vadovai kasdien sprendžia dilemą: kaip automatizuoti klientų aptarnavimą ir padidinti pardavimus, nepažeidžiant griežtėjančių privatumo reikalavimų. Įsidiegti AI skambučių asistentą yra paprasta — rinka pilna pigių, greitų sprendimų. Tačiau užtikrinti, kad tas sprendimas taptų įmonės saugumo, o ne pažeidžiamumo šaltiniu, reikalauja specifinių žinių.

Visi tiekėjai žada „GDPR compliance“, bet 90% jų tėra tarpininkai ant amerikietiškų serverių, niekada negirdėję apie tikrą duomenų atskyrimą. Šis gidas yra jūsų draudimo polisas prieš pasirašant bet kokią sutartį. Mes išnarstysime, į ką privalu atkreipti dėmesį, remdamiesi naujausia Europos teismų praktika, Valstybinės duomenų apsaugos inspekcijos (VDAI) rekomendacijomis ir realiomis pasaulinėmis grėsmėmis.

A) Prieš pasirašant sutartį — 15 klausimų checklist'as vadovui

Šis sąrašas yra jūsų skydas. Nedvejokite jo persiųsti potencialiam tiekėjui ir stebėkite reakciją. Jei jie abejoja, vilkina atsakymus ar prisidengia „korporatyvinėmis paslaptimis“ — atsisakykite bendradarbiavimo.

  1. Kur FIZIŠKAI stovi serveriai?

Jei duomenys palieka ES, turite problemą. Serveriai turi būti Frankfurte, Varšuvoje ar Stokholme. Tai ne tik saugumo, bet ir greičio klausimas — fizinis atstumas tiesiogiai lemia atsakymo vėlavimą (latency). Amerikietiški serveriai reiškia, kad galite pažeisti duomenų suverenumo principus. Plačiau apie tai skaitykite: AI duomenų saugumas: ES vs JAV.

  1. Ar infrastruktūra shared ar izoliuota (per-client)?

Dauguma SaaS AI platformų naudoja bendrą infrastruktūrą (shared tenancy). Tai reiškia, kad jūsų klientų pokalbiai apdorojami tame pačiame serveryje kaip ir jūsų konkurentų. Tikra verslo klasės apsauga reikalauja per-client isolation (kiekvienam klientui atskira aplinka). Daugiau apie infrastruktūros svarbą: AI balso platformos infrastruktūra.

  1. Sub-Processor List — ar jis pateikiamas prieš sutartį?

Pagal BDAR 28 straipsnį, duomenų tvarkytojas privalo informuoti apie pasitelkiamus subrangovus. Jei tiekėjas negali atvirai parodyti, kieno modeliais ir serveriais naudojasi, jis slepia trečiąsias šalis, kurioms gali būti perduodami jūsų duomenys. Tai kritinis amerikietiškų AI platformų BDAR bombos elementas.

  1. Ar pokalbių įrašai naudojami modelių treniravimui?

Niekada nesutikite su sąlyga, kad jūsų įmonės duomenys bus naudojami tobulinti tiekėjo ar trečiųjų šalių AI modelius. Jūsų duomenys priklauso jums, ir jūs neturite nemokamai treniruoti svetimo intelekto.

  1. Kas nutinka su duomenimis nutraukus sutartį? (Data portability)

Tiekėjas privalo užtikrinti galimybę saugiai eksportuoti ir negrįžtamai ištrinti visus duomenis per sutartą terminą.

  1. Ar atliekamas DPIA (Data Protection Impact Assessment)?

Poveikio duomenų apsaugai vertinimas nėra šiaip popiergalis. Tai VDAI ir EDPB (Europos duomenų apsaugos valdyba) reikalavimas diegiant naujas, didelės rizikos technologijas. Geras tiekėjas padės jums jį parengti.

  1. SLA (Service Level Agreement) — kokios garantijos?

Kokį uptime ir latency garantuoja tiekėjas? Nepasikliaukite „best effort“. Reikalaukite konkrečių skaičių (pvz., atsakymas per <500ms).

