2Slides Team
16 min read
Инструменты для создания презентаций с ИИ, соответствующие GDPR и HIPAA (руководство 2026)
Для медицинских организаций и компаний в ЕС выбор инструментов для создания презентаций с ИИ, отвечающих определённым требованиям соответствия, ограничен. Для HIPAA (здравоохранение США, требуется подписанное соглашение Business Associate Agreement): Microsoft 365 Copilot — единственный массовый вариант с документированным BAA по состоянию на апрель 2026 года; Canva предлагает BAA на корпоративном уровне по запросу; Google Gemini для Workspace предлагает развёртывание с соответствием HIPAA для клиентов Workspace Business/Enterprise, которые заключают BAA с Google. Для GDPR (обработка данных в ЕС): Microsoft и Google предлагают опции EU Data Boundary / регион хранения данных в ЕС; Beautiful.ai, Gamma, Canva и Plus AI публикуют соответствующие GDPR соглашения DPA со стандартными договорными положениями, но не все гарантируют обработку данных исключительно в ЕС — большинство по-прежнему хранят данные в США. Распространённая ошибка при закупках: инструменты для создания презентаций с ИИ, которые "поддерживают" GDPR, — это не то же самое, что инструменты, гарантирующие резидентность данных в ЕС. Это руководство содержит реальный статус соответствия каждого крупного инструмента со ссылками на источники и объясняет, когда каждое регулирование фактически применяется.
Данное руководство обобщает публично задокументированные позиции по соответствию по состоянию на апрель 2026 года; для принятия конкретных решений о развёртывании проконсультируйтесь с вашим юридическим отделом по вопросам соответствия. Мы не указываем заявления о соответствии, которые поставщики не подтвердили в письменном виде.
HIPAA: Барьер BAA
HIPAA (Закон о переносимости и подотчетности медицинского страхования) регулирует, как организации США обрабатывают Защищенную Медицинскую Информацию (PHI). Если ваша презентация может содержать имена пациентов, номера медицинских карт, диагнозы, изображения или любые из 18 идентификаторов HIPAA — даже в сноске или приложении — вы обрабатываете PHI.
Чтобы облачный сервис можно было использовать с PHI, поставщик должен подписать Соглашение Бизнес-Партнера (BAA) с вашей организацией. BAA — это специальный контракт согласно 45 CFR §164.504(e), который обязывает поставщика защищать PHI, сообщать о нарушениях и ограничивать использование. Без BAA любая загрузка PHI в инструмент является нарушением HIPAA — независимо от того, насколько технически безопасен инструмент.
Кто Публично Предлагает BAA для Функций AI Презентаций?
Microsoft 365 Copilot покрывается стандартным BAA от Microsoft, которое доступно через Дополнение по Защите Данных Онлайн-Сервисов Microsoft для клиентов, являющихся охваченными организациями или бизнес-партнерами согласно HIPAA. BAA доступно через Service Trust Portal. Microsoft 365 Copilot Enterprise указан как сервис в области действия. Данные клиентов не используются для обучения базовых моделей. Microsoft Copilot for Security также явно покрывается.
Google Gemini for Workspace стал соответствующим HIPAA с 30 сентября 2025 года. Приложение Gemini и Gemini в Workspace — включая функции "Помоги мне написать", контекстные умные ответы и возможности боковой панели, которые обеспечивают генерацию AI в Google Slides — теперь являются включенной функциональностью согласно Дополнению Бизнес-Партнера HIPAA от Google Workspace. Вы должны подписать BAA от Google и развернуть через Google Workspace Business или Enterprise; потребительский продукт Gemini явно не соответствует HIPAA.
Canva предлагает BAA на корпоративном уровне по запросу, но только для определенных конфигураций. Canva имеет сертификацию SOC 2 Type II и ISO 27001, и Canva Enterprise не использует контент команды для обучения AI. Однако стандартный продукт Canva — включая уровни бесплатный, Pro и Teams — не соответствует HIPAA. Проверьте область действия BAA с командой корпоративных продаж Canva перед загрузкой PHI.
