anonym.legal

By · Last updated 2026-06-05

Povratak na BlogSigurnost AI-a

GDPR clanak 32: Pracenje izlozenosti osobnih podataka u AI alatima

Timovi za uskladjenost u poduzecima trebaju kvantitativne dokaze o kontrolama osobnih podataka u AI alatima. Mrezni DLP propusta interakcije s AI alatima u pregledniku.

June 5, 20267 min čitanja
GDPR Article 32AI compliancePII monitoringCISO evidenceenterprise AI governance

Dokazivanje uskladjenosti s GDPR clankom 32 za AI alate

Azurirano za 2026.

GDPR clanak 32 zahtijeva "primjerene tehnicke i organizacijske mjere" za zastitu osobnih podataka. Kada zaposlenici koriste vanjske AI alate - ChatGPT, Claude, Gemini - rizik je stvaran i mjerljiv. Kontrole takodjer moraju biti mjerljive.

Politika koja kaze "ne dijelite osobne podatke s AI alatima" je organizacijska mjera. Nije tehnicka mjera. Nije dovoljna kada revizor DPA-a pita: "Kako znate da se zaposlenici pridrzavaju?"

Sto revizori DPA-a pitaju o AI alatima

Nakon Samsungovog prekrsaja s ChatGPT-om u ozujku 2023., regulatori su pozorno pregledali korporativne AI programe. Revizori DPA-a sada postavljaju izravna pitanja.

O tehnickim kontrolama pitaju:

  • Sto sprecava osobne podatke da dostignu AI sustave?
  • Kako provodite maskiranje u stvarnom vremenu?
  • Koji dokazi pokazuju da kontrole funkcioniraju?

O pracenju pitaju:

  • Kako pratite koristenje AI-ja zaposlenika za izlozenost osobnih podataka?
  • Koje metrike prikupljate? Koliko cesto?
  • Kako znate da kontrole nisu zaobidjene?

O detekciji incidenata pitaju:

  • Kako biste otkrili curenje osobnih podataka u AI alat?
  • Koji je vas plan odgovora?

Politicki dokumenti ne odgovaraju ni na jedno od ovih pitanja. Govore sto bi zaposlenici trebali raditi. Ne pokazuju sto zaposlenici stvarno rade.

Jaz u pracenju AI alata u preglednicima

IT timovi u poduzecima suocavaju se s temeljnim problemom: AI alate temeljene na preglednicima je tesko pratiti.

HTTPS enkripcija

ChatGPT, Claude i Gemini svi koriste HTTPS s HSTS-om. Mrezna inspekcija ne moze citati tekst upita bez TLS dekriptiranja.

TLS inspekcija

SSL inspekcija zahtijeva korporativne certifikate na svakom uredaju. Moze slomiti vezivanje certifikata u nekim aplikacijama. Stvara nove sigurnosne praznine. Moze krsiti uvjete koristenja AI platforme. Pokrenuje pitanja privatnosti zaposlenika u mnogim zemljama.

Endpoint DLP

Endpoint agenti prate meduspremnik i unos tipkovnicom. Ali imaju visoke stope laznih pozitiva. Ne mogu razlikovati "upisivanje podataka klijenta u ugovor" od "upisivanja u ChatGPT". Kasnjenje moze propustiti uzivo slanje.

Rezultat: vecina tvrtki koje koriste AI alate ima malo uvida u to koji podaci dostignu te sustave.

Kontrolna ploca za uskladjenost u praksi

Glavni sluzbenik za informacijsku sigurnost u financijskim uslugama mora pokazati revizorima da je izlozenost osobnih podataka u AI alatima pracena i kontrolirana. Zahtjev revizije: stvarni podaci o aktivnom pracenju.

Tvrtka uvodi Chrome prosirenje za 500 zaposlenika. Tjedan dana rezultata:

MetrikaTjedna vrijednost
Ukupno AI sesija8.400
Otkriveni entiteti osobnih podataka12.000
Stopa maskiranja94%
Pronadjena imena kupaca4.800
Pronadjeni brojevi racuna3.200
Pronadjeni ID-ovi transakcija2.100
Nesmaskirano slanje (6%)720 entiteta

Napomena: ilustrativni scenarij. Rezultati variraju prema velicini tvrtke i koristenju AI-ja.

Cetiri stvari koje ovo pokazuje revizorima:

  • Razmjer koristenja AI alata (8.400 sesija tjedno)
  • Volumen osobnih podataka u riziku (12.000 pronadjenih entiteta)
  • Performanse kontrole (94% stopa maskiranja)
  • Preostali rizik (720 entiteta treba pracenje)

Tri stvari koje revizori mogu verificirati:

  • Tehnicka kontrola je aktivna (evidencija implementacije prosirenja)
  • Pracenje je aktivno (tjedna izvjesca)
  • Preostali rizik je upravljan (praceca obuka za 6%)

Ovo je razlika izmedju "imamo politiku" i "evo izmjerenog rezultata nase kontrole".