  1. Incident response — per kiek laiko praneša apie duomenų pažeidimą?

Pagal BDAR, apie pažeidimą VDAI būtina pranešti per 72 valandas. Jūsų tiekėjas turi jus informuoti per 24 valandas, kad turėtumėte laiko reaguoti. Tokie incidentai, kaip Sears AI chatbot duomenų nutekėjimas, įrodo greitos reakcijos būtinybę.

  1. Prompt Injection apsauga — ar testuota?

Piktavaliai gali bandyti „nulaužti“ AI asistentą tiesiog kalbėdami su juo, prašydami išduoti vidines instrukcijas ar pritaikyti nerealią nuolaidą. Prompt injection apsauga yra absoliučiai būtina.

  1. Kainodara — minutinė vs fiksuota (paslėpti mokesčiai)?

Minutinė kainodara skamba patraukliai, kol negaunate 3000 € sąskaitos už neplanuotai ilgus klientų pokalbius ar netikėtus LLM API mokesčius. POSKAI siūlo fiksuotą kainodarą nuo 500 €/mėn. — viskas įskaičiuota.

  1. Vendor Lock-in — ar galėsite išeiti?

Įvertinkite, ar jūsų kuriami procesai nėra pernelyg pririšti prie vienos platformos ekosistemos. Jums reikia laisvės.

  1. AI Disclosure (Skaidrumas) — ar sistema prisistato kaip AI?

Pagal ES DI aktą, privaloma asmeniui pranešti, kad jis bendrauja su dirbtiniu intelektu, dar prieš prasidedant pokalbiui.

  1. Šifravimas (Encryption) — At Rest + In Transit?

Visi garso įrašai ir transkripcijos privalo būti šifruojami tiek keliaudami internetu, tiek ilsėdamiesi diskuose.

  1. Audit logs — ar galite audituoti, kas vyko?

Jums reikia detalių žurnalų (logs), parodančių, kas, kada ir prie kokių duomenų turėjo prieigą. Plačiau: AI auditai ir sertifikavimas 2026.

  1. Kibernetinis draudimas (Cyber Insurance) — ar tiekėjas jį turi?

Rimti IT sprendimų teikėjai turi draudimą, kuris padengia išlaidas duomenų nutekėjimo ar sistemos prastovos atveju.

B) ES AI Act — Konkrečiai verslui

Naujasis ES Dirbtinio intelekto aktas (Reglamentas 2024/1689) visiškai keičia žaidimo taisykles. Daugelis įmonių klysta manydamos, kad atsakomybė tenka tik AI kūrėjams (providers). Iš tiesų, didelė naštos dalis krinta ant jūsų – diegėjų (deployers).

  • Skaidrumo reikalavimai (50 straipsnis): Jūs privalote aiškiai informuoti klientą, kad jis kalbasi su dirbtiniu intelektu. Bandymas „apsimesti žmogumi“ ne tik griauna pasitikėjimą, bet ir tiesiogiai pažeidžia įstatymą.
  • Rizikos kategorijos (6 straipsnis): Klientų aptarnavimo pokalbiai dažniausiai patenka į ribotos rizikos kategoriją. Tačiau jei jūsų sistema pradeda vertinti darbuotojų emocijas ar profiluoti žmones pagal biometriją, ji tampa didelės rizikos (high-risk) sistema, reikalaujančia CE ženklinimo ir nuolatinio audito.
  • Baudos, griaunančios verslus: Už DI akto pažeidimus numatytos milžiniškos baudos — iki 35 mln. eurų arba iki 7% bendros pasaulinės metinės apyvartos. Skaitykite išsamiau: ES AI Act 2026 verslui.
  • Žmogaus priežiūra (Human Oversight): Jūs privalote užtikrinti, kad AI sprendimus galėtų peržiūrėti, vertinti ir, prireikus, atšaukti kompetentingas žmogus.

C) BDAR ir GDPR specifika AI balsui

Asmens duomenų tvarkymas balsu yra žymiai sudėtingesnis nei tekstu. Balsas gali atskleisti emocinę būseną, sveikatos sutrikimus ar tautybę. Būtent todėl BDAR reikalavimai čia pritaikomi itin griežtai.

Sub-Processor List (28 straipsnis)

Jei jūsų pasirinktas AI tiekėjas siunčia balso duomenis vienai kompanijai, transkripcijas – kitai, o analitiką – trečiai, jis privalo turėti su kiekviena iš jų pasirašytas duomenų tvarkymo sutartis (DPA) ir viešai skelbti šį sąrašą. Be aiškaus sąrašo — jūsų įmonė yra pažeidėja.