Все остальные — Gamma, Beautiful.ai, Plus AI, Tome, Pitch — публично не документируют BAA для рабочих процессов AI-презентаций по состоянию на апрель 2026 года. Это означает, что они находятся вне доступа для PHI независимо от их других учетных данных безопасности.
Вывод: Если ваши слайды касаются PHI, короткий список — это Microsoft 365 Copilot, Google Gemini for Workspace (с подписанным BAA) и Canva Enterprise (BAA по запросу). Все остальное — риск соответствия.
GDPR: Обработка данных vs Резидентность данных
GDPR применяется каждый раз, когда вы обрабатываете персональные данные субъектов данных из ЕС или Великобритании. Для инструмента создания презентаций это включает содержимое слайдов, которое вы загружаете (если оно содержит персональные данные), метаданные о том, кто создал презентацию, и телеметрию об использовании инструмента.
Соответствие GDPR для поставщика имеет два отдельных уровня, которые покупатели часто путают:
1. Соответствующее GDPR Приложение об обработке данных (DPA). Это юридический договор между вами (контролёром) и поставщиком (обработчиком). Оно должно включать Стандартные договорные оговорки (SCC) для международных передач, список субобработчиков, реестр операций обработки и технические и организационные меры (TOM). Большинство корпоративных SaaS-поставщиков публикуют DPA.
2. Резидентность данных в ЕС. Это техническое обязательство, что данные никогда не покидают инфраструктуру ЕС для хранения или обработки. Очень немногие поставщики AI-инструментов для презентаций предлагают это, поскольку базовые LLM часто размещаются в США.
Поставщик может иметь отличное DPA с SCC и при этом обрабатывать ваши данные в Соединённых Штатах. Такая передача законна согласно GDPR, если действуют SCC и дополнительные меры — но она может стать дисквалифицирующим фактором для покупателей из государственного сектора, отраслей, чувствительных к делу Schrems II, или организаций с внутренними политиками, требующими обработки только в ЕС.
Инструменты с реальными опциями резидентности данных в ЕС
Microsoft 365 Copilot — это сервис EU Data Boundary. Клиентские данные в состоянии покоя остаются в пределах EU Data Boundary. Однако Microsoft включил "Flex Routing" для всех клиентов ЕС/ЕАСТ с 17 апреля 2026 года, что позволяет LLM-инференсу Copilot происходить за пределами EU Data Boundary во время пиковой нагрузки. Данные в состоянии покоя остаются в ЕС; обработка в реальном времени может происходить не в ЕС. Организации, которым требуется строгая обработка только в ЕС, должны явно отключить Flex Routing. Кроме того, модели Anthropic, маршрутизируемые через Microsoft, находятся за пределами зоны действия EU Data Boundary.
Google Gemini for Workspace поддерживает регионы данных для клиентов Workspace на планах Business Plus и выше, позволяя хранить охваченные данные в регионе ЕС. Поведение инференса Gemini в реальном времени следует проверить в текущей документации Google Workspace HIPAA/DPA для вашего региона.
Все остальные основные AI-инструменты для презентаций обрабатывают и хранят данные в Соединённых Штатах по умолчанию по состоянию на апрель 2026 года. Это включает Gamma, Beautiful.ai, Canva (данные хранятся в США с SCC для передач), Plus AI и Tome.
