GDPR a AI podpora: Vlastní identifikátory se počítají
Váš podpůrný tým používá AI k sestavování odpovědí a přezkoumání lístků. Produktivita roste. Pak váš DPO zkontroluje nastavení.
Typická zpráva zákazníka obsahuje jméno, e-mailovou adresu a ID objednávky. Jméno a e-mail jsou osobní údaje. Stejně tak ID objednávky. Odkazuje na Petru Novákovou ve vaší databázi objednávek. Dodavatel AI ho může zkřížit s jinými zdroji. Pokud uniknou trénovací data, ID ji může znovu identifikovat.
Odeslání kteréhokoli z těchto údajů externímu dodavateli AI bez právního základu je porušením GDPR.
Proč jsou ID objednávek osobními údaji
Článek 4 GDPR definuje osobní údaje široce. Pojem pokrývá veškeré informace týkající se identifikované nebo identifikovatelné osoby. Identifikovatelnost zahrnuje nepřímou identifikaci odkazem na identifikátor.
ID objednávky jako ORD-4521893 je nepřímý identifikátor. Samotné nepojmenuje Petru Novákovou. Ve spojení s vaší databází objednávek ano.
Článek 4 odst. 5 GDPR pokrývá pseudonymizaci. ID objednávek jsou pseudonymy. K odhalení osoby za nimi potřebují druhý zdroj. Když jedno odešlete externímu dodavateli AI, sdílíte osobní údaje. Jsou vyžadovány právní základ a smlouva o zpracování dat.
Dodavatel nemusí mít vaši databázi. To vaši povinnost neukončuje. Sdíleli jste osobní údaje. GDPR stále platí.
Standardní mezera anonymizace
Podpůrné týmy často nasazují detekci PII pro soulad s GDPR. Standardní nástroje odstraní běžné typy entit.
Standardní detekce zachytí jména zákazníků, e-mailové adresy, telefonní čísla a čísla kreditních karet. Tyto projdou.
Standardní detekce nezachytí ID objednávek ve formátu ORD-XXXXXXX. Přehlédne čísla účtů, reference lístků, interní ID uživatelů a ID předplatného. Tyto selžou.
Výsledek vypadá takto: „Dobrý den, jsem [PERSON_1] a moje objednávka ORD-4521893 ještě nedorazila. Napište mi prosím na [EMAIL_1].”
ID objednávky je tam stále. Kdokoli s přístupem k CRM okamžitě najde Petru Novákovou. Anonymizace je neúplná. To je mezera v compliance.
Rozšíření Chrome: Detekce v prohlížeči
Podpůrní agenti, kteří používají Claude, ChatGPT nebo Gemini, pracují ve svém prohlížeči. Rozšíření Chrome zastaví vlastní identifikátory v odchodu.
Jak funguje: Agent vloží zprávu zákazníka do nástroje AI. Rozšíření zjistí, že cílem je platforma AI. Odstraní standardní PII. Pak aplikuje vlastní vzory. Ty odpovídají vašemu formátu ID objednávky, vašemu formátu čísla účtu a dalším vlastním identifikátorům, které váš tým používá. Agent vidí pouze čistou zprávu. Surová data nikdy nedosáhnou AI.
Compliance tým nastaví vlastní vzory jednou. Sdílí preset se všemi agenty. Agenti to nemusejí spravovat. Vloží zprávu. Rozšíření se postará o zbytek.
MCP Server: Detekce na vrstvě API
Některé platformy volají AI přes API. Intercom používá AI k sestavování odpovědí. Zendesk používá AI pro návrhy odpovědí. MCP Server přidává anonymizaci na vrstvě API pro tato nastavení.
Tok je následující: Zpráva zákazníka dorazí na podpůrnou platformu. Projde přes MCP endpoint před dosažením AI. Endpoint odstraní standardní i vlastní entity. Čistá zpráva jde do AI. AI vrátí odpověď. Žádné osobní údaje nebyly sdíleny. Agent pak přečte a upraví odpověď na podpůrné platformě.
Agenti nezaznamenají žádnou změnu ve způsobu práce. Proces vypadá stejně. Vlastní entity jsou nastaveny jednou v konfiguraci MCP. Všechna volání API od tohoto okamžiku používají plnou detekci entit.
Kontrolní seznam implementace pro DPO
1. Zmapujte všechny datové toky do AI.
Sepište, kde agenti používají AI. Zahrňte nástroje v prohlížeči, nástroje na základě API a nahrávání souborů.
2. Vypište všechny typy identifikátorů ve zprávách zákazníků.
Standardní PII — jména, e-maily, telefony — je pokryta výchozím nastavením. Vlastní identifikátory — ID objednávek, reference lístků, čísla účtů — potřebují vlastní vzory.
3. Přidejte vzory vlastních entit.
Definujte každý formát. Otestujte ho na vzorových zprávách. Uložte ho do týmového presetu.
4. Nasaďte na správné vrstvě.
AI v prohlížeči: použijte rozšíření Chrome se sdíleným presetem. AI integrovaná přes API: použijte MCP Server nebo předzpracování na vrstvě API.
5. Aktualizujte svůj ROPA.
Zaznamenejte, že AI podpory používá automatizovanou anonymizaci. Vypište pokryté vlastní typy identifikátorů. To je vaše dokumentace technické záruky.
6. Otestujte nastavení.
Spusťte vzorové zprávy se všemi typy identifikátorů. Zkontrolujte, že nic nedosáhne AI. Viz průvodce právní compliance pro šablony dokumentů.
SaaS podpůrný tým: Praktický příklad
SaaS podpůrný tým používá Claude prostřednictvím interní AI platformy. Zprávy zákazníků obsahují jména, e-maily, ID objednávek a ID předplatného. Některé názvy příznaků funkcí nesou interní identifikátory.
Před přezkoumáním GDPR: Veškerý obsah šel do AI. ID objednávek a předplatných byly zahrnuty.
Po detekci vlastních entit:
ORD-XXXXXXX a SUB-XXXXXXXX byly přidány jako vlastní entity. Rozšíření Chrome bylo nasazeno se sdíleným presetem. DPO provedl testy a potvrdil, že všechny identifikátory jsou odstraněny před zpracováním AI.
Změna pracovního postupu agenta: Žádná. Agenti pracují stejným způsobem. Anonymizace probíhá na pozadí. DPO má zdokumentovanou zárukou ve spisu.
Závěr
AI podpora splňující GDPR dělá více než jen odstraňuje jména a e-maily. ID objednávek, čísla účtů a reference lístků jsou osobní údaje. Standardní nástroje je přehlédnou. Konfigurace vlastních entit tuto mezeru uzavírá.
Kroky jsou jednoduché. Definujte vaše formáty identifikátorů. Otestujte je na vzorových zprávách. Nasaďte je týmu. DPO to může dokončit odpoledne. Poté jsou všechna zákaznická data odstraněna před dosažením externích AI systémů. Přínos pro compliance od tohoto okamžiku přetrvává.