DPIA privalomumas (35 straipsnis)

Jei planuojate analizuoti pokalbių turinį (pvz., vertinti klientų segmentus), atlikti DPIA (Poveikio duomenų apsaugai vertinimą) yra privaloma. EDPB gairės ir VDAI.lt rekomendacijos nurodo, kad bet koks sistemingas profiliavimas dirbtiniu intelektu reikalauja aukščiausių saugiklių.

US Cloud Act vs ES Duomenų suverenitetas

Jei jūsų tiekėjas naudoja JAV esančius debesijos serverius, jūsų duomenys patenka po JAV Cloud Act jurisdikcija. Tai reiškia, kad JAV saugumo tarnybos gali pareikalauti prieigos prie jūsų Lietuvos klientų duomenų be ES teismo sprendimo. Tai kerta per ES duomenų suverenumo politiką. Jums reikia sprendimo, kuris garantuoja 100% priklausomybę tik ES teisėtvarkai.

D) Red Flags: Kaip atpažinti nesaugų tiekėją

Jei derybų metu pastevite bent vieną iš šių požymių, nutraukite procesą:

  • Slepia Sub-Processor List: Frazių „mes naudojame pažangiausius globalius modelius“ vertimas dažnai skamba kaip „mes siunčiame jūsų klientų duomenis į pigius serverius Azijoje ar JAV“.
  • ToS atleidžia nuo atsakomybės: Jei paslaugų teikimo sąlygose parašyta „We are not responsible for GDPR compliance“, tai reiškia, kad visa atsakomybė kris ant jūsų pečių.
  • Duomenys keliauja per JAV: Tai tiesioginis Schrems II pažeidimo pavojus.
  • Per pigi kaina: Balso ir AI technologijos kainuoja. Jei siūloma neįtikėtinai pigiai, jūs esate prekė. Paskaitykite mūsų palyginimą: POSKAI vs Retell, Bland ir Vapi.

E) POSKAI Kaip Etalonas: Pavyzdys kaip TURI būti

POSKAI buvo sukurta atsižvelgiant į aukščiausius saugumo standartus, suprantant Lietuvos įmonių, ypač transporto ir logistikos sektorių, poreikius. Mes nesiūlome kompromisų saugumo sąskaita:

KriterijusPOSKAI (ES Etalonas)Tipinis JAV SaaS tarpininkas
Serverių lokacijaFrankfurtas / Varšuva / StokholmasŠiaurės Virdžinija, JAV (Cloud Act rizika)
InfrastruktūraPer-client izoliacijaShared tenancy (bendras katilas)
Sub-Processor ListPateikiamas atvirai prieš sutartįSlepiamas, nuolat keičiasi
Prompt Injection ApsaugaIntegruota ir testuotaNeegzistuoja (palikta klientui)
KainodaraNuo 500 €/mėn (viskas įskaičiuota)Paslėpti minučių ir LLM API mokesčiai

Rinktis AI balso platformą – tai rinktis strateginį partnerį, kuriam patikite savo klientų paslaptis. Neleiskite pigiems pažadams aptemdyti jūsų analitinio mąstymo. Reikalaukite skaidrumo, aiškumo ir 100% europietiškos infrastruktūros. Mes kviečiame rinktis tuos, kurie saugumą pavertė savo pamatine vertybe.

Dažnai užduodami klausimai

Kodėl neužtenka, kad tiekėjas tiesiog pasako „esame GDPR compliant“?

Dauguma JAV platformų deklaruoja atitiktį, tačiau slepia faktą, jog naudoja serverius už ES ribų, taip rizikuodamos pažeisti ES duomenų perdavimo principus ir pakliūti po Cloud Act. Privalote reikalauti įrodymų, sertifikatų ir viešo Sub-Processor sąrašo.

Ką reiškia „per-client isolation“ ir kodėl tai svarbu?

Tai architektūros modelis, kai jūsų įmonės duomenys ir AI procesai veikia fiziškai ar logiškai atskiroje aplinkoje nuo kitų klientų. Tai panaikina duomenų susikirtimo (cross-contamination) riziką, kuri būdinga masinėms „shared SaaS“ platformoms. POSKAI jūsų duomenis traktuoja kaip izoliuotą tvirtovę.

