GDPR artikkel 32 nõuete tõendamine AI tööriistade jaoks: Töötajate isikuandmete avalikuks tegemise jälgimine andmete abil, mitte poliitika dokumentidega
GDPR artikkel 32 nõuab "asjakohaseid tehnilisi ja organisatsioonilisi meetmeid" turvalisuse tagamiseks, mis on proportsionaalne riskiga. Kui töötajad kasutavad väliseid AI tööriiste (ChatGPT, Claude, Gemini), on risk tegelik ja kvantitatiivselt mõõdetav. Selle riski lahendamiseks vajalikud meetmed peavad olema samuti tõendatavad.
Poliitika dokument, mis ütleb "töötajad ei tohiks jagada isikuandmeid AI tööriistadega", on organisatsiooniline meeter. See ei ole tehniline meeter. Ja see ei ole piisav, kui DPA audiitor küsib "kuidas te teate, et töötajad tegelikult neid nõuded täidavad?"
Mida DPA auditorid GDPR-i nõudetes otsivad
Pärast Samsungi ChatGPT juhtumit (märts 2023) ja hilisemat regulatiivset kontrolli ettevõtte AI tööriistade kasutuselevõtu üle on DPA auditorid välja töötanud spetsiifilised küsimused AI tööriistade nõuetekohasus programmide kohta:
Tehnilised juhtimisvahendid:
- "Millised tehnilised meetmed takistavad isikuandmete jõudmist välistesse AI süsteemidesse?"
- "Kuidas te rakendatute anonüümistamise nõudeid reaalajas AI interaktsioonides?"
- "Mis tõendid näitavad, et need tehnilised juhtimisvahendid toimivad?"
Jälgimine:
- "Kuidas te jälgite töötajate AI tööriistade kasutamist isikuandmete avalikuks tegemise suhtes?"
- "Milliseid mõõdikuid te jälgite? Millise sagedusega?"
- "Kuidas te teate, et teie juhtimisvahendid on tõhusad vs. neid ümber minnatakse?"
Juhtumi avastamine:
- "Kuidas te avastaksite, kui isikuandmed jagati AI tööriistaga?"
- "Milline on teie juhtumi reageerimise protsess?"