anonym.legal

By · Last updated 2026-06-05

Atgal į BlogąAI Saugumas

BDAR 32 str.: AI irankiu AV stebejimas

Imoniu atitikties komandoms reikia kiekybinių irodymu apie AI irankiu AV valdiklius. Tinklo DLP praleidzia narsykléje veikiancias AI sesijas.

June 5, 20267 min skaityti
GDPR Article 32AI compliancePII monitoringCISO evidenceenterprise AI governance

BDAR 32 straipsnio atitikties itrodymas AI irankiams

Atnaujinta 2026 m.

BDAR 32 straipsnis reikalauja "tinkamu techninio ir organizacinio pobūdzio priemoniu" asmens duomenims apsaugoti. Kai darbuotojai naudoja isorines AI sistemas - ChatGPT, Claude, Gemini - rizika yra reali ir iSmatuojama. Valdikliai taip pat privalo buti iSmatuojami.

Politika, skelbianti "nesidalykite asmens duomenimis su AI irankiais", yra organizacine priemoné. Ji nèra technine priemoné. Ji nepakankama, kai DPA auditorius klausia: "Kaip zinote, kad darbuotojai laikosi?"

Ka DPA auditoriai klausia apie AI irankius

Po Samsung ChatGPT pazeidimo 2023 m. kovа reguliuotojai atidnai pazyvelge i imoniniu AI programas. DPA auditoriai dabar klausia tiesiogiai.

Apie technines priemones jie klausia:

  • Kas neleidzia asmens duomenims pasiekti AI sistemose?
  • Kaip uztikriname tikralaiki maskavima?
  • Kokie irodymai rodo, kad valdikliai veikia?

Apie stebejima jie klausia:

  • Kaip sekate darbuotoju AI naudojima del AV atskleidimo?
  • Kokias metrikus renkate? Kaip daznai?
  • Kaip zinote, kad valdikliai neapeiti?

Apie incidentu aptikima jie klausia:

  • Kaip pastebetumete AV nutekejima i AI irankus?
  • Koks jusu reagavimo planas?

Politikos dokumentai neatsako nei vieno is siu klausimu. Jie nurodo, ka darbuotojai turetu daryti. Jie nerodo, ka darbuotojai is tikruju daro.

Stebejimo spraga narsykleje veikiantiems AI irankiams

Imoniu IT komandos susiduria su pagrindine problema: narsykléje veikiantys AI irankiai sunkiai stebimi.

HTTPS sifravimas

ChatGPT, Claude ir Gemini naudoja HTTPS su HSTS. Tinklo patikrinimas negali perskaityti uzklausa teksto be TLS isskifravimo.

TLS tikrinimas

SSL tikrinimui reikia imoniniu sertifikatu kiekviename irenginyje. Tai gali suardyti kai kuriu programu sertifikatu prisegima. Tai sukuria naujus saugos tarpus. Tai gali pazeysti AI platformu aptarnavimo salygos. Tai kelia darbuotoju privatumo klausimus daugelyje saliu.

Galinio tasko DLP

Galinio tasko agentai stebi ikopijavimo ir klaviatūros iveda. Taciau jie turi didelì klaidingo suveikimo lygi. Jie negali atskirti "klientu duomenu ivedimo i sutarti" nuo "ju ivedimo i ChatGPT". Uzlaikymas gali praleisti gyvybinius siuntimus.

Rezultatas: dauguma imoniu, naudojanciu AI irankius, turi maza matymuma i tai, kokie duomenys pasiekia sias sistemas.

Atitikties prietaisų lenta praktikoje

Finansiniu paslaugu CISO privalo parodyti auditoriams, kad AI irankiu AV atskleidimas yra sekamas ir kontroliuojamas. Audito reikalavimas: tikri duomenys apie aktyvu stebejima.

Imone isplecia Chrome papildini 500 darbuotojams. Viena savaite iSsiuntiamu duomenu:

MetrikaSavaitines vertes
Viso AI sesijų8 400
Aptikta AV objektu12 000
Maskavimo lygis94%
Rasti klientu vardai4 800
Rasti saskaitu numeriai3 200
Rasti operacijų ID2 100
Neuzmaskavimai (6%)720 objektu

Pastaba: iliustracinis scenarijus. Rezultatai priklauso nuo imones dydzio ir AI naudojimo.

Keturi dalykai, kuriuos tai rodo auditoriams:

  • AI irankiu naudojimo mastas (8 400 sesijų per savaite)
  • Rizikuojamu AV kiekis (rasta 12 000 objektu)
  • Valdiklio veikimas (94% maskavimo lygis)
  • Likutinè rizika (720 objektu reikia tolesnio nagrinejimo)

Trisdaug dalykų, kuriuos auditoriai gali patikrinti:

  • Technine kontrole veikia (papildinio diegimo zurnalai)
  • Stebejimas aktyvus (savaitines ataskaitos)
  • Likutine rizika valdoma (papildomu mokymai 6% darbuotoju)

Stai skirtumas tarp "turime politika" ir "cia musu iSmavuotas valdiklio iSstudijavimu".