Матрица соответствия по инструментам
| Инструмент | HIPAA BAA | Резидентность данных в ЕС | GDPR DPA | SCCs | Прозрачность субпроцессоров | Хранение данных по умолчанию | Отказ от обучения |
|---|---|---|---|---|---|---|---|
| Microsoft 365 Copilot (Enterprise) | Да, через Microsoft Online Services DPA | Граница данных ЕС в состоянии покоя; Flex Routing может перемещать обработку за пределы ЕС | Да | Да (2021/914) | Да, опубликовано | Согласно политике клиента | Да, обучение отключено по умолчанию |
| Google Gemini for Workspace (Business/Enterprise) | Да, BAA с 30 сентября 2025 | Регион данных ЕС доступен (Business Plus+) | Да | Да | Да, опубликовано | Согласно политике Workspace | Да, обучение отключено по умолчанию |
| Canva Enterprise | По запросу, только корпоративный уровень | Публично не заявлено (хостинг в США) | Да | Да (2021/914, Module 2) | Да, опубликовано в DPA | Публично не заявлено | Да (только Teams/Enterprise) |
| Gamma | Публично не заявлено | Нет (хостинг в США) | Да | Да | Да, опубликовано | Публично не заявлено | Только корпоративный уровень |
| Beautiful.ai | Публично не заявлено | Нет (хостинг в США) | Да (заявлена сертификация GDPR) | Да | По запросу | Максимум 30 дней для данных, обработанных AI | Да, не используется для обучения публичных LLM |
| Plus AI | Публично не заявлено | Публично не заявлено | Да | Публично не заявлено | Публично не заявлено | Публично не заявлено | Корпоративный уровень |
| Tome | Публично не заявлено | Публично не заявлено | Да | Публично не заявлено | Публично не заявлено | Публично не заявлено | Публично не заявлено |
| Pitch | Публично не заявлено | Базируется в Германии; резидентность данных в ЕС вероятна | Да | Да | Да | Публично не заявлено | Публично не заявлено |
«Публично не заявлено» означает, что поставщик не дал публичных письменных обязательств по данному конкретному контролю по состоянию на наше исследование в апреле 2026 года. Не рассматривайте отсутствие заявления как соответствие или несоответствие — это вопрос, который следует поднять при закупке.
Для здравоохранения (США): Что на самом деле следует использовать?
Рекомендуемые инструменты
Для любого рабочего процесса, где PHI (защищенная медицинская информация) может потенциально появиться на слайде, в AI-запросе или в визуализации, связанной с данными:
-
Microsoft 365 Copilot (Enterprise E3/E5 с лицензией Copilot). Наиболее зрелый вариант с генерацией PowerPoint, обеспеченной BAA (Соглашение о деловом сотрудничестве), интеграцией с Teams и элементами управления на уровне арендатора. Данные клиентов не используются для обучения базовых моделей.
-
Google Workspace Business/Enterprise с Gemini. Соответствует требованиям HIPAA с сентября 2025 года. Google Slides с функциями Gemini "Помочь мне создать" и боковой панелью покрываются BAA для HIPAA после его подписания. Требуется явное принятие BAA в консоли администратора.
-
Canva Enterprise с подписанным BAA. Приемлемо для маркетинговых и образовательных материалов для пациентов при условии подписания BAA и закрепления конфигурации на корпоративном уровне. Не рекомендуется для клинических презентаций или операционных дашбордов.
Особенности рабочего процесса
- По возможности деидентифицируйте данные. Деидентификация по методу HIPAA Safe Harbor (45 CFR §164.514(b)(2)) полностью исключает применение HIPAA. Если ваш слайд может показывать агрегированные числа или деидентифицированные примеры случаев, это путь с меньшим риском.
- Настройте отказ от обучения на уровне арендатора. Даже при наличии BAA проверьте настройки в консоли администратора, которые предотвращают любую тонкую настройку или персонализацию на основе данных арендатора.
- Проверяйте использование сотрудниками потребительских AI-инструментов. Главным источником утечек HIPAA в 2024–2025 годах стали клиницисты, вставляющие заметки в потребительские версии ChatGPT или Gemini для подведения итогов. Внедрите корпоративные инструменты с BAA и заблокируйте потребительские версии на уровне брандмауэра.