Pretvaranje rezultata u poboljsanje

6% poslano bez maskiranja nije propust. To je uspjeh pracenja. Tvrtka sada zna:

  1. Koji zaposlenici odbijaju zahtjeve za maskiranje ili ih propustaju.
  2. Koje vrste entiteta se najcesce salju nesmaskirano.
  3. Koji timovi imaju vise stope zaobilazenja.
  4. Pada li stopa dok se zaposlenici prilagojavaju.

Ovo pokrece ciljane akcije. Zaposlenici s visokim zaobilazenjem dobivaju dodatnu obuku. Vrste entiteta s visokim zaobilazenjem mozda trebaju snaznije upozorenja. Timovi s ponavljajucim zaobilazenjem mozda trebaju promjenu tijeka rada.

Bez ovog rezultata, obuka se primjenjuje ravnomjerno. S njim, obuka ide tamo gdje je rizik najveci.

Kako izgleda potpuni paket za clanak 32

Kompletan skup dokumenata GDPR clanka 32 za program AI alata:

Tehnicke mjere:

  1. Chrome prosirenje na N uredaja (dokaz: MDM zapisnici)
  2. Detekcija osobnih podataka uzivo u poljima za unos AI alata
  3. Tijek rada maskiranja s revizijskim tragom (zapisnici prosirenja)
  4. Kontrolna ploca za uskladjenost (metrike detekcije)

Organizacijske mjere:

  1. Politika koristenja AI alata
  2. Evidencija obuke zaposlenika
  3. Plan odgovora na incidente za curenja podataka u AI-ju
  4. Tromjesecni pregled rezultata pracenja

Dokazi o pracenju:

  1. Tjedne metrike kontrolne ploce (kolicni 12 mjeseci)
  2. Trend stope maskiranja
  3. Raslamba vrste entiteta
  4. Evidencija pracenja zaobilazenja

Detekcija incidenata:

  1. Rezultati pracenja oznacavaju neobicno ponasanje (iznenadni pad stope, nove vrste entiteta)
  2. Plan odgovora na incidente testiran na [datum]

Ovaj skup zadovoljava clanak 32. Pokazuje tehnicke i organizacijske mjere s pravim dokazima.

Kvantificiranje smanjenja rizika

Za test proporcionalnosti, morate pokazati rizik koji kontrola uklanja.

Bez kontrole:

  • 11% AI upita sadrzi osobne podatke (Cyberhaven 2025)
  • 8.400 tjednih sesija x 11% = 924 sesije s osobnim podacima tjedno
  • Svaka sesija: potencijalna izlozenost GDPR clanka 83 ako su ukljuceni EU podaci

S kontrolom (94% stopa maskiranja):

  • 924 sesije s detektiranim osobnim podacima
  • 94% maskirano: 869 sesija zasticeno
  • Preostalo: 55 sesija tjedno s nesmaskiranih sadrzajem

Rezultat: 94% smanjenje izlozenosti osobnih podataka iz koristenja AI alata.

Za regulatore koji primjenjuju test proporcionalnosti, smanjenje od 94% iz implementirane tehnicke kontrole je snazna evidencija. Pogledajte takodjer sprecavanje curenja osobnih podataka u AI alatima u stvarnom vremenu i preglednikDLP za ChatGPT, Claude i Gemini.

Zakljucak

Uskladjenost s GDPR clankom 32 za AI alate ne moze se osloniti samo na politiku. Pracenje AI sesija preglednika za izlozenost osobnih podataka zahtijeva tehnicku kontrolu koja proizvodi dokaze.

Uzivo maskiranje s ugradenim pracentem daje vam oboje: sprecavanje (manja izlozenost) i dokaze (izmjereni rizik i rezultat kontrole). Ta kombinacija zadovoljava clanak 32.

Za CISO-e koji se suocavaju s revizijom DPA-a: revizori zele stvarne podatke. Pokazite stope detekcije, stope maskiranja i trendove preostalog rizika. Politika je pocetakPracenje rezultata je dokaz.

Za usporedbu blokiranja i maskiranja kao kontrole, pogledajte Browser DLP: Blokiranje nasuprot anonimizacije.

Izvori

Povezani Članci

Sigurnost AI-a

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Sigurnost AI-a

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Sigurnost AI-a

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Spremni za zaštitu vaših podataka?

Započnite anonimizaciju PII-a s 285+ vrsta entiteta na 48 jezika.

Započnite Besplatno SuđenjePogledajte Značajke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.