Докажување GDPR Член 32 соответствување за AI алатки: Следи експозиција на PII на вработен со податоци, не доказни документи
GDPR Член 32 бара "соодветни технички и организациски мерки" да осигури безбедност соодветна на ризик. Кога вработени користат надворешни AI алатки (ChatGPT, Claude, Gemini), ризикот е вистински и квантификувачен. Мерките за решавање на тој ризик мораат исто така да бидат демонстрирачка.
Документ на политика вели "вработениот не треба да дели лични податоци со AI алатки" е организациска мерка. Не е технички мерка. И не е доволна кога ревизор на ДПА прашува "како знаеш дека вработениот всушност се согласува?"
Што ревизори на ДПА го бараат во соответствување на AI алатка
Следејќи инцидент на Samsung ChatGPT (март 2023) и следна регулаторна надзор на усвојување на AI алатка на претприемачи, ревизори на ДПА развиле конкретни прашања за програми на соответствување на AI алатка:
Технички контроли:
- "Кои технички мерки спречуваат лични податоци од досегање надворешни AI системи?"
- "Како ги во силу анонимизирање барања во реално време AI интеракции?"
- "Кој доказ демонстрира овие технички контроли работат?"
Следирање:
- "Како го следиш вработено AI алатка користење за експозиција на лични податоци?"
- "Кои метрики ги следиш? На каква честота?"
- "Како знаеш вашите контроли ефективни vs. посилни?"
Детекција на инцидент:
- "Како кола открилoт ако лични податоци беше делена со AI алатка?"
- "Кој е вашиот инцидент одговор процес ...