A GDPR 32. cikk szerinti megfelelés igazolása AI-eszközöknél
2026-ra frissítve.
A GDPR 32. cikke „megfelelő technikai és szervezési intézkedéseket” követel meg a személyes adatok védelmére. Amikor az alkalmazottak külső AI-eszközöket használnak — ChatGPT, Claude, Gemini —, a kockázat valós és mérhető. Az ellenőrzéseknek is mérhetőknek kell lenniük.
Egy olyan szabályzat, amely azt mondja: „ne osszon meg személyes adatokat AI-eszközökkel” — szervezési intézkedés. Nem technikai intézkedés. Nem elégséges, amikor egy adatvédelmi hatósági auditor azt kérdezi: „Honnan tudja, hogy az alkalmazottak betartják ezt?”
Mit kérdeznek az adatvédelmi hatósági auditorok az AI-eszközökről
A 2023 márciusi Samsung ChatGPT-szivárgás után a szabályozók alaposan megvizsgálták a vállalati AI-programokat. Az adatvédelmi hatósági auditorok most közvetlen kérdéseket tesznek fel.
A technikai ellenőrzésekre vonatkozóan kérdezik:
- Mi akadályozza meg, hogy személyes adatok AI-rendszerekhez jussanak?
- Hogyan érvényesíti az elfedést valós időben?
- Milyen bizonyíték mutatja, hogy az ellenőrzések működnek?
A monitorozásra vonatkozóan kérdezik:
- Hogyan követi nyomon az alkalmazottak AI-használatát a személyes adat-kitettség szempontjából?
- Milyen mutatókat gyűjt? Milyen gyakran?
- Honnan tudja, hogy az ellenőrzéseket nem kerülik meg?
Az incidensészlelésre vonatkozóan kérdezik:
- Hogyan venné észre egy személyes adat-szivárgást egy AI-eszközhöz?
- Mi a reagálási terve?
A szabályzati dokumentumok ezen kérdések egyikét sem válaszolják meg. Azt mondják, mit kellene tennie az alkalmazottaknak. Nem mutatják meg, mit tesznek ténylegesen.
A monitorozási rés a böngészőalapú AI-eszközöknél
A vállalati IT-csapatok egy alapproblémával szembesülnek: a böngészőalapú AI-eszközöket nehéz monitorozni.
HTTPS-titkosítás
A ChatGPT, a Claude és a Gemini HSTS-sel rendelkező HTTPS-t használ. A hálózati ellenőrzés TLS-dekódolás nélkül nem tudja olvasni az üzenet szövegét.
TLS-ellenőrzés
Az SSL-ellenőrzés vállalati tanúsítványokat igényel minden eszközön. Egyes alkalmazásokban megtörhet a tanúsítvány-rögzítést. Új biztonsági réseket hozhat létre. Sértheti az AI-platformok szolgáltatási feltételeit. Adatvédelmi aggályokat vet fel az alkalmazottak tekintetében sok országban.
Végponti DLP
A végponti ügynökök figyelik a vágólap és a billentyűzet bemenetét. Azonban magas a téves riasztások aránya. Nem tudják megkülönböztetni, hogy az ügyféladata beírása szerződésbe vagy ChatGPT-be történik-e. A késlekedés elszalaszthat élő küldéseket.
Eredmény: a legtöbb AI-eszközöket használó vállalat kevés rálátással rendelkezik arra, milyen adatok jutnak el ezekre a rendszerekre.
Megfelelési irányítópult a gyakorlatban
Egy pénzügyi szolgáltatási CISO-nak meg kell mutatnia az auditoroknak, hogy az AI-eszközök személyes adat-kitettsége nyomon van követve és ellenőrzött. Az auditkövetelmény: kemény adatok az aktív monitorozásról.
A cég 500 alkalmazottnak telepíti a Chrome-bővítményt. Egy hét kimenete:
| Mutató | Heti érték |
|---|---|
| Összes AI-munkamenet | 8 400 |
| Észlelt személyes adat-entitások | 12 000 |
| Elfedési arány | 94% |
| Talált ügyféladatok | 4 800 |
| Talált számlaszámok | 3 200 |
| Talált tranzakciós azonosítók | 2 100 |
| El nem fedett küldések (6%) | 720 entitás |
Megjegyzés: szemléltető forgatókönyv. Az eredmények a cég méretétől és az AI-használattól függően változnak.
Négy dolog, amit ez az auditoroknak mutat:
- Az AI-eszköz-használat mértéke (heti 8 400 munkamenet)
- A veszélyeztetett személyes adatok mennyisége (12 000 talált entitás)
- Az ellenőrzés teljesítménye (94% elfedési arány)
- A maradék kockázat (720 entitás utókövetést igényel)
Három dolog, amit az auditorok ellenőrizhetnek:
- Aktív technikai ellenőrzés (bővítménytelepítési naplók)
- Aktív monitorozás (heti jelentések)
- Kezelt maradék kockázat (utólagos képzés a 6%-nak)
Ez a különbség a „van szabályzatunk” és a „itt van mért ellenőrzési kimenetünk” között.