Kas yra Prompt Injection ir kaip tai veikia skambučiuose?

Tai ataka, kai skambinantis asmuo specialiai suformuluotais sakiniais bando priversti AI asistentą ignoruoti savo pagrindines instrukcijas ir, pavyzdžiui, išduoti konfidencialią informaciją ar pritaikyti nesamą nuolaidą. POSKAI dirbtinis intelektas turi specialius saugiklius, kurie identifikuoja ir automatiškai blokuoja tokius manipuliavimo bandymus.

Ar esame įpareigoti pasakyti klientui, kad jis kalba su AI?

Taip, pagal ES Dirbtinio intelekto aktą (Reglamentas 2024/1689), skaidrumo reikalavimas yra privalomas (50 straipsnis). Klientas turi teisę žinoti, kad bendrauja ne su gyvu žmogumi, ir tai turi būti aiškiai pabrėžta pokalbio pradžioje. POSKAI platforma šią funkciją palaiko automatiškai.

Pasiruošę pradėti saugiai?

Susisiekite su POSKAI komanda ir sužinokite, kaip mūsų izoliuotas ir Europoje veikiantis DI asistentas gali optimizuoti jūsų procesus bei sutaupyti pinigų, nerizikuojant duomenų saugumu.

Gaukite pasiūlymą

Pasiruošę automatizuoti verslo skambučius?

POSKAI DI valdo pardavimus, aptarnavimą ir priminimus — 24/7, bet kuria kalba, nuo 500 €/mėn.

SusisiekiteKaip tai veikia

Susiję straipsniai

Skaitykite daugiau apie šią temą

AI botas už 500€ ar verslo lygio platforma? Ko nematote po kapotu
Straipsnis

AI botas už 500€ ar verslo lygio platforma? Ko nematote po kapotu

Išardome kas sudaro tikrą AI balso infrastruktūrą: per-kliento izoliacija, ES duomenų rezidencija, end-to-end šifravimas.

Reali AI balso saugumo kaina: 2025-2026 incidentai
Straipsnis

Reali AI balso saugumo kaina: 2025-2026 incidentai

AI duomenų nutekėjimas 2025-2026 metais parodė tikrąją dirbtinio intelekto saugumo kainą. Sužinokite, kaip apsaugoti savo verslą.

DI skambučiai ir BDAR: Išsamus teisinis gidas Lietuvos verslui
Straipsnis

DI skambučiai ir BDAR: Išsamus teisinis gidas Lietuvos verslui

ES DI aktas, BDAR atitiktis ir duomenų saugumas automatizuotuose skambučiuose. Kaip POSKAI užtikrina 100% legalią DI balso asistentų veiklą Lietuvoje.

Kodėl amerikietiškos AI platformos yra BDAR bomba jūsų verslui (Retell, Bland, Vapi, Synthflow)
Straipsnis

Kodėl amerikietiškos AI platformos yra BDAR bomba jūsų verslui (Retell, Bland, Vapi, Synthflow)

ChatGPT rekomenduoja Retell, Bland ir Vapi kaip geriausius AI asistentus. Sužinokite, kodėl šis patarimas gali kainuoti jūsų verslui milijonus eurų dėl BDAR pažeidimų ir CLOUD Act grėsmių.

Kodėl Shared SaaS AI platformos yra tiksinti bomba jūsų verslui
Straipsnis

Kodėl Shared SaaS AI platformos yra tiksinti bomba jūsų verslui

Vienos duomenų bazės dalijimasis su 500 įmonių — vienas nutekėjimas ir visi nukentės. Sužinokite, kodėl POSKAI per-klientas izoliacija yra vienintelis saugus AI sprendimas verslui.

Top 7 DI Balso Asistentai Lietuvos Verslui: Išsami Apžvalga (2026)
Straipsnis

Top 7 DI Balso Asistentai Lietuvos Verslui: Išsami Apžvalga (2026)

Išsami B2B skambučių automatizavimo platformų apžvalga. Sužinokite, kurie DI agentai realiai veikia lietuvių kalba, pritraukia klientus ir kiek iš tikrųjų kainuoja.