Prokázání shody s článkem 32 GDPR pro nástroje AI
Aktualizováno pro rok 2026.
Článek 32 GDPR vyžaduje „vhodná technická a organizační opatření” k ochraně osobních údajů. Když zaměstnanci používají externí nástroje AI — ChatGPT, Claude, Gemini — riziko je reálné a měřitelné. I kontroly musí být měřitelné.
Politika říkající „nesdílejte osobní data s nástroji AI” je organizačním opatřením. Není to technické opatření. Nestačí, když se auditor DPA zeptá: „Jak víte, že zaměstnanci dodržují předpisy?”
Na co se auditoři DPA ptají ohledně nástrojů AI
Po úniku dat Samsungu přes ChatGPT v březnu 2023 zaměřili regulátoři pozornost na podnikové programy AI. Auditoři DPA nyní kladou přímé otázky.
K technickým kontrolám se ptají:
- Co zabraňuje osobním datům dosáhnout systémů AI?
- Jak prosazujete maskování v reálném čase?
- Jaký důkaz ukazuje, že kontroly fungují?
K monitorování se ptají:
- Jak sledujete využívání AI zaměstnanci z hlediska expozice PII?
- Jaké metriky sbíráte? Jak často?
- Jak víte, že kontroly nejsou obcházeny?
K detekci incidentů se ptají:
- Jak byste zjistili únik PII do nástroje AI?
- Jaký je váš plán reakce?
Dokumenty s politikami na žádnou z těchto otázek neodpovídají. Říkají, co by zaměstnanci měli dělat. Neukazují, co zaměstnanci skutečně dělají.
Mezera v monitorování prohlížečových nástrojů AI
IT týmy podniků čelí základnímu problému: prohlížečové nástroje AI se obtížně monitorují.
Šifrování HTTPS
ChatGPT, Claude a Gemini používají HTTPS s HSTS. Síťová inspekce nemůže číst text promptu bez TLS dešifrování.
TLS inspekce
SSL inspekce vyžaduje podnikové certifikáty na každém zařízení. Může narušit cert pinning v některých aplikacích. Vytváří nové bezpečnostní mezery. Může porušovat podmínky služby platforem AI. V mnoha zemích vyvolává obavy o soukromí zaměstnanců.
Endpoint DLP
Endpoint agenti sledují vstup schránky a klávesnice. Mají však vysokou míru falešných pozitiv. Nedokáží rozlišit „psaní dat klienta do smlouvy” od „psaní do ChatGPT”. Zpoždění může zmeškat živá odeslání.
Výsledek: většina firem používajících nástroje AI má malý přehled o tom, jaká data tato systémy dosahují.
Compliance dashboard v praxi
CISO finančních služeb musí auditorům prokázat, že expozice PII v nástrojích AI je sledována a kontrolována. Požadavek auditu: konkrétní data o aktivním monitorování.
Firma nasadí rozšíření pro Chrome na 500 zaměstnanců. Výstup za jeden týden:
| Metrika | Týdenní hodnota |
|---|---|
| Celkové AI relace | 8 400 |
| Detekované entity PII | 12 000 |
| Míra maskování | 94 % |
| Nalezená jména zákazníků | 4 800 |
| Nalezená čísla účtů | 3 200 |
| Nalezená ID transakcí | 2 100 |
| Nemaskovaná odeslání (6 %) | 720 entit |
Poznámka: ilustrativní scénář. Výsledky se liší podle velikosti firmy a míry využívání AI.
Čtyři věci, které toto ukazuje auditorům:
- Rozsah využívání nástrojů AI (8 400 relací týdně)
- Objem PII v riziku (12 000 nalezených entit)
- Výkon kontroly (94% míra maskování)
- Reziduální riziko (720 entit vyžaduje doplňující opatření)
Tři věci, které mohou auditoři ověřit:
- Technická kontrola je aktivní (záznamy o nasazení rozšíření)
- Monitorování je aktivní (týdenní zprávy)
- Reziduální riziko je řízeno (doplňující školení pro 6 %)
To je rozdíl mezi „máme politiku” a „zde je naměřený výstup naší kontroly”.