A kimenet javításra fordítása
Az elfedés nélkül elküldött 6% nem kudarc. Monitorozási siker. A cég most tudja:
- Mely alkalmazottak utasítják el az elfedési figyelmeztetéseket vagy hagyják figyelmen kívül azokat.
- Mely entitástípusokat küldik el leggyakrabban elfedés nélkül.
- Mely csapatoknak van magasabb megkerülési aránya.
- Csökken-e az arány az alkalmazottak alkalmazkodásával.
Ez célzott intézkedést tesz lehetővé. A magas megkerülési arányú alkalmazottak extra képzést kapnak. A magas megkerülési arányú entitástípusokhoz esetleg erősebb figyelmeztetések szükségesek. Az ismétlődő megkerülést mutató csapatoknak esetleg munkafolyamat-változtatásra van szükségük.
E kimenet nélkül a képzés egyenletesen alkalmazandó. Ezzel a kimenettel a képzés oda kerül, ahol a kockázat a legmagasabb.
Hogyan néz ki egy teljes 32. cikk szerinti csomag
Egy teljes GDPR 32. cikk szerinti dokumentumkészlet egy AI-eszközprogramhoz:
Technikai intézkedések:
- Chrome-bővítmény N eszközön (bizonyíték: MDM-naplók)
- Élő személyes adat-észlelés az AI-eszköz beviteli mezőiben
- Elfedési munkafolyamat auditnyomvonallal (bővítménynaplók)
- Megfelelési irányítópult (észlelési mutatók)
Szervezési intézkedések:
- AI-eszköz-használati szabályzat
- Alkalmazotti képzési nyilvántartások
- Incidensreagálási terv AI-adatszivárgásokhoz
- A monitorozási kimenet negyedéves felülvizsgálata
Monitorozási bizonyíték:
- Heti irányítópult-mutatók (gördülő 12 hónap)
- Elfedési arány trendje
- Entitástípus-bontás
- Megkerülések utókövetési nyilvántartásai
Incidensészlelés:
- A monitorozási kimenet jelzi a rendellenes viselkedést (hirtelen aránycsökkenés, új entitástípusok)
- Az incidensreagálási terv [dátum]-án tesztelve
Ez a készlet megfelel a 32. cikknek. Valós bizonyítékkal mutatja a technikai és szervezési intézkedéseket.
A kockázatcsökkentés számszerűsítése
Az arányossági teszthez meg kell mutatnia, milyen kockázatot távolít el az ellenőrzés.
Az ellenőrzés nélkül:
- Az AI-üzenetek 11%-a tartalmaz személyes adatot (Cyberhaven 2025)
- Heti 8 400 munkamenet × 11% = 924 személyes adatot tartalmazó munkamenet
- Minden munkamenet potenciális GDPR 83. cikk szerinti kitettség, ha EU-s adatok érintve vannak
Az ellenőrzéssel (94% elfedési arány):
- 924 észlelt személyes adatot tartalmazó munkamenet
- 94% elfedve: 869 védett munkamenet
- Maradék: 55 munkamenet elfedetlen tartalommal
Eredmény: 94%-os csökkentés a személyes adat-kitettségben az AI-eszköz-használatból.
A regulátorok számára, akik az arányossági tesztet alkalmazzák, a 94%-os csökkentés egy telepített technikai ellenőrzésből erős bizonyíték. Lásd még: valós idejű személyes adat megelőzés AI-eszközöknél és böngészős DLP ChatGPT-hez, Claude-hoz és Geminihez.
Összefoglalás
A GDPR 32. cikkének való megfelelés az AI-eszközöknél nem alapulhat kizárólag szabályzaton. A böngészős AI-munkamenetek monitorozása a személyes adat-kitettségért egy olyan technikai ellenőrzést igényel, amely bizonyítékot termel.
Az élő elfedés beépített monitorozással mindkettőt biztosítja: megelőzést (kevesebb kitettség) és bizonyítékot (mért kockázat és ellenőrzési kimenet). Ez a kombináció megfelel a 32. cikknek.
Azoknak a CISO-knak, akik adatvédelmi hatósági audittal szembesülnek: az auditorok kemény adatokat akarnak. Mutassa az észlelési arányokat, az elfedési arányokat és a maradék kockázat trendjeit. A szabályzat a kiindulópont. A monitorozási kimenet a bizonyíték.
Aért, hogy hogyan hasonlít össze a blokkolás az elfedéssel mint ellenőrzéssel, lásd: Böngészős DLP: Blokkolás vs. Anonimizálás.