- Проверьте журналирование. HIPAA §164.312(b) требует средств контроля аудита. Убедитесь, что ваш арендатор регистрирует AI-взаимодействия на уровне, требуемом вашей программой соответствия.
Для рабочих процессов клинических и операционных презентаций, в частности, см. наш сопутствующий материал о AI-презентациях для здравоохранения и медицинских слайдах.
Для ЕС / GDPR: Варианты развертывания
Организации ЕС сталкиваются с многоуровневым деревом решений:
Если вам требуется обработка только в ЕС (самые строгие требования)
- Microsoft 365 Copilot с отключенным Flex Routing. Это наиболее близкий вариант к AI-презентациям только в ЕС в масштабе. Вы должны явно отказаться от Flex Routing в центре администрирования Microsoft 365 до крайнего срока в апреле 2026 года и принять, что некоторые функции Copilot могут работать хуже в часы пиковой нагрузки.
- Google Workspace с регионом данных ЕС. Тарифы Business Plus и выше позволяют настроить регион данных ЕС. Убедитесь, что конкретные функции Gemini, на которые вы полагаетесь, входят в область действия вашего региона.
- Самостоятельный хостинг или альтернативы в ЕС. Для случаев с наивысшим уровнем гарантий (например, европейский государственный сектор) рассмотрите конвейеры генерации с хостингом в ЕС или локальную генерацию PowerPoint. 2Slides предлагает корпоративные развертывания с настраиваемыми регионами обработки данных.
Если вам требуется DPA со SCC (большинство корпоративных случаев)
Практически каждый крупный поставщик AI-презентаций — Gamma, Beautiful.ai, Canva, Plus AI, Pitch — публикует DPA, совместимый с GDPR, со SCC. Юридически этого достаточно для большинства обязательств GDPR, если оценка воздействия передачи (TIA) это поддерживает. Проверьте список субобработчиков поставщика, параметры хранения по умолчанию и статус EU-US Data Privacy Framework, и задокументируйте свою TIA.
Если ваш аппетит к риску допускает обработку в США с мерами защиты
Подойдет любой из основных инструментов с опубликованным DPA. Практический риск заключается в репутационных последствиях (обработчик в США усложняет аудиты соответствия) и технических аспектах (субобработчики могут меняться, цепочки поставок непрозрачны). Отслеживайте уведомления об изменении субобработчиков и разрабатывайте планы на случай непредвиденных обстоятельств.
Вывод: Соответствие GDPR — это спектр, а не бинарное состояние. Правильный инструмент зависит от того, требует ли ваша организация размещения в ЕС, принимает ли передачу в США со SCC или имеет еще более строгие требования к суверенитету (например, немецкий BSI, французский SecNumCloud или дополнительные меры ЕС Schrems II).
Для юридических и финансовых услуг: Смежные регуляции
Юридические услуги (США и Великобритания)
Юридические фирмы, работающие с данными клиентов, сталкиваются с обязательствами по соблюдению адвокатской тайны и этическими правилами коллегий адвокатов штатов (в США — ABA Model Rule 1.6 о конфиденциальности). Это не «фреймворки соответствия» в смысле SOC 2, но они фактически требуют тех же мер контроля: никакого обучения на данных клиентов, изоляция клиентов, журналы аудита и оговорки о конфиденциальности в договоре с поставщиком. Microsoft 365 Copilot и Google Gemini for Workspace — проверенные безопасные варианты для повседневного использования. Для судебных разбирательств и клиентских презентаций см. наше руководство по AI-презентациям для юридических команд: краткие описания дел и клиентские предложения.
Финансовые услуги
GLBA (Gramm-Leach-Bliley Act) регулирует непубличную персональную информацию (NPI) в финансовых учреждениях США. Правила FINRA применяются к коммуникациям брокеров-дилеров. SOX влияет на финансовую отчетность публичных компаний. PCI-DSS охватывает данные держателей карт.