Přeměna výstupu na zlepšení
6 % odeslaných bez maskování není selháním. Je to úspěch monitorování. Firma nyní ví:
- Kteří zaměstnanci odmítají nebo přehlížejí výzvy k maskování.
- Které typy entit jsou nejčastěji odesílány bez maskování.
- Které týmy mají vyšší míru obcházení.
- Zda se míra snižuje, jak se zaměstnanci adaptují.
To umožňuje cílenou akci. Zaměstnanci s vysokou mírou obcházení dostávají doplňující školení. Typy entit s vysokou mírou obcházení mohou vyžadovat silnější výzvy. Týmy s opakovaným obcházením mohou potřebovat změnu pracovního postupu.
Bez tohoto výstupu se školení aplikuje plošně. S ním míří tam, kde je riziko nejvyšší.
Jak vypadá kompletní balíček pro článek 32
Kompletní sada dokumentů GDPR článku 32 pro program nástrojů AI:
Technická opatření:
- Rozšíření Chrome na N zařízeních (důkaz: záznamy MDM)
- Živá detekce PII ve vstupních polích nástrojů AI
- Pracovní postup maskování s auditní stopou (záznamy rozšíření)
- Compliance dashboard (metriky detekce)
Organizační opatření:
- Politika využívání nástrojů AI
- Záznamy o školení zaměstnanců
- Plán reakce na incidenty pro úniky dat z AI
- Čtvrtletní přezkum výstupu monitorování
Důkazy o monitorování:
- Týdenní metriky dashboardu (průběžně za 12 měsíců)
- Trend míry maskování
- Rozložení podle typů entit
- Záznamy o navazujících opatřeních při obcházení
Detekce incidentů:
- Výstup monitorování upozorňuje na neobvyklé chování (náhlý pokles míry, nové typy entit)
- Plán reakce na incidenty testován dne [datum]
Tato sada splňuje požadavky článku 32. Ukazuje technická a organizační opatření s reálnými důkazy.
Kvantifikace snížení rizika
Pro test proporcionality musíte prokázat riziko, které kontrola eliminuje.
Bez kontroly:
- 11 % promptů AI obsahuje PII (Cyberhaven 2025)
- 8 400 týdenních relací × 11 % = 924 relací s PII týdně
- Každá relace: potenciální expozice podle článku 83 GDPR, pokud jsou zahrnuta data EU
S kontrolou (94% míra maskování):
- 924 relací s detekovanou PII
- 94 % maskováno: 869 relací chráněno
- Reziduální: 55 relací týdně s nemaskovaným obsahem
Výsledek: 94% pokles expozice PII z využívání nástrojů AI.
Pro regulátory aplikující test proporcionality je 94% snížení z nasazeného technického kontrolního mechanismu přesvědčivým důkazem. Viz také prevence PII v reálném čase pro nástroje AI a prohlížečová DLP pro ChatGPT, Claude a Gemini.
Závěr
Shoda s článkem 32 GDPR pro nástroje AI nemůže stát pouze na politice. Monitorování prohlížečových AI relací z hlediska expozice PII vyžaduje technický kontrolní mechanismus, který produkuje důkazy.
Živé maskování s integrovaným monitorováním vám dává obojí: prevenci (nižší expozice) a důkazy (měřené riziko a výstup kontroly). Tato kombinace splňuje požadavky článku 32.
Pro CISO čelící auditu DPA: auditoři chtějí konkrétní data. Ukažte míry detekce, míry maskování a trendy reziduálního rizika. Politika je začátek. Výstup monitorování je důkaz.
Jak se blokování srovnává s maskováním jako kontrolním mechanismem, viz Browser DLP: Blokování vs. anonymizace.