Rezultatu pavertimas gerinimu

6%, issiunciu be maskavimo, nera nesekme. Tai stebejimo sekme. Imone dabar zino:

  1. Kurie darbuotojai atmeta maskavimo raginimus ar ju nepristato.
  2. Kuriu tipu objektai dazniausiai issiuntiami be maskavimo.
  3. Kurios komandos turi didesni apejimo lygi.
  4. Ar lygis kris, kai darbuotojai adaptuosis.

Tai skatina tikslingus veiksmus. Didelio apejimo darbuotojai gauna papildomu mokymus. Didelio apejimo objektu tipai gali reikalauti stipresniu raginimų. Komandos su pakartotiniais apejimais gali prireikti darbo eigos pakeitimo.

Be sio iSvesties mokymai taikomi vienodai. Su juo mokymai eina ten, kur rizika yra auksciausia.

Kaip atrodo viso BDAR 32 straipsnio paketas

Ispildytas BDAR 32 straipsnio dokumentu rinkinys AI irankiu programai:

Technines priemonés:

  1. Chrome papildinys N irenginiuose (irodimas: MDM zurnalai)
  2. Tiesioginė AV aptikimas AI irankiu iveda laukuose
  3. Maskavimo eiga su audito pésaku (papildinio zurnalai)
  4. Atitikties prietaisų lenta (aptikimo metrikos)

Organizacines priemonés:

  1. AI irankiu naudojimo politika
  2. Darbuotoju mokymu irasai
  3. Reagavimo i incidentus planas del AI duomenu nutekejimo
  4. Ketvirtinis stebejimo iSvesties perziura

Stebejimo irodimai:

  1. Savaitines prietaisų lentos metrikos (nuolat 12 menesiu)
  2. Maskavimo lygio tendencija
  3. Objektu tipu paskirstymas
  4. Tolesnio nagrinëjimo irasai del apejimo

Incidentų aptikimas:

  1. Stebejimo iSvestis signalizuoja keista elgesi (staigus lygio kritimas, nauji objektu tipai)
  2. Reagavimo i incidentus planas isbankytas [data]

Sis rinkinys tenkina 32 straipsni. Jis rodo technines ir organizacines priemones su tikrais irodymais.

Rizikos mazinimo kiekybinimas

Proporcinumo testui privalote parodyti rizika, kuria valdiklis pasalina.

Be valdiklio:

  • 11% AI uzklaususu yra AV (Cyberhaven 2025)
  • 8 400 savaitines sesijų x 11% = 924 sesijos su AV per savaite
  • Kiekviena sesija: galimas BDAR 83 straipsnio atskleidimas, jei dalyvauja ES duomenys

Su valdikliu (94% maskavimo lygis):

  • 924 sesijos su aptiktu AV
  • 94% uzmaskavimu: 869 sesijos apsaugotos
  • Likutis: 55 sesijos per savaite su neuzmaskavimu turinio

Rezultatas: 94% AV atskleidimo is AI irankiu naudojimo mazejimas.

Reguliatoriams, taikiantiems proporcinumo testa, 94% mazejimas is isplesto techninio valdiklio yra stiprus irodimas. Taip pat zr. tikralaiki AV prevencija AI irankiams ir narsykléje pagristas DLP ChatGPT, Claude ir Gemini.

ISvada

BDAR 32 straipsnio atitiktis AI irankiams negali remtis vien politika. AI sesijų AV atskleidimo stebejimas narsykleje reikalauja techninio valdiklio, kuris gamina irodymous.

Tiesioginė maskavimas su integruotu stebejimu suteikia abu dalykus: prevencija (mazesnis atskleidimas) ir irodimai (iSmavuota rizika ir valdiklio iSvestis). Sio derigas tenkina 32 straipsni.

CISO, susiduriantiems su DPA auditu: auditoriai nori tikru duomenu. Parodykite aptikimo lygius, maskavimo lygius ir likutines rizikos tendencijas. Politika yra pradzia. Stebejimo iSvestis yra irodymas.

Kaip blokavimas palyginti su maskavimo kaip valdiklio, zr. Narsykléje pagristas DLP: Blokavimas vs. Anoniminimas.

Saltiniai

Susiję Straipsniai

AI Saugumas

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Saugumas

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Saugumas

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Pasiruošę apsaugoti savo duomenis?

Pradėkite anonimizuoti PII su 285+ subjektų tipais 48 kalbomis.

Pradėti Nemokamą Bandomąją VersijąPeržiūrėti Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.