Ни одна из этих регуляций не соответствует напрямую модели BAA из HIPAA, но все требуют аналогичных мер контроля: соглашения об обработке данных, прозрачность субпроцессоров, ограничения на хранение и журналы аудита. Microsoft 365 Copilot имеет авторизацию FedRAMP High для государственных клиентов США, что является надёжным индикатором строгости для финансовых услуг. Google Workspace также имеет FedRAMP High.
Образование (FERPA)
FERPA регулирует образовательные записи учащихся в учебных заведениях США, получающих федеральное финансирование. В отличие от HIPAA, FERPA не использует механизм BAA; он использует исключение «должностного лица учебного заведения» и письменное соглашение с поставщиком. Microsoft и Google публикуют специальные условия для FERPA в своих образовательных тарифах. При выборе инструментов относитесь к FERPA аналогично HIPAA — используйте Microsoft 365 Education, Google Workspace for Education или Canva for Education с соответствующими условиями.
Распространенные ошибки в соблюдении требований
1. Предположение, что "enterprise" означает "соответствие HIPAA". Canva Enterprise автоматически не покрывается BAA — вы должны запросить его отдельно. Beautiful.ai, Gamma и Plus AI в корпоративных тарифах публично вообще не предлагают BAA. Корпоративный тариф улучшает меры безопасности; он не автоматически снимает ответственность по HIPAA.
2. Смешивание GDPR-совместимого DPA с резидентностью данных в ЕС. У каждого крупного SaaS-поставщика есть GDPR DPA. Лишь немногие фактически хранят и обрабатывают данные в ЕС. Задайте конкретный вопрос: "Происходит ли обработка моих данных — включая вывод LLM в реальном времени — полностью в пределах ЕС?"
3. Игнорирование разрастания субпроцессоров. AI-инструмент для презентаций может использовать OpenAI для текста, Anthropic для рассуждений, ElevenLabs для голоса и Cloudflare для CDN. Каждый является субпроцессором, у каждого свои политики данных, и любой из них может изменить условия. Проверьте опубликованный список субпроцессоров и подпишитесь на уведомления об изменениях.
4. Забывание о настройках обучающих данных по умолчанию. DPA поставщика может гласить "мы не обучаемся на данных клиентов" — но проверьте, что это относится к конкретным AI-функциям, которые вы используете, а не только к базовому продукту. Beautiful.ai хранит обработанные AI данные в течение 30 дней; Gamma enterprise предлагает отказ от обучения, но потребительский тариф по умолчанию этого не делает.
5. Использование потребительских AI-инструментов для корпоративной работы. ChatGPT Free и Google Gemini (потребительская версия) никогда не покрываются BAA или корпоративными DPA. Заблокируйте их на уровне файрвола или через DLP-политику и предоставьте санкционированные корпоративные альтернативы.
6. Предположение, что BAA Microsoft Copilot покрывает все продукты Copilot. Microsoft 365 Copilot (в Word, Excel, PowerPoint) имеет BAA. Но отдельные решения Copilot, агенты Copilot Studio и Copilot Pro (потребительская версия) имеют другое покрытие. Проверьте конкретный SKU и название сервиса на Microsoft Service Trust Portal.
Часто задаваемые вопросы
Соответствует ли ChatGPT требованиям HIPAA для создания презентаций?
OpenAI предлагает BAA для ChatGPT Enterprise и OpenAI API с нулевым хранением данных — не для ChatGPT Plus или ChatGPT Free. Если вы используете ChatGPT для создания черновиков слайдов, вы должны использовать ChatGPT Enterprise с подписанным BAA, и слайды должны быть созданы в инструменте, охваченном HIPAA. Не вставляйте PHI в ChatGPT Free.
Считается ли Google Slides с Gemini совместимым с HIPAA?
Да, по состоянию на 30 сентября 2025 года, если вы используете Google Workspace Business или Enterprise и подписали BAA с Google, и вы используете функции Gemini через боковую панель Workspace или интеграцию с Google Slides. Потребительское приложение Gemini не охватывается.
Могу ли я использовать Canva Pro с данными пациентов, если у меня есть BAA?
Нет. BAA от Canva доступен только на уровне Enterprise, а не Pro. Canva Pro не имеет средств контроля на уровне арендатора, требуемых HIPAA, и BAA на него не распространяется.
Означает ли SOC 2 Type II, что инструмент совместим с HIPAA?
Нет. SOC 2 — это структура аудита безопасности. HIPAA требует конкретных договорных обязательств (BAA) и специфических мер контроля (§164.308, §164.312). Инструмент может быть сертифицирован по SOC 2 и при этом не соответствовать HIPAA, если поставщик не подпишет BAA.
Что произойдет, если я случайно загружу PHI в AI-инструмент, не соответствующий HIPAA?
Это подлежащий отчетности инцидент в соответствии с HIPAA §164.402 (Правило уведомления о нарушениях), в зависимости от оценки рисков. У вас должен быть документированный процесс реагирования на инциденты. Свяжитесь с вашим специалистом по конфиденциальности HIPAA и, если применимо, с вашим юридическим консультантом. Практическая мера по смягчению последствий — развернуть инструменты DLP, которые предотвращают вставку PHI в несанкционированные AI-инструменты в первую очередь.
Вывод
Рынок AI-инструментов для презентаций достаточно созрел, чтобы организации, чувствительные к требованиям соответствия, наконец получили реальные варианты — но короткий список намного уже, чем можно предположить из маркетинговых материалов. Для HIPAA в апреле 2026 года: Microsoft 365 Copilot, Google Gemini for Workspace и Canva Enterprise (с подписанным BAA) — единственные массовые инструменты с документированными путями. Для GDPR с истинной резидентностью в ЕС: Microsoft 365 Copilot с отключенным Flex Routing и Google Workspace с регионами данных ЕС являются наиболее очевидными вариантами. Все остальные — включая некоторые из самых популярных AI-генераторов презентаций — обрабатывают данные в США по SCC, что законно, но не то же самое, что суверенитет данных.
Задача покупателя, озабоченного соответствием требованиям, — задавать точные вопросы. «Поддерживаете ли вы HIPAA?» получает маркетинговый ответ. «Подпишете ли вы наш BAA, охватывающий конкретные AI-функции, которые мы будем использовать, и какие сервисы входят в область действия Service Trust Portal?» получает договорной ответ. То же самое касается GDPR: «Поддерживаете ли вы GDPR?» — это не тот же вопрос, что «Где физически хранятся мои данные и где происходит вывод в реальном времени?» Задайте точный вопрос, получите точный ответ и задокументируйте оба. Для более широкого обзора AI-инструментов для презентаций корпоративного уровня см. наше сравнение корпоративных AI-инструментов для презентаций на 2026 год.
Для развертываний, чувствительных к требованиям соответствия — свяжитесь с 2Slides по поводу нашего корпоративного уровня с обязательствами об отказе от обучения и вариантами резидентности данных.
Источники:
- Microsoft 365 Copilot HIPAA/BAA coverage — Microsoft Learn
- Microsoft Copilot for Security HIPAA BAA announcement — Microsoft Tech Community
- Microsoft 365 Copilot EU Data Boundary & Flex Routing — Office365 IT Pros
- Google Workspace HIPAA Included Functionality (Gemini) — Google
- Is Google Workspace HIPAA Compliant? — HIPAA Journal
- Canva Data Processing Addendum
- Canva Trust Center — Privacy
- Canva HIPAA analysis — Paubox
- Gamma Data Processing Addendum
- Beautiful.ai Security & Privacy
- Microsoft In-Country Data Processing Announcement (Nov 2025)
About 2Slides
Create stunning AI-powered presentations in seconds. Transform your ideas into professional slides with 2slides AI Agent.
Try